[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2

To_Tall schreef op vrijdag 13 juli 2018 @ 16:14:
[...]

Afhankelijk wat je allemaal hebt ingesteld natuurlijk. De X is de basis edgerouter voor een leuke prijs. Ik heb hem zelf ook een tijdje draaiend gehad. nooit problemen mee gehad (KPN FTTH)

Echter hij heeft zo limitaties. Minder CPU, Minder geheugen enz. dus ja mocht je iets ingesteld hebben wat geheugen en of CPU kost. dan kan de troughput afzwakken.

Jan-man schreef op vrijdag 13 juli 2018 @ 19:23:
[...]


Nou niet zoveel op dit moment eigenlijk.

Heb ftth kpn (eth0) erop draaien met 1 lan netwerk (eth1) met 2 vlan over de glas gbic (eth5).

Verder 1 port forwarding

Dus zoveel is het eigenlijk niet dus zou makkelijk moeten. De CPU en ram worden nauwelijks aangesproken.

En heb een glas

kookboy schreef op maandag 9 juli 2018 @ 18:49:
Fast roaming uitgezet op het verborgen netwerk en wpa2 authenticate aangezet en werkt als de beste. Thanx BushWhacker !!!

QempZoR schreef op woensdag 11 juli 2018 @ 10:22:
Regel 13
Het schijnt dat Telfort het niet accepteert dat er 2 DHCP requests van hetzelfde mac komen.
Misschien kan je dus ook een willekeurig adres ingevuld.
Ik heb er voor gekozen om de laatste letter van het macadres met 1 letter in het alfabet te verhogen.
In mijn geval xx:xx:xx:xx:xx:xd

Regel 29
Het macadres wat op de status pagina van de EB staat. (en misschien ook wel op de sticker achterop)

nero355 schreef op vrijdag 13 juli 2018 @ 21:14:
[...]

Dan benadeel je dus misschien iemand anders die straks ook een Ubiquiti router i.c.m. Telfort gebruikt

Kan je beter wat leuks doen met het MAC adres van de EB

[ Voor 9% gewijzigd door QempZoR op 13-07-2018 21:29 ]

QempZoR schreef op vrijdag 13 juli 2018 @ 21:27:
Die snap ik niet helemaal.
Voor eth0.34 gebruik ik het macadres wat achterop mijn EB staat. (Die ligt nu hier in de kast)
Voor eth0.4 gebruik ik datzelfde macadres, maar dan de laatste letter 1 verhoogt.

Je bedoeld dat er een kans is dat iemand hier een Experiabox heeft, met op de sticker het macadres die ik heb gemaakt op .4? Die kans lijkt me echt te nihil.. haha

Edit: het staat er inderdaad wat krom. Voor de duidelijkheid, het gaat om het macadres van mij EB die met 1 is verhoogd. Niet van mijn USG.

Dafjedavid schreef op vrijdag 13 juli 2018 @ 20:27:
CK firmware 11.5 en controller versie 5.8.25 is uit in t unifi beta forum.
Voor degene die issues hebben met 11.4 en 5.8.24 lost t mss wat op.
Wordt aangegeven dat er veel bugfixes zijn.

nero355 schreef op vrijdag 13 juli 2018 @ 21:30:
[...]

Dan nog : Niet doen!

Gewoon een normaal bestaand MAC adres gebruiken! Die dingen zijn niet zomaar bedacht

rally schreef op zaterdag 14 juli 2018 @ 08:27:
Ik zag het volgende in het changelog:

Controller bugfixes/changes since 5.8.24:
Add setup size status for UniFi Cloud Key.
Allow forced adoption in case the adopted device limit is reached.
Hide broken RSSI Histogram on nanoHD.
Fix autocomplete for creating new RADIUS user.
Various bug fixes and improvements.

En mijn oog viel op : Allow forced adoption in case the adopted device limit is reached.

Iemand die weet wat dat inhoud en/of wat de limieten dan zijn?

mchl8 schreef op vrijdag 13 juli 2018 @ 21:47:
[...]


Wat me opviel onder het item controller settings in 5.8.25 is ‘limit of adopted devices’, met een maximum van 26. Nu kom je daar in een gemiddelde thuissituatie niet snel aan, maar ik kan vooralsnog nergens terugvinden wat het doel ervan gaat zijn? Zou dat wellicht betekenen dat je straks moet betalen om meer devices te adopteren? Of is het een technische limiet?

zeroday schreef op zaterdag 30 juni 2018 @ 08:39:
[...]


Niets van wat je al niet draait. Je hoeft echt geen extra services in te richten.

1. Ervoor zorgen dat je de DNS namen van je machines goed hebt staan
2. je USG is je 'DNS' provider dus die verzorgt d.m.v. of DHCP of fixed IP dat de machines in je domein werken
3. bij settings - networks - lan geef je je domeinnaam op. In mijn geval is dat gewoon een normale domeinnaam die ik heb en die gebruik ik voor 99% alleen maar intern. Dangooit ie je domeinnaam achter de hostname via DHCP
3a. in de controller bij de namen van je machines kan je bijv. bij fixed ips de gehele dns naam meegeven

zo heb ik in mijn normale externe dns 90% van al mijn prive subdomeinen niet gedefinieerd. als jij vanaf buiten naar bijv. subdomein 'media.myawesomestuff.com' dan kom je er nooit, maar ik intern wel.

Als je het wel configureert in je externe DNS dan kan dit in sommige gevallen problemen geven (bijv. als je via je DHCP onder windows af en toe wat dns problemen hebt (gebeurt vooral na een firmware upgrade) dan krijg je of geen goede lookup of je moet bijv. eerst een ipconfig /flushdns doen om de juiste IP weer te krijgen.
4. Je kan dit alles ook met een pihole doen, maar is niet nodig. De USG doet hierin wat ie moet doen.

En als dat niet werkt dan gewoon onder bijv. windows je host file aanpassen
waar je gewoon verwijst naar de interne IP adressen van je machines

Oh en het mooie van dit alles: het domeinnaam wat je bedenkt hoeft niet perse van jezelf te zijn
zo zou je pinup.playboy.com gewoon intern kunnen draaien

1

 /etc/dnsmasq.d/dnsmasq.static.conf

1

 address=/unifi.hklm_.nl/192.168.1.10

1

 sudo /etc/init.d/dnsmasq force-reload

[ Voor 10% gewijzigd door HKLM_ op 14-07-2018 14:25 ]

RobertMe schreef op zaterdag 14 juli 2018 @ 09:02:
[...]


[...]


Ik denk dat jullie elkaars vraag beantwoorden

rally schreef op zaterdag 14 juli 2018 @ 14:40:
[...]


LOL....

Maar... max 26 devices is wel een probleem. Daar zit ik op mijn werk al overheen... benieuwd hoe dat gaat lopen.
En is het per site of totaal? Want ik heb 18 sites draaien met een veelvoud van 26 devices.

[ Voor 27% gewijzigd door SmokingCrop op 14-07-2018 16:03 ]

De router maakt (naast de normale internet verbinding via een PPP verbinding) ook een (bridged, RFC1483) verbinding voor de TV.
• Voor ADSL gaat dat via vpi/vci 8/71
• Voor VDSL en FTTH via (802.1q) VLAN 4

Via DHCP wordt een ip adres (alleen v4) opgehaald. In het DHCP request moeten de volgende opties staan:
• 55 (parameter-rquest-list), bevat minstens 1, 3, 28 en 121
• 60 (Vendor Class Identifier), bevat de string IPTV_RG

Het DHCP antwoord bevat (in optie 121, zie RFC3442) een of meer statische routes, daarmee wordt dynamisch aangegeven welk verkeer niet via de PPP verbinding maar via de iTV verbinding gerouteerd moet worden. In optie 121 worden niet meer dan enkele routes doorgegeven, maximaal 16.
Let op, in dat DHCP antwoord zit ook nog een nameserver, die moet genegeerd worden.

