Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2 Vorige deelOverzichtLaatste deel

Pagina: 1 2 3 ... 16
Acties:
  • 618.058 views

Acties:
  • +3Henk 'm!

  • maarud
  • Registratie: mei 2005
  • Laatst online: 21:53
Mede-auteurs:
  • Kavaa
  • Registratie: november 2009
  • Nu online

Kavaa

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 18-12 17:47

Jeroen_ae92

Klik hier om naar het einde van de OP te springen



Inleiding

Ubiquiti is een Amerikaans bedrijf, opgericht in 2005, en voornamelijk leverancier van (enterprise) netwerkapparatuur als routers, switches, VOIP-telefonie en access points. Tevens leveren zij sinds kort ook zonnepanelen en de bijbehorende apparatuur.

De focus van dit topic ligt voornamelijk op de netwerkapparatuur uit de EdgeMAX en Unifi-lijn en daarom worden de Video, VOIP, straalapparatuur en SunMAX-apparatuur niet in de TS vermeld.

EdgeMax


De EdgeMax series bevatten de EdgeRouters en EdgeSwitches.
https://tweakers.net/ext/f/11IflYYxrT6oOtHoF6aJd25Z/thumb.jpg
ER X
https://tweakers.net/ext/f/jq4NFHlI1pXYqq2oeQg9WGVo/thumb.jpg
ER X SFP
https://tweakers.net/ext/f/ANEbBUaddIGSkEaoKlGsQ9P2/thumb.jpg ER Litehttps://tweakers.net/ext/f/p9ru9aWKeQvicXINiBYRtIpB/thumb.jpg
ER POE
https://tweakers.net/ext/f/uhfPoq4fpn2RlYGa4ptviNdu/thumb.jpg
ER
https://tweakers.net/ext/f/Qeye39rMu3TgvPdJf0jGKa09/thumb.jpg
ER PRO
Poorten5x Gbps5x Gbps
1x SFP
3x Gbps
1x console
5xGbps
1x console
8xGbps
1x console
6xGbps
2x SFP/RJ45 Gbps combo
1x console
Power in1x 24V Passive PoE
of min. 12V adapter
24V adapter9-24V (12V incl.)48V adapter240V240V
PoE out1x 24V Passive5x 24V Passive-5x 48V/24V--
CPU2x 880Mhz MIPS1004Kc2x 880Mhz MIPS1004Kc2x 500Mhz MIPS642x 500Mhz MIPS642x 800Mhz MIPS642x 1Ghz MIPS64
Performance1.000.000pps (64B)
3 Gbps (>512B)
1.000.000pps (64B)
3 Gbps (>512B)
2.000.000pps (64B)
8 Gbps (>512B)
2.000.000pps (64B)
8 Gbps (>512B)
RAM256MB DDR3256MB DDR3512MB DDR2512MB DDR22GB DDR32GB DDR3
Storage256MB256MB2GB2GB4GB4GB
OverigTest tussen de ERL en MikroTikRackmountableRackmountable


EdgeOS
https://tweakers.net/ext/f/iKao3yW9lMreNlsG0h3E8arV/thumb.pnghttps://tweakers.net/ext/f/JrtKf4Ojnc5xGwvKGj6KyiHp/thumb.pnghttps://tweakers.net/ext/f/2Zg3cBIB87iavemqxsJuiNLR/thumb.pnghttps://tweakers.net/ext/f/HYggSnYptE8EMOX15hzq24Fy/thumb.pnghttps://tweakers.net/ext/f/eUKrchA22Od6qdvjPwAab2Kd/thumb.pnghttps://tweakers.net/ext/f/S0g8JezdnT4Q4hVwN6X5nVRc/thumb.png
  • IntuÔtieve en krachtige interface, web-based met drag/drop, real time statistics en CLI vanuit de browser
  • Omvangrijke feature set: VLANs, bridging, bonding, ACL/zone firewalls, VPN (OpenVPON, L2TP, PPTP)
  • Open Platform: Gebaseerd op Debian Linux, complete toegang tot het filesystem, root en de shell, en mogelijkheid tot het installeren van Debian packages Foto's door Jeroen_ae92, thanx!


