[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

Scriptonusman schreef op woensdag 5 april 2017 @ 12:53:
ter info: afgelopen week bij Azerty een AP-AC-Lite besteld en ook een nieuwe versie ontvangen (dus met 802.3af POE). Er zit overigens nog wel een 24V injector bij.

EdwinB schreef op woensdag 5 april 2017 @ 13:54:
Dat is dan wel een hele geheime nieuwe serie waar op de Ubiquiti website niets over wordt gerept. Ik zal eens kijken of ik dan nieuwe heb gekregen die 802.3af ondersteunen, want ik heb ze ook net een paar weken hangen.

EdwinB schreef op woensdag 5 april 2017 @ 13:54:
Dat is dan wel een hele geheime nieuwe serie waar op de Ubiquiti website niets over wordt gerept. Ik zal eens kijken of ik dan nieuwe heb gekregen die 802.3af ondersteunen, want ik heb ze ook net een paar weken hangen.

EdwinB schreef op woensdag 5 april 2017 @ 13:54:
Dat is dan wel een hele geheime nieuwe serie waar op de Ubiquiti website niets over wordt gerept. Ik zal eens kijken of ik dan nieuwe heb gekregen die 802.3af ondersteunen, want ik heb ze ook net een paar weken hangen.

[ Voor 16% gewijzigd door stormfly op 05-04-2017 16:44 ]

stormfly schreef op woensdag 5 april 2017 @ 16:41:
[...]
Je kan er dan ook niets mee hooguit je 14 dagen retourtermijn hanteren als je niet de blauwe sticker hebt. Maar de productcodes zijn allemaal het zelfde waardoor je hem niet selectief kunt bestellen.

[ Voor 50% gewijzigd door EdwinB op 05-04-2017 19:14 ]

EdwinB schreef op woensdag 5 april 2017 @ 19:12:
Helaas geen sticker en heb ze (net) langer dan 30 dagen in huis

Voor de werking van het AP maakt het natuurlijk niets uit, maar een eventuele aanschaf van PoE switch had wel wat goedkoper geweest.

• 1 standaard netwerk voor de bekabelde hardware.
  Hiervoor wil ik 1 poort op de router gebruiken met daarachter een aantal switches
• 2 wifi netwerken.
  1 netwerk moet ook aan de overige hardware kunnen, en 1 wil ik inzetten als gastennetwerk.
• Het gasten netwerk moet dus alleen gebruik kunnen maken van de internet mogelijkheden, maar moet dus niet aan de overige hardware kunnen.

CyberJack schreef op donderdag 6 april 2017 @ 16:00:
Ik heb momenteel 2 Unifi AC AP's (een Lite en een LR) en deze werken perfect samen met de controller software (welke in in een docker omgeving heb draaien).

Toen ik de AP's kocht, heb ik ook een EdgeRouter Lite 3 gekocht, maar ik kom er niet echt uit om deze te configureren zodat ik mijn huidige Asus router kan vervangen.

Wat ik wil doen is het volgende:

• 1 standaard netwerk voor de bekabelde hardware.
  Hiervoor wil ik 1 poort op de router gebruiken met daarachter een aantal switches
• 2 wifi netwerken.
  1 netwerk moet ook aan de overige hardware kunnen, en 1 wil ik inzetten als gastennetwerk.
• Het gasten netwerk moet dus alleen gebruik kunnen maken van de internet mogelijkheden, maar moet dus niet aan de overige hardware kunnen.

Ik heb een managed switch van TP-Link waarop ik VLAN's kan maken (voor de scheiding tussen het normale en gasten deel), maar verder kom ik er dus niet echt uit.

Zijn er ergens goede tutorials te vinden over hoe je een goede configuratie maakt? of het is voor een leek als ik makkelijker om mijn Lite 3 te verkopen en een UniFi USG aan te schaffen (zodat ik deze via de controller software kan instellen).