De STB wordt (via DHCP op het LAN) voorzien van een normaal ip op het LAN, daar zit verder niets speciaals in.

Omdat de klantrouter als eind-device functioneert vanuit het TV platform gezien moet daar een IGMP proxy actief zijn (IGMPv2). Alle live tv streams, alsmede gids informatie en STB updates zijn multicast gebaseerd. Een eventueel switch deel moet IGMP snooping implementeren. IGMP fast leave is noodzakelijk om onnodige streams (zappen van zender naar zender) af te kappen.

Video-on-demand functionaliteit gaat via unicast, hiervoor is geen speciale functionaliteit nodig, anders dan de statische route als via DHCP aangegeven. ‘MeerTV’ functionaliteit geschiedt via de normale internet verbinding

Sluit

SmokingCrop schreef op zaterdag 14 juli 2018 @ 15:58:
[...]

Ik zou sowieso al geen cloud key gebruiken voor dergelijke groottes. Gewoon op een (remote) server hosten. Sowieso veel handiger met 1 dedicated plaats voor al je sites (zonder die cloud functie te gebruiken om te connecteren met je cloudkeys). Moet je ook maar 1 controller updaten, back-up'n etc. Krijg je ook meer performance voor terug dan zo'n raspberry pi achtige controller qua kracht.
Een device naar een remote controller adopten is maar kwestie van 1 commando 2x uit te voeren via ssh op je device:
set-inform http://ip.of.domein:8080/inform

Het lijkt me overigens een technische limitatie, ze geven bv volgend voorbeeld aan van wat de cloudkey aankan:

1 USG
1 US24
24 UAPs
1000 concurrent clients
https://help.ubnt.com/hc/...can-the-Cloud-Key-handle-


"For example, a Cloud Key would be a great option for a remote office with 2 APs and up to a dozen of simultaneously connected clients"

"As your network becomes more complex—with more sites, UniFi devices and most critically, connected client devices, it becomes a better option to use a dedicated controller with more resources than the Cloud Key."

HKLM_ schreef op zaterdag 14 juli 2018 @ 14:06:
Zou je mij nog eens willen helpen. Ik heb een real domain name HKLM_.nl en mijn unifi controller wil ik intern kunnen bereiken op unifi.hklm_.nl als ik mijn hostfile in windows aanpast gaat dit prima maar via de USG DNS lukt het niet ondanks je stappen.

- Ik heb de naam van de cloud key aangepast naar unifi en in de settings/network/lan als domain opgegeven hkml_.nl echter als ik dan op een systeem zit zonder de aangepaste host file kom ik er nog niet op helaas. Ik zie vast iets niet...

Schiet mij maar lek haha ik heb bij de settings/network/lan mijn domain opgegeven HKLM_.nl die zie ik ook terug in mijn dns op mijn iphone als search domains. Maar het werkt niet... Ik heb nu de dnsmask via cli aangepast en het werk

code:

1	/etc/dnsmasq.d/dnsmasq.static.conf

code:

1	address=/unifi.hklm_.nl/192.168.1.10

code:

1	sudo /etc/init.d/dnsmasq force-reload

Zie vast iets over het hoofd in de GUI maar ben blij dat het nu werkt

nero355 schreef op zaterdag 14 juli 2018 @ 18:06:
[...]

Ik misbruik daarvoor een Raspberry Pi met Pi-Hole erop en de Unifi Controller draait er uiteraard ook op

HKLM_ schreef op zaterdag 14 juli 2018 @ 18:16:
Die pi-hole heb ik ook wel eens draaiend gehad maar heb alleen non gigabit pi’s liggen.

Daarnaast klaagde de vrouw over de google adds..

nero355 schreef op zaterdag 14 juli 2018 @ 18:20:
[...]

Zelfs Wireless is snel genoeg dus dat mag de pret niet drukken


[...]

Zeker het niet erop kunnen clicken ?

Heb ik ze hier afgeleerd

[ Voor 3% gewijzigd door HKLM_ op 14-07-2018 18:28 ]

Justin2000 schreef op zaterdag 14 juli 2018 @ 19:07:
De pro heeft 450 mbit op 2.4g de lite 300mbit. Ook op de 5ghz band is de pro sneller.

TripleQ schreef op zaterdag 14 juli 2018 @ 19:35:
De LR is er dan ook nog als alternatief, maar ik vermoed dat deze weinig toevoeging heeft in mijn relatief kleine woning.

RobertMe schreef op zaterdag 14 juli 2018 @ 19:24:
[...]
[...knip…]

Voordeel van de Pro in dat geval is echter wel dat deze de derde, "ongebruikte", antenne bij ontvangen kan inzetten om ruis te onderdrukken. De Pro zou in die gevallen dus een iets beter ontvangst kunnen geven (echter is het uiteraard wel beter, en bijna goedkoper, om 2x een Lite te plaatsen dan 1x een Pro).

ardvark99 schreef op zaterdag 14 juli 2018 @ 21:03:
[...]


Interessant. Waar stel je dat in? En waar is informatie hier over te vinden? Niet dat ik het nodig vind, maar ben gewoon benieuwd.

En nog een andere vraag: ik heb mijn AP's (Pro en LR) nu beide op auto channel staan, maar ik heb laatst ergens gelezen dat je de kanalen beter vast kan zetten op een redelijk leeg kanaal. Zo van: laat de buren maar een vrij kanaal zoeken op auto.

En ik zag laatst in de controller dat ie een tijdje (paar weken) de 2G kanalen van beide AP's op het zelfde kanaal had gezet op de auto stand. Is het beter om de kanalen het zelfde te houden? Het lijkt mij dan dat ze dan elkaar in de weg zitten. Dit na een RF scan gedaan te hebben.

RobertMe schreef op zaterdag 14 juli 2018 @ 22:16:
[...]

[...knip…]

[...]

SilencerNL schreef op zondag 8 juli 2018 @ 11:22:
[...]


@kwad , @xbeam
Inmiddels heb ik (voor mijn situatie) de oplossing gevonden. Het blijkt dat in de nieuwste controller versie de firewall settings gewijzigd worden, waardoor het één en ander geblokkeerd wordt.

Nadat ik het volgende stukje 'firewall' heb toegevoegd aan mijn custom.gateway.json, werkt IPTV weer zoals vanouds, met controller versie 5.8.24 en USG versie 4.4.22

(Het gaat om het stukje "source-validation": "disable")

JSON: filename=custom.gateway.json

1 2 3 4 5 6 7 8

{ "firewall":{ "source-validation":"disable" }, "interfaces":{ "....KNIP....." } }

mchl8 schreef op zondag 15 juli 2018 @ 19:57:
Zijn er anderen hier die ook de overige netwerkapparatuur zoals switch(es), AP’s e.d. in een apart VLAN gezet hebben, al dan niet een apart management VLAN opgetuigd hebben hiervoor?

Momenteel heb ik een VLAN gemaakt voor IoT spullen, waaronder een TV en domotica controller. Op mijn UniFi switch heb ik een nieuw port profile gemaakt die als trunk dient voor de uplink poort naar de ERL, met LAN als native en het IoT netwerk getagged.

[ Voor 11% gewijzigd door L201 op 15-07-2018 22:05 ]

RobertMe schreef op zondag 15 juli 2018 @ 20:50:
[...]

Ik heb zelf het omgedraaide gedaan. Ik heb een 'prive' VLAN waarop de computers etc zitten. Het standaard LAN netwerk zitten vervolgens alleen de USG, switches, AP en mijn NAS in.

[...]

Dit is toch gewoon gelijk aan het altijd aanwezige all profile? Deze kun je zelf niet beheren, maar heeft ook LAN als untagged en al je extra aangemaakte netwerken als tagged.

mchl8 schreef op zondag 15 juli 2018 @ 22:16:
[...]