UniFi


UniFi AP
  • WiFi: 802.11 b/g/n (2.4Ghz)
  • Gewicht: 290g (430g met ophanging)
  • Ethernet: 10/100 Mbps
  • Antenne: 2 geÔntegreerd (ondersteunt 2x2 MIMO met spatial diversity)
  • Voeding: 24V (!) PoE (24V ook adapter meegeleverd). Compatibel te maken met 802.3af (48V) door de Instant adapter
  • Concurrent Clients (theoretisch): 100+
Compacte, makkelijk schaalbare en elegante access point. Wordt gevoed via PoE en is beheerbaard via de UniFi Controller software die te installeren is op een PC in het netwerk.
UniFi AP AC LITE
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 300 Mbps (2x2)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Bereik: tot 122m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 24V Passive PoE
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC LR
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Long Range: Tot 183m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 24V Passive PoE Nieuwe modellen: 802.3af (Alternative A) PoE
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC PRO
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 1300 Mbps (3x3)
  • Bereik: tot 122m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik <- Onder overkapping / afdak
  • Concurrent Clients (theoretisch): 500+
UniFi AP AC PRO HD
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 800 Mbps (4x4)
  • 5.0 Ghz snelheid: 1733 Mbps (4x4)
  • Bereik: tot 122m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik <- Onder overkapping / afdak
  • Concurrent Clients (theoretisch): 200+
UniFi AP AC Mesh
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 300 Mbps (2x2)
  • 5.0 Ghz snelheid: 867 Mbps (2x2)
  • Bereik: tot 183m
  • Ethernet: 1x 10/100/1000 Mbps
  • Voeding: 802.3af (Alternative A) PoE, 802.3at PoE+
  • Geschikt voor: Indoor en Outdoor gebruik
  • Concurrent Clients (theoretisch): 250+
UniFi AP AC Mesh PRO
  • WiFi: 802.11ac dual radio (2.4Ghz en 5Ghz)
  • 2.4 Ghz snelheid: 450 Mbps (3x3)
  • 5.0 Ghz snelheid: 1300 Mbps (3x3)
  • Bereik: tot 183m
  • Ethernet: 2x 10/100/1000 Mbps
  • Voeding: 802.3af PoE
  • Geschikt voor: Indoor en Outdoor gebruik
  • Concurrent Clients (theoretisch): 250+
UniFi Security Gateway (PRO)
  • Standaard: Dual-core 500Mhz CPU, compact apparaatje met muurbevestiging
  • Pro: Rack-mountable dual-core 1Ghz CPU met fiber-mogelijkheid
  • Firewall, QoS, VLAN en VPN in ťťn apparaat
UniFi Controller
  • Te installeren op een Mac of PC
  • Features als: Remote Firmware Upgrade, Portal/Hotspot support, Google Maps integratie, Events/Alerts, seamless roaming, L3 routering


UniFi Network Planner
Ubiquiti heeft een tooltje online gezet om grof te berekenen welke apparatuur nodig is om de behoefte te dekken. Met het invullen van de verwachte aantal clients en de oppervlakt komt er uit hoeveel AP's en switches er nodig zijn. Network Planner

Stralingsdiagrammen UniFi AP's:


Bron Ubiquiti: UniFi UAP Antenna Radiation Patterns

Links
Ubiquiti Knowledge Base
Ubiquiti Downloads en Firmware

UniFi Video Trainingen
YouTube: Introduction to UniFi (Part 1): Why UniFi - Troy Hunt
YouTube: Introduction to UniFi (Part 2): Understanding UniFi - Troy Hunt
YouTube: Introduction to UniFi (Part 3): Designing Your UniFi Network - Troy ...
YouTube: Introduction to UniFi (Part 4): Configuring UniFi - Troy Hunt

UniFi Demo / Training
Ga naar UniFi Demo en klik dan boven op het icoontje in de balk wat op een boekje lijkt.


Geluidproductie Ubiquiti Producten
Gezien er veel vragen op het forum voorbij komen over welke switches / routers wel en geen fans hebben.
Verdient dit wel een plek in de Startpost. Hieronder dus een opsomming met evt. stillere fans voor de Switches / Routers


Edgerouter X / SFP / Lite / PoE / 4 Port / 6 Port
  • Geen Fans
  • Worden wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

Edgerouter 8 Port / Pro / 8-XG // UniFi USG Pro

Edgeswitch 8 Port / UniFi Switch 8Port
  • Geen Fans
  • Wordt wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

Edgeswitch 16 Port / UniFi Switch 16 Port
  • Wel Fans
  • Fans draaien NIET continue -> Fans draaien bij het opstarten na de boot gaan deze uit. Hierna gaan ze enkel aan bij een te hoge temperatuur. Het zal dus helpen om het apparaat zo vrij mogelijk te plaatsen zodat de warmte weg kan.
  • Geluidsniveau: 34-37 dBa
  • Fans zijn indien gewenst te vervangen door;
    Noiseblocker BlackSilentPRO PM-1, 40mm
    Noiseblocker BlackSilentPRO PM-2, 40mm

Edgeswitch PoE 24-250W / 24-500W / 24-750W / 48-500W / 48-750W // EdgeSwitch ES-16-XG / ES-12F (Fiber)