1. Unifi Controller: Maak guest netwerk aan, koppel deze aan Vlan X (200 bijvoorbeeld)[/i]
2. Switch: Maak VLAN X aan. Tag de poorten van je AP en ERLITE met dat VLAN
3. Edgerouter: Maak een VLAN interface aan voor die met een eigen subnet. Stel de DNS in dat hij ook op die interface (eth1.200) gaat luisteren en maak een DHCP pool aan
4. Nu het tricky gedeelte: firewalling. Ik gebruik zone-based firewalling (gebaseerd op de "community config" welke hier eens eerder gepost is en heb dus deze zones aangemaakt. Alles is drop-all by default, alleen related+established staat ie toe. Voor de guest-wan policy group zit een allow all naar internet (mogelijk dat ik hier voor de zekerheid SMTP nog dichtzet)

[ Voor 4% gewijzigd door MrBarBarian op 06-04-2017 22:35 ]

MrBarBarian schreef op donderdag 6 april 2017 @ 22:34:
Over de cisco-switch: die is behoorlijk default geconfigureerd. Ik hen geen vlan's aangemaakt, of andere specifieke settings gedaan (zover ik weet )

marcel19 schreef op vrijdag 7 april 2017 @ 07:36:
Wie heeft de volgende setup thuis:
Edgerouter X
KPN glasvezel internet+ tv.

ik ben er nu al een tijd mee aan het stoeien en ik krijg het niet voor elkaar om werkend te krijgen zoals ik wil.

[ Voor 9% gewijzigd door anpat op 07-04-2017 08:01 . Reden: quote toegevoegd ]

MrBarBarian schreef op donderdag 6 april 2017 @ 22:34:

Over de cisco-switch: die is behoorlijk default geconfigureerd. Ik hen geen vlan's aangemaakt, of andere specifieke settings gedaan (zover ik weet )

rally schreef op vrijdag 7 april 2017 @ 08:03:
[...]


Maarrrrr tot zover alleen maar plezier gehad van de Unifi omgeving en mijn klanten zijn ook erg tevreden.

• DHCP client hostname DNS registration improvements - strip invalid characters and register the remaining, and allow periods. Removed 'host-decl-name' from registration consideration, so hosts with DHCP reservations defined in the controller will have the client-provided client hostname registered.
• Back end fix for DPI statistics retention coming in 5.6.3 controller
• Several Debian package dependencies updated to match latest EdgeRouter stable release.
• dnsmasq upgraded to same as latest EdgeRouter stable release.
• Adds back end allowing disabling SSH, for coming controller-side feature.
• Fixed RADIUS server service not being restarted in some cases where required, cause of RADIUS not working post-upgrade with previous upgrades.
• Fix for IPsec reloading problem after bootup and IP changes with DHCP WANs
• Added back end for site to site IPsec VPN status and statistics in the controller.

anpat schreef op vrijdag 7 april 2017 @ 08:00:
Okee mijn eerste ervaring met de MESH PRO, wat een geweldig apparaat... naast deze heb ik nog 2 AC-PRO's maar die lijken haast wel overbodig. Zowel met de GSM's als Ipads als laptops roam ik op de beneden verdieping nog nauwelijks tussen de MESH of de AC. En dit zelfs als ik bijna naast de AC ga staan... Het bereik in de tuin is perfect te noemen,
Tot aan mijn tuinhuis en zelfs erachter nog een prima bereik (achter het tuinhuis nog steeds 2 streepjes bereik en snelheid op het netwerk intern 80 down en en up... Streamen van Netflix werkte perfect zonder haperingen op HD.
Afstand huis naar tuinhuis is onjgeveer 80 meter, over mijn totale opervlakte van bijna 1000M2 heb ik vol bereik. :-)
Enig nadeel is (had het over het hoofd gezien) is dat ze redelijk groot is :-) bijna 2 keer de grote van de AC Pro De definitieve locatie is alleen nog over te twijfelen, als ik haar buiten wil hangen hangt ze zomers vanaf 11:00 tot in de avond in de volle zon... dat zal niet goed kunnen zijn... Hier moet ik nog eens naar zien.

Mijn opzet is trouwens:
USG -- Deze doet VLAN en DHCP
Beheer: Controller software op een 2012R2 DC
2 X AC Pro gevoed door een ThoughSwitch
1 X MESH Pro Ook gevoed door bovenstaande switch
4 Wifi netwerken waarvan 1 met portal 1 voor toestellen die geen NPS ondersteuning hebben zoals een TV of Apple TV
1 Gast netwerk met NPS
en prive netwerk natuurlijk voor onszelf met NPS

Daarnaast nog een Unifi video Drone aan het tuinhuis die via een POE switch gevoed word en van het tuinhuis een Giggabit kabel naar het huis loopt.. Ook staat daar mijn backup nas

*NPS = Network Policy Server voor Windows active directory ondersteuning..