Dank je wel voor je hulp!
Hoe heb je dat dan met wireless apparatuur gedaan (laptop bijvoorbeeld)? Bekabeld kun je natuurlijk prima via de betreffende switch poort van een ander VLAN voorzien, maar hoe bereik je dat met draadloze clients?

mchl8 schreef op zondag 15 juli 2018 @ 22:16:
[...]


Dank je wel voor je hulp!
Hoe heb je dat dan met wireless apparatuur gedaan (laptop bijvoorbeeld)? Bekabeld kun je natuurlijk prima via de betreffende switch poort van een ander VLAN voorzien, maar hoe bereik je dat met draadloze clients?

Daar zeg je wat. Ik heb dus een profiel gemaakt dat gewoon al bestaat . Gelijk even rechtgezet, had ik zelf eigenlijk ook moeten weten. Bedankt me daar even op te wijzen!

RobertMe schreef op zondag 15 juli 2018 @ 22:19:
[...]

Bij het WLAN kun je (onder Advanced? IIRC) het VLAN ID opgeven dat gebruikt moet worden voor dat WLAN.

Is het ook gelukt om hem in de controller weer online te krijgen?

kwad schreef op maandag 16 juli 2018 @ 11:53:
[...]

Bij mij nog niet. Hij staat nog steeds op Disconnected. Wel heb ik met iemand van ubnt via het ticketsysteem contact en hij is aan het uitzoeken hoe dit komt. Vrijdag einde dag voor het laatst contact gehad dus hopelijk komt hij er vandaag weer op terug.

Kavaa schreef op vrijdag 13 juli 2018 @ 09:21:
[...]


Ik kan me niet echt een situatie zo voorstellen waarom je het geheugen zou willen uitbreiden?
Vertel...

databeestje schreef op maandag 16 juli 2018 @ 22:37:
[...]

BGP tables hebben wat geheugen nodig

burne schreef op maandag 16 juli 2018 @ 23:24:
[...]


Ga je een full routing table bijhouden op je routertje?

Het is lang geleden dat ik bytes moest tellen maar je moet op enkele tientallen bytes per route rekenen. Als je een redundant default route van je ISP krijgt heb je dus minder dan 100 bytes nodig voor je route-tabel.

Maar als je alle 725930 IPv4 routes wilt heb je wat meer geheugen nodig. 'Echte' routers hebben de route-tabel in TCAM, wat een beetje duurder en veel sneller dan RAM is, en daar maakt het uit.

DanTm schreef op dinsdag 17 juli 2018 @ 09:48:
Ik vroeg mij af wanneer je eigenlijk de update optie (knop) bij een AP te zien krijgt.
Mijn AP's zijn nu allemaal 3.9.27 (controller 3.8.24), maar op de site zie ik dat 3.9.42 ook al gereleased is. Waarom krijg ik die niet te zien als update? of kan dat alleen maar handmatig via de update url?

TPA schreef op dinsdag 17 juli 2018 @ 09:56:
[...]


Hij is net uit, dat duurt meestal een aantal dagen...hij staat wel in de community maar nog niet op de download pagina.... ook dat duurt een aantal dagen.
Je kan hem op dit moment enkel handmatig updaten...

DanTm schreef op dinsdag 17 juli 2018 @ 09:48:
Ik vroeg mij af wanneer je eigenlijk de update optie (knop) bij een AP te zien krijgt.
Mijn AP's zijn nu allemaal 3.9.27 (controller 3.8.24), maar op de site zie ik dat 3.9.42 ook al gereleased is. Waarom krijg ik die niet te zien als update? of kan dat alleen maar handmatig via de update url?

DanTm schreef op dinsdag 17 juli 2018 @ 09:59:
[...]


ok, maar 3.9.40 is al langer uit, en die is ook niet beschikbaar via de controller. Nog niet stabiel genoeg?

[ Voor 17% gewijzigd door RobertMe op 17-07-2018 10:01 ]

RobertMe schreef op dinsdag 17 juli 2018 @ 10:00:
[...]


3.9.40 is alleen in beta forum uitgekomen IIRC? Dus inderdaad niet stabiel genoeg dan (of ze hadden verdere fixes al klaar voor 3.9.42 en daarom .40 overgeslagen)

DanTm schreef op dinsdag 17 juli 2018 @ 10:03:
bedankt voor de reacties, ga ik nog wel even wachten tot hij officieel aangeboden wordt via de interface

We've prepared firmware 3.9.42.9152. Please see below for the changelog and links to the firmware binaries. This is a stable candidate release which is currently available via the blog only.

kwad schreef op maandag 16 juli 2018 @ 11:53:
[...]

Hij staat nog steeds op Disconnected.

1
2
3
4
5
6
7
8
9
10
11
12
13

{
"firewall":{
      "source-validation":"disable"
   },
    "interfaces": {
        "ethernet": {
            "eth2": {
                "description": "WAN",
                "duplex": "auto",
                "speed": "auto",
                "vif": {
                    "4": {
ETC...

Sjalabert schreef op dinsdag 17 juli 2018 @ 11:54:
Sorry voor de sumiere informatie. (ben een Applicatie persoon geen Netwerk )

Ik heb het *json verhaal uitgevoerd op mijn USG. Heb een VLANonly netwerk aangemaakt en toegekend aan een poort.

M-int schreef op dinsdag 17 juli 2018 @ 11:37:
[...]


Hoi Kwad, heb je toevallig een config.gateway.json op de controller voor deze site? Check dan eens of je bij de eth0 (USG3) of eth2 (USG4) iets anders hebt staan bij "description" dan "WAN".

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

{ "firewall":{ "source-validation":"disable" }, "interfaces": { "ethernet": { "eth2": { "description": "WAN", "duplex": "auto", "speed": "auto", "vif": { "4": { ETC...

Zelf had ik hier iets anders staan en toen dit veranderde in "WAN" werd de USG weer in de controller goed weergegeven met info in de bolletjes.

[ Voor 10% gewijzigd door QempZoR op 17-07-2018 14:23 ]

RobertMe schreef op dinsdag 17 juli 2018 @ 12:01:
[...]

Je kunt beginnen met uitleggen wat je hebt gedaan als onderdeel van:

[...]


Zelf heb ik geen IPTV, maar de config.gateway.json is sowieso een essentieel onderdeel van het hele verhaal, dus hoe deze er nu uit ziet is nodig zodat anderen je kunnen helpen. Daarnaast heb je bij IPTV AFAIK ook nog een script nodig wat periodiek wordt uitgevoerd, moet IGMP zijn ingeschakeld, .... Oftewel: wat heb je nu precies gedaan? Alleen het "*json verhaal" is volgens mij dus al niet voldoende, en daarnaast zien wij niet wat je in het JSON bestand hebt staan (en staat dat op de correcte plek?)

Zoals gezegd, ik heb zelf geen IPTV dus kan je verder ook niet helpen. Maar je mag ook iets meer je best doen zodat anderen die IPTV wel werkend hebben je ook gericht kunnen helpen.

Hoi Kwad, heb je toevallig een config.gateway.json op de controller voor deze site? Check dan eens of je bij de eth0 (USG3) of eth2 (USG4) iets anders hebt staan bij "description" dan "WAN".

Sjalabert schreef op dinsdag 17 juli 2018 @ 11:54:
Heren,

Zit even met de handen in mijn haar (KPN IPTV vraagje). Ik heb het *json verhaal uitgevoerd op mijn USG. Heb een VLANonly netwerk aangemaakt en toegekend aan een poort. Op deze poort is de decoder aangesloten. Maar hij doet het niet (kan geen IP adres krijgen). Wat kan er fout gaan. Sorry voor de sumiere informatie. (ben een Applicatie persoon geen Netwerk )

1
2
3
4
5

sudo su
r_ip=$(show dhcp client leases | grep router | awk '{ print $3 }');
iptv_static=$(echo "Route 213.75.112.0/21 next-hop $r_ip")
echo -e "$iptv_static"
exit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

"static": {
                        "interface-route": {
                                "0.0.0.0/0": {
                                        "next-hop-interface": {
                                                "pppoe2": {
                                                        "distance": "1"
                                                }
                                        }
                                }
                        },
                        "route": {
                                "213.75.112.0/21": {
                                        "next-hop": {
                                                "<next hop ip>": "''"
                                                }
                                        }
                                }
                        }

[ Voor 22% gewijzigd door eenbrauw op 17-07-2018 14:29 ]

eenbrauw schreef op dinsdag 17 juli 2018 @ 14:22:
[...]