UniFi Switch PoE 24-250W / 24-500W / 24-750W / 48-500W / 48-750W // UniFi Switch US-16-XG

Edgeswitch (Lite) 24 Port / 48 Port
  • Geen Fans
  • Wordt wel warm, dit is geen probleem voor het apparaat. Zolang er maar geen andere apparaten op de Edgerouter liggen

UniFi Switch (Zonder PoE) 24 Port / 48 Port

Mocht iemand een toevoeging hebben voor bovenstaande betreft geluidsniveau stuur dan een DM naar @djkavaa

Vorig(e) de(e)l(en)
[Ervaringen/discussie] Ubiquiti-apparatuur

Kavaa wijzigde deze reactie 15-08-2017 11:48 (255%)
Reden: Geluidproductie Ubiquiti Producten


Acties:
  • +1Henk 'm!

  • masauri
  • Registratie: juli 2005
  • Laatst online: 18-12 12:05

masauri

aka qwybyte

Aangezien het andere topic op slot zal gaan, post ik m hier maar opnieuw:
quote:
Tylen schreef op zaterdag 4 maart 2017 @ 19:32:
[...]


Waarom zou je niet een eigen dns server kunnen instellen? Gewoon een eigen dns server draaien in apart netwerk met een eigen dhcp (assuming dat je de dhcp op de box van telenet niet uit kan zetten). Of zet al je clients op static dns en dan kan het ook.
Als ik het goed begrijp, zelfs al draai ik een eigen dns server, het internet verkeer moet nog steeds langs de telenet modem die me alsnog over een andere telenet dns server stuurt.
Omtrent de statische ip's:, k citeer bij deze .Mat die een reactie op mij gaf op pagina downloads: Pi-hole 2.13
quote:
Je zou al je toestellen een statisch IP kunnen geven maar dat raad ik af.

Tegenwoordig zijn er veel meer internet-enabled toestellen in huis dan enkel 1 vaste gezinsdesktop.
Heb je veel toestellen is het enorm omslachtig, bij sommige toestellen is het niet eenvoudig of zelfs onmogelijk om eigen DNS'en in te stellen, het werkt niet voor vreemde toestellen op je netwerk tenzij je ook hun DNS aanpast en bij falen van de server is het een enorm karwei om snel alles even op een andere DNS in te stellen.

Er is maar 1 oplossing voor u als je op een eenvoudige manier pi-hole wilt gebruiken en dat is de telenet homegateway die je nu hebt inruilen voor een modem-only. Daarachter hang je dan een deftige eigen router waar je wel de DNS voor al je netwerk clients in 1x kan aanpassen.
En om het dus eenvoudig en simpel te houden, voor we teveel off-topic gaan.
Terugkomend op mijn vraag, welke meerwaarde bied de Ubiquiti SG me eventueel tov de synology router? :)

De Grote GoT FG Kettingbrief - Deel 9 - Het Resultaat


Acties:
  • +1Henk 'm!
quote:
azz_kikr schreef op zondag 5 maart 2017 @ 09:09:
[...]


Nu mag jij nog 20 nats achtereen gebruiken, als jij in je pi instelt dat die 8.8.8.8 moet gebruiken als dns, dan doet die dat gewoon.
Het is niet omdat je telenet modem een dns aanbied dat je ook verplicht bent die te gebruiken.
Enige nadeel is mss dat in theorie extra latency bijkomt, maar die 0.0000000000000000000000001 seconde neem ik wel voor lief :) O-)
Dat weet we hier niet we kennen Telenet niet in NL
Het zou technische kunnen dat Telenet gebruikers forceert om de Telenet dns te gebruiken. Ik weet de situatie in BelgiŽ en Telenet niet.

Maar wij doen dat wel.
Wij vangen bij Klanten de dns request af en forceren dan de request via onze eigen dns. 8.8.8.8 instellen op je telefoon, pc of router heeft dan geen zin. Zo houden ben we meer controle over de bezoekers/gastnetwerken.

Zie hier hoe je alle dns verzoeken kan afvangen https://community.ubnt.co...rvers/m-p/1723366#M134874

xbeam wijzigde deze reactie 05-03-2017 13:21 (14%)


Acties:
  • +2Henk 'm!
quote:
MdBruin schreef op zondag 5 maart 2017 @ 12:53:
Ach kan je ook wel omheen door al je verkeer door een vpn tunnel te gaan gooien als je dit echt wilt.
Het ging als ik het goed begreep dat er een technische mogelijkheid bestaat om dit te kunnen doen.