[...]


En wat lukt er niet?

xtravital schreef op vrijdag 7 april 2017 @ 08:40:
Wat is het voordeel van je nassen rechtstreeks op je edgerouter aansluiten dan? Naar mijn mening is een switch beter ingericht om het verkeer te regelen dan de edgerouter.

[ Voor 23% gewijzigd door ThinkPad op 07-04-2017 09:13 ]

ThinkPadd schreef op vrijdag 7 april 2017 @ 08:44:
Ik heb onlangs een AP AC Lite overgenomen hier in V&A, maar nu blijf ik in de Unifi software zien dat hij op 100FDX verbonden blijft. Heb de netwerkkabel van switch > POE-injector al vervangen en de kabel van POE-injector naar AP ook, maar hij blijft op 100FDX. De switch is gewoon Gigabit.

Zou het kunnen dat er een verkeerde POE-injector bij zat? Typenummer is GP-A240-050
Iemand die een nieuwe AP AC Lite heeft gekocht (voor dat gebeuren met die blauwe sticker voor PoE gebeuren) en die hem wel op GigE heeft? Wat is het typenummer van jouw POE-injector?

Op de Ubiquiti site zie ik wel dat er verschillende modellen zijn:
[afbeelding]
https://www.ubnt.com/accessories/poe-adapters/

anpat schreef op vrijdag 7 april 2017 @ 08:44:
[...]


Zeker gezien de poorten 1 2 3 toch in hetzelfde VLAN steken...

[ Voor 26% gewijzigd door The Lord op 07-04-2017 12:36 ]

The Lord schreef op vrijdag 7 april 2017 @ 10:02:
Heeft er iemand een handleiding gevonden m.b.t. opzetten VLAN toekenning via WiFi d.m.v. Windows Server (2012 R2) RADIUS authenticatie? En dan vooral: deze gevolgd, waarna er een werkende omgeving was?

[ Voor 8% gewijzigd door anpat op 07-04-2017 10:20 ]

Jeroen_ae92 schreef op donderdag 6 april 2017 @ 22:37:
[...]

Iets zoals dit lijkt me een goed startpunt:

code:

1 2 3 4 5 6

configure Edit zone-policy Copy zone X to zone Y Top Set zone-policy zone Y interface ethX[ Set zone-policy zone Y from X firewall name X-Y

En zo ga je alle mogelijke manieren af zodat je altijd lan-iot, wan-iot, guest-iot en anders om hebt. Zorg wel dat je eerst de rulesets hebt gemaakt anders kun je ze niet koppelen aan je zones.
Hierna kun je de rules gaan maken binnen de rulesets.

Tip!!!! Doe een commit-confirm en kies voor Y(es). Indien je niet binnen 10min een confirm commando geeft, reboot de router automatisch waardoor de wijzigingen verloren zijn. Immers je hebt niet kunnen saven. Scheelt weer als je jezelf per ongeluk buitengesloten hebt.

MdBruin schreef op donderdag 6 april 2017 @ 21:41:
[...]


Ik weet niet hoe je rule namen opbouwt maar ik zou zeggen dat het volgende zou moeten werken.

IOT_TO_LAN
Default action drop
Allow established and related
Drop invallid

LAN_TO_IOT
Default action allow

Zodra dit werkt kan je indien je dit wilt alleen de poorten toestaan in je LAN_TO_IOT die gebruikt worden door je IOT apparaten, eventueel zelfs zo strikt met doel IP.

rally schreef op vrijdag 7 april 2017 @ 08:03:
[...]


Probeer eens een SSH sessie naar je AP op te zetten en dan de volgende commando's in te geven:

mca-cli
set-inform http://<IP van je UCK>:8080/inform

Wellicht dat je hem opnieuw moet adopten.

1
2
3
4

|Internet|-----USG/DHCPD---Unify switch---Cisco switch---- AP-AC-PR
                             |                        |--- X aantal andere aparaten die prima werken
                             |-----------|
                    Cloudkey         X andere apararaten die werken

Overigens ben ik voor mijn eigen infrastructuur en degene die ik onder mijn beheer heb op "Unifi Only" overgestapt zodat de configuratie aanzienlijk eenvoudiger verloopt.