Heb je de juiste next hop in de json staan?
Zonder de next hop kan de decoder geen IPTV IP opvragen aan de KPN kant.

De next hop kun je opvragen in je USG door via SSH in te loggen en het onderstaande script uit te voeren. Het IP uit het script moet je in je json zetten onder "static route"

Next Hop script:

code:

1 2 3 4 5

sudo su r_ip=$(show dhcp client leases | grep router | awk '{ print $3 }'); iptv_static=$(echo "Route 213.75.112.0/21 next-hop $r_ip") echo -e "$iptv_static" exit

Static route:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

"static": { "interface-route": { "0.0.0.0/0": { "next-hop-interface": { "pppoe2": { "distance": "1" } } } }, "route": { "213.75.112.0/21": { "next-hop": { "<next hop ip>": "''" } } } }

ps. deze website heeft ook een config voor KPN. wel een wat uitgebreidere config.

[edit] Quote omgezet naar code om het beter leesbaar te maken

Loekie schreef op zondag 1 april 2018 @ 17:16:
[...]

Hier gaat vanuit de glasvezel aansluiting de fiber direct de fritzbox van tweak in, ga deze vervangen door de usg4 pro binnenkort. Dit was een nieuwe oplevering in nieuwbouwhuis en niet bestaande aansluiting.
Nog even uitvogelen welk type kabel gebruikt wordt, de std 1 meter is te kort en heb ca 3 mtr nodig.

[ Voor 32% gewijzigd door HKLM_ op 17-07-2018 16:17 ]

HKLM_ schreef op zaterdag 14 juli 2018 @ 14:06:
[...]


Zou je mij nog eens willen helpen. Ik heb een real domain name HKLM_.nl en mijn unifi controller wil ik intern kunnen bereiken op unifi.hklm_.nl als ik mijn hostfile in windows aanpast gaat dit prima maar via de USG DNS lukt het niet ondanks je stappen.

- Ik heb de naam van de cloud key aangepast naar unifi en in de settings/network/lan als domain opgegeven hkml_.nl echter als ik dan op een systeem zit zonder de aangepaste host file kom ik er nog niet op helaas. Ik zie vast iets niet...

Schiet mij maar lek haha ik heb bij de settings/network/lan mijn domain opgegeven HKLM_.nl die zie ik ook terug in mijn dns op mijn iphone als search domains. Maar het werkt niet... Ik heb nu de dnsmask via cli aangepast en het werk

code:

1	/etc/dnsmasq.d/dnsmasq.static.conf

code:

1	address=/unifi.hklm_.nl/192.168.1.10

code:

1	sudo /etc/init.d/dnsmasq force-reload

Zie vast iets over het hoofd in de GUI maar ben blij dat het nu werkt

zeroday schreef op woensdag 18 juli 2018 @ 08:16:
[...]


in mijn USG Heb ik geen dnsmasq.static.conf maar een dnsmasq-dhcp-config.conf
Misschien werkte het bij jou niet omdat je wellicht/misschien geen DHCP op de USG hebt draaien?

dit staat er oa bij mij

##shared-network net_LAN_eth1_10.1.1.0-24

#subnet 10.1.1.0/24
dhcp-range=set:netLANeth11011024,10.1.1.90,10.1.1.250,255.255.25
5.0,84600
dhcp-option=tag:netLANeth11011024,vendor:ubnt,1,10.1.1.188
domain=zeroday.nl,10.1.1.0/24,local
dhcp-option=tag:netLANeth11011024,option:domain-name,zeroday.nl

HKLM_ schreef op woensdag 18 juli 2018 @ 08:31:
[...]


Mijn USG doet ook DHCP voor verschillende netwerken. Ik zal van het weekend nog eens kijken maar met deze oplossing ben ik ook tevreden.

Andere vraag voor het topic: Ik wil de AP's bij mijn ouders via L3 naar mijn cloudkey laten verwijzen dit heb ik gisten met succes getest thuis. Maar in inform is http weet iemand hoeveel verkeer er over de verbinding gaat tussen de AP en Controller en of dit gecodeerd is vanuit de controller / makkelijk is te onderscheppen?

L201 schreef op woensdag 18 juli 2018 @ 10:03:
De gui van mijn EdgeRouter is niet meer bereikbaar. Na een reboot draait de webservice niet. als ik deze handmatig start via /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf dan krijg ik in elk geval weer een response, maar helaas is het een 500 - Internal server error.

Als ik vervolgens in de log (/var/log/lighttpd/error.log) kijk dan zie ik dit staan:

code:

1 2 3 4 5 6 7 8 9

2018-07-18 09:54:32: (log.c.164) server started 2018-07-18 09:54:56: (mod_fastcgi.c.1754) connect failed: Connection refused on unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 2018-07-18 09:54:56: (mod_fastcgi.c.3028) backend died; we'll disable it for 1 seconds and send the request to another backend instead: reconnects: 0 load: 1 2018-07-18 09:54:57: (mod_fastcgi.c.2569) unexpected end-of-file (perhaps the fastcgi process died): pid: 5094 socket: unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 2018-07-18 09:54:57: (mod_fastcgi.c.3353) response not received, request sent: 1132 on socket: unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 for ?, closing connection 2018-07-18 09:54:58: (mod_fastcgi.c.1754) connect failed: Connection refused on unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 2018-07-18 09:54:58: (mod_fastcgi.c.3028) backend died; we'll disable it for 1 seconds and send the request to another backend instead: reconnects: 0 load: 1 2018-07-18 09:55:00: (mod_fastcgi.c.2569) unexpected end-of-file (perhaps the fastcgi process died): pid: 5099 socket: unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 2018-07-18 09:55:00: (mod_fastcgi.c.3353) response not received, request sent: 1142 on socket: unix:/var/run/ubnt-rtr-ui/fastcgi.gui.socket-0 for ?, closing connection

Ik heb hem vorige week geupdate naar firmware 1.10.5 (https://www.ubnt.com/down...e-3erpoe-5-firmware-v1105), maar ben daarna ook nog gewoon op de GUI geweest.

Via SSH kan ik hem gelukkig gewoon benaderen, maar ik zou dit toch graag opgelost hebben aangezien ik deze week wat zaken wil tunen.

[ Voor 23% gewijzigd door L201 op 18-07-2018 19:17 ]

L201 schreef op woensdag 18 juli 2018 @ 19:10:
@mchl8 Die thread was ik inderdaad ook al tegen gekomen, en die stappen had ik geprobeerd. Ik heb vorige week wel een config backup gedownload, of althans, zonder de gui erbij weet ik niet meer precies wat voor backup dat was, maar onderin de systemtab.
Via ssh kan ik nu ook nog bij de config.boot overigens.

Een factory reset moet middels hardware zeker? of kan dat ook via ssh? Heb eigenlijk geen zin om hem los te moeten halen uit mijn rack

[edit]Oh gelukkig, de reset zit gewoon aan de voorzijde Maar goed, liever zie ik het zo te fixen. Want als ik me niet vergis is eth0 de local lan bij default? Daar zit nu mijn wan, dus moet wel weer een en ander overhoop halen met kabeltjes om er dan op te kunnen

mchl8 schreef op woensdag 18 juli 2018 @ 20:31:
[...]


Jammer dat de items uit die post niet helpen.. Wat betreft de LAN interface na reset (eth0), klopt dat en zul je inderdaad kabels moeten wisselen.

Had je het volgende ook al geprobeerd:
sudo /usr/sbin/ubnt-util, gevolgd door sudo /usr/sbin/ubnt-daemon.

Wellicht dat er tijdens het updaten bestanden corrupt geraakt zijn?
Mocht dat ook niet werken dan kun je:
1) via SSH de nieuwe firmware nogmaals installeren middels add system image *hier de url van de ubnt download site* of
2) terug naar je oude firmware via set system image default-boot om vervolgens verder proberen te achterhalen waar de oorzaak zit, of
3) wellicht dat iemand hier, of op de ubnt community op je post reageert met de gouden oplossing

L201 schreef op woensdag 18 juli 2018 @ 21:24:
[...]


Ik had de vraag idd ook op het ubnt forum uitgezet, maar helaas nog geen reacties gehad. Inmiddels heb ik een runtime reset gedaan en even een kabel aan eth0 gehangen. Na de reset kwam ik er uiteraard gewoon weer in gelukkig. Toen de backup van vorige week terug gezet, reboot... http service draaide weer niet, lighttpd handmatig gestart, weer internal server error. Dus kennelijk klopt er iets niet in die config, helaas

mchl8 schreef op woensdag 18 juli 2018 @ 21:32:
[...]


Dat is balen.
Hoe heb je je config initieel gedaan? Herinner je je evt nog instellingen die je later via de cli hebt uitgevoerd die wellicht ten grondslag hieraan kunnen liggen? Als je de ‘show configuration’ output uit SSH anders eens kunt posten? Misschien vinden we het op die manier (aangezien het best eens aan je configuratie kan liggen)

1
2
3
4
5
6
7
8
9
10

[edit]
root@EdgeRouter# set service gui http-port 80
[edit]
root@EdgeRouter# set service gui https-port 443
[edit]
root@EdgeRouter# set service gui older-ciphers enable 
[edit]
root@EdgeRouter# commit
[ service gui ]
Starting the GUI service.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        address-group PPPOE-Address {
        }
        network-group BOGONS {
            description "Invalid WAN networks"
            network 10.0.0.0/8
            network 100.64.0.0/10
            network 127.0.0.0/8
            network 169.254.0.0/16
            network 172.16.0.0/12
            network 192.0.0.0/24
            network 192.0.2.0/24
            network 192.168.0.0/16
            network 192.18.0.0/15
            network 198.51.100.0/24
            network 203.0.113.0/24
            network 224.0.0.0/3
        }
        network-group DMZ-Subnet {
            description "DMZ Subnet"
            network 192.168.200.0/24
        }
        network-group DOMO-Subnet {
            description "Home automation and IoT devices"
            network 192.168.50.0/24
        }
        network-group GUEST-Subnet {
            description "Guest network"
            network 192.168.100.0/24
        }
        network-group LAN-Subnet {
            description "Local network"
            network 192.168.1.0/24
            network 192.168.2.0/24
        }
        port-group HTTP-HTTPS {
            description "HTTP and HTTPS"
            port 80
            port 443
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name DMZ-GUEST {
        default-action reject
        description "From DMZ to Guest"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMP"
            log disable
            protocol icmp
        }
    }
    name DMZ-LAN {
        default-action reject
        description "From DMZ to Local Network"
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log enable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMP"
            log enable
            protocol icmp
        }
        rule 40 {
            action accept
            description "Allow HTTP/HTTPS to LAN"
            destination {
                group {
                    network-group LAN-Subnet
                }
            }
            log enable
            protocol tcp
            source {
                port 443
            }
        }
    }
    name DMZ-Local {
        default-action reject
        description "DMZ to Local"
        rule 10 {
            action accept
            log disable
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            log enable
            state {
                invalid enable
            }
        }
        rule 100 {
            action accept
            log enable
            protocol icmp
        }
        rule 400 {
            action accept
            description NNTP
            destination {
                port 123
            }
            log enable
            protocol tcp
            source {
                group {
                    network-group DMZ-Subnet
                }
            }
        }
        rule 600 {
            action accept
            description DNS
            destination {
                port 53
            }
            log enable
            protocol tcp_udp
            source {
                group {
                    network-group DMZ-Subnet
                }
            }
        }
        rule 700 {
            action accept
            description DHCP
            destination {
                port 67,68
            }
            log enable
            protocol udp
            source {
                group {
                }
            }
        }
    }
    name DMZ-WAN {
        default-action reject
        description "DMZ to WAN"
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            log enable
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            log enable
            protocol icmp
        }
        rule 40 {
            action accept
            description "TCP 80/443"
            destination {
                port 80,443
            }
            log enable
            protocol tcp
            source {
                group {
                    network-group DMZ-Subnet
                }
            }
        }
        rule 50 {
            action accept
            description SMTP
            destination {
                port 25
            }
            log enable
            protocol tcp
            source {
                group {
                    network-group DMZ-Subnet
                }
            }
        }
        rule 60 {
            action accept
            destination {
                port 5060
            }
            log disable
            protocol udp
            source {
                group {
                    network-group DMZ-Subnet
                }
            }
        }
    }
    name DOMO-LAN {
        default-action reject
        description "Domotica/IoT to LAN"
        rule 10 {
            action accept
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name DOMO-Local {
        default-action reject
        description "Domotica/IoT to Local"
        rule 10 {
            action accept
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action reject
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 30 {
            action accept
            destination {
                port 123
            }
            log disable
            protocol tcp_udp
            source {
                group {
                    network-group DOMO-Subnet
                }
            }
        }
        rule 40 {
            action accept
            description DNS
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
            source {
                group {
                    network-group DOMO-Subnet
                }
            }
        }
        rule 50 {
            action accept
            description DHCP
            destination {
                port 67,68
            }
            log disable
            protocol udp
        }
    }
    name LAN-WAN {
        default-action drop
        description ""
        enable-default-log
    }
    name LAN_Local {
        default-action accept
        description ""
        enable-default-log
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow IKE for Remote VPN Server"
            destination {
                port 500
            }
            log enable
            protocol udp
        }
        rule 22 {
            action accept
            description "Allow L2TP for Remote VPN Server"
            destination {
                port 1701
            }
            log enable
            protocol udp
        }
        rule 23 {
            action accept
            description "Allow ESP for Remote VPN Server"
            log enable
            protocol 50
        }
        rule 24 {
            action accept
            description "Allow NAT-T for Remote VPN Server"
            destination {
                port 4500
            }
            log enable
            protocol udp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
            }
        }
        mtu 1512
        poe {
            output off
        }
        speed auto
        vif 4 {
            address dhcp
            description "VLAN4 - IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier "IPTV_RG";"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
            mtu 1508
        }
        vif 6 {
            description "VLAN6 - Internet"
            mtu 1508
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1500
                name-server auto
                password ****************
                user-id FB7490@xs4all.nl
            }
        }
    }
    ethernet eth1 {
        address 192.168.1.254/24
        description Local
        duplex auto
        firewall {
            local {
                name LAN_Local
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description "Unify AP Woonkamer"
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth3 {
        description "Unify AP Zolder"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description "LAN via Netgear"
        duplex auto
        poe {
            output 48v
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.2.254/24
        description Thuisnetwerk
        firewall {
            local {
                name LAN_Local
            }
        }
        mtu 1500
        switch-port {
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
        vif 100 {
            address 192.168.100.254/24
            description Guest
            firewall {
                local {
                    name LAN_Local
                }
            }
            mtu 1500
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    lan-interface switch0
    <port mapping rules are hidden>
    wan-interface pppoe0
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface switch0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
    static {
        route 213.75.112.0/21 {
            next-hop 10.194.128.1 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option vendor-class-identifier code 60 = string;"
        global-parameters "option broadcast-address code 28 = ip-address;"
        hostfile-update disable
        shared-network-name Guest {
            authoritative disable
            subnet 192.168.100.0/24 {
                default-router 192.168.100.254
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                start 192.168.100.100 {
                    stop 192.168.100.200
                }
            }
        }
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 192.168.1.254
                lease 86400
                start 192.168.1.100 {
                    stop 192.168.1.200
                }
                <static-mappings are hidden>
            }
        }
        shared-network-name LAN2 {
            authoritative disable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.254
                dns-server 192.168.2.254
                lease 86400
                start 192.168.2.100 {
                    stop 192.168.2.200
                }
                <static-mappings are hidden>
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on switch0
        }
    }
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log disable
            outbound-interface eth0.4
            protocol all
            type masquerade
        }
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    conntrack {
        expect-table-size 2048
        hash-size 32768
        modules {
            sip {
                disable
            }
        }
        table-size 262144
    }
    host-name EdgeRouter
    login {
        <hidden>
    }
    name-server 176.103.130.130
    name-server 176.103.130.131
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    static-host-mapping {
        host-name edgerouter {
            inet 192.168.2.254
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi disable
        export disable
    }
}
vpn {
    ipsec {
        auto-firewall-nat-exclude disable
        ipsec-interfaces {
            interface pppoe0
        }
        nat-networks {
            allowed-network 192.168.1.0/24 {
            }
            allowed-network 192.168.2.0/24 {
            }
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username something {
                        password somepassword
                    }
                }
                mode local
            }
            client-ip-pool {
                start 192.168.5.100
                stop 192.168.5.130
            }
            dns-servers {
                server-1 8.8.8.8
                server-2 8.8.4.4
            }
            idle 1800
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret somepassword
                }
                ike-lifetime 3600
                lifetime 3600
            }
            mtu 1500
            outside-address <myip>
            outside-nexthop <myip>
        }
    }
}

L201 schreef op woensdag 18 juli 2018 @ 21:50:
[...]


Toen ik een jaar of 2 a 3 geleden mijn router in ging richten heb ik dat grotendeels met de info van hier en de vaker genoemde sites gedaan (kriegsmann dacht ik). Ik heb glasvezel via XS4all en moest ook de IPTV etc dus gedaan krijgen Daarna heeft het altijd zonder problemen gewerkt.

Het begon er dan denk ik mee dat ik bezig ben geweest om een certificaat aan te maken zodat ik bij het inloggen niet eerst die waarschuwing weg moest klikken. Die tutorial die ik daarvoor gebruikt hebt klopte niet helemaal of ik heb stappen verkeerd gedaan, want het werkte niet. Public/private key matchte niet, dus ik heb vervolgens een delete service gui gedaan want anders starte de webservice niet op.

Anyway, hier mijn huidige config, want gezien het feit dat het na het restoren van mijn config fout ging lijkt mij het ook daarin te zitten. Ik heb enkele cuts gedaan voor informatie als adressen die niet iedereen hoeft te weten Maar vraag gerust als dat toch noodzakelijk is..

[edit] en daarmee heb ik gelijk de oplossing al gegeven
want dit loste het op:

code:

1 2 3 4 5 6 7 8 9 10

[edit] root@EdgeRouter# set service gui http-port 80 [edit] root@EdgeRouter# set service gui https-port 443 [edit] root@EdgeRouter# set service gui older-ciphers enable [edit] root@EdgeRouter# commit [ service gui ] Starting the GUI service.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577 578 579 580 581 582 583 584 585 586 587 588 589 590 591 592 593 594 595 596 597 598 599 600 601 602 603 604 605 606 607 608 609 610 611 612 613 614 615 616 617 618 619 620 621 622 623 624 625 626 627 628 629 630 631 632 633 634 635 636 637 638 639 640 641 642 643 644 645 646 647 648 649 650 651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668 669 670 671 672 673 674 675 676 677 678 679 680 681 682 683 684 685 686 687 688 689 690 691 692 693 694 695 696 697 698 699 700 701 702 703 704 705 706 707 708 709 710 711 712 713 714 715 716 717 718 719 720 721 722 723 724 725 726 727 728 729 730 731 732 733 734 735 736 737 738 739 740 741 742 743 744 745 746 747 748 749 750 751 752 753 754 755 756 757 758 759 760 761 762 763 764 765 766

firewall { all-ping enable broadcast-ping disable group { address-group PPPOE-Address { } network-group BOGONS { description "Invalid WAN networks" network 10.0.0.0/8 network 100.64.0.0/10 network 127.0.0.0/8 network 169.254.0.0/16 network 172.16.0.0/12 network 192.0.0.0/24 network 192.0.2.0/24 network 192.168.0.0/16 network 192.18.0.0/15 network 198.51.100.0/24 network 203.0.113.0/24 network 224.0.0.0/3 } network-group DMZ-Subnet { description "DMZ Subnet" network 192.168.200.0/24 } network-group DOMO-Subnet { description "Home automation and IoT devices" network 192.168.50.0/24 } network-group GUEST-Subnet { description "Guest network" network 192.168.100.0/24 } network-group LAN-Subnet { description "Local network" network 192.168.1.0/24 network 192.168.2.0/24 } port-group HTTP-HTTPS { description "HTTP and HTTPS" port 80 port 443 } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name DMZ-GUEST { default-action reject description "From DMZ to Guest" rule 10 { action accept description "Allow established/related" log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action reject description "Reject invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } rule 30 { action accept description "Allow ICMP" log disable protocol icmp } } name DMZ-LAN { default-action reject description "From DMZ to Local Network" rule 10 { action accept description "Allow established/related" log enable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" log enable protocol all state { established disable invalid enable new disable related disable } } rule 30 { action accept description "Allow ICMP" log enable protocol icmp } rule 40 { action accept description "Allow HTTP/HTTPS to LAN" destination { group { network-group LAN-Subnet } } log enable protocol tcp source { port 443 } } } name DMZ-Local { default-action reject description "DMZ to Local" rule 10 { action accept log disable state { established enable invalid disable new disable related enable } } rule 20 { action drop log enable state { invalid enable } } rule 100 { action accept log enable protocol icmp } rule 400 { action accept description NNTP destination { port 123 } log enable protocol tcp source { group { network-group DMZ-Subnet } } } rule 600 { action accept description DNS destination { port 53 } log enable protocol tcp_udp source { group { network-group DMZ-Subnet } } } rule 700 { action accept description DHCP destination { port 67,68 } log enable protocol udp source { group { } } } } name DMZ-WAN { default-action reject description "DMZ to WAN" rule 10 { action accept state { established enable related enable } } rule 20 { action drop log enable state { invalid enable } } rule 30 { action accept log enable protocol icmp } rule 40 { action accept description "TCP 80/443" destination { port 80,443 } log enable protocol tcp source { group { network-group DMZ-Subnet } } } rule 50 { action accept description SMTP destination { port 25 } log enable protocol tcp source { group { network-group DMZ-Subnet } } } rule 60 { action accept destination { port 5060 } log disable protocol udp source { group { network-group DMZ-Subnet } } } } name DOMO-LAN { default-action reject description "Domotica/IoT to LAN" rule 10 { action accept log disable protocol all state { established enable invalid disable new disable related enable } } } name DOMO-Local { default-action reject description "Domotica/IoT to Local" rule 10 { action accept log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action reject log disable protocol all state { established disable invalid enable new disable related disable } } rule 30 { action accept destination { port 123 } log disable protocol tcp_udp source { group { network-group DOMO-Subnet } } } rule 40 { action accept description DNS destination { port 53 } log disable protocol tcp_udp source { group { network-group DOMO-Subnet } } } rule 50 { action accept description DHCP destination { port 67,68 } log disable protocol udp } } name LAN-WAN { default-action drop description "" enable-default-log } name LAN_Local { default-action accept description "" enable-default-log } name WAN_IN { default-action drop description "WAN to internal" enable-default-log rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN to router" enable-default-log rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 21 { action accept description "Allow IKE for Remote VPN Server" destination { port 500 } log enable protocol udp } rule 22 { action accept description "Allow L2TP for Remote VPN Server" destination { port 1701 } log enable protocol udp } rule 23 { action accept description "Allow ESP for Remote VPN Server" log enable protocol 50 } rule 24 { action accept description "Allow NAT-T for Remote VPN Server" destination { port 4500 } log enable protocol udp } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address dhcp description Internet duplex auto firewall { in { name WAN_IN } local { } } mtu 1512 poe { output off } speed auto vif 4 { address dhcp description "VLAN4 - IPTV" dhcp-options { client-option "send vendor-class-identifier &quot;IPTV_RG&quot;;" client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 210 name-server update } mtu 1508 } vif 6 { description "VLAN6 - Internet" mtu 1508 pppoe 0 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1500 name-server auto password **************** user-id FB7490@xs4all.nl } } } ethernet eth1 { address 192.168.1.254/24 description Local duplex auto firewall { local { name LAN_Local } } poe { output off } speed auto } ethernet eth2 { description "Unify AP Woonkamer" duplex auto poe { output 24v } speed auto } ethernet eth3 { description "Unify AP Zolder" duplex auto poe { output off } speed auto } ethernet eth4 { description "LAN via Netgear" duplex auto poe { output 48v } speed auto } loopback lo { } switch switch0 { address 192.168.2.254/24 description Thuisnetwerk firewall { local { name LAN_Local } } mtu 1500 switch-port { interface eth2 { } interface eth3 { } interface eth4 { } vlan-aware disable } vif 100 { address 192.168.100.254/24 description Guest firewall { local { name LAN_Local } } mtu 1500 } } } port-forward { auto-firewall enable hairpin-nat enable lan-interface eth1 lan-interface switch0 <port mapping rules are hidden> wan-interface pppoe0 } protocols { igmp-proxy { disable-quickleave interface eth0.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth1 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } interface switch0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } static { route 213.75.112.0/21 { next-hop 10.194.128.1 { } } } } service { dhcp-server { disabled false global-parameters "option vendor-class-identifier code 60 = string;" global-parameters "option broadcast-address code 28 = ip-address;" hostfile-update disable shared-network-name Guest { authoritative disable subnet 192.168.100.0/24 { default-router 192.168.100.254 dns-server 8.8.8.8 dns-server 8.8.4.4 lease 86400 start 192.168.100.100 { stop 192.168.100.200 } } } shared-network-name LAN1 { authoritative disable subnet 192.168.1.0/24 { default-router 192.168.1.254 dns-server 192.168.1.254 lease 86400 start 192.168.1.100 { stop 192.168.1.200 } <static-mappings are hidden> } } shared-network-name LAN2 { authoritative disable subnet 192.168.2.0/24 { default-router 192.168.2.254 dns-server 192.168.2.254 lease 86400 start 192.168.2.100 { stop 192.168.2.200 } <static-mappings are hidden> } } static-arp disable use-dnsmasq disable } dns { forwarding { cache-size 150 listen-on eth1 listen-on switch0 } } nat { rule 5000 { description IPTV destination { address 213.75.112.0/21 } log disable outbound-interface eth0.4 protocol all type masquerade } rule 5010 { description "masquerade for WAN" log disable outbound-interface pppoe0 protocol all type masquerade } } ssh { port 22 protocol-version v2 } ubnt-discover { disable } unms { disable } } system { conntrack { expect-table-size 2048 hash-size 32768 modules { sip { disable } } table-size 262144 } host-name EdgeRouter login { <hidden> } name-server 176.103.130.130 name-server 176.103.130.131 name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { hwnat disable ipv4 { forwarding enable pppoe enable vlan enable } } static-host-mapping { host-name edgerouter { inet 192.168.2.254 } } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Amsterdam traffic-analysis { dpi disable export disable } } vpn { ipsec { auto-firewall-nat-exclude disable ipsec-interfaces { interface pppoe0 } nat-networks { allowed-network 192.168.1.0/24 { } allowed-network 192.168.2.0/24 { } } nat-traversal enable } l2tp { remote-access { authentication { local-users { username something { password somepassword } } mode local } client-ip-pool { start 192.168.5.100 stop 192.168.5.130 } dns-servers { server-1 8.8.8.8 server-2 8.8.4.4 } idle 1800 ipsec-settings { authentication { mode pre-shared-secret pre-shared-secret somepassword } ike-lifetime 3600 lifetime 3600 } mtu 1500 outside-address <myip> outside-nexthop <myip> } } }

Sjalabert schreef op dinsdag 17 juli 2018 @ 11:54:
Heren,

Zit even met de handen in mijn haar (KPN IPTV vraagje). Ik heb het *json verhaal uitgevoerd op mijn USG. Heb een VLANonly netwerk aangemaakt en toegekend aan een poort. Op deze poort is de decoder aangesloten. Maar hij doet het niet (kan geen IP adres krijgen). Wat kan er fout gaan. Sorry voor de sumiere informatie. (ben een Applicatie persoon geen Netwerk )

xbeam schreef op donderdag 19 juli 2018 @ 09:20:
[...]


Dat kan kloppen dat je geen ip krijgt
Vlan only krijgt geen dhcp van usg.
Je moet een corporate netwerk aanmaken en daar in aangeven dat dat een vlan is.

De vlanonly kan je verwijderen uit je config deze gebruik je niet.

To_Tall schreef op donderdag 19 juli 2018 @ 09:50:
[...]

Kan wel natuurlijk. Hij zou dan eerst terug moeten naar DHCP. Ip addressen moeten aanmaken op de devices. en hoppa dhcp weer uitzetten.

Dan heb je een VLAN only static network.
Als je geen Ip addressen op de apparatuur zet en er is geen DHCP op het netwerk krijg je natuurlijk geen IP addressen.

xbeam schreef op donderdag 19 juli 2018 @ 10:32:
[...]


Maar static ip kan je niet instellen op de tv kastjes van kpn. En om bij iedere herstart je netwerk om te gaan zetten is ook niet handig.

En ik verwacht ook niet dat hij buiten de router om dhcp gaat draaien op zijn vlan_only.

In standaart thuis tuin en keuken situatie is maakt vlan_only het alleen ingewikkeld en het is niet nodig.

[ Voor 68% gewijzigd door To_Tall op 19-07-2018 13:18 ]

Ronwiel schreef op donderdag 19 juli 2018 @ 15:43:
Ik overweeg een Ubiquiti UniFi AP aan te schaffen, maar kom er na het lezen van reviews nog niet helemaal uit. Het AP wordt van stroom voorzien d.m.v. een POE injector. Graag wil ik op gezette tijden het AP uitschakelen. Kan dat het eenvoudigst worden gedaan door de POE injector op een tijdschakelaar te zetten in het stopcontact?

[ Voor 11% gewijzigd door HKLM_ op 19-07-2018 15:51 ]

[ Voor 8% gewijzigd door Ronwiel op 19-07-2018 15:56 ]

Ronwiel schreef op donderdag 19 juli 2018 @ 16:03:
@HKLM_ Maar, verbreekt dat enkel de verbinding of schakelt het ook de zender uit? Wellicht dat ik er maar een support ticket aan moet wagen .

[ Voor 12% gewijzigd door HKLM_ op 19-07-2018 16:07 ]

iAdema schreef op woensdag 18 juli 2018 @ 08:49:
[...]


Als ik deze link mag geloven is het wel encrypted: https://community.ubnt.co...et-inform-ssl/td-p/474355

L201 schreef op woensdag 18 juli 2018 @ 22:37:
Omdat we nu toch met de config bezig zijn en mijn config hier nog boven vermeld staat...
Ik heb met netgear switch nu in eth4 zitten, onderdeel van switch0 dus. Alle vaste verbindingen lopen via die switch dus, en zowel vast als via wif zit in het 192.168.2.x segment.

Nu heb ik mijn netgear in eth1 gezet, netwerk segment 192.168.1.x maar nu kan ik daar niks meer in benaderen vanaf mijn laptop via wifi. Ook mijn tv ontvanger kan nu geen verbinding meer leggen.
...
Kortom, enig idee? Hoe ik mijn switch rustig via eth1 kan laten lopen zonder dat de boel vastloopt?

[ Voor 53% gewijzigd door burne op 22-07-2018 18:58 ]

burne schreef op zondag 22 juli 2018 @ 18:42:
Okee. Troubleshooten dus..

Wat zegt 'netstat -tupan | grep 8443'?

Doe eens 'sudo systemctl restart unifi.service' en kijk dan wat je ziet als je met 'sudo journalctl' naar de logfile kijkt? Je kunt snel naar het einde met '>'

1
2
3
4
5
6
7
8
9
10
11
12
13

tcp6       0      0 :::8443                 :::*                    LISTEN      1398/java
tcp6     205      0 192.168.10.20:8443      192.168.10.100:4163     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:4993     CLOSE_WAIT  -
tcp6     235      0 192.168.10.20:8443      192.168.10.101:55982    CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:5015     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:2076     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:5544     CLOSE_WAIT  -
tcp6     463      0 192.168.10.20:8443      192.168.10.100:2171     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:9449     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:8659     CLOSE_WAIT  -
tcp6     205      0 192.168.10.20:8443      192.168.10.100:4444     CLOSE_WAIT  -
tcp6     235      0 192.168.10.20:8443      192.168.10.101:55983    CLOSE_WAIT  -
tcp6     463      0 192.168.10.20:8443      192.168.10.100:14067    CLOSE_WAIT  -

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Jul 22 16:58:05 retropie sudo[24115]: pi : TTY=pts/1 ; PWD=/home/pi ; USER=root ; COMMAND=/bin/netstat -tupan
Jul 22 16:58:05 retropie sudo[24115]: pam_unix(sudo:session): session opened for user root by pi(uid=0)
Jul 22 16:58:05 retropie sudo[24115]: pam_unix(sudo:session): session closed for user root
Jul 22 17:00:01 retropie CRON[24215]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 22 17:00:01 retropie CRON[24219]: (root) CMD (   PATH="$PATH:/usr/local/bin/" pihole updatechecker local)
Jul 22 17:00:01 retropie CRON[24215]: pam_unix(cron:session): session closed for user root
Jul 22 17:01:29 retropie sudo[24304]: pi : TTY=pts/1 ; PWD=/home/pi ; USER=root ; COMMAND=/bin/systemctl restart unifi.service
Jul 22 17:01:29 retropie sudo[24304]: pam_unix(sudo:session): session opened for user root by pi(uid=0)
Jul 22 17:01:30 retropie systemd[1]: Stopping unifi...
Jul 22 17:01:54 retropie unifi.init[24310]: Stopping Ubiquiti UniFi Controller: unifi.
Jul 22 17:01:54 retropie systemd[1]: Starting unifi...
Jul 22 17:01:55 retropie unifi.init[24420]: Starting Ubiquiti UniFi Controller: unifi.
Jul 22 17:01:55 retropie systemd[1]: Started unifi.
Jul 22 17:01:55 retropie sudo[24304]: pam_unix(sudo:session): session closed for user root
Jul 22 17:01:56 retropie sudo[24482]: unifi : user NOT in sudoers ; TTY=unknown ; PWD=/usr/lib/unifi ; USER=root ; COMMAND=/sbin/ubnt-tools id
Jul 22 17:01:58 retropie sudo[24497]: unifi : user NOT in sudoers ; TTY=unknown ; PWD=/usr/lib/unifi ; USER=root ; COMMAND=/sbin/ubnt-tools id
Jul 22 17:03:25 retropie sudo[24573]: pi : TTY=pts/1 ; PWD=/home/pi ; USER=root ; COMMAND=/bin/journalctl
Jul 22 17:03:25 retropie sudo[24573]: pam_unix(sudo:session): session opened for user root by pi(uid=0)

TF0 schreef op zondag 22 juli 2018 @ 19:09:

code:

1	tcp6 0 0 :::8443 :::* LISTEN 1398/java

Er zijn twee lijnen rood, die starten met "unifi: user NOT in sudoers", is dat het probleem? Ik dacht dat dat nooit een sudo-user was eigenlijk.

[ Voor 3% gewijzigd door burne op 22-07-2018 19:56 ]

burne schreef op zondag 22 juli 2018 @ 19:55:
[...]

Dit betekend dat er een proces luistert op poort 8443. Je kunt met 'ps -l 1398' kijken of dit jre is, de java runtime engine.

[...]

Ik denk dat dat niet het probleem is.

Volgende file: in /usr/lib/unifi/logs moet je een server.log kunnen vinden die de logging van je controller bevat. Staan daar opvallende dingen in?

1

F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY        TIME CMD

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[2018-07-22 13:34:12,982] <db-server> ERROR system - unable to exec
java.io.IOException: Cannot run program "bin/mongod" (in directory "/usr/lib/unifi"): error=2, No such file or directory
        at java.lang.ProcessBuilder.start(ProcessBuilder.java:1048)
        at com.ubnt.ace.C.Object(Unknown Source)
        at com.ubnt.ace.C.o00000(Unknown Source)
        at com.ubnt.service.OoOO.U.Oo0000(Unknown Source)
        at com.ubnt.service.OoOO.U.super(Unknown Source)
        at com.ubnt.service.OoOO.U$1.run(Unknown Source)
        at java.lang.Thread.run(Thread.java:745)
Caused by: java.io.IOException: error=2, No such file or directory
        at java.lang.UNIXProcess.forkAndExec(Native Method)
        at java.lang.UNIXProcess.<init>(UNIXProcess.java:248)
        at java.lang.ProcessImpl.start(ProcessImpl.java:134)
        at java.lang.ProcessBuilder.start(ProcessBuilder.java:1029)
        ... 6 more

1

root     30513 29080  0 18:59 pts/1    00:00:00 grep mongo

[ Voor 20% gewijzigd door TF0 op 22-07-2018 21:02 ]

TF0 schreef op zondag 22 juli 2018 @ 20:35:

Dat lijkt me niet goed.

Verder heeft server.log 'oneindig' veel van het volgende:
[code]
[2018-07-22 13:34:12,982] <db-server> ERROR system - unable to exec
java.io.IOException: Cannot run program "bin/mongod" (in directory "/usr/lib/unifi"): error=2, No such file or directory

rally schreef op zaterdag 21 juli 2018 @ 16:42:
Vanochtend de update gedaan naar 5.9.16, echter nu krijg ik een error m.b.t. het security certificaat.
Ik doe een renew, maar dat mag helaas niet baten

Overigens heb ik hiervoor deze how-to gevolgd.

Het certificaat dat ik nu krijg is van UBNT en niet van Letsencrypt.

Iemand hier een briljant idee?

As root, you need to run:


openssl pkcs12 -export -in cert.pem -inkey privkey.pem -out unifi.p12 -name unifi -CAfile fullchain.pem -caname root

mv /var/lib/unifi/keystore /var/lib/unifi/keystore.backup

keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /var/lib/unifi/keystore -srckeystore unifi.p12 -srcstoretype PKCS12 -alias unifi

service unifi restart
Explanation of the commands:


1. Package the PEMs into P12 format.

2. Backup your current, probably default, UniFi keystore.

3. Import the P12 certs into UniFi's Java keystore

4. Restart the UniFi controller

In case anything goes wrong, restore the default keystore to get a working UniFi web GUI again:


mv /var/lib/unifi/keystore /var/lib/unifi/keystore.borked
mv /var/lib/unifi/keystore.backup /var/lib/unifi/keystore