Wel een mooie link wat verbind richting het ubiquiti wat hier besproken word ;)
Gelijk even toegepast aangezien de dns alleen worden toegestaan naar de erl3 (prive), gelijk dus afgevangen dat eventuele gasten niet kunnen surfen omdat ze zelf een dns hebben ingesteld.
Dan moet je bij de gasten ook PPTP en L2TP blokkeren en vermoedelijk ook OpenVPN. Daarnaast proberen met DPI dezelfde services af te vangen die op andere poorten draaien. De categorie "Bypass-Proxies-and-Tunnels" lijken dit wel voor het grootste gedeelte te kunnen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
jeroen@Router01:~$ /usr/sbin/ubnt-dpi-util search-app VPN    
                    Applications   Category
                    ============   ========
                      astrillvpn - Bypass-Proxies-and-Tunnels
                   cyberghostvpn - Bypass-Proxies-and-Tunnels
                          dotvpn - Bypass-Proxies-and-Tunnels
                      expressvpn - Bypass-Proxies-and-Tunnels
                          gomvpn - Bypass-Proxies-and-Tunnels
                        greenvpn - Bypass-Proxies-and-Tunnels
                         nordvpn - Bypass-Proxies-and-Tunnels
                         openvpn - Bypass-Proxies-and-Tunnels
                  secureline-vpn - Bypass-Proxies-and-Tunnels
                    steganos-vpn - Bypass-Proxies-and-Tunnels
                       strongvpn - Bypass-Proxies-and-Tunnels
                         tinyvpn - Bypass-Proxies-and-Tunnels
                vpn-key-exchange - Network-Protocols
                          vpn.ht - Bypass-Proxies-and-Tunnels

Wat zit er dan allemaal in de categorie "Bypass-Proxies-and-Tunnels"?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
jeroen@Router01:~$ /usr/sbin/ubnt-dpi-util show-cat-apps Bypass-Proxies-and-Tunnels
Applications in category [Bypass-Proxies-and-Tunnels]
========================
air-proxy
anonymouse
asproxy
astrillvpn
avast-secureline
avoidr
betternet
browsec
bypassthat
ccproxy
cgiproxy
coralcdn
cproxy
cyberghostvpn
defilter
disconnect.me
dotvpn
easy-proxy
easyhideip
expressvpn
fast-proxy
flyproxy
freegate
freesafeip
frozenway
getprivate
glype
gogonet
gomvpn
goproxing
gpass
greenvpn
guardster
hamachi
hide-all-ip
hide-my-ip
hidedoor
hideman
hidemyass
hola
hotspotshield
http-proxy-server
http-tunnel
ipvanish
jap/jondo
k12history
kproxy
logmein
megaproxy
ngrok
nordvpn
nstx-dns-tunnel
opendoor
openvpn
ourproxy
pagekite
pd-proxy
phproxy
ping-tunnel
privatetunnel
proxfree
proxify
proxy-era
proxy-rental
proxy4free
proxytopsite
rtmpt
safersurf
secureline-vpn
securitykiss
sofaware
softether/packetix
spotflux
sslunblock
stay-invisible
steganos-vpn
strongvpn
suresome
surfeasy
surrogafier
texasproxy
tinyvpn
tor
tunnelbear
unblock-proxy
vedivi
vnn
vpn.ht
vtunnel
webwarper
wujie/ultrasurf
zalmos
zapyo
zenmate
zerotier
zfreez

Jeroen_ae92 wijzigde deze reactie 05-03-2017 13:52 (25%)

U+


Acties:
  • +6Henk 'm!
quote:
MdBruin schreef op zondag 5 maart 2017 @ 14:10:
[...]

Puur uit nieuwsgierigheid, heb je een voorbeeld/link waar dat uitgelegd word?
Het is niet heel lastig.. Op de CLI van je Edgerouter gebruik je de volgende commando's:
Om de apps binnen een category te zien:
code:
1
/usr/sbin/ubnt-dpi-util show-cat-apps categoryname

en om apps te zoeken:
code:
1
/usr/sbin/ubnt-dpi-util search-app appname

Stel, je wilt youtube blokkeren, dan zoek je deze eerst op middels:
code:
1
2
3
4
/usr/sbin/ubnt-dpi-util search-app youtube
                    Applications   Category
                    ============   ========
                         youtube - Streaming-Media

Deze hoort toe aan de category Streaming-Media maar die kan iets teveel omvatten van wat je wilt.
Dit zie je door het volgende commando te doen... Dus wat zit er in deze category:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
/usr/sbin/ubnt-dpi-util show-cat-apps Streaming-Media           
Applications in category [Streaming-Media]
========================
56.com
6.cn
adnstream
adobe-flash
afreecatv
airplay
amazon-instant-video
amazon-prime-music
apple-music
arirang
asf
audible
avi
babelgum
baidumusic
baofeng
baomihua
barks
bbc-iplayer
blip.tv
break.com
channel-4
channel-5
china-streaming-video
cinemanow
cjb.co.kr
cntv
crackle
cradio
crunchyroll
daap
dailymotion
deezer
doubanfm
douyutv
empflix
eskimotube
filmin
flixster
flixwagon
flv
fora.tv
freecast
freeones.com
funshion
grooveshark
gyao
hbogo
headweb
hichannel
hulkshare
hulu
hustlertube
ifeng-video-
imbc
imdb.com
imgo-tv
iqiyi/pps
itunes
itunes-festival
itv
joy.cn
kaltura.com
kbs
kctvjeju
keyholetv
kideos
kids.gov
kkbox
kodi
ku6
kugou
lastfm
letv
live365
livejasmin.com
livesearch.tv/coolstreaming
livestation
livestream
lovefilm
m1905
m4v
madbitties
majorleaguegaming
maxdome
mbn
metacafe
mgoon
microsoft-silverlight
miro
mixbit
mlb.com
mlssoccer
mms/wmsp
mov
movenetworks
mp3
mp4
mtv.com
musicsoda
mwave
mysolive
national-geographic-kids
netflix
newbigtube
nhl
niconicodouga
nubeox
ooyala
pandora
pbs-kids
pbs-video
photobucket
pipi
plex.tv
podcast
porn.com
pornhub.com
pptv-(pplive)
qello
qqlive
quicktime
qvod/bobohu
realplayer
redtube.com
rhapsody
rmvb
roku
rtl.nl
rtmp
rtp
rtsp
sbs
shazam
shoutcast
sina-video
siriusxm
smithsonian-channel
sohu-tv
sopcast
spotify
streamate.com
swf
ted
thunderkankan
tnaflix
trailers
tube8
tudou
tudouva
tunein
twitch.tv
uitzendinggemist
ustream.tv
uusee
v.163.com
veetle
veohtv
vevo
viaplay
videodetective
vimeo
vlc
voddler
vube
vudu
vyclone
watchever
weather-channel
web-streaming
winamp
windows-media-player
wma
wmv
wowtv.co.kr
wsj-live
wuaki.tv
xhamster.com
xnxx.com
xtube
xvideos.com
yahoo-video
yinyuetai
yobt.tv
youjizz
youku.com
youkuva-
youporn.com
youtube
ytn

Zo zie je, als je enkel YouTube wil allowen maar yahoo-video niet (visa versa or whatever), zul je Youtube in een nieuwe category moeten plaatsen. Simpel order van allow en deny komt om de hoek kijken.
Anyway, je gaat eerst een custom category maken met diensten die jij wilt bevatten en dus voldoende/afdoende en/of wenselijk is.
code:
1
set system traffic-analysis custom-category WebStreaming

En hierna doe je hier Youtube aan toevoegen:
code:
1
set system traffic-analysis custom-category WebStreaming name Youtube

Hierna kun je de custom category gebruiken in een firewall rule. Zowel in Allow als Block vorm.

In de CLI krijg je dan zoiets:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
 rule 80 {
     action allow
     application {
         custom-category WebStreaming
     }
     description "allow Streaming Media"
     log enable
     protocol all
     source {
         group {
             network-group GUEST_LAN
         }
     }
 }

Wil je de Youporn etc blokkeren, dan maak je eerst een allow rule voor de custom category "Webstreaming" en daarna een drop rule voor de standaard category "Streaming-Media"
Zo zijn er ook standaard categories voor Topsites-Adult al blijft die bij mij leeg 8)7
code:
1
2
3
/usr/sbin/ubnt-dpi-util show-cat-apps TopSites-Adult
Applications in category [TopSites-Adult]
========================

Of eigenlijk alles wat TopSites is.... weird

Let wel even op binnen de Streaming-Media category dat dit ook RTSP, WMA,WMV, VLC, MP3, MP4 etc omvat. Dus das wel heul veul in ťťn keer dat je uitzet. En ik zie Airplay hier ook instaan... Zou dus inhouden dat je geen AppleTV meer kan aansturen.

Bij het juiste gebruik, heel krachtig maar bij afraffelen en domweg vanalles doen, een drama

Hier nog even alle categorieŽn die er default inzitten:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
Business
Bypass-Proxies-and-Tunnels
File-Transfer
Games
Instant-messaging
Mail-and-Collaboration
P2P
Remote-Access-Terminals
Security-Update
Social-Network
Stock-Market
Streaming-Media
Voice-over-IP
Web
Web-IM

En de TopSites
TopSites-Adult
TopSites-Arts
TopSites-Business
TopSites-Computers 
TopSites-Games
TopSites-Health
TopSites-Home
TopSites-KidsnTeens
TopSites-News
TopSites-Recreation
TopSites-Reference
TopSites-Regional
TopSites-Science
TopSites-Shopping
TopSites-Society
TopSites-Sports

<EDIT>Aan de hand van de bevindingen van @MdBruin een kleine aanvulling voor de Zone-Based firewall boys en girls. De firewall rules die DPI bevatten moeten bovenaan in je ruleset staan. Of iig boven de related/established en invalid rules staan.

Jeroen_ae92 wijzigde deze reactie 08-03-2017 21:31 (57%)

U+


Acties:
  • +1Henk 'm!
Collega vandaag: "op elke betonnen verdieping van een huis zou je een UAP moeten hebben" En ik twijfelde al een beetje over een 3e, net maar besteld. Volgende week jarig dus die boeken we daar wel onder weg ;-)

3x UAP-AC-PRO in huis super cool.

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
quote:
ZaZ schreef op woensdag 8 maart 2017 @ 01:50:
[...]

Ik heb nog geen zone-based-policy firewall, maar trekt wel mijn aandacht, thanks.
[...]

Misschien is dat mijn probleem wel en moet ik een virtual interface hebben?
Het is even wat werk maar daarna heb je ook wat. Nadeel is alleen dat je het eigenlijk aan beide zijden wilt toepassen. Maar als je het aan 1 kant goed opzet dan krijg je aan de andere kant alleen toegang tot de dingen die je zelf toestaat.
De link welke ik al gaf heb ik zelf ook gebruikt als leidraad, vooral het laatste stukje is even wennen maar wel logisch. Ze werken net anders als je mogelijk gewend ben met bijvoorbeeld WAN from LAN i.p.v LAN to WAN. Dus destination vanuit source terwijl de meesten anderen werken als source naar destination. Als je dit door hebt dan is dit ook geen probleem.

Onderaan op het dashboard kan je zien of er een tunnel wordt opgebouwd, ik zou het wel verwachten aangezien site-to-site op vpn basis werkt.

Acties:
  • +1Henk 'm!
quote:
ZaZ schreef op dinsdag 7 maart 2017 @ 23:13:
Ik zit nog steeds te klooien met een site to site naar een cisco asa vanaf een ERL.
De site to site is wel werkend maar als ik het verkeer wil firewallen lukt dat totaal niet.
Voorbeeldje: Ik heb op elke interface in zowel de in/out/local imcp uitgeschakeld door de pakketjes te droppen als eerste regel nog voor mijn established/related regels.
Zowel met als zonder Match inbound IPsec packets optie, maar nog steeds kan de andere kant (cisco-kant) alles in mijn netwerk vrolijk pingen.

Het uiteindelijke doel is dat alleen een bepaald subnet straks toegang heeft tot een bepaald subnet aan mijn kant, maar dat lijkt nu helemaal nog verre toekomstmuziek.

Ik heb overigens deze settings ook actief:

auto-firewall disable
auto-firewall-nat-exclude disable

Maar nog steeds 0,0 controle over het verkeer
Als je werkt met de auto-firewall en auto-firewall-nat-exclude disable features dien je de firewall rules op je WAN_IN firewall set te plaatsen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
 rule 10 {
     action accept
     description "Allow IPSEC - Edgerouter"
     destination {
         address 10.0.1.1
         port 22, 443
     }
     ipsec {
         match-ipsec
     }
     log disable
     protocol tcp_udp
     source {
         group {
             network-group IPSEC_NETS
         }
     }
 }
 rule 20 {
     action accept
     description "Allow IPSEC to allowed devices"
     destination {
         group {
             address-group IPSEC_Allowed
         }
     }
     ipsec {
         match-ipsec
     }
     log disable
     protocol all
     source {
         group {
             network-group IPSEC_NETS
         }
     }
 }
 rule 25 {
     action accept
     description "Established-related IPSEC traffic"
     ipsec {
         match-ipsec
     }
     log enable
     protocol all
     state {
         established enable
         related enable
     }
 }
 rule 30 {
     action drop
     description "Drop IPSEC not specifically allowed by prior rules"
     ipsec {
         match-ipsec
     }
     log enable
     protocol all
 }

Maar omdat je ook geen auto-nat-exclude aan hebt staan, heb je ook de NAT rule nodig:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 rule 5000 {
     description "exclude masquerade for IPSEC"
     destination {
         group {
             network-group IPSEC_NETS
         }
     }
     exclude
     log disable
     outbound-interface eth0
     protocol all
     source {
         group {
             network-group LAN
         }
     }
     type masquerade
 }

Het grappige is namelijk dat die auto-firewall opties onderwater alle benodigde rules maken om het zo eenvoudig mogelijk te maken. Maar hierdoor heb je dus geen invloed meer op het ipsec verkeer.
Door deze opties uit te zetten en handmatig de firewall en nat rules te maken krijg je weer controle op het verkeer.

U+


Acties:
  • +1Henk 'm!
quote:
ZaZ schreef op woensdag 8 maart 2017 @ 16:46:
[...]

Ik denk dat ik 'm snap.
Iets uit een local LAN babbelt bijv. terug en zegt "hoi hier antwoord van 192.168.0.1" en wanneer het uit de router het internet op gaat hoeft dat ip niet omgezet te worden naar mijn public ip, toch?
En dat is wat er anders wel gebeurt met de standaard masquerade regel.
Correct, normaal is het zo dat een masquerade rule ervoor zorgt dat interne adressen gehide worden achter het adres van je NAT rule. Dit kan een eth assigned adres zijn maar ook meerdere indien je een IP blokje hebt. Voor IPSEC verkeer wil je dit niet. Dat moet juist buiten deze rules gaan. Vandaar dat ie hoger moet staan dan de default rule en vandaar dat je dit wilt excluden. De andere zijde van de tunnel verwacht een source adres over de tunnel en niet iets buiten langs ;-) Immers, default NAT doet het over de WAN eth naar buiten spugen en voor IPSEC verkeer wil je dit niet.
quote:
Moris schreef op woensdag 8 maart 2017 @ 15:05:
[...]

Helaas ontbreekt me de kennis ivm CLI :|
Jammer dat de USG door gebrek aan een extra LAN poort, me geen mogelijkheid biedt om IPTV te configureren.
Dit betekent dat ik enkel voor IPTV een extra switch moet bijplaatsen (liever niet) of het gewoon bij mijn huidige Asus router moet houden, toch?
Mwah, met wat hulp kun je een prima config.gateway.json file "lenen" van iemand. Deze plaats je op je controller in de juiste dir en je hebt IPTV werkend aan de hand van het werk van iemand anders.

Jeroen_ae92 wijzigde deze reactie 08-03-2017 19:58 (23%)

U+


  • rally
  • Registratie: maart 2002
  • Laatst online: 06:42

rally

Irini Ria RaphaŽlla

Nee, die instellingen zijn voor de DNS servers van de USG.
Voor de LAN DNS servers die je via DHCP distribueert moet je naar de settings gaan, dan naar networks en daar kun je ze bij je LAN settings aanpassen.

Zie ook (clickable) screenshot waar je deze instelling kunt vinden. Je hoeft ze niet allbei in te vullen als je alleen de USG als DNS server wil laten pushen.

http://pictures.wachtel.nl/pictures/unifilansetting_tn.png

http://irini.wachtel.nl


  • rally
  • Registratie: maart 2002
  • Laatst online: 06:42

rally

Irini Ria RaphaŽlla

quote:
DennusB schreef op donderdag 9 maart 2017 @ 11:32:
Weet iemand dit :

Als je via SSH inlogt op de USG kan je doormiddel van "configure" zelf via de CLI config changes doen. Op de Unifi switches werkt dat niet. Kan dat wel? Of is dat alleen mogelijk op de USG?
Hoe het met de switches zit weet ik niet, maar je weet dat wijzigingen die je via de CLI doet "verdwijnen" als je de router een reconfigure request krijgt van de controller (rebooten is geen probleem)?

Permanenten wijzigingen moet je via een JSON doen.

http://irini.wachtel.nl

Je kunt UniFi switches via de cli configureren:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
US.v3.7.45# telnet localhost

Entering character mode
Escape character is '^]'.

Warning!
The changes may break controller settings and only be effective until reboot.

(UBNT) >en


(UBNT) #configure 

(UBNT) (Config)#

PVoutput 2720WP ZW en Oost-West

Had iemand de nieuwe UNMS eigenlijk al gezien? Management tools (controller dus) voor de Edgerouters.
Linkje voor de demo: https://unms-demo.ubnt.com/
En de firmware voor de Edgerouters
Uiteraard met installatie handleiding

Ik zie voornamelijk voordeel in het managen van meerdere routers over meerdere locaties. Eenvoudige config wijzigingen en centrale backups. Dat laatste kan natuurlijk al vanuit de CLI maar dit oogt wel simpeler. En zou ook voor de switches uit de Edgemax series moeten gaan werken.

U+


Acties:
  • +2Henk 'm!
quote:
DennusB schreef op vrijdag 10 maart 2017 @ 11:37:
[...]


Dus dan krijgen we toch centraal management voor Edgerouters? Naast Unifi routers met de Unifi controller?
Waarschijnlijk kun je UniFi er ook in managen in de toekomst dus 1 controller voor alles.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


Acties:
  • +1Henk 'm!

  • m3gA
  • Registratie: juni 2002
  • Laatst online: 18-12 17:26
quote:
djkavaa schreef op vrijdag 10 maart 2017 @ 11:46:
[...]


Waarschijnlijk kun je UniFi er ook in managen in de toekomst dus 1 controller voor alles.
Staat op de roadmap voor de herfst van 2017

RoadMap
Spring 2017 (beta) - EdgeRouter and EdgePoint Support (excluding EP-S16)
Summer 2017 (v1) - UFiber GPON, EdgeSwitch (including EP-S16) and UMobile Support
Fall 2017 (v2) - UCRM, airControl and UniFi Integration
quote:
xbeam schreef op zaterdag 11 maart 2017 @ 18:30:
heeft iemand een idee waar die nieuwe prism precies voor is.
https://www.ubnt.com/airmax/prismstation-ac/
Zelfde als de NanoBeams maar dan kleiner en met de verwisselbare "lens" kun je ervoor zorgen dat als je er meerdere bij elkaar hebt om bijvoorbeeld naar een woning te stralen in een Point to Multi Point dat de ene zender geen last heeft van de andere.

En het zijn gewoon kleine dingen dus ze vallen ook niet zo op aan je huis dan de NanoBeams of de PowerBeams.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


  • winwiz
  • Registratie: september 2000
  • Laatst online: 20:41
quote:
matthewk schreef op woensdag 15 maart 2017 @ 09:24:
[...]

Nagelnieuw. Hij verdwijnt niet uit de lijst en de andere netwerken zijn nog beschikbaar. Dat vind ik dus zo raar...

En ik snap dat het semi professioneel is, maar zo'n slechte interaction tussen app en controller hoort nťt niet bij een semi-profi product. Dat verwacht je bij een TP-link of netgear product, niet bij Ubiquiti. Stel al geruime tijd netwerken in, maar dit nog nooit meegemaakt.
Als alles juist is ingesteld heb je helemaal geen controller software meer nodig. Die moet je wel laten draaien als je statistieken wil hebben, maar voor de werking zeker niet. Trouwens haal het semi maar weg, het is gewoon een professioneel product. Ik denk dat je problemen eerder moet zoeken in de powerline. Als er iets storingsgevoelig is is dat het wel.

Ryzen 2700X stock + 32GB GSKILL @3200 op Croshair VI Hero + RX Vega 64 + Philips BDM4065UC + DS1815+ + DS414 + MacbookPro 15" 2016

quote:
matthewk schreef op woensdag 15 maart 2017 @ 10:53:
[...]

Met een nagelnieuwe powerline tho? En bekabeling die amper 15 jaar oud is, in een vrijstaande woning (dus weinig wifi interferentie). We hebben sowieso nooit problemen gehad met powerlines voorheen. Heb nu speciaal een extra d550+ gekocht nťt omdat ik zo tevreden was over het product op andere plaatsen in de woning (totaal geen verlies).
Troubleshooten is uitsluiten, dus ik zou als ik jouw was een duurtest verzinnen om uit te sluiten of de powerline een probleem is.

Hang er eens een raspberry aan met smokeping erop en ping de modem eens 96 uur.

PVoutput 2720WP ZW en Oost-West


  • japie101
  • Registratie: augustus 2003
  • Laatst online: 17-12 22:17
Is er iemand hier die al bezig is geweest met een stukje presence detection door middel van een koppeling richting de controller API met bijvoorbeeld Domoticz.

Ik kan hier erg weinig over vinden, maar lijkt me briljant om deze info uit te lezen en te gebruiken in Domoticz of welk ander Domotica systeem dan ook.
quote:
japie101 schreef op woensdag 15 maart 2017 @ 12:03:
Is er iemand hier die al bezig is geweest met een stukje presence detection door middel van een koppeling richting de controller API met bijvoorbeeld Domoticz.

Ik kan hier erg weinig over vinden, maar lijkt me briljant om deze info uit te lezen en te gebruiken in Domoticz of welk ander Domotica systeem dan ook.
https://www.domoticz.com/forum/viewtopic.php?t=3703

Is het al bijna vrijdag?


  • m3gA
  • Registratie: juni 2002
  • Laatst online: 18-12 17:26
Voor de liefhebber, Ubiquiti is begonnen met het online zetten van hun trainingsmateriaal (gratis). De eerste is UBWA (airMax) https://www.ubnt.com/download/trainings/

Acties:
  • +1Henk 'm!

  • m3gA
  • Registratie: juni 2002
  • Laatst online: 18-12 17:26
quote:
m3gA schreef op donderdag 16 maart 2017 @ 12:48:
Voor de liefhebber, Ubiquiti is begonnen met het online zetten van hun trainingsmateriaal (gratis). De eerste is UBWA (airMