[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

doc schreef op maandag 16 oktober 2017 @ 15:10:
[...]


Tegenwoordig kunnen de AC-LR ook op de 60w switch. Je moet dan zorgen dat je een recente levering hebt, waar linksboven een blauwe driehoekige sticker met daarom een bliksemflits zit, GigE PoE en "Now supports 24V & 802.3af" staat er op.

pven schreef op dinsdag 17 oktober 2017 @ 15:22:
Ik ben kwijt welke AP ik nou precies heb.

Volgens de factuur is het een Ubiquiti UniFi AP (gekocht in oktober 2014). Volgens de UniFi controller is het model een 'UniFi AP'. Meer info kan ik niet vinden. Als ik via het dashboard wil upgraden dan is de nieuwste versie '3.8.14.6780', terwijl de nieuwste volgens mij die 3.9 zou moeten zijn. Kan ik handmatig upgraden via deze pagina of begint mijn AP wat out-of-support te raken?

xtravital schreef op dinsdag 17 oktober 2017 @ 15:52:
[...]


Ja deze kun je gewoon via die site upgraden, de firmware zal later in je controller zichtbaar zijn. Na de upgrade zal er waarschijnlijk staan dat je weer kan upgraden, maar dat is in werkelijkheid dan een downgrade.

pven schreef op dinsdag 17 oktober 2017 @ 15:56:
[...]

Dank. Maar welke moet ik dan precies hebben?

Zandpad schreef op dinsdag 17 oktober 2017 @ 16:04:
[...]


Welke kleur ring heb je?

pven schreef op dinsdag 17 oktober 2017 @ 16:08:
[...]

Het lampje bedoel je? Die is groen.

kromme schreef op dinsdag 17 oktober 2017 @ 15:43:
[...]


Weet je dit trouwens zekers? Een tweaker had zich namelijk vergist in model. Hij had een pro en geen LR.

RobertMe schreef op dinsdag 17 oktober 2017 @ 16:15:
[...]

Sinds september vorig jaar worden de Lites en LRs met zowel passive 24V als 802.3af ondersteuning geproduceerd (en sinds eind januari/februari ook geleverd in NL). Dus ja, dit kan gewoon.
De AC Pro daarentegen heeft dan weer altijd alleen 802.3af ondersteuning gehad en heeft nooit passive 24V ondersteund (wat dus weer geen probleem is omdat Ubiquiti passive 24V wil uitfaseren).

kromme schreef op dinsdag 17 oktober 2017 @ 16:58:
[...]


Zit er nog versschil in de kleur van de ring. Als ik op een individueel AP zoek zie ik plaatjes met blauwe ringen. Zoek ik op bv 3 packs zie ik groene ringen.

RobertMe schreef op dinsdag 17 oktober 2017 @ 17:02:
[...]

3 packs bestaan niet meer en zullen dus oude APs zijn. De AC modellen krijg je alleen in 1 en 5 packs. Houd er sowieso ook rekening mee dat de 5 pack nooit geleverd wordt met PoE injectors. Voor de 1 pack van de gewone APs is dat namelijk wel het geval ('gewone' omdat de IW modellen daarop een uitzondering zijn, volgensmij zijn deze ook altijd zonder injectors)

RobertMe schreef op dinsdag 17 oktober 2017 @ 16:15:
[...]

Sinds september vorig jaar worden de Lites en LRs met zowel passive 24V als 802.3af ondersteuning geproduceerd (en sinds eind januari/februari ook geleverd in NL). Dus ja, dit kan gewoon.
De AC Pro daarentegen heeft dan weer altijd alleen 802.3af ondersteuning gehad en heeft nooit passive 24V ondersteund (wat dus weer geen probleem is omdat Ubiquiti passive 24V wil uitfaseren).

[ Voor 33% gewijzigd door kromme op 17-10-2017 20:55 ]

kromme schreef op dinsdag 17 oktober 2017 @ 16:58:
[...]


Zit er nog versschil in de kleur van de ring. Als ik op een individueel AP zoek zie ik plaatjes met blauwe ringen. Zoek ik op bv 3 packs zie ik groene ringen.

[ Voor 4% gewijzigd door Svennos1 op 17-10-2017 21:02 ]

Svennos1 schreef op dinsdag 17 oktober 2017 @ 20:56:
Waarom hanteert Ubiquiti 2 stable controller releases ? 5.5.x en 5.6.x? Mis ik iets? Ik draai nu op de 5.5 serie.

RobertMe schreef op dinsdag 17 oktober 2017 @ 21:05:
[...]

5.6 is nog niet stable? Maar een stable candidate, oftewel een RC/release candidate. Binnenkort zal deze naar alle waarschijnlijkheid dus wel stable worden.

kromme schreef op dinsdag 17 oktober 2017 @ 17:10:
[...]


Beste is dus om 3 losse te bestellen, met de kans om de meest nieuwe te krijgen.
Er viel me net nog in dat ik een router nodig heb ipv switch, hebben deze ook gewoon POE om de LR te voeden?


[...]


zijn deze ok om de ap's van voeding te voorzien?
Ubiquiti EdgeRouter PoE - 5-Port
Ubiquiti EdgeRouter X SFP

en waar zit het grote verschil in?alleen de glasvesel poort?

RobertMe schreef op dinsdag 17 oktober 2017 @ 21:36:
[...]

Wat wil je allemaal precies gaan doen? Want de UAPs kun je bv ook gewoon op een andere router aansluiten en deze hoeft niet perse van Ubiquiti te zijn.

Qua UAPs zou ik er, in het geval dat je voor meerdere gaat (elke verdieping 1?), voor de AC Lite gaan. Dit omdat deze het goedkoopst zijn en het extra bereik van de AC LR niks oplevert omdat je toch al zoveel APs plaatst. Eventueel zou je wel naar de AC Pro kunnen kijken, die als grootste voordeel heeft dat deze hogere snelheden aan kan (door 3x3 MIMO, waar de Lite maar 2x2 is). Maar op het moment zijn er nog bijna geen clients (laptops/tablets/telefoons) die ook die hogere snelheid aankunnen (enige welke ik weet zijn specifieke modellen van de MacBook, maar ook daar is het niet perse zo dat een MacBook van dit jaar ook 3x3 heeft).

Verder zou ik persoonlijk alles binnen de UniFi lijn houden, waarbij je uit komt op de UniFi Security Gateway als router, en bv de UniFi Switch 8 60W als switch. De reden dat je in dit geval een router en switch nodig hebt is omdat consumenten routers een 3 in 1 apparaat zijn. Ze zijn de router/gateway naar het internet, een switch, en een access point. En Ubiquiti maakt vrijwel geen van deze "3 in 1" apparaten. Binnen de EdgeRouter lijn zijn er volgensmij een aantal routers die wel een hardware switch hebben (in combinatie met meerdere poorten dan), maar dit is zeker niet bij alle zo, en een softwarematige switch is natuurlijk trager. De USG 3P & 4P Pro hebben in elk geval beiden geen hardware switch dus in dat geval moet je eigenlijk altijd een aparte switch gebruiken. De USW 8-60W is daarbij dan ook de goedkoopste variant (waarop je de 3 APs kunt aansluiten).
Daarnaast is het ook nog eens zo dat de twee EdgeRouters die jij noemt beiden wel PoE ondersteunen, maar alleen passive en geen 802.3af. Dat betekend dus dat je geen AC Pro erop kunt aansluiten (die alleen maar 802.3af doet). En in het geval van de AC Lite en AC LR maak je dan gebruik van de oude vorm van PoE. Waarbij passive PoE ook nog eens het grote nadeel heeft dat deze altijd "aan" staat. Dus op het moment dat je de kabel, om wat voor reden dan ook, op een ander apparaat aansluit, is de kans vrij groot dat de "ontvanger" stuk gaat omdat deze niet overweg kan met, noch beschermt is tegen, stroom.

Zandpad schreef op dinsdag 17 oktober 2017 @ 16:09:
[...]


Dat is de UAP Gen1: https://dl.ubnt.com/unifi....9.3.7537.171013.1042.bin

Jeroen_ae92 schreef op woensdag 18 oktober 2017 @ 20:03:
[...]


Niet adopted in een controller en in factory default state.
Zie ook de "ring" FAQ voor de uitleg per versie.

Factory Defaults
AP is Awaiting Adoption

pven schreef op dinsdag 17 oktober 2017 @ 15:22:
Ik ben kwijt welke AP ik nou precies heb.

[ Voor 45% gewijzigd door ppl op 19-10-2017 20:42 ]

[ Voor 7% gewijzigd door nils_vdg op 19-10-2017 23:49 ]

nils_vdg schreef op donderdag 19 oktober 2017 @ 23:46:
....
De switch is rechtstreeks aangelosten om mijn Caiway glasvezel modem, en van daaruit 1 rechtstreekse bekabelde verbinding naar mijn PC.

TPA schreef op donderdag 19 oktober 2017 @ 23:53:
heb mail ontvangen van kpn abuse, maar ik snaphem niet helemaal. zie niks raars op mijn ERL3...

iemand een idee? behalve virus scannen etc....

instelling toch fout?

dit is de tekst:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

Vanaf uw internetaansluiting kunnen kwaadaardige verzoeken naar andere internetgebruikers worden gestuurd. Een vloedgolf van deze verzoeken kan de internetaansluiting van een slachtoffer vrijwel geheel buiten werking stellen. Dit probleem wordt veroorzaakt door een verkeerde instelling in uw modem. Mogelijk heeft u de optie DMZ (default server) of UPnP ingeschakeld. Wanneer u een KPN modem gebruikt kunt u de problemen oplossen door uw modem te resetten naar fabrieksinstellingen. Meer informatie hierover kunt u vinden op: https://forum.kpn.com/internet-9/reset-de-kpn-experia-box-modem-97446#M8199 Wanneer u gebruik maakt van een eigen modem verzoeken wij u het KPN modem aan te sluiten. Wanneer u over onvoldoende technische kennis beschikt om het probleem op te lossen adviseren wij u hiervoor hulp van derden in te schakelen, bijvoorbeeld uw computerleverancier of IT-partner. Wij vragen u de bovenstaande stappen binnen een dag uit te voeren en te reageren op dit bericht. Ook aanvullende vragen kunt u stellen in een antwoord op deze mail. Veilige omgeving Indien blijkt dat de stappen binnen deze termijn niet (of onvoldoende) zijn uitgevoerd bestaat de mogelijkheid dat wij uw internetaansluiting in onze veilige omgeving (quarantaine) plaatsen. U kunt dan tijdelijk beperkt gebruik maken van uw internetaansluiting. Een dergelijke maatregel nemen wij ook om uw vertrouwelijke gegevens en bestanden te beschermen.

TPA schreef op donderdag 19 oktober 2017 @ 23:53:
heb mail ontvangen van kpn abuse, maar ik snaphem niet helemaal. zie niks raars op mijn ERL3...

iemand een idee? behalve virus scannen etc....

instelling toch fout?

dit is de tekst:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

Vanaf uw internetaansluiting kunnen kwaadaardige verzoeken naar andere internetgebruikers worden gestuurd. Een vloedgolf van deze verzoeken kan de internetaansluiting van een slachtoffer vrijwel geheel buiten werking stellen. Dit probleem wordt veroorzaakt door een verkeerde instelling in uw modem. Mogelijk heeft u de optie DMZ (default server) of UPnP ingeschakeld. Wanneer u een KPN modem gebruikt kunt u de problemen oplossen door uw modem te resetten naar fabrieksinstellingen. Meer informatie hierover kunt u vinden op: https://forum.kpn.com/internet-9/reset-de-kpn-experia-box-modem-97446#M8199 Wanneer u gebruik maakt van een eigen modem verzoeken wij u het KPN modem aan te sluiten. Wanneer u over onvoldoende technische kennis beschikt om het probleem op te lossen adviseren wij u hiervoor hulp van derden in te schakelen, bijvoorbeeld uw computerleverancier of IT-partner. Wij vragen u de bovenstaande stappen binnen een dag uit te voeren en te reageren op dit bericht. Ook aanvullende vragen kunt u stellen in een antwoord op deze mail. Veilige omgeving Indien blijkt dat de stappen binnen deze termijn niet (of onvoldoende) zijn uitgevoerd bestaat de mogelijkheid dat wij uw internetaansluiting in onze veilige omgeving (quarantaine) plaatsen. U kunt dan tijdelijk beperkt gebruik maken van uw internetaansluiting. Een dergelijke maatregel nemen wij ook om uw vertrouwelijke gegevens en bestanden te beschermen.

xbeam schreef op vrijdag 20 oktober 2017 @ 09:27:
[...]


Zeker. alleen als ze in de eerste mail gewoon alle info geven die ze hebben dan werkt het oplossen vaak iets makkelijker.

Nu komen ze met suggestie wat je moet zonder het echte probleem melden. Waardoor het lastig zoeken is. Het kosten mij echt 20 mail om dat eindelijke boven water te krijgen wat.

In eerste instantie melden ze een suggestie wat je moet doen zoals scan u computer en stuur de log files als dat dan doet op een Mac schiet het op als je dan alleen terug krijgt nee je moet Windows computer doen (maar meneer abuse die heb ik niet ) duurde zeker 15 mail voor dat ze dat begrepen ;-) o

En toen was het Ow das raar want het virus is een Windows virus ;-) en bij na vragen of zede logs van het verkeer hebben blijft het stil en hoeveel vertraging er zit tussen het verwerken van door hun ontgaven een melding en afsluiten blijft het stil de enige optie is dat mischien vorrige maand iemand met een besmette Windows pc op bezoek is geweest. Maar als er erzoveel vertraging in zit, is het ook niet nodig om af te sluiten. Dus dat lijkt mij niet. Daarom mijn vermoeden/ angste dat er mischien iets de nieuwe ERL firmware zit.

Maar officieel is er nooit een oorzaak aangewezen/ gevonden door het abuse team
Een alleen een vermoede uitgesproken op basis van een melding van een partner. Ze hebben zelf niets gezien of gevonden.

[ Voor 2% gewijzigd door TPA op 20-10-2017 11:28 . Reden: versie erl geupdate ]

nils_vdg schreef op donderdag 19 oktober 2017 @ 23:46:
Ik heb een Unifi Switch US-8 60W PoE aangeschaft als vervanging van mijn WiFi router.
De switch is rechtstreeks aangelosten om mijn Caiway glasvezel modem, en van daaruit 1 rechtstreekse bekabelde verbinding naar mijn PC.

--- KNIP---


Volgens mij komt dit omdat de switch geen IP adres krijgt (van mijn glasvezel modem??)
Het opgegeven IP adres volgens de Unifi controler is 192.168.1.20 (wat dus het standaard IP adres is). Ik kan de 192.168.1.20 ook niet pingen.

Reeds veelvoudig zowel het glasvezel modem als de switch herstart, van stroom gehaald, en gereset naar fabrieksinstellingen. Zonder resultaat. Waar moet ik het zoeken?

xbeam schreef op vrijdag 20 oktober 2017 @ 09:27:
[...]


Zeker. alleen als ze in de eerste mail gewoon alle info geven die ze hebben dan werkt het oplossen vaak iets makkelijker.

TPA schreef op vrijdag 20 oktober 2017 @ 11:10:
[...]


Ik zal ze wel ff mailen. ik zit op 1.9.7 hotfix 1 (sinds augustus) en niet op hotfix 4
Er is niks gewijzigd bij mijn weten en virus/malewar runs lopen continue...
ben benieuwd wat ze gaan zeggen.

[ Voor 24% gewijzigd door chickpoint op 20-10-2017 11:59 ]

chickpoint schreef op vrijdag 20 oktober 2017 @ 11:58:
[...]


Ben ik het helemaal mee eens, maar helaas zitten er niet alleen Tweakers bij KPN. Ik denk dat voor de gemiddelde gebruiker (met een experiabox) dit voldoende info is.

In ons scenario is het inderdaad even anders dus is het belangrijk dat je duidelijk bent in de communicatie. Plus het voordeel van je eigen router is dat je een hoop onderzoek zelf kan doen.


[...]


Houd ons op de hoogte, ben persoonlijk wel benieuwd wat het uiteindelijk was.

[ Voor 194% gewijzigd door xbeam op 21-10-2017 07:51 . Reden: Tv werkte toch niet ]

[ Voor 14% gewijzigd door nero355 op 23-10-2017 00:38 ]

[ Voor 9% gewijzigd door Gkoow op 21-10-2017 00:08 ]

Gkoow schreef op zaterdag 21 oktober 2017 @ 00:06:
Hey guys,

Ik ben nog nieuw met Ubiquiti en vroeg me af wat ik zou moeten halen om een stabiel netwerk te krijgen. ( vrouwtje klaagt altijd over mij you tube loopt steeds vast). Na talloze "kansloze" consumenten routers etc te hebben aangeschaft wil ik dus overstappen naar Ubiquiti.

Ik heb het volgende in mijn hoofd.

1 Ubiquiti Router
1 Ubiquiti switch 8-150w
1 Ubiquiti AC Pro ( later uitbreiden naar 2)

Mijn vraag is echter ik heb een nieuwbouw huis volledig van beton. En ik wil de PRO aansluiten aan het plafond op de 1e verdieping. Zal ik dan nog goed bereik hebben op de 1e verdieping en wellicht de zolder? Is het verlies drastisch? Of moet ik direct de 2e aanschaffen en die op het plafond plaatsen van de overloop?

Ben vooral geintereseerd in de zero handoff. ik wil ook graag gewoon een ssid hebben zowel op 2.4 als 5gz of is het nog steeds raadzaam om 2 ssids hiervoor te hebben?

Ik hoop graag meer van jullie te horen. Of moet ik een andere set halen?

[ Voor 6% gewijzigd door BluRay op 21-10-2017 00:41 ]

[ Voor 50% gewijzigd door xbeam op 21-10-2017 11:57 ]

downtime schreef op zaterdag 21 oktober 2017 @ 10:18:
ICMP moet groen zijn. ICMP is voor IPv6 belangrijker dan voor IPv4. Dat mag je daarom ook niet helemaal dichtzetten. Bij IPv4 leverde dat minder problemen op.

DenBeke schreef op zaterdag 21 oktober 2017 @ 14:17:
[...]


Waarom juist?
ICMP staat hier ook dicht en eigenlijk heb ik nog nooit problemen gehad met IPv6...
(Bij de Telenet router stond ICMP ook dicht)

Caayn schreef op zaterdag 21 oktober 2017 @ 13:15:
Ben tot nu toe zeer te spreken over de UI via de cloud key. Wifi werkt goed echter laat het bereik nog wat te wensen over. Ga waarschijnlijk nog even kijken of ik er eentje kan omruilen voor een LR variant.

gday schreef op zaterdag 21 oktober 2017 @ 21:14:
Heb je in de CLI van USG-Pro 4 dezelfde mogelijkheden als op de EdgeRouter?

RobertMe schreef op zaterdag 21 oktober 2017 @ 21:37:
[...]

Ja en nee. De mogelijkheden zijn AFAIK grotendeels gelijk (meestal loopt EdgeOS op de USG iets achter ten opzichte van de EdgeRouter serie). Alleen zijn CLI aanpassingen niet persistent. Dus na een reprovision vanuit de UniFi Controller zijn alle handmatige aanpassingen weer weg. Hiervoor moet je dan ook een config.gateway.json bestand aanmaken. Die als ik het mij goed herinner ook door de USG (configure commando) gegenereerd kan worden nadat je eerst handmatig de changes hebt gedaan. Enige nadeel is dat dit bestand vervolgens alle instellingen bevat en deze IIRC niet meer vanuit de Controller geconfigureerd kunnen worden (worden weer overschreven door het bestand). Wat dus betekend dat je zelf het bestand moet ontleden en de juiste dingen eruit moet halen.

Echter durf ik sowieso niet te zeggen in hoeverre echte customization nodig is, of dat alles vanuit de Controller zelf kan. Zelf zit ik namelijk met Ziggo.

Packetloss schreef op zaterdag 21 oktober 2017 @ 22:04:
Ik ben benieuwd of het volgende kan / gaat werken. Een unifi ap AC pro voorzien van openvpn in cliënt mode, die verbinden met een openvpn server met redirect gateway, zodat alle verkeer van de cliënts door de tunnel heen gejast wordt?

downtime schreef op zaterdag 21 oktober 2017 @ 10:18:
ICMP moet groen zijn. ICMP is voor IPv6 belangrijker dan voor IPv4. Dat mag je daarom ook niet helemaal dichtzetten. Bij IPv4 leverde dat minder problemen op.

Deze specifieke test, ipv6-test.com, kende ik trouwens nog niet. Test-ipv6.com gebruik ik meestal en daar heb ik sinds jaar en dag een 10/10 score.

RobertMe schreef op zaterdag 21 oktober 2017 @ 21:37:
[...]

Ja en nee. De mogelijkheden zijn AFAIK grotendeels gelijk (meestal loopt EdgeOS op de USG iets achter ten opzichte van de EdgeRouter serie). Alleen zijn CLI aanpassingen niet persistent. Dus na een reprovision vanuit de UniFi Controller zijn alle handmatige aanpassingen weer weg. Hiervoor moet je dan ook een config.gateway.json bestand aanmaken. Die als ik het mij goed herinner ook door de USG (configure commando) gegenereerd kan worden nadat je eerst handmatig de changes hebt gedaan. Enige nadeel is dat dit bestand vervolgens alle instellingen bevat en deze IIRC niet meer vanuit de Controller geconfigureerd kunnen worden (worden weer overschreven door het bestand). Wat dus betekend dat je zelf het bestand moet ontleden en de juiste dingen eruit moet halen.

Echter durf ik sowieso niet te zeggen in hoeverre echte customization nodig is, of dat alles vanuit de Controller zelf kan. Zelf zit ik namelijk met Ziggo.

[ Voor 13% gewijzigd door gday op 22-10-2017 04:11 ]

RobertMe schreef op zondag 22 oktober 2017 @ 00:17:
[...]

Lijkt mij dat niet kan. Ten eerste al omdat OpenVPN er niet op staat en het v.z.i.w. niet mogelijk (of in ieder geval makkelijk) is om custom software erop te zetten. Daarnaast zul je ook nog tegen voldoende andere problemen aanlopen. Dus ik zou er niet vanuit gaan dat het kan.

Wat je wel kunt doen is een setup waarbij je de wifi clients in een apart netwerk (VLAN) plaatst en dat netwerk over VPN laat gaan. Zo heb ik het hier draaien. OpenVPN op thuisserver en die als default gateway voor een apart VLAN.

[ Voor 22% gewijzigd door Packetloss op 22-10-2017 16:00 . Reden: tweede setup optie ]

Packetloss schreef op zondag 22 oktober 2017 @ 08:45:
en heeft iemand ervaring met deze setup: een pricewatch: Ubiquiti UniFi USG Enterprise Gateway Router en daar op de LAN en op de VOIP poort (die inmiddels als LAN gebruikt kan worden lees ik) een pricewatch: Ubiquiti UniFi AP AC PRO (1-Pack) in hangen, zodat alle clients die draadloos verbinden naar buiten gaan via het VPN?

nero355 schreef op zaterdag 21 oktober 2017 @ 19:40:
[...]

Je kan beter die LR gewoon bestellen en dan kijken of er echt verschil is en als het niet zo is de LR gewoon als uitbreiding gebruiken.

Ik denk namelijk dat de kans groot is dat alleen een extra AP de juiste oplossing is

[ Voor 3% gewijzigd door Caayn op 22-10-2017 17:39 ]

Caayn schreef op zondag 22 oktober 2017 @ 17:37:
[...]
Het gaat om de tuin Het is voor mij niet echt een optie om in de tuin een AP te hangen dankzij het ontbreken van een loze leiding naar de tuin en vriendinlief . Vandaar dat ik twijfel om de Lite die nu deels (beneden) binnenhuis en de tuin dekt te vervangen met een LR.

Caayn schreef op zondag 22 oktober 2017 @ 17:37:
[...]
Het gaat om de tuin Het is voor mij niet echt een optie om in de tuin een AP te hangen dankzij het ontbreken van een loze leiding naar de tuin en vriendinlief . Vandaar dat ik twijfel om de Lite die nu deels (beneden) binnenhuis en de tuin dekt te vervangen met een LR.

Whizzer schreef op vrijdag 6 oktober 2017 @ 13:55:
[...]


Als jouw kant wel statisch is kun je proberen de VPN om te zetten naar aggressive mode. Agressive mode is handig als één of beide kanten een dynamisch (publiek) IP adres hebben.

Maar zonder daar op Ubiquiti ervaring mee te hebben, begrijp ik dat dat bij de Edgerouter niet zomaar even gaat werken..
Kijk anders hier even..

RobertMe schreef op zondag 22 oktober 2017 @ 19:23:
[...]

Waarschijnlijk heb je dan ook een dikke (geïsoleerde) buitenmuur, met een LR ga je het dan waarschijnlijk niet redden. Wat je zou kunnen proberen is met een UAP Mesh buiten. Deze is sowieso geschikt voor buitengebruik, maar, net als eigenlijk alle andere UAPs, kun je deze draadloos via de "wireless uplink" feature "aansluiten". Als je direct tegen de muur (aan de buitenmuur) nog bereik hebt kun je de Mesh dus inzetten als "repeater". Voor stroom moet je uiteraard wel UTP aansluiten (met dan waarschijnlijk de injector, aangezien je dus geen kabel naar binnen hebt)

ThinkPadd schreef op zondag 22 oktober 2017 @ 21:54:
Om hier nog even op terug te komen. M'n ouders zijn overgestapt naar een andere provider waardoor de ERX bij hun achter NAT hangt (hij krijgt een 192.168.x.x adres ipv een publiek IP). Hierdoor werkt de IPsec site-to-site tunnel helemaal niet meer.

Ben al een poosje aan het zoeken via Google, maar kom er maar niet uit welke tutorial ik moet gebruiken om een site-to-site op te zetten tussen twee locaties die beiden achter NAT hangen en dus geen publiek IP hebben.

nils_vdg schreef op zondag 22 oktober 2017 @ 23:50:
Ik heb momenteel de volgende situatie thuis

[afbeelding]

Router: Ubiquiti Unifi Secure Gateway
Switch: Ubiquiti Unifi 8p PoE 60W
AP1: Ubiquiti Unifi AP AC LR
AP1: Ubiquiti Unifi AP AC PRO
Switch 2: TP-Link 5-poorts unmanageable

Kan ik er toch voor zorgen dat mijn IP TV signaal rechtstreeks geforward wordt naar het adres van de TV Box via de tweede switch?

Zo dus
[afbeelding]

Of lukt dit alleen als ik zorg dat mijn tweede switch ook manageable is?
Ook op de router zelf heb ik nog 1 poort over die ook als LAN/WAN kan fungeren.

ThinkPadd schreef op zondag 22 oktober 2017 @ 21:54:
[...]

Om hier nog even op terug te komen. M'n ouders zijn overgestapt naar een andere provider waardoor de ERX bij hun achter NAT hangt (hij krijgt een 192.168.x.x adres ipv een publiek IP). Hierdoor werkt de IPsec site-to-site tunnel helemaal niet meer.

Ben al een poosje aan het zoeken via Google, maar kom er maar niet uit welke tutorial ik moet gebruiken om een site-to-site op te zetten tussen twee locaties die beiden achter NAT hangen en dus geen publiek IP hebben.

ThinkPadd schreef op zondag 22 oktober 2017 @ 21:54:
[...]

Om hier nog even op terug te komen. M'n ouders zijn overgestapt naar een andere provider waardoor de ERX bij hun achter NAT hangt (hij krijgt een 192.168.x.x adres ipv een publiek IP). Hierdoor werkt de IPsec site-to-site tunnel helemaal niet meer.

Ben al een poosje aan het zoeken via Google, maar kom er maar niet uit welke tutorial ik moet gebruiken om een site-to-site op te zetten tussen twee locaties die beiden achter NAT hangen en dus geen publiek IP hebben.

stormfly schreef op maandag 23 oktober 2017 @ 07:45:
Tevens zou je een VPN monitor (JunOS) of IP SLA (Cisco) ping moeten laten lopen voor het genereren van continu interesting VPN verkeer. Je kan immers geen VPN opzetten door aan de buitenkant "te kietelen" van de NAT locatie. Het verkeer moet van binnenuit ontstaan vanuit de NAT locatie en de buitenkant "kietelen" van de Publieke locatie.

Met 2x NAT kan het eigenlijk niet zonder DMZ/Port forward modus werken schat ik in...

[ Voor 22% gewijzigd door Whizzer op 23-10-2017 07:50 ]

Whizzer schreef op maandag 23 oktober 2017 @ 07:46:
[...]

Portforwarding dus.. Maar je hoeft waarschijnlijk niet een "VPN Monitor" of "IP SLA" op te zetten. Onderdeel van de IKE suite is Dead Peer Detection, een mechanisme wat om de zoveel tijd kijkt of de tunnel nog staat. Dat moet ervoor zorgen dat je Experia boxen niet een session time-out gaan geven.

stormfly schreef op maandag 23 oktober 2017 @ 08:03:
Anyway geen enkel VPN is hetzelfde,omdat bv een provider modem al anders kan reageren.

De meest makkelijke oplossing is een publiek IP op beide boxen, maar is niet altijd mogelijk.

stormfly schreef op maandag 23 oktober 2017 @ 07:45:
[...]
Hebben ze wel een publiek IPv4 adres, kortom een eigen adres aan beide kanten? Geen DS-Lite etc.
[...]

stormfly schreef op maandag 23 oktober 2017 @ 08:03:
[...]


Bij een klant met een zakelijke EB8 komt port 4500 niet door, ondanks de DMZ modus. Dan heb je wel ip-sla nodig om de boel op gang te helpen.
[...]

ThinkPadd schreef op zondag 22 oktober 2017 @ 21:54:
[...]

Om hier nog even op terug te komen. M'n ouders zijn overgestapt naar een andere provider waardoor de ERX bij hun achter NAT hangt (hij krijgt een 192.168.x.x adres ipv een publiek IP). Hierdoor werkt de IPsec site-to-site tunnel helemaal niet meer.

Ben al een poosje aan het zoeken via Google, maar kom er maar niet uit welke tutorial ik moet gebruiken om een site-to-site op te zetten tussen twee locaties die beiden achter NAT hangen en dus geen publiek IP hebben.

1
2

set vpn ipsec site-to-site peer x.x.x.x authentication id y.y.y.y
set vpn ipsec site-to-site peer x.x.x.x authentication remote-id 192.168.2.254

ThinkPadd schreef op maandag 23 oktober 2017 @ 09:28:
Hmmm, dat zou wel bijzonder zijn. Binnenkort nog maar even naar kijken.

Whizzer schreef op maandag 23 oktober 2017 @ 08:13:
Eens.. Hoewel ik in de gekste opstellingen al VPN's heb kunnen maken..

Sneezydevil schreef op maandag 23 oktober 2017 @ 09:48:
[...]


Heb je de rightid en leftid wel goed staan?

code:

1 2	set vpn ipsec site-to-site peer x.x.x.x authentication id y.y.y.y set vpn ipsec site-to-site peer x.x.x.x authentication remote-id 192.168.2.254

y.y.y.y is dan het lokale id bij mij het WAN Ip adres.
remote-id is het lan adres van de router aan de andere kant.

En dat doe je aan beide zijden. Het heeft even geduurd voor ik wist dat die commando's bestonden.

stormfly schreef op maandag 23 oktober 2017 @ 10:06:
[...]


https://www.google.nl/sea...vwUIIygA&biw=1920&bih=949

De EB8 is managed bij een andere club dus helaas zelf de instellingen niet mogen configureren, maar men zegt dat alles in DMZ staat en toch komt 4500 niet lekker door.
[...]

nils_vdg schreef op zondag 22 oktober 2017 @ 23:50:
Ik heb momenteel de volgende situatie thuis

[afbeelding]

Router: Ubiquiti Unifi Secure Gateway
Switch: Ubiquiti Unifi 8p PoE 60W
AP1: Ubiquiti Unifi AP AC LR
AP1: Ubiquiti Unifi AP AC PRO
Switch 2: TP-Link 5-poorts unmanageable

Kan ik er toch voor zorgen dat mijn IP TV signaal rechtstreeks geforward wordt naar het adres van de TV Box via de tweede switch?

Zo dus
[afbeelding]

Of lukt dit alleen als ik zorg dat mijn tweede switch ook manageable is?
Ook op de router zelf heb ik nog 1 poort over die ook als LAN/WAN kan fungeren.

WickedStealthy schreef op maandag 23 oktober 2017 @ 11:23:
Kort vraagje.

Wat halen jullie aan throughputs voor 2.4Ghz voor verschillende devices in de directe omgeving van een AC-PRO ?
Ik heb momenteel een Zyxel NAP203 in test hangen en wilde toch eens kijken wat een AC-PRO doet irl omstandigheden aangezien ik dit ook nog overweeg.

ThinkPadd schreef op maandag 23 oktober 2017 @ 10:10:
[...]

Daar heb ik tot nu toe nog niks mee gedaan. Klinkt wel als een goede tip.


[...]

Aan beide kanten staat een Experiabox V10 (ZTE H369A). Is best een fatsoenlijk modem i.t.t. de oudere Experiaboxen. Maar de kans is natuurlijk aanwezig dat poort 4500 nog steeds niet door wordt gezet

Bedankt voor de tips, hier kom ik al een stuk verder mee

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

    ethernet eth4 {
        address 192.168.9.254/24
        description "(UPLINK2) KPN Modem - ExperiaBox V10"
        duplex auto
        firewall {
            in {
                name WAN_IN_V10
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    
vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group <NAME> {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes128
                hash sha1
            }
        }
        ike-group <NAME> {
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 2
                encryption aes128
                hash sha1
            }
        }
        ipsec-interfaces {
            interface eth4 <------ Dit is de interface met 192.168.9.254 erop
        }
        nat-networks {
            allowed-network 0.0.0.0/0 {
            }
        }
        nat-traversal enable
        site-to-site {
            peer <WAN_IP PEER> {
                authentication {
                    id <WAN IP VAN EXPERIABOX!!!!>*
                    mode pre-shared-secret
                    pre-shared-secret ****************
                    remote-id <WAN_IP PEER>
                }
                connection-type initiate
                default-esp-group <ESP_PROFILE>
                description "IPsec-Tunnel xxxxxxxxxxxx"
                ike-group <IKE_PROFILE>
                ikev2-reauth inherit
                local-address 192.168.9.254
                vti {
                    bind vti0
                    esp-group <ESP_PROFILE>
                }
            }
        }
    }

[ Voor 6% gewijzigd door BluRay op 23-10-2017 13:02 ]

RobertMe schreef op maandag 23 oktober 2017 @ 11:51:
[...]

Op 2,4GHz? Ik denk dat niemand je daarop een antwoord kan geven. Dit omdat er zoveel interference is/kan zijn (van bv buren) dat zo'n resultaten compleet onbetrouwbaar zijn. Iemand die in the middle of nowhere woont en waar dus geen andere Wifi netwerken (noch andere storingszenders) aanwezig zijn zal de throughput wel redelijk in de buurt van de theoretische max liggen. Terwijl iemand die in een bomvolle flat woont misschien blij kan zijn met 25Mb/s.