ThinkPadd schreef op vrijdag 7 april 2017 @ 08:44:
Ik heb onlangs een AP AC Lite overgenomen hier in V&A, maar nu blijf ik in de Unifi software zien dat hij op 100FDX verbonden blijft. Heb de netwerkkabel van switch > POE-injector al vervangen en de kabel van POE-injector naar AP ook, maar hij blijft op 100FDX. De switch is gewoon Gigabit.

Zou het kunnen dat er een verkeerde POE-injector bij zat? Typenummer is GP-A240-050
Iemand die een nieuwe AP AC Lite heeft gekocht (voor dat gebeuren met die blauwe sticker voor 48V PoE gebeuren) en die hem wel op GigE heeft? Wat is het typenummer van jouw POE-injector?

Op de Ubiquiti site zie ik wel dat er verschillende modellen zijn:
[afbeelding]
https://www.ubnt.com/accessories/poe-adapters/

Sypher schreef op donderdag 6 april 2017 @ 16:09:
[...]
Echter.. ik wilde deze setup nu kopieren naar een 3e SSID + VLAN voor mijn IOT devices waarbij LAN wel naar IOT mag connecten. Krijg netjes een IP in het IOT segment maar verkeer gaat geen kant op verder. Enfin..

MdBruin schreef op donderdag 6 april 2017 @ 21:32:
[...]
Zelf ben ik door Jeroen steeds meer de configuratie via de command line gaan doen en doe eigenlijk dit alleen nog maar. Via de webpagina is natuurlijk ook genoeg in te stellen maar als je de commands door hebt dan gaat het voor mijn gevoel makkelijker. Doordat ik dus alleen de command line gebruik wordt het voor me lastiger om je te helpen met gebruik van de webpagina.
Sta je open voor de command line dan zal ik eens een opzet proberen te maken.
Qua firewall hoe uitgebreid wil je gaan? Wil je alleen bepaalde poorten toestaan in je guest gedeelte, dan is een zone based oplossing denk ik het overzichtelijkste.

Sypher schreef op vrijdag 7 april 2017 @ 10:50:
[...]


Ik heb namen als lan-iot, iot-lan etc. Maar in essentie hetzelfde.

De eerste stap was om überhaupt naar WAN te mogen vanaf iot, maar dat gaat al niet.
De router pingen ook niet (maar deelt wel netjes DHCP uit ).

Terwijl dit alles vanaf guests wel mag/kan en ik alle policies daarvan heb gekopieerd en gekoppeld heb aan de zone voor IOT. Ik zie waarschijnlijk iets kleins over het hoofd. De VLAN doet het, want ik krijg wel een IP uit de DHCP-IOT scope.

1
2
3
4

Host: 192.168.1.1
Port: 22
Username: ubnt
Password: ubnt

1

commit

1
2
3

commit-confirm
// Na akkoord en binnen 10 minuten
confirm

1
2

commit
save

1

configure

1
2

set system login user USERNAME authentication plaintext-password PASSWORD
set system login user USERNAME level admin

1

set system login user USERNAME full-name USER

1
2

commit
save

1

delete system login user ubnt

1

set system host-name ROUTER

1
2
3
4

set system domain-name EXAMPLE.COM
set system ip override-hostname-ip 192.168.1.1
set service dhcp-server hostfile-update enable
set service dns forwarding options localise-queries

1

set system time-zone Europe/Amsterdam

1

set service ssh port XX

1
2
3

set system offload ipv4 forwarding enable
set system offload ipv4 pppoe disable
set system offload ipv4 vlan enable

1
2

set interfaces ethernet eth0 address 192.168.1.1/24
set interfaces ethernet eth0 description "LAN"

1

delete interfaces ethernet eth0 address 192.168.1.1/24

1
2

set interfaces ethernet eth2 address dhcp
set interfaces ethernet eth2 description "WAN"

1
2

set interfaces ethernet eth0 vif 20 address 192.168.2.1/24
set interfaces ethernet eth0 vif 20 description "WLANGUEST"

1
2
3
4
5
6
7
8

set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.150
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 default-router 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 lease 86400
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 start 192.168.2.100 stop 192.168.2.150
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 default-router 192.168.2.1
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 dns-server 192.168.2.1
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 lease 86400

1
2

set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 domain EXAMPLE.COM
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 domain EXAMPLE.COM

1
2

set service dhcp-server shared-network-name LAN authoritative enable
set service dhcp-server shared-network-name WLANGUEST authoritative enable

1
2
3
4
5
6
7
8
9
10
11
12

set service nat rule 5010 outbound-interface eth2
set service nat rule 5010 type masquerade
set service nat rule 5010 description "Masquerade to eth2"
set service nat rule 5010 protocol all
set service nat rule 5010 log disable
set service dns forwarding cache-size 150
set service dns forwarding listen-on eth0
set service dns forwarding listen-on eth0.20
set port-forward hairpin-nat enable
set port-forward lan-interface eth0
set port-forward lan-interface eth0.20
set port-forward wan-interface eth2

1
2

set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 static-mapping HOSTNAME ip-address 192.168.1.x
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 static-mapping HOSTNAME mac-address 00:01:02:03:04:05

1
2

set system static-host-mapping host-name HOSTNAME inet 192.168.1.x
set system static-host-mapping host-name HOSTNAME alias HOSTNAME.EXAMPLE.COM

1
2

commit
save

[ Voor 69% gewijzigd door MdBruin op 11-04-2017 13:01 ]

Jeroen_ae92 schreef op vrijdag 7 april 2017 @ 12:38:
[...]


Plaats ander even output van de volgende 2 commando's. Dat helpt makkelijker

Show firewall
Show zone-policy

[ Voor 18% gewijzigd door Sypher op 07-04-2017 19:35 ]

marcel19 schreef op vrijdag 7 april 2017 @ 15:46:
Dit is handig materiaal

maar ben je niet bang dat die onoverzichtelijk gaat worden in dit topic?

ThinkPadd schreef op vrijdag 7 april 2017 @ 08:44:

Zou het kunnen dat er een verkeerde POE-injector bij zat? Typenummer is GP-A240-050
Iemand die een nieuwe AP AC Lite heeft gekocht (voor dat gebeuren met die blauwe sticker voor 48V PoE gebeuren) en die hem wel op GigE heeft? Wat is het typenummer van jouw POE-injector?

yzf1kr schreef op dinsdag 4 april 2017 @ 22:21:
Hoe heb je het AP ingesteld? Kanaal, Kanaal Breedte etc etc.

stormfly schreef op woensdag 5 april 2017 @ 07:41:
[...]

Firmware versie?

anpat schreef op woensdag 5 april 2017 @ 10:25:
[...]


Ik heb dezelfde opzet zoals jij beschrijft bij mijn schoonmoeder (in Polen) geinstalleerd en daar werkt het probleemloos., weliswaar UPC, maar dat moet niet uitmaken. Welke firmware staat er op het AP? standard lopen die dingen out of the box best een stuk achter namelijk.

[ Voor 39% gewijzigd door Jack3770 op 07-04-2017 16:54 ]

MdBruin schreef op vrijdag 7 april 2017 @ 15:52:
[...]


Ja vandaar ook mijn opmerking dat het in de TS mag worden opgenomen. Een apart topic er voor openen lijkt me niet handig.

marcel19 schreef op vrijdag 7 april 2017 @ 17:15:
[...]


ben erg benieuwd naar het gedeelte van vlans toewijzen en poorten configureren.

MdBruin schreef op vrijdag 7 april 2017 @ 18:22:
[...]


Zeg maar wat je er nog meer over wilt weten, dhcp komt er nog aan en een zone based firewall configuratie.

Jeroen_ae92 schreef op vrijdag 7 april 2017 @ 20:56:
[...]


Kun je ook nog een show interfaces doen?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

 ethernet eth0 {
     description WAN
     duplex auto
     speed auto
     vif 34 {
         address dhcp
         description "Internet"
         mtu 1500
     }
 }
 ethernet eth1 {
     address 192.168.1.1/24
     description LAN
     duplex auto
     speed auto
     vif 100 {
         address 192.168.50.1/24
         description GUEST
     }
     vif 110 {
         address 192.168.110.1/24
         description IOT
     }
 }

marcel19 schreef op vrijdag 7 april 2017 @ 19:52:
[...]


ik zou graag willen weten hoe je dit opzet:

Edgerouter;
eth0 > WAN vanuit de FTU.glasvezel
eth1 > lan voor internet Vlan 6 Subnet:192.168.1.*
eth 2 > lan voor internet Vlan 6 Subnet:192.168.1.*
eth3 > lan voor internet Vlan 6 Subnet:192.168.1.*
eth4 > lan voor iptv Vlan 4

MdBruin schreef op vrijdag 7 april 2017 @ 22:53:
[...]


Dan praat je over de EdgeRouter POE?
De POE heeft op de eth2,3,4 de switch mode zitten en niet op eth1

In deel 1 staat de configuratie voor KPN glasvezel i.c.m. IPTV, heb hierin zelf geen ervaring en kan het niet testen aangezien ik zelf oud xmsnet klant nu telfort klant ben. Heb dus niet de VLAN's voor internet en IPTV, dit word al geregeld op het glasvezelmodem en heb dus 2 aparte poorten.

RichieB schreef op vrijdag 17 maart 2017 @ 15:34:
[...]

Ik heb een syslog server draaien waar ik alle logs naar toe stuur, en logcheck stuurt mij een mailtje als er iets gelogd wordt dat niet bekend is. Ik weet niet of de ERL ssh inlog pogingen logt via syslog maar dat lijkt me wel.

marcel19 schreef op vrijdag 7 april 2017 @ 22:55:
[...]


Ik ben in het bezit van een Ubiquiti Edgerouter X

Jeroen_ae92 schreef op vrijdag 31 maart 2017 @ 12:46:
[...]


Die doen OpenVPN dus dat is makkelijk. OpenVPN tunnels worden door de router gezien als interface. Hierdoor kun je relatief eenvoudig NAT rules toepassen op basis van source en/of destination.

Er zijn 2 dingen die je moet doen voor je begint. De eerste stap, haal de relevante bestanden op van Windscribe. Je dient de OVPN, CA Cert en AUTH files die je bij Windscribe gedownload hebt op je router te zetten in de folder /config/auth/. Dit doe je met scp. Hierna moet je de ovpn file aanpassen dat deze klopt.
Ik weet niet wat er default in staat maar je moet iig het pad naar de CA Cert en de AUTH key file aanpassen/bijmaken. Je kunt natuurlijk ook eerst de files aanpassen en daarna pas uploaden. Dat is om het even.

Hierna maak je de interface op basis van de OVPN config file.

code:

1 2 3 4

configure set interfaces openvpn vtun0 config-file /config/auth/windscribe-netherlands.ovpn set interfaces openvpn vtun0 description 'Windscribe VPN' save,exit

Zodra dit werkt kun je de Masq NAT rule maken naar wens.

Jeroen_ae92 schreef op zaterdag 1 april 2017 @ 15:56:
[...]


Om één of andere magische reden doet mijn VF toestel (iphone) dit niet maar bij een collega wel. Zelfde zakelijke abbo, nagenoeg zelfde inrichting Edgerouter en UAP's. Ik heb daarentegen prima bereik thuis dus daar zoek ik dan maar de reden in dat het niet werkt cq overschakelt naar Wifi bellen.

MdBruin schreef op zaterdag 8 april 2017 @ 17:09:
[...]


Zonder firewall in te vullen voor de vtun0 zou alles toegestaan behoren te worden. Ik neem aan dat je al de NAT functionaliteit al werkend hebt voor je eigen netwerk. De vtun0 zal hiervan gebruik kunnen maken.

De vraag is alleen, welke dns server geef je mee? Indien dit lokaal laat doen door de router zal je ook de dns listen moeten toevoegen op de tunnel.

Om de vtun0 routable te maken naar de WAN

code:

1	set service port-forward lan-interface vtun0

Om de dns server ook naar de vtun0 interface te laten luisteren

code:

1	set service dns forwarding listen-on vtun0

Natuurlijk kan je het even testen, maak de verbinding en ping eerst naar de gateway. Zou zonder problemen horen te werken ook zonder de bovenstaande regels.
Ping nu naar 8.8.8.8, krijg je een reply dan werkt je nat correct en kan je de eerste stap overslaan.
Ping nu naar Google.nl, krijg je hierop ook een reply dan werkt de dns. (Neem aan dat deze alzo niet werkt. Check in de verbinding ip eigenschappen welke dns er toegewezen is aan de vtun0 verbinding) Tevens hangt het er vanaf welke optie je voor het verkeer hebt gekozen, maar denk dat je hebt gekozen voor alle verkeer over de tunnel aangezien internet stopt met functioneren.
Door het stap voor stap te testen kan je vinden waar het spaak loopt.

Natuurlijk even een commit om de instelling te activeren om te testen en een save om de aanpassing op te slaan.

1

set service port-forward lan-interface vtun0

1975Mark30 schreef op zaterdag 8 april 2017 @ 18:30:
[...]


Bedankt voor je reactie! Op de ping naar 8.8.8.8 krijg ik geen reply. Na het volgende commando:

code:

1	set service port-forward lan-interface vtun0

Krijg ik helaas het volgende terug:
The specified configuration node is not valid
Set failed

Wat gaat er dan fout?

1
2

configure 
set service port-forward lan-interface

[ Voor 17% gewijzigd door MdBruin op 08-04-2017 19:22 ]

MdBruin schreef op zaterdag 8 april 2017 @ 19:15:
[...]


Wel een nul aan het einde gebruikt?
En natuurlijk wel in de configure mode alle commando's. Werkt het dan nog niet typ dan

code:

1 2	configure set service port-forward lan-interface

En druk niet op enter bij het tweede commando maar op de tab toets om te kijken welke interfaces beschikbaar zijn. Maak het commando af met de juiste interface (Eventueel de v neerzetten en nogmaals de tab toets gebruiken, het commando wordt dan geautocomplete).
Daarna het commit commando om het actief te maken en testen of je nu een stap verder komt.

1975Mark30 schreef op zaterdag 8 april 2017 @ 20:08:
[...]


Ja, wel een nul aan het einde gebruikt en inderdaad in de configure mode. Als ik op de tab toets druk na het tweede commando gebeurt er helaas niets. Ook met een v neergezet niet. Ik ben in de CLI gekomen via SSH PUTTY en via CLI aangeklikt via de webinterface. In beide gevallen geen reactie op de tab toets helaas...

MdBruin schreef op zaterdag 8 april 2017 @ 21:02:
[...]


Ze hebben in de versies aardig wat aanpassingen gemaakt, mijn configuratie stamt nog af van de 1.5 versie. Ik had mijn vpn nog niet gebruikt, tot nu toe en kom er achter dat de config ook niet meer werkt.
Kom er op terug, of Jeroen moet weten wat je moet veranderen.

De port-forward zit tegenwoordig niet meer onder service maar is rechtstreeks te benaderen via set port-forward ...
Helaas zit bij mij ook de vtun0 daar ook niet meer onder, waar wel durf ik niet zo te zeggen.
Mij lijkt dat de configuratie van vtun0 nog als LAN gemarkeerd zou moeten worden zodat de masquerade weet dat indien niet bekent naar de WAN interface gerouteerd moet worden.

DenBenny schreef op zaterdag 8 april 2017 @ 09:57:
[...]


Mag ik vragen op welke "log level" je de edgerouter hebt ingesteld?

[ Voor 19% gewijzigd door RichieB op 08-04-2017 22:02 ]

Timmert schreef op zaterdag 8 april 2017 @ 22:29:
Iemand ervaring met DHCP problemen icm IOS?

Ik heb een site met een USG (achter een Ziggo modem in bridge mode) en 2x UAP AC LR.
Draait momenteel op 3.7.51.6230 (maar heb al vele andere geprobeerd).

Probleem is dat diverse IOS devices af en toe de verbinding verliezen.
Gebruiker krijgt dan een WiFi tekentje met een uitroepteken erin, en onder het SSID staat in het geel "geen internetverbinding". SSID is gewoon in de lucht, maar het info schermpje op het device toont een 169.x.x.x IP. WiFi uit/aan en probleem is opgelost.

Andere apparaten op deze site hebben hier geen last van.

Heeft iemand enig idee?

Rub147 schreef op zaterdag 8 april 2017 @ 22:42:
[...]

Zelfde probleem hier, nog geen oplossing gevonden. Hiervoor hingen er Meraki's, toen nergens last van

Jeroen_ae92 schreef op zaterdag 8 april 2017 @ 22:15:
Uhh... jullie praten langs elkaar heen

Trouwens, ben ik de enige die een SSL error krijgt op de website van Windscribe?

@MdBruin Voor L2TP ipsec VPN heb je enkel de volgende commando's nodig naast de gebruikelijke firewall shizzle:

Jeroen_ae92 schreef op zaterdag 8 april 2017 @ 22:57:
[...]

Kun je wat zeggen over de topology op locatie? Zitten de wifi clients bv in een ander subnet dan de DHCP server? Zit er een switch tussen de AP's en de USG? etc.

Jeroen_ae92 schreef op zaterdag 8 april 2017 @ 22:15:
Uhh... jullie praten langs elkaar heen

@1975Mark30 Jij bent bezig met de VPN vanuit de edgerouter naar Windscribe middels OpenVPN als client op de Edgerouter. Na de configuratie die ik je aangaf moet je met de NAT rules aan de gang.
Je maakt een nieuwe source nat rule en vul deze in als volgt:

code:

1 2 3 4 5

set service nat rule 5000 description "masq to OpenVPN tunnel" set service nat rule 5000 log disable set service nat rule 5000 outbound-interface vtun0 set service nat rule 5000 protocol all set service nat rule 5000 type masquerade

Kijk wel eerst of die rule vrij is dmv:

code:

1	show service nat

Is ie niet vrij, dan moet je wat herschikken via CLI of misschien makkelijker, via de GUI. De NAT rule voor de OpenVPN moet boven je normale verkeer staan namelijk.
Anyway, als rule 5000 reeds bestaat, noem in bovenstaande commando's het rule nummer 5050 ofzow.
Hierna dus herschikken

Ik vermoed trouwens dat je issue komt door de provider die je een nieuwe default gateway meegeeft.
Test even of het beter gaat als je de optie "route-nopull" toevoegd aan je OPVN file.

stormfly schreef op zondag 9 april 2017 @ 08:09:
https://help.ubnt.com/hc/...ntenna-Radiation-Patterns

Eindelijk!

Jeroen_ae92 schreef op zondag 9 april 2017 @ 12:02:
[...]


Mmm... pretty weird... Weet je wat ik doen, gezien het toch gratis is, ik maak gewoon even een account aan. Kan ik eens bezien wat de issues en oplossingen zijn. Heb nog wel een Edgerouter waar ik dat op kan proberen. Kan ik gelijk even zien wat de performance hit is op bv een Edgerouter Lite en een Edgerouter Pro.

Jeroen_ae92 schreef op zondag 9 april 2017 @ 15:30:
[...]


Nailed it...

Je moet de OVPN file even aanpassen naar:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

client dev tun ; Voeg tls-client toe aan je ovpn file tls-client proto udp remote nl.windscribe.com 1194 nobind ; Voeg /config/auth/auth.txt toe aan auth-user-pass ; Dat scheelt je handmatig authenticeren auth-user-pass /config/auth/auth.txt resolv-retry infinite auth SHA512 cipher AES-256-CBC keysize 256 comp-lzo verb 2 mute-replay-warnings ns-cert-type server persist-key persist-tun ; De rest blijft staan ;-)

Maak nu een nieuw bestand aan in de /config/auth directory en noem deze auth.txt.
Voeg hier enkel je username en password aan toe.

code:

1 2	jeroen92_a9ce4hyzYs2 qjtm32abcdz6rh7

Vervolgens geef je een reset openvpn interface vtun10 of toggle de interface via de GUI.
Probeer maar eens.

Snelheid valt trouwens behoorlijk tegen. 7,5Mbps/8Mbps.

Jeroen_ae92 schreef op zondag 9 april 2017 @ 16:56:
[...]


Dat klopt allemaal. Had je de nopull optie er weer uitgehaald? Die is toch wel echt nodig

Timmert schreef op zaterdag 8 april 2017 @ 23:00:
[...]

Sure. DHCP server en clients zitten in hetzelfde subnet.
Op de USG is een switch aangesloten (Netgear 8p gigabit, domme switch), van hieruit gaan 2 kabels naar 2 andere Netgear switches waaraan vervolgens de UAP's hangen. Nothing fancy.

Jeroen_ae92 schreef op zondag 9 april 2017 @ 22:06:
[...]

Oogt plat genoeg
Is de DHCP scope niet gewoon vol op dat moment? Kijk eens in de USG naar "show dhcp statistics pool LAN_192.168.1.0-24".
Ik ken het issue namelijk niet anders dan bepaalde snooping op Cisco switches, halve of incorrecte IP helpers of verkeer ingerichte DHCP servers. Maar op zo'n plat netwerk met een USG dan weer niet.

Timmert schreef op zondag 9 april 2017 @ 21:49:
[...]

@Jeroen_ae92 heb je hier wellicht nog een antwoord op?

[ Voor 21% gewijzigd door stormfly op 10-04-2017 11:14 ]