[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

hb96 schreef op zondag 1 oktober 2017 @ 19:13:
Hier de EdgeRouter Lite voorzien van v1.9.7+hotfix.3.
Gistermiddag de router zonder problemen voorzien van deze update.
TV werkte gisteravond nog zoals het hoort, geen problemen mee ondervonden.

Echter blijkt vanmorgen dat er geen tv en telefoon meer is.
Heb zowel de Edgerouter als de Experiabox v8 herstart,
echter geen resultaat op de Experiabox v8.

Internet hebben we wel, dit gaat volledig buiten de Experiabox om.
Alles komt binnen op poort 1, waarna internet naar poort 2 gaat en tv en telefoon naar 3 (via bridge).

Alle interfaces/verbindingen zijn verder keurig online/connected.

Ben niet in de mogelijk om nu de configuratie te uploaden.

Iemand die mogelijk een idee heeft?

xbeam schreef op zondag 1 oktober 2017 @ 20:55:
[...]


Die bridge er tussen uit en tv laten afhandelen door edgerouter.

En dan alleen vlan 7 bridged naar wan poorten van experiabox voor telefonie.

hb96 schreef op maandag 2 oktober 2017 @ 08:01:
[...]

Het probleem is ook dat er geen lampjes branden op de Experiabox v8.
Wel het power lampje en het eco lampje, maar niet van de tv en telefoon.

Als ik de bridge van TV zou uitschakelen, zal de telefonie dan weer gaan werken?

Heb vanmorgen alles nogmaals herstart, inclusief de NTU.
Hetzelfde resultaat dat de Experiabox v8 geen resultaat geeft....

hb96 schreef op zondag 1 oktober 2017 @ 19:13:
Hier de EdgeRouter Lite voorzien van v1.9.7+hotfix.3.
Gistermiddag de router zonder problemen voorzien van deze update.
TV werkte gisteravond nog zoals het hoort, geen problemen mee ondervonden.

Echter blijkt vanmorgen dat er geen tv en telefoon meer is.
Heb zowel de Edgerouter als de Experiabox v8 herstart,
echter geen resultaat op de Experiabox v8.

Internet hebben we wel, dit gaat volledig buiten de Experiabox om.
Alles komt binnen op poort 1, waarna internet naar poort 2 gaat en tv en telefoon naar 3 (via bridge).

Alle interfaces/verbindingen zijn verder keurig online/connected.

Ben niet in de mogelijk om nu de configuratie te uploaden.

Iemand die mogelijk een idee heeft?

Jeroen_ae92 schreef op maandag 2 oktober 2017 @ 15:43:
[...]

Dan heb je source based routing nodig. Dus met modify rules aan de gang en table 1 + masq rule maken. Of, een bridge maken tussen eth1 en een vlan op eth2

Jeroen_ae92 schreef op maandag 2 oktober 2017 @ 16:45:
Voorbeeldje (voornamelijk voor @slijkie):

Add modify rules:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

modify IPTV_POLICY_ROUTE { rule 10 { action modify description "Host-specific route" modify { table 1 } source { address 192.168.3.11 <--- voorbeeld IP natuurlijk } } rule 20 { action modify description "Rest of network" modify { table main } source { address 192.168.3.0/24 } } }

Voeg toe aan je firewall in directie op eth2:

code:

1 2 3 4 5 6 7 8 9 10 11

ethernet eth2 { address 192.168.3.1/24 description Local duplex auto firewall { in { modify IPTV_POLICY_ROUTE } } speed auto }

Maak je routing aan:

code:

1 2 3 4 5 6 7 8 9 10

protocols { static { table 1 { interface-route 0.0.0.0/0 { next-hop-interface eth2 { } } } } }

En als laatste, voeg de NAT rule toe:

code:

1 2 3 4 5 6 7 8 9

rule 5000 { description NAT_IPTV log disable outbound-interface vtun0 source { address 192.168.3.0/24 } type masquerade }

Wel zou ik voor zowel de modify rule, als voor de NAT rule met een groep als source werken. Deze kun je dan vullen met IP adressen die via de andere route zou moeten. Ik ga ervanuit dat je een static mapping maakt per IPTV box.

[ Voor 10% gewijzigd door slijkie op 02-10-2017 16:53 ]

IVEL schreef op zaterdag 30 september 2017 @ 18:51:
Per vandaag ben ik ook over naar een Ubiquiti netwerk in huis, waarbij ik al enige tijd in dit topic mee lees. Mijn uiteindelijke keuze is gevallen op:

• Unifi Security Gateway Pro 4
• Unifi Switch 48 POE 500W (zwaar overtuigd dat wat je kunt bekabelen, moet bekabelen, daardoor dus veel poortjes in gebruik)

Qua access points ben ik er nog niet helemaal uit, maar die volgen waarschijnlijk wel spoedig, tot die tijd voldoen mijn 2 Apple Extreme’s nog wel even.

Qua WAN verbinding maak ik gebruik van TMobile FTTH (voorheen Vodafone), hier vind ik nog niet overtuigende configuratie/json files voor. Middels deze handleiding: https://community.ubnt.co...-fiber/m-p/2008849#M52235 ben ik tot een werkende setup gekomen, maar deze setup heeft niet mijn voorkeur.

In het kort komt het hier op neer:

LAN - Thuis LAN 10.0.2.1/24
VLAN 100 - VLAN_MANAGEMENT
VLAN 300 - VLAN_INTERNET
VLAN 640 - VLAN_IPTV

<fiber> -> SPF1 poort op Switch, deze is getrunked met VLAN 300, 640 & 100 -> Poort 47 op switch, deze is getrunked met VLAN 100 & 300 -> Poort WAN op USG Pro 4, met Use VLAN ID 300

Vervolgens van de LAN1 op de USG Pro 4 -> Poort 1 op Switch. De beide IPTV kastjes zijn aangesloten op poort 45 & 46, welke in VLAN_IPTV zitten.

Mijn bezwaar tegen deze setup is dat het verkeer vanuit de fiber, via de switch naar de USG gaan, om vervolgens terug naar de switch te gaan. Dit terwijl de fiber ook direct de SPF1 poort van de USG Pro 4 in kan.

Echter, hier mijn probleem, ik krijg de configuratie niet juist wanneer ik de fiber direct in de USG stop. Internet werkt, maar IPTV niet. Zelf vermoed ik dat ik middels een json file deze setup werkend zal moeten maken in de USG Pro 4. Gebasseerd op de KPN voorbeelden kom ik zelf tot de volgende json, echter dit geeft geen werkende setup. TMobile maakt voor internet gewoon gebruik van DHCP en niet van PPPoE.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65

{ "interfaces": { "bridge": { "br0": { "aging": "300", "bridged-conntrack": "disable", "hello-time": "2", "max-age": "20", "multicast": "enable", "priority": "32768", "promiscuous": "disable", "stp": "false" } }, "ethernet": { "eth0": { "address": "10.0.2.1/24", "description": "eth0 - LAN", "duplex": "auto", "speed": "auto" }, "eth2": { "description": "eth2 - FTTH", "duplex": "auto", "mtu": "1512", "speed": "auto", "vif": { "300": { "address": "dhcp", "description": "eth2.300 - Internet", "firewall": { "in": { "name": "WAN_IN" }, "local": { "name": "WAN_LOCAL" } } }, "640": { "bridge-group": { "bridge": "br0" }, "description": "eth2.640 - IPTV" } } } } }, "system": { "name-server": [ "10.0.2.20", "37.143.84.228", "37.143.84.229" ], "ntp": { "server": [ "0.ubnt.pool.ntp.org", "1.ubnt.pool.ntp.org", "2.ubnt.pool.ntp.org", "3.ubnt.pool.ntp.org" ] } } }

Wie heeft hier ervaring mee en kan mij hierbij helpen?

Jeroen_ae92 schreef op maandag 2 oktober 2017 @ 17:01:
[...]


Vlan640 stop je in een bridge maar het ontgaat me waarom want er zijn geen andere interfaces in die bridge.
Dus, haal je br0 weg en ook de verwijzing bij vlan640.

Zoiets lijkt me mooier

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

{ "interfaces": { "ethernet": { "eth0": { "address": "10.0.2.1/24", "description": "eth0 - LAN", "duplex": "auto", "speed": "auto" }, "eth2": { "description": "eth2 - FTTH", "duplex": "auto", "speed": "auto", "vif": { "300": { "address": "dhcp", "description": "eth2.300 - Internet", "firewall": { "in": { "name": "WAN_IN" }, "local": { "name": "WAN_LOCAL" } } }, "640": { "address": "dhcp", "description": "eth2.640 - IPTV", "firewall": { "in": { "name": "WAN_IN" }, "local": { "name": "WAN_LOCAL" } } } } } } },

Vervolgens mis ik hoe de routing moet verlopen. Ik verwacht dat de IPTV boxen over eth2.640 naar buiten zal moeten dus ik mis de bijbehorende MASQ rule met iig een source of destination. Geen idee hoe dat moet bij T-Mobile/Vodafone.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

                    "4": {
                        "address": [
                            "dhcp"
                        ],
                        "description": "eth2.4 - IPTV",
                        "dhcp-options": {
                            "client-option": [
                                "send vendor-class-identifier "IPTV_RG";",
                                "request subnet-mask, routers, rfc3442-classless-static-routes;"
                            ],
                            "default-route": "no-update",
                            "default-route-distance": "210",
                            "name-server": "update"
                        }
                    },

1
2
3
4
5
6
7
8
9
10
11
12

        "nat": {
            "rule": {
                "5000": {
                    "description": "IPTV",
                    "destination": {
                        "address": "213.75.112.0/21"
                    },
                    "log": "disable",
                    "outbound-interface": "eth2.4",
                    "protocol": "all",
                    "type": "masquerade"
                },

DenBenny schreef op donderdag 14 september 2017 @ 12:35:
Iemand al ervaring met de EdgeRouter ERLite-3 Firmware v1.9.7+hotfix.3?
Ik heb de indruk dat sinds de updgrade naar deze versie mijn internet connectie af en toe wordt verstoord.
(ik ben niet 100% zeker of de upgrade de oorzaak is van het probleem, maar dit is wel de enige recente wijziging die ik heb uitgevoerd)

Kan ik veilig terug downgraden of brengt dit een risico met zich mee?

IVEL schreef op maandag 2 oktober 2017 @ 17:34:
[...]


Dank! Voor betreft IPTV gaat het bij T-Mobile vrijwel hetzelfde als bij KPN, de IPTV boxen krijgen middels dhcp een ip-adres vanuit T-Mobile en communiceren dan rechtstreeks. Mijn vermoeden is dat dat stuk dan redelijk gekopieerd zou moeten kunnen worden.

Ik denk dat ik hierbij ga proberen dit stukje van een KPN configuratie aan te passen om te zien of dat werkt:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

"4": { "address": [ "dhcp" ], "description": "eth2.4 - IPTV", "dhcp-options": { "client-option": [ "send vendor-class-identifier "IPTV_RG";", "request subnet-mask, routers, rfc3442-classless-static-routes;" ], "default-route": "no-update", "default-route-distance": "210", "name-server": "update" } },

tesamen met:

code:

1 2 3 4 5 6 7 8 9 10 11 12

"nat": { "rule": { "5000": { "description": "IPTV", "destination": { "address": "213.75.112.0/21" }, "log": "disable", "outbound-interface": "eth2.4", "protocol": "all", "type": "masquerade" },

Denk ik daarmee in de juiste richting?

1
2
3
4
5
6

set protocols igmp-proxy interface eth0.4 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0.4 role upstream
set protocols igmp-proxy interface eth0.4 threshold 1
set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role downstream
set protocols igmp-proxy interface eth1 threshold 1

slijkie schreef op maandag 2 oktober 2017 @ 22:46:
Het lukt mij niet helemaal, heb mijn Ubiquiti naar fabrieksinstellingen hersteld, waarna ik de stappen zo goed als mogelijk heb uitgevoerd. Toch denk ik dat ik ergens de fout in ga. Zijn er bepaalde diensten die dit evt remote oplossen? (denk dat dit dan enkele minuten duurt ipv uren als ik er zelf mee rommel).

Suggesties?

xbeam schreef op maandag 2 oktober 2017 @ 22:54:
[...]


Als je wel internet hebt.
En je kan remote toegang kan geven wil ik best de instellingen er in zetten.

TPA schreef op maandag 2 oktober 2017 @ 13:51:
[...]


Loopt alles via een managed switch naar je Experiabox en router?
Dan zou ik eens kijken als je de EB direct op de NT aansluit of het dan werkt... als dat werkt dan zit het in je switch...
Maar ik zou alles via de ER laten lopen en alleen de telefoon via de ER naar de EB.

xtravital schreef op maandag 2 oktober 2017 @ 14:02:
[...]


Heb exact hetzelfde gehad met deze firmware, ben maar een versie terug gegaan waar het wel weer werkte.

[ Voor 4% gewijzigd door hb96 op 03-10-2017 18:49 . Reden: Typo + toevoeging ]

[ruben@www ~]$ ping6 2001:470:dead:beef::1
PING 2001:470:d051::1(2001:470:dead:beef::1) 56 data bytes
64 bytes from 2001:470:dead:beef::1: icmp_seq=103 ttl=57 time=24.6 ms
64 bytes from 2001:470:dead:beef::1: icmp_seq=104 ttl=57 time=25.5 ms
From 2001:470:dead:beef::1 icmp_seq=102 Destination unreachable: Address unreachable
64 bytes from 2001:470:dead:beef::1: icmp_seq=105 ttl=57 time=24.7 ms
64 bytes from 2001:470:dead:beef::1: icmp_seq=106 ttl=57 time=20.4 ms
64 bytes from 2001:470:dead:beef::1: icmp_seq=107 ttl=57 time=22.4 ms

[ Voor 3% gewijzigd door burne op 04-10-2017 00:18 ]

[ Voor 92% gewijzigd door z609240 op 06-10-2017 18:49 ]

TPA schreef op maandag 2 oktober 2017 @ 13:51:
[...]


Loopt alles via een managed switch naar je Experiabox en router?
Dan zou ik eens kijken als je de EB direct op de NT aansluit of het dan werkt... als dat werkt dan zit het in je switch...
Maar ik zou alles via de ER laten lopen en alleen de telefoon via de ER naar de EB.

[ Voor 36% gewijzigd door hb96 op 04-10-2017 17:22 . Reden: Toevoeging content ]

firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log enable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log enable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
multicast enable
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address dhcp
bridge-group {
}
duplex auto
speed auto
vif 100 {
description MGT
mtu 1500
}
vif 300 {
address dhcp
description Internet
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 640 {
bridge-group {
bridge br0
}
description IPTV
}
}
ethernet eth1 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth2 {
bridge-group {
bridge br0
}
description IPTV
duplex auto
speed auto
vif 640 {
bridge-group {
}
description IPTV
}
}
loopback lo {
}
}
protocols {
igmp-proxy {
interface eth0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.1.50 {
stop 192.168.1.250
}
static-mapping HTPC {
ip-address 192.168.1.200
mac-address b8:ae:ed:77:e2:6e
}
static-mapping Woonkamer {
ip-address 192.168.1.10
mac-address f0:9f:c2:f6:09:91
}
unifi-controller 192.168.1.200
}
}
shared-network-name LAN2 {
authoritative enable
description LAN2
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on eth1
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface eth0.300
protocol all
type masquerade
}
rule 5011 {
description "mascarade iptv"
log disable
outbound-interface eth0.640
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
host-name ubnt
login {
user Robin {
authentication {
encrypted-password ****************
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Amsterdam
}

[ Voor 83% gewijzigd door CptMorgan op 04-10-2017 21:15 ]

DenBeke schreef op woensdag 4 oktober 2017 @ 20:01:
[...]


Hoe bedoel je? Want dit gaat wel, hoor...

[ Voor 7% gewijzigd door SmokingCrop op 04-10-2017 20:52 ]

SmokingCrop schreef op woensdag 4 oktober 2017 @ 20:48:
[...]

Vanuit mijn.telenet.be kan je een verbonden apparaat geen static/reserved IP toekennen.
Je kan je verbonden apparaten zien met het bijhorende IP & port forward enzo toekennen, maar geen static/reserved IP. (als dit wel gaat, dan kijk ik er ook over)

Waarschijnlijk ook een van de redenen waarom de DHCP pool pas vanaf 100 begint.

DenBeke schreef op woensdag 4 oktober 2017 @ 20:53:
[...]
Je kan op het apparaat zelf wel een statisch adres onder de 100 geven.

djkavaa schreef op woensdag 4 oktober 2017 @ 20:59:
[...]


Hoe dan want, ik heb ze zelfs gebeld en kwam er niet in kon niet bij particulier zeiden ze.

Via mijn telenet kom ik ook niet in de router bij dat gedeelte.
Enkel bij WiFi Settings en port forwards.

Betreft wel een nieuw telenet abbo dus weet niet of dat anders is dan de ouderen.

En betreft je config, als je geen TV (Digibox) hebt dan heb je er ook niets mee van doen in je config idd.

Hij bedoelde om dit via de router zelf in te stellen (centraal beheer).

djkavaa schreef op woensdag 4 oktober 2017 @ 21:01:
[...]


Dat kan maar is wel aardig wat inricht werk.
En je moet dan gaan bepalen wat voor verkeer etc.

CptMorgan schreef op woensdag 4 oktober 2017 @ 20:02:
Zijn er hier mensen met T-Mobile Thuis glasvezel en een Unifi AP?
Ik heb mijn glasvezelverbinding middels een MC220L aangesloten op een EdgeRouter Lite. Bedraad krijgen de apparaten netjes een IP adres van de eth0 interface op 192.168.1.x. Daar draait een DHCP server. Wireless krijg ik op mijn laptop ook een juist IP adres in deze range.

Echter krijgen (tot nu toe alle) mobiele apparaten een IP adres in de 10.100.77.x range. Dit lijkt sterk ip een IP adres van de IPTV vanuit T-Mobile.

Ik gok dat de Edgerouter configuratie in orde is, omdat het bedraad goed gaat. Maar dat er ergens iets mis gaat i.c.m. met de AP (Unifi AP-AC-LR).

Hier mijn config:


[...]


Edit: Nog een toevoeging.. Als ik IPTV direct aansluit op eth2 is het probleem via wifi weg. Lijkt er op dat VLAN tagging op de switch niet goed gaat?
Ik moet, neem ik aan, alleen de poort waar IPTV op aangesloten zit (in dit geval poort 3) een VLAN tag 640 meegeven?

Edit2: VLAN config van de switch:
[afbeelding]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

    dhcp-server {
        disabled false
        hostfile-update disable

        shared-network-name LAN1 {
            authoritative enable

            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400

                start 192.168.1.38 {
                    stop 192.168.1.243
                }
            }

            shared-network-name LAN2 {
                authoritative enable

                subnet 192.168.2.0/24 {
                    default-router 192.168.2.1
                    dns-server 192.168.2.1
                    lease 86400

                    start 192.168.2.38 {
                        stop 192.168.2.243
                    }
                }
            }

            use-dnsmasq disable
        }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

    dhcp-server {
        disabled false
        hostfile-update disable

        shared-network-name LAN1 {
            authoritative enable

            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400

                start 192.168.1.38 {
                    stop 192.168.1.243
                }
            }
        }
        shared-network-name LAN2 {
            authoritative enable

            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400

                start 192.168.2.38 {
                    stop 192.168.2.243
                }
            }
        }

        use-dnsmasq disable
    }

Jeroen_ae92 schreef op maandag 2 oktober 2017 @ 17:01:
[...]


Vlan640 stop je in een bridge maar het ontgaat me waarom want er zijn geen andere interfaces in die bridge.
Dus, haal je br0 weg en ook de verwijzing bij vlan640.

Zoiets lijkt me mooier

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

{ "interfaces": { "ethernet": { "eth0": { "address": "10.0.2.1/24", "description": "eth0 - LAN", "duplex": "auto", "speed": "auto" }, "eth2": { "description": "eth2 - FTTH", "duplex": "auto", "speed": "auto", "vif": { "300": { "address": "dhcp", "description": "eth2.300 - Internet", "firewall": { "in": { "name": "WAN_IN" }, "local": { "name": "WAN_LOCAL" } } }, "640": { "address": "dhcp", "description": "eth2.640 - IPTV", "firewall": { "in": { "name": "WAN_IN" }, "local": { "name": "WAN_LOCAL" } } } } } } },

Vervolgens mis ik hoe de routing moet verlopen. Ik verwacht dat de IPTV boxen over eth2.640 naar buiten zal moeten dus ik mis de bijbehorende MASQ rule met iig een source of destination. Geen idee hoe dat moet bij T-Mobile/Vodafone.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182

{
    "firewall": {
        "name": {
            "WAN_IN": {
                "default-action": "drop",
                "description": "WAN inbound traffic forwarded to LAN",
                "rule": {
                    "10": {
                        "action": "accept",
                        "description": "Allow established/related sessions",
                        "state": {
                            "established": "enable",
                            "related": "enable"
                        }
                    },
                    "20": {
                        "action": "drop",
                        "description": "Drop invalid state",
                        "state": {
                            "invalid": "enable"
                        }
                    }
                }
            },
             
            "WAN_LOCAL": {
                "default-action": "drop",
                "description": "WAN inbound traffic to the router",
                "rule": {
                    "10": {
                        "action": "accept",
                        "description": "Allow established/related sessions",
                        "state": {
                            "established": "enable",
                            "related": "enable"
                        }
                    },
                    "20": {
                        "action": "drop",
                        "description": "Drop invalid state",
                        "state": {
                            "invalid": "enable"
                        }
                    }
                }
            }
        },
    
        "receive-redirects": "disable",
        "send-redirects": "enable",
        "source-validation": "disable",
        "syn-cookies": "enable"
    },

    "interfaces": {
        "ethernet": {
            "eth0": {
                "address": "10.0.2.1/24",
                "description": "eth0 - LAN",
                "duplex": "auto",
                "speed": "auto"
            },
            
            "eth2": {
                "description": "eth2 - FTTH",
                "duplex": "auto",
                "speed": "auto",
                "vif": {
                    "100": {
                        "description": "eth2.100 - Management",
                        "mtu": "1500"
                    },
                    
                    "300": {
                        "address": "dhcp",
                        "description": "eth2.300 - Internet",
                        "firewall": {
                            "in": {
                                "name": "WAN_IN"
                            },
                            "local": {
                                "name": "WAN_LOCAL"
                            }
                        }
                    },
                    
                    "640": {
                        "address": "dhcp",
                        "description": "eth2.640 - IPTV",
                        "firewall": {
                            "in": {
                                "name": "WAN_IN"
                            },
                            "local": {
                                "name": "WAN_LOCAL"
                            }
                        }
                    }
                }
            }
        }
    },

    "protocols": {
        "igmp-proxy": {
            "interface": {
                "eth0": {
                    "alt-subnet": [
                        "0.0.0.0/0"
                    ],
                    "role": "upstream",
                    "threshold": "1"
                },
                
                "eth1": {
                    "role": "disabled",
                    "threshold": "1"
                },
                
                "eth2": {
                    "role": "disabled",
                    "threshold": "1"
                },
                
                "eth2.300": {
                    "role": "disabled",
                    "threshold": "1"
                },
                
                "eth2.640": {
                    "alt-subnet": [
                        "0.0.0.0/0"
                    ],
                    "role": "upstream",
                    "threshold": "1"
                },
                
                "eth3": {
                    "role": "disabled",
                    "threshold": "1"
                }
            }
        }
    },

    "service": {
        "dhcp-server": {
            "hostfile-update": "disable",
            "global-parameters": [
                "option vendor-class-identifier code 60 = string;",
                "option broadcast-address code 28 = ip-address;"
            ]
        },

        "nat": {
            "rule": {
                "5010": {
                    "description": "eth2.300 - Internet  - Masquerade",
                    "log": "disable",
                    "outbound-interface": "eth2.300",
                    "protocol": "all",
                    "type": "masquerade"
                },
                
                "5020": {
                    "description": "eth2.640 - IPTV - Masquerade",
                    "log": "disable",
                    "outbound-interface": "eth2.640",
                    "type": "masquerade"
                }
            }
        }
    },
    
    "system": {
        "name-server": [
            "10.0.2.20",
            "37.143.84.228",
            "37.143.84.229"
        ]
    }
}

chickpoint schreef op woensdag 4 oktober 2017 @ 21:09:
Hmm vreemd. Ik ben vandaag bij KPN over gezet van een 100/100 abbonement naar een 500/500 abbonement. Hierbij ben ik op een gigabit DSLAM over gezet. Sindsdien heb ik random disconnects van de PPPoE verbinding (IGMP proxy en interne netwerk blijft gewoon werken).

Nu moet de EdgeRouter-Lite krachtig genoeg zijn voor deze verbinding. Dus ben ik verder gaan zoeken in de logs. Nu blijkt het dat de verbinding steeds verbroken wordt naar 6 echo requests. Dit lijkt me een probleempje op de KPN kant ipv aan mijn kant. Even voor de crosscheck, zit ik dan in de goede richting of zie ik iets over het hoofd?

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

No response to 6 echo-requests Serial link appears to be disconnected. ipcp: down Connect time 1451213.1 minutes. Sent 1314526 bytes, received 1701365 bytes. Script /etc/ppp/ip-down started (pid 4562) ipv6cp: down Script /etc/ppp/ipv6-down started (pid 4563) sent [LCP TermReq id=0x2 "Peer not responding"] Script /etc/ppp/ipv6-down finished (pid 4563), status = 0x0 sent [LCP TermReq id=0x3 "Peer not responding"] Script /etc/ppp/ip-down finished (pid 4562), status = 0x0 Connection terminated: no multilink. Modem hangup

[ Voor 25% gewijzigd door chickpoint op 04-10-2017 23:22 ]

TPA schreef op woensdag 4 oktober 2017 @ 23:37:
[...]

Misschien je config ff delen dan kunnen we meekijken?

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447

firewall { all-ping enable broadcast-ping disable ipv6-name WANv6_IN { default-action drop description "WAN inbound traffic forwarded to LAN" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } ipv6-name WANv6_LOCAL { default-action drop description "WAN inbound traffic to the router" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "WAN to Internal" enable-default-log rule 10 { action accept description "Allow established/related" log enable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" log enable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "WAN to router" enable-default-log rule 5 { action accept limit { burst 1 rate 50/minute } log enable protocol icmp } rule 10 { action accept description "Allow established/related" log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } options { } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.1.1/24 description LAN duplex auto ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true valid-lifetime 2592000 } radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};" reachable-time 0 retrans-timer 0 send-advert true } } speed auto } ethernet eth1 { description FTTH duplex auto mtu 1512 speed auto vif 4 { address dhcp description IPTV dhcp-options { client-option "send vendor-class-identifier "IPTV_RG";" client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 210 name-server update } } vif 6 { description Internet mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface eth0 { prefix-id :1 service slaac } prefix-length /48 } rapid-commit disable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password kpn user-id 2C-95-7F-##-##-##@internet } } } ethernet eth2 { disable duplex auto speed auto } loopback lo { } } port-forward { auto-firewall enable hairpin-nat enable lan-interface eth0 rule 1 { description "HTTP" forward-to { address 192.168.1.3 port 80 } original-port 80 protocol tcp } rule 2 { description "HTTPS" forward-to { address 192.168.1.3 port 443 } original-port 443 protocol tcp } rule 3 { description "OpenVPN" forward-to { address 192.168.1.3 port 1194 } original-port 1194 protocol udp } rule 4 { description "WebDAV" forward-to { address 192.168.1.3 port 5006 } original-port #### protocol tcp } wan-interface pppoe0 } protocols { igmp-proxy { interface eth0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } interface eth1.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } route 213.75.112.0/21 { next-hop 10.210.160.1 { } } } } service { dhcp-server { disabled false global-parameters "option vendor-class-identifier code 60 = string;" global-parameters "option broadcast-address code 28 = ip-address;" hostfile-update disable shared-network-name LAN { authoritative enable subnet 192.168.1.0/24 { default-router 192.168.1.1 dns-server 192.168.1.1 lease 86400 start 192.168.1.50 { stop 192.168.1.200 } } } use-dnsmasq disable } dns { forwarding { cache-size 150 listen-on eth0 name-server 195.121.1.34 name-server 195.121.1.66 options listen-address=192.168.1.1 } } gui { http-port 80 https-port 443 listen-address 192.168.1.1 } nat { rule 5000 { description IPTV destination { address 213.75.112.0/21 } log disable outbound-interface eth1.4 protocol all source { } type masquerade } rule 5010 { description "KPN Internet" log enable outbound-interface pppoe0 protocol all source { address 192.168.1.0/24 } type masquerade } } ssh { port 22 protocol-version v2 } } system { host-name chickroute login { user #####{ authentication { encrypted-password ####### plaintext-password "" } full-name "" level admin } } name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 name-server 195.121.1.34 name-server 195.121.1.66 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { hwnat disable ipv4 { forwarding enable pppoe enable vlan enable } ipv6 { forwarding enable pppoe enable } } package { repository wheezy { components "main contrib non-free" distribution wheezy password "" url http://mirror.leaseweb.com/debian username "" } repository wheezy-security { components main distribution wheezy/updates password "" url http://security.debian.org username "" } } static-host-mapping { host-name backup.chickpoint.nl { inet 192.168.1.10 } } syslog { global { facility all { level notice } facility protocols { level debug } } } task-scheduler { task updateIPTVroute { executable { path /config/scripts/tvroute.sh } interval 30m } } time-zone Europe/Amsterdam traffic-analysis { dpi disable export disable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.9.7+hotfix.3.5013619.170830.0242 */

[ Voor 100% gewijzigd door chickpoint op 05-10-2017 08:41 ]

xbeam schreef op donderdag 5 oktober 2017 @ 09:57:
Weet iemand hoe dringend deze beveiligingspatch voor de usg is? Want deze patch dwingt je gelijk ook te upgrade naar 4.4.8 terwijl 4.4.6 nog in beta is.

dnsmasq upgraded to 2.78. Fixes several security issues published by Google.
https://security.googlebl...et-more-dns-and-dhcp.html

chickpoint schreef op woensdag 4 oktober 2017 @ 23:48:
[...]


Maar natuurlijk. Deze staat al gedeeld van een heeeeeeelee tijd terug en er is niet veel veranderd. Maar vooruit, zal hem nog een keer posten Alvast dank voor de hulp!


[...]

1
2

name-server 2001:4860:4860::8888
name-server 2001:4860:4860::8844

1

radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"

1
2
3
4
5
6
7
8
9
10

 vif 6 {
            description Internet
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        [b]interface eth0 {[/b] Volgens mij moet dit eth1 zijn!!!
                            prefix-id :1

[ Voor 19% gewijzigd door TPA op 05-10-2017 12:12 . Reden: nog een verschil gezien ]

doc schreef op donderdag 5 oktober 2017 @ 10:37:
4.4.8 is ook nog in beta

Beta blog: https://community.ubnt.co...ow-available/ba-p/2086815

TPA schreef op donderdag 5 oktober 2017 @ 12:06:
[...]


even snel gecheckt en ik zie een aantal verschillen met wat ik heb behalve andere indeling van de ETHs...

deze heb ik op disable staan:
[code]
log-martians enable
[/ccode]

daarnaast heb ik andere name-servers, ik heb onderstaande:

code:

1 2	name-server 2001:4860:4860::8888 name-server 2001:4860:4860::8844

en een andere radvd-options:

code:

1	radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"

of dat het verschil maakt vraag ik me af maar goed

volgens mij moet je deze aanpassen:

code:

1 2 3 4 5 6 7 8 9 10

vif 6 { description Internet mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { [b]interface eth0 {[/b] Volgens mij moet dit eth1 zijn!!! prefix-id :1

xbeam schreef op donderdag 5 oktober 2017 @ 12:56:
[...]


Daarom ook mijn vraag hoe serieus is die beveiligspatch wat dat is het verschil tussen 4.4.6 en 4.4.8 is die patch verder voegt 4.4.8 niets toe.

Google said the Dnsmasq vulnerabilities can be triggered remotely via DNS and dynamic host configuration protocol (DHCP) that could lead to the remote code execution, information exposure and denial of service conditions.

j1nx schreef op donderdag 5 oktober 2017 @ 15:22:
[...]


[...]


Dit lijkt mij ernstig genoeg om echt inderdaad alleen al voor alleen die ene change te upgraden.

"remote code execution" via een DHCP request, voor iets wat met root privileges draait binnen je netwerk !

j1nx schreef op donderdag 5 oktober 2017 @ 15:37:
Ik betwijfel sterk of het echt alleen binnen je eigen netwerk is, dat is iets wat ik zo snel inkop met mijn beknopte kennis.

Maar hoe dan ook, wellicht via wifi en is dat toch ook al iets zorg wekkend.

RobertMe schreef op donderdag 5 oktober 2017 @ 15:45:
[...]

Lijkt mij toch dat DNSmasq alleen beschikbaar is aan de LAN kant (waarom zou je een publieke DHCP of DNS server draaien aan de WAN kant?). En ook via WiFi zal het net zo makkelijk/moeilijk te exploiten zijn. Voordat je een DHCP request kunt doen zul je eerst de WiFi authenticatie afgerond moeten hebben.

Daarmee wil ik niet zeggen dat het geen belangrijke update/fixes zijn, maar in een netwerk waarin de verbonden apparaten "vertrouwd" zijn lijkt het mij ook veilig om gewoon te wachten op de stable

j1nx schreef op donderdag 5 oktober 2017 @ 15:22:
[...]


[...]


Dit lijkt mij ernstig genoeg om echt inderdaad alleen al voor alleen die ene change te upgraden.

"remote code execution" via een DHCP request, voor iets wat met root privileges draait binnen je netwerk !

[ Voor 7% gewijzigd door xbeam op 05-10-2017 19:19 ]

TPA schreef op woensdag 4 oktober 2017 @ 23:35:
[...]


Ik zal morgen overdag even kijken, maar als snel kijk zie ik wel wat verschillen met mijn opzet.

hb96 schreef op donderdag 5 oktober 2017 @ 19:42:
[...]

Dat is prima, blijf het hier nog proberen, echter steeds geen succes.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

protocols {
    igmp-proxy {
        interface eth1 {
            role downstream
            threshold 1
        }
        interface eth0.4 {
            alt-subnet 10.16.12.0/16
            alt-subnet 213.75.0.0/16
            role upstream
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
        route 213.75.112.0/21 {
            next-hop 10.35.228.1 {
            }
        }
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0.6 {
            role disabled
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 2
        }
        interface eth2 {
            role disabled
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
        route 213.75.112.0/21 {
            next-hop 10.184.22.1 {
            }
        }
    }
}

chickpoint schreef op donderdag 5 oktober 2017 @ 14:43:
[...]


Ik gebruik de DNS van KPN zelf, daar zal het verschil in zitten.
Daar komen dus ook de andere radvd-options vandaan en de interface staat overigens ook goed mijn LAN zijde zit op eth0 en de NTU op eth1. (ik weet het, eigenwijs )

Ik gok ook niet dat het in de IPv6 meer zit, want inmiddels kan ik het probleem heel makkelijk reproduceren op zowel IPv4 als IPv6. Als ik een groot bestand download (50 GB bijvoorbeeld) dan krijg ik op een gegeven moment de timeout op de LCP echo. Het lijkt dus dat de verbinding verzadigd is ofzo.

Ik kan dit een beetje rekken door bijvoorbeeld de lcp-echo-interval en de lcp-echo-failure op te schroeven maar dit helpt niet voor de langere download.

Verder kan ik in de logs of in top ook niet zien dat er iets vast loopt of iets dergelijks. Heel vreemd dus.

chickpoint schreef op donderdag 5 oktober 2017 @ 20:55:
[...]
https://tweakers.net/aanbod/

Nou, zojuist ook met de experiabox eraan getest en helaas hetzelfde probleem. Dat ik de IPv6 als verdacht had aangemerkt komt dus gewoon door de wispelturigheid van het probleem.

Ook nog even met KPN gebeld en die konden er ook niet uit komen, dus aanstaande dinsdag maar de storingsmonteur langs laten komen.

TPA schreef op donderdag 5 oktober 2017 @ 21:12:
[...]


eigenwijs of niet.... in je VIF6 staat eth0 en in jouw geval moet daar volgens mij eth1

maar goed succes....

chickpoint schreef op donderdag 5 oktober 2017 @ 21:22:
[...]


Ik bedoelde meer eigenwijs dat ik de eth1 en eth0 omgewisseld heb waar in de meeste tutorials het andersom gebeurt (artifact vanuit het begin).

Maar die eth0 hoort daar echt te staan. Natuurlijk, omdat het altijd gewerkt heeft, maar daar gaan we niet van uit bij storing zoeken Als ik deze wijzig in eth1 dan houd ik helemaal geen internet meer over.

Het probleem lijkt hem te zitten in de traffic shaping aan de KPN zijde waardoor de LCP pakketjes niet meer aan de beurt komen of iets dergelijks.

TPA schreef op donderdag 5 oktober 2017 @ 22:43:
[...]

vraag ik me af, want ik heb dezelfde opzet op een erl3 en ik heb wel eth1 staan... wellicht is ie met eth0 nog sneller, maar bij mij werkt alles

chickpoint schreef op donderdag 5 oktober 2017 @ 22:58:
[...]


Heb jij de NTU ook op eth1 aangesloten?

ThinkPadd schreef op vrijdag 6 oktober 2017 @ 10:28:
Ik heb een site-to-site IPsec VPN draaien tussen mijn pfSense en de ERX bij m'n ouders. Nu is er afgelopen nacht onderhoud geweest aan de Ziggo-verbinding bij mijn ouders, met als resultaat dat het WAN IP is gewijzigd. Daardoor klopte de IPsec config niet meer.

Ik heb namelijk:

code:

1 2 3

site-to-site { peer <ddns_adres_van_mijn_pfsense> { local-address <wan_ip_ouders>

Na het aanpassen van die local-address naar het nieuwe WAN IP van m'n ouders was de tunnel weer up, maar een volgende keer klapt hij er weer uit om die reden natuurlijk.

Heb geprobeerd om de DDNS van m'n ouders erin te zetten, maar dan komt de tunnel niet up. Is hier iets gemakkelijker voor te verzinnen zodat de tunnel onderhoudsvrij is?

[ Voor 59% gewijzigd door GioStyle op 06-10-2017 20:53 ]

GioStyle schreef op vrijdag 6 oktober 2017 @ 20:51:
Ja, ja, ja en ja.

Ik heb praktisch de opstelling die je voorstelt.

Ik heb een 10" patchkast 6U hoog.

Inhoud:

1U = 12 poorts patch panel
1U = 12 poorts patch panel
1U = 16 poort hp switch
1U = tray met US8-60W
1U = tray met USG
1U = doos met 3 stopcontacten

GioStyle schreef op vrijdag 6 oktober 2017 @ 20:51:
1U = doos met 3 stopcontacten

djkavaa schreef op vrijdag 6 oktober 2017 @ 23:30:
Weet je of je die "Oren" ook kunt draaien zodat je hem aan een muur of iets kunt ophangen.

smeerbartje schreef op vrijdag 6 oktober 2017 @ 22:37:
[...]


Nice, thanks! Mag ik vragen welke patch kabels je gebruikt tussen switch en patch paneel? Met haakse stekker?

Jeroen_ae92 schreef op zaterdag 7 oktober 2017 @ 13:31:
192.168.2.1 valt binnen je LAN subnet van 192.168.0.0/16. Dat valt daardoor niet te routeren. Maak je LAN subnet kleiner en zorg dat WAN kant niet binnen je LAN subnet valt

[ Voor 3% gewijzigd door HielkeJ op 07-10-2017 14:58 ]

HielkeJ schreef op zaterdag 7 oktober 2017 @ 14:57:
Ik heb mijn thuisnetwerk nu ingesteld op 192.168.2.0/24. Op de EdgeRouter heb ik 192.168.20.1/24 ingesteld op de WAN poort en 192.168.2.1 ingesteld als gateway. Helaas kan ik vanaf de EdgeRouter nog steeds niet naar buiten pingen. Pingen naar de gateway lukt wel.

[ Voor 37% gewijzigd door nils_vdg op 07-10-2017 20:20 ]

nero355 schreef op zaterdag 7 oktober 2017 @ 16:59:
[...]

Je moet wel iets van routing gebruiken : NAT/Static Route/een routing protocol/enz.

Kortom : Hoe heb je alles ingesteld precies ?

1
2
3

IP: 192.168.20.1/24
Gateway: 192.168.2.1
DNS: 8.8.8.8

1
2

IP: 10.0.1.0/24
DHCP aan

nils_vdg schreef op zaterdag 7 oktober 2017 @ 19:46:
Ik heb niet veel netwerk kennis, daarom beviel de AmpliFi serie mij wel.
Als ik toch een mesh netwerk wil met de volgende eisen, wat is dan de goedkoopste setup?

Eisen
- 4 ethernet outputs voor mijn bedrade netwerk
- 2 access points in mesh (bij voorkeur is mijn router ook een switch en access point in 1)

Wat is de goedkoopste manier op dit op te zetten?

Ik heb nu een caiway glasmodem (met ingebouwde router), en daarop een oudere TP-Link wifi router waar mijn hele netwerk op draait. Die router wil ik van af omdat hij niet goed meer is. Ik heb een NAS in mijn netwerk en in 3 ruimtes een media player die 4K moet kunnen afspelen (die zijn bedraad aangesloten). Verder wel 3 laptops, 3 telefoons en 3 tablets in huis die op de wifi moeten kunnen.

[ Voor 9% gewijzigd door Blommie01 op 07-10-2017 22:23 ]

TPA schreef op donderdag 5 oktober 2017 @ 20:46:
[...]


tja, als je de ETH poorten omdraait bij je IGMP Proxy settings werkt het denk ik wel...

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

protocols { igmp-proxy { interface eth1 { role downstream threshold 1 } interface eth0.4 { alt-subnet 10.16.12.0/16 alt-subnet 213.75.0.0/16 role upstream threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } route 213.75.112.0/21 { next-hop 10.35.228.1 { } } } }

Je kan hem ook anders opzetten dan boven:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

protocols { igmp-proxy { disable-quickleave interface eth0 { role disabled threshold 1 } interface eth0.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth0.6 { role disabled threshold 1 } interface eth1 { alt-subnet 0.0.0.0/0 role downstream threshold 2 } interface eth2 { role disabled threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } route 213.75.112.0/21 { next-hop 10.184.22.1 { } } } }

nils_vdg schreef op zaterdag 7 oktober 2017 @ 19:46:
Ik heb niet veel netwerk kennis, daarom beviel de AmpliFi serie mij wel.
Als ik toch een mesh netwerk wil met de volgende eisen, wat is dan de goedkoopste setup?

Eisen
- 4 ethernet outputs voor mijn bedrade netwerk
- 2 access points in mesh (bij voorkeur is mijn router ook een switch en access point in 1)

Wat is de goedkoopste manier op dit op te zetten?

Ik heb nu een caiway glasmodem (met ingebouwde router), en daarop een oudere TP-Link wifi router waar mijn hele netwerk op draait. Die router wil ik van af omdat hij niet goed meer is. Ik heb een NAS in mijn netwerk en in 3 ruimtes een media player die 4K moet kunnen afspelen (die zijn bedraad aangesloten). Verder wel 3 laptops, 3 telefoons en 3 tablets in huis die op de wifi moeten kunnen.

HielkeJ schreef op zaterdag 7 oktober 2017 @ 21:15:
[...]
Ik ben even helemaal terug gegaan naar de basis. Ik heb een volledige reset gedaan van de router. Daarna krijg je de vraag of je wil beginnen met de wizard. Dit heb ik gedaan. Hier heb ik de volgende gegevens opgegeven:

eth0

code:

1 2 3

IP: 192.168.20.1/24 Gateway: 192.168.2.1 DNS: 8.8.8.8

eth1

code:

1 2	IP: 10.0.1.0/24 DHCP aan

Helaas geeft dit geen toegang tot het internet. Zet ik eth0 op DHCP, dan krijgt de machine een adres in de 192.168.2.0/24 reeks en dan kan ik gewoon op internet. Geef ik hem handmatig een IP in de 192.168.2.0/24 reeks, dan is de verbinding met internet weer weg.

1
2

configure
set protocols static route 0.0.0.0/0 next-hop 192.168.2.x

1
2

configure
set system gateway-address 192.168.2.x

smesjz schreef op zondag 8 oktober 2017 @ 13:10:
Ik heb nu een Unifi AC-PRO op de slaapkamer voor wifi op 2de en derde verdieping. Beneden wordt wifi verzorgd door Ziggo horizon kast in de woonkamer. Beiden hebben een eigen AP naam zodat ik ze makkelijk uit elkaar kan houden.

Clients willen nog wel eens de 'verkeerde' AP pakken en de snelheid is daar lager door de plafonds die veel tegenhouden. Snelheid varieert van 130Mbit via AP beneden en 85Mbit via AP boven. Op zich werkt het prima, maar het kan altijd beter.

Het idee is om een extra AC-PRO beneden te plaatsen om zo meer controle te hebben maar ik vraag me af of dit wel zin heeft aangezien clients toch zelf het AP bepalen. Maar met een extra AC-PRO kan ik wel gebruik van minimum RSSI configuratie. Wat adviseren jullie?

hb96 schreef op zaterdag 7 oktober 2017 @ 22:00:
[...]

De 2e gegeven optie gaf hier de doorslag.
Nu met succes tv in het LAN gekoppeld.
Bedankt voor je hulp!

Nu dit nu werkt, ervaar ik wat problemen met de WiFi.
Heb thuis 2x een Unifi AC LR hangen.
Soms problemen om verbinding te krijgen,
geef melding dat er geen internet is en geen ip-adres krijgt.
Of dat het internet ineens niet meer reageert.
Je blijft wel verbonden met de AP,
echter reageert het internet dan nergens op.

Ben nu niet in de mogelijkheid om de configuratie (Edgerouter) te laten zien.