Note: zelf heb ik geen Pro dus kan überhaupt deze info niet geven

[ Voor 4% gewijzigd door WickedStealthy op 23-10-2017 13:46 ]

BluRay schreef op maandag 23 oktober 2017 @ 13:01:
[...]


Ik heb twee weken terug eenzelfde setup neergezet bij een kennis.
Experiabox V10 heeft als LAN adres 192.168.9.1
EdgeRouter heeft als WAN Adres 192.168.9.254
EdgeRouter adres staat in DMZ van Experiabox V10

Config van EdgeRouter ziet er als volgt uit:
[...knip...]

* Ik heb het externe IP-adres gebruikt bij de ID, maar kan ook iets anders zijn mits je de andere kant ook aanpast.

1
2
3
4

Inbound Interface: eth0
Translation: 192.168.20.2
Destination: 10.0.5.10
All protocols staat aan

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366

firewall { all-ping enable broadcast-ping disable group { network-group PRIVATE_NETS { network 192.168.0.0/16 network 172.16.0.0/12 network 10.0.0.0/8 } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians disable modify WAN1FIRST_IN { rule 10 { action modify modify { lb-group WAN1FIRST } } } modify WAN2FIRST_IN { rule 10 { action modify modify { lb-group WAN2FIRST } } } modify balance { rule 10 { action modify description "do NOT load balance lan to lan" destination { group { network-group PRIVATE_NETS } } modify { table main } } rule 20 { action modify description "do NOT load balance destination public address" destination { group { address-group ADDRv4_eth0 } } modify { table main } } rule 30 { action modify description "do NOT load balance destination public address" destination { group { address-group ADDRv4_eth1 } } modify { table main } } rule 110 { action modify modify { lb-group WAN1FIRST } } } name WAN_IN { default-action accept description "WAN to internal" rule 10 { action accept application { category Web } description "extern -> intern" destination { address 10.0.5.10 } log disable protocol all source { address 192.168.20.2 } state { established enable invalid enable new enable related enable } } rule 20 { action accept description "Allow established/related" state { established enable related enable } } rule 30 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN to router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address 192.168.20.1/16 address 192.168.20.2/16 address 192.168.20.3/16 description WAN duplex auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } speed auto } ethernet eth1 { address dhcp description "WAN 2" duplex auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } speed auto } ethernet eth2 { address 10.0.1.1/24 description Local duplex auto firewall { in { modify balance } } speed auto vif 5 { address 10.0.5.1/24 description VLAN5 mtu 1500 } vif 10 { address 10.0.10.1/24 description VLAN10 firewall { in { modify WAN2FIRST_IN } } mtu 1500 } } loopback lo { } } load-balance { group WAN1FIRST { interface eth0 { } interface eth1 { failover-only } lb-local enable lb-local-metric-change disable } group WAN2FIRST { interface eth0 { failover-only } interface eth1 { } lb-local enable lb-local-metric-change disable } } port-forward { auto-firewall enable hairpin-nat disable wan-interface eth0 } protocols { static { route 0.0.0.0/0 { next-hop 192.168.2.1 { } } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN { authoritative enable subnet 10.0.1.0/24 { default-router 10.0.1.1 dns-server 10.0.1.1 lease 86400 start 10.0.1.38 { stop 10.0.1.243 } } } shared-network-name VLAN10 { authoritative disable subnet 10.0.10.0/24 { default-router 10.0.10.1 dns-server 10.0.10.1 lease 86400 start 10.0.10.10 { stop 10.0.10.50 } } } shared-network-name VLAN5-LAN { authoritative disable subnet 10.0.5.0/24 { default-router 10.0.5.1 dns-server 10.0.5.1 lease 86400 start 10.0.5.11 { stop 10.0.5.50 } } } use-dnsmasq disable } dns { forwarding { cache-size 150 listen-on eth2 listen-on eth2.5 listen-on eth2.10 } } gui { http-port 80 https-port 443 listen-address 10.0.5.1 older-ciphers enable } nat { rule 1 { description webserver destination { address 10.0.5.10 } inbound-interface eth0 inside-address { address 192.168.20.2 } log disable type destination } rule 5001 { description VLAN5-ext-ip log disable outbound-interface eth0 outside-address { address 192.168.20.2 } source { address 10.0.5.1/24 } type source } rule 5002 { description VLAN10-ext-ip log disable outbound-interface eth0 outside-address { address 192.168.20.3 } source { address 10.0.10.1/24 } type source } rule 5003 { description "masquerade for WAN" log disable outbound-interface eth0 type masquerade } rule 5004 { description "masquerade for WAN 2" log disable outbound-interface eth1 type masquerade } } ssh { port 22 protocol-version v2 } unms { disable } } system { conntrack { expect-table-size 4096 hash-size 4096 table-size 32768 tcp { half-open-connections 512 loose enable max-retrans 3 } } host-name Router syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Amsterdam }

[ Voor 0% gewijzigd door devslashnull op 23-10-2017 14:20 . Reden: typo ]

devslashnull schreef op maandag 23 oktober 2017 @ 14:08:
Hi,

Ben me aan het verdiepen in de Ubiquiti spullen. Daarbij ben ik een beetje verward geraakt door het specificatieblad van de Ubiquiti access points. De AP-AC-LITE heeft, zoals vermeld in het datasheet, een 10/100/1000 ethernet port en kan worden voorzien van stroom via POE. Nu is dat kennelijk van het type 24V 'ubiquiti proprietary' of 802.3af/A'. Als ik de POE 802.3af/A vergelijk met 802.3at (zoals mogelijk op de Pro) dan lijkt het me dat de 'af' variant verbiedt om data en voeding op dezelfde aderparen te gebruiken. En als ik me niet vergis is gigabit ethernet alleen mogelijk via 4 aderparen.

Klopt dit dan: als je 802.3af/A gebruikt als POE methode bij zo'n AP-AC-LITE dan is de netwerk link beperkt tot 100mbps. Als je de netwerk link op 1000mbps wilt gebruiken moet je de 24V ubiquity proprietary POE injector gebruiken (die er bij wordt geleverd in het single pack)?

En als dit klopt, zijn er dan ubiquiti switches/routers die naast de af/at POE methoden ook die GigE 24V POE van Ubiquiti zelf ondersteunen; ik zou graag die losse POE adapters vermijden, maar ook liever niet de netwerk link al beperken tot 100mbps.

[ Voor 6% gewijzigd door tcviper op 23-10-2017 14:29 ]

devslashnull schreef op maandag 23 oktober 2017 @ 14:08:

tcviper schreef op maandag 23 oktober 2017 @ 18:17:
Voor degene die het nog niet wisten, Unifi 5.6.19 is nu Stable en released:
https://community.ubnt.co...een-released/ba-p/2109621

• Losse devices voor verschillende functionaliteit. Ik had 1 ding wat alles deed, nu heb ik 2 (router + AP) devices nodig. (of nog meer?)
  Op zich niet super erg, maar dan komen we bij:
• De router en het AP hebben niet dezelfde interface :x
  Geen idee waarom Ubiquiti dit logisch vindt, maar ik zit er iig niet echt op te wachten om meerdere dingen te gaan moeten leren/onthouden.
  Hier is volgens mij niks aan te doen? De Unifi producten hebben alleen de controller en (officieel) geen CLI. En die controller is blijkbaar een executable die ik zelf op m'n computer moet draaien? Geen Web UI op 1 van de devices zelf?
  De routers hebben als ik het goed begrijp vooral een CLI, maar ook een UI (EdgeOS). Deze UI draait volgens mij wel direct op de router, is dat correct?
  
  Er zijn geen APs met EdgeOS en de enige "router" met support voor Unifi is de USG, maar die kan weer een stuk minder dan een EdgeRouter. Is dat correct?

UltraSub schreef op zaterdag 21 oktober 2017 @ 21:40:
[...]

Deze methodiek hanteer ik dus ook. Ja, het kost even wat werk om de diff te maken, maar dat mechanisme is awesome, nu staat die diff natuurlijk in GitLab. Enige waar ik nog steeds van baal is dat er nog geen api endpoint is voor een provision, anders was het mooi te pipelinen

ThinkPadd schreef op maandag 23 oktober 2017 @ 13:29:
[...]

Bedankt voor de code, altijd handig.

De Experiabox staat bij je kennis begrijp ik? Wat staat er aan jouw kant dan? Want aan mijn kant heb ik ook een EB V10 (met pfSense daarachter, in de DMZ).

Heb je trouwens het IP-adres van die EB aangepast? Standaard zit zelf hij op 192.168.2.254 en kreeg de ERX juist 192.168.2.1 als adres

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

    ipsec {
        esp-group <ERX> {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes128
                hash sha1
            }
        }
        ike-group <ERX>{
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 2
                encryption aes128
                hash sha1
            }
        }
        ipsec-interfaces {
            interface eth1
        }
        nat-networks {
            allowed-network 0.0.0.0/0 {
            }
        }
        nat-traversal enable
        site-to-site {
            peer <IP_ERX> {
                authentication {
                    id <IP_VYOS>
                    mode pre-shared-secret
                    pre-shared-secret ****************
                    remote-id <IP_ERX>
                }
                connection-type initiate
                default-esp-group <ESP_PROFILE>
                description "IPSec-Tunnel XXXXXX"
                ike-group <IKE_PROFILE>
                ikev2-reauth inherit
                local-address <WAN_IP>
                vti {
                    bind vti1
                    esp-group <ESP_PROFILE>
                }
            }

aaahaaap schreef op maandag 23 oktober 2017 @ 20:07:

[ Voor 20% gewijzigd door BluRay op 23-10-2017 20:23 ]

HielkeJ schreef op maandag 23 oktober 2017 @ 13:38:
Ik ben op dit moment weer bezig met de EdgeRouter. Het meeste lijkt goed te werken, dus het gaat de goede kant op. Ik probeer nu al het verkeer wat binnen komt op een IP adres (192.168.20.2) op eth0 door te sturen naar een server. Deze server zit op VLAN 5 op het IP adres 10.0.5.10.

Op dit te doen heb ik een DNAT regel aangemaakt zoals ik hier heb gevonden:

code:

1 2 3 4

Inbound Interface: eth0 Translation: 192.168.20.2 Destination: 10.0.5.10 All protocols staat aan

Daarnaast is er al een SNAT regel aanwezig die alles van 10.0.5.1/24 naar buiten gooit via het IP 192.168.20.2. Deze regel werkt goed.

Daarnaast is bij WAN_IN in de firewall een regel aangemaakt wat al het verkeer wat binnenkomt op 192.168.20.2 door moet laten naar 10.0.5.10.

Iemand enig idee wat ik niet goed doe?

Hierbij een groot deel van mijn config:

[...]

1
2
3
4
5
6
7
8
9
10
11
12

        rule 1 {
            description webserver
            destination {
                address 192.168.20.2
            }
            inbound-interface eth0
            inside-address {
               address 10.0.5.10
            }
            log disable
            type destination
        }

Jeroen_ae92 schreef op maandag 23 oktober 2017 @ 20:20:
[...]


Je modify rules ogen want "raar" maar kan een keuze zijn. Ze zijn iig niet consequent aan de interfaces gehangen. Zou een puntje van aandacht kunnen zijn en ik zou ze verwerken in één modify policy en daar dmv source groepen het verkeer de goede kant op leiden. Maargoed, dat lost je issue nu niet op

Jeroen_ae92 schreef op maandag 23 oktober 2017 @ 20:20:
Je issue zit em in het volgende:

code:

1

...

BluRay schreef op maandag 23 oktober 2017 @ 20:33:
[...]

1. Je DNAT rule klopt niet. Het moet zijn:

code:

1

...

2. Je maakt gebruik van loadbalancing. Dat is waarschijnlijk de reden dat je niet de port-forward optie gebruikt maar in plaats daarvan DNAT. (wat feitelijk op hetzelfde neerkomt) Ik zou de port-forward helemaal uit je config weghalen met: delete port-forward
3. Je WAN_IN rule 1 klopt zo denk ik wel. Maar waarom zou je state invalid op enabled zetten?

Jeroen_ae92 schreef op maandag 23 oktober 2017 @ 21:13:
[...]


Je zou dan een rule moeten maken die een block doet naar andere vlan's. Werk hier bv met makkelijke source en destination groepen. Dan een allow rule die specifieke source adressen, gebruik ook hier een source groep die naar internet mag. Dit zou je verder kunnen beperken in bv enkel poort 80/443 of whatever.
De default action van de ruleset blijft drop. De rules worden op volgorde afgehandeld vandaar de volgorde van de rules belangrijk is. First match wins zal ik maar zeggen. Eerst een allow established/related rule, dan een block naar andere (v)lan's en dan een allow van specifieke source adressen.
Als je die volgorde niet aanhoudt, dan mag een specifiek source adres ineens wel naar het LAN. En dat wil je dan weer niet. Kan wel, maar dan moet je daar ook weer een allow rule voor maken. En ja, die er weer in de juiste volgorde tussen zetten.

Zoiets zou je als voorbeeld kunnen gebruiken voor de groepen:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

group { address-group Internet_Allowed { address 192.168.101.98 address 10.0.1.99 description "Allowed to internet" } network-group IoT_LAN { description "IoT LAN" network 192.168.101.0/24 } network-group Local_LAN { description "Lokaal LAN" network 192.168.1.0/24 }

En deze voor de ruleset.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49

name SPEELVLAN_IN { default-action drop description "IoT traffic inbound" rule 10 { action accept description "Accept related/initiated" log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop to LAN" destination { group { network-group Local_LAN } } log disable protocol all source { group { network-group IoT_LAN } } } rule 30 { action accept description "Allow IoT devices" log enable protocol all source { group { address-group Internet_Allowed } } state { established enable invalid disable new enable related enable } } }

Als je je IoT vlan verder wilt beperken kan ik je iig een SPEELVLAN_LOCAL aanbevelen.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

name SPEELVLAN_LOCAL { default-action drop description "IoT traffic to router" rule 10 { action accept description "Allow DNS" destination { port 53 } log enable protocol udp } rule 50 { action accept description "Allow pings" limit { burst 1 rate 62/minute } log enable protocol icmp } }

RobertMe schreef op maandag 23 oktober 2017 @ 11:15:

...

Note: Dit is wel allemaal erop gebaseerd dat de TV Box maar 1 (untagged) netwerk ontvangt. Het kan ook zijn dat de situatie complexer is (bv dat de TV Box 2 VLANs moet ontvangen, 1 voor internet en 1 voor IPTV. Dat zou de situatie complexer maken, maar ook dan is het hoogstwaarschijnlijk mogelijk (zolang maar de juiste VLANs aankomen bij de TV Box. Daarnaast heb je denk ik ook ICMP snooping nodig omdat IPTV multicast zal zijn. Al met al zou ik, in het geval dat je de kabel al hebt liggen, deze waarschijnlijk ook laten liggen. Dit omdat het in totaal de veiligste optie is en je dan 100% zeker weet dat het werkt.

Sneezydevil schreef op dinsdag 24 oktober 2017 @ 15:17:
Nog iemand hier last van Edge Router Lite's die spontaan herstarten?

Sneezydevil schreef op dinsdag 24 oktober 2017 @ 15:17:
Nog iemand hier last van Edge Router Lite's die spontaan herstarten?

Ik beheer verschillende Edge Routers waaronder verschillende Edge Router Lite's en nu viel mij op dat geen enkele Edge Router Lite een uptime van meer dan een maand heeft. De meesten komen niet verder dan een paar dagen.

Ik heb de firmware al een downgrade gegeven, maar dat mag niet helpen.

Firmware versies die ik geprobeerd heb: 1.9.1.1, 1.9.7 HF1 t/m HF3

Ik heb nog niet de mogelijkheid gehad een console kabel erop aan te sluiten.

Aangezien het gebeurd bij 100% van de 10+ Edge Routers Lite's die ik beheer en ik er niks op het forum van terug vind vraag ik mij af of het een specifieke setting is die ik gebruik.

Active Connections

Proto Local Address Foreign Address State PID
TCP 127.0.0.1:8080 192:54782 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54787 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54791 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54796 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54801 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54805 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54810 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54815 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54819 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54824 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54829 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54833 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54838 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54843 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54847 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54852 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54856 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54860 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54865 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54869 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54874 CLOSE_WAIT 484
TCP 127.0.0.1:8080 192:54879 CLOSE_WAIT 484
TCP 127.0.0.1:54782 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54787 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54791 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54796 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54801 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54805 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54810 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54815 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54819 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54824 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54829 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54833 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54838 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54843 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54847 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54852 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54856 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54860 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54865 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54869 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54874 192:8080 FIN_WAIT_2 604
TCP 127.0.0.1:54879 192:8080 FIN_WAIT_2 604
TCP 192.168.1.10:8080 Router:57127 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57128 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57129 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57130 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57131 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57132 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57133 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57134 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57135 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57136 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57137 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57138 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Router:57139 ESTABLISHED 484
TCP 192.168.1.10:8080 Switch:56648 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56650 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56652 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56654 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56656 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56658 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56660 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56662 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56664 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56666 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56668 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Switch:56670 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Woonkamer:46914 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Woonkamer:46917 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Woonkamer:46920 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Woonkamer:46923 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Woonkamer:46926 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48623 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48626 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48629 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48632 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48635 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48638 CLOSE_WAIT 484
TCP 192.168.1.10:8080 Slaapkamer:48641 CLOSE_WAIT 484

## system.properties
#
# each unifi instance requires a set of ports:
#
## device inform
# unifi.http.port=8080
## controller UI / API
# unifi.https.port=8443
## portal redirect port for HTTP
# portal.http.port=8880
## portal redirect port for HTTPs
# portal.https.port=8843
## local-bound port for DB server
# unifi.db.port=27117
## UDP port used for STUN
# unifi.stun.port=3478
#
## the IP devices should be talking to for inform
# system_ip=a.b.c.d
## disable mongodb journaling
# unifi.db.nojournal=false
## extra mongod args
# unifi.db.extraargs
#
## HTTPS options
# unifi.https.ciphers=TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
# unifi.https.sslEnabledProtocols=TLSv1,SSLv2Hello
# unifi.https.hsts=false
# unifi.https.hsts.max_age=31536000
# unifi.https.hsts.preload=false
# unifi.https.hsts.subdomain=false
#
# Ports reserved for device redirector. There is no need to open
# firewall for these ports on controller, however do NOT set
# controller to use these ports.
#
# portal.redirector.port=8881
# portal.redirector.port.wired=8882
#
# Port used for throughput measurement.
# unifi.throughput.port=6789
#
#Tue Oct 24 17:36:06 UTC 2017
uuid= {Hier staat mijn uuid}

[2017-10-24 19:35:42,637] <launcher> INFO launcher - Replacing C:\Users\nilsv\Ubiquiti UniFi\bin\UniFi.exe with C:\Users\nilsv\Ubiquiti UniFi\bin\UniFi64.exe
[2017-10-24 19:35:47,388] <launcher-ui> INFO launcher - Initializing UniFi Controller ...
[2017-10-24 19:35:55,679] <launcher-monitor> INFO launcher - Starting UniFi Controller ...
[2017-10-24 19:36:01,018] <launcher> INFO system - *** Running for the first time, creating identity ***
[2017-10-24 19:36:01,087] <launcher> INFO system - UUID: {Hier staat mijn uuid}
[2017-10-24 19:36:01,102] <launcher> INFO system - ======================================================================
[2017-10-24 19:36:01,102] <launcher> INFO system - UniFi 5.5.24 (build atag_5.5.24_9806 - release) is started
[2017-10-24 19:36:01,102] <launcher> INFO system - ======================================================================
[2017-10-24 19:36:01,102] <launcher> INFO system - BASE dir:C:\Users\nilsv\Ubiquiti UniFi
[2017-10-24 19:36:01,218] <launcher> INFO system - Current System IP: {Hier staat het IP adres van mijn PC}
[2017-10-24 19:36:01,218] <launcher> INFO system - Hostname: PCbeneden
[2017-10-24 19:36:01,234] <launcher> INFO system - Valid keystore is missing. Generating one ...
[2017-10-24 19:36:01,234] <launcher> INFO system - Generating Certificate[UniFi]... please wait...
[2017-10-24 19:36:06,663] <launcher> INFO system - Certificate[UniFi] generated!
[2017-10-24 19:36:07,879] <launcher> INFO db - waiting for db connection...
[2017-10-24 19:36:08,379] <launcher> INFO db - Connecting to mongodb://127.0.0.1:27117
[2017-10-24 19:36:09,949] <db-server> ERROR system - [exec] error, rc=100
[2017-10-24 19:36:09,949] <db-server> INFO db - DbServer stopped
[2017-10-24 19:36:14,079] <db-server> ERROR system - [exec] error, rc=100
[2017-10-24 19:36:14,079] <db-server> INFO db - DbServer stopped
[2017-10-24 19:36:18,190] <db-server> ERROR system - [exec] error, rc=100
[2017-10-24 19:36:18,190] <db-server> INFO db - DbServer stopped
[2017-10-24 19:36:22,295] <db-server> ERROR system - [exec] error, rc=100
Enz enz enz, zo gaat het nog wel even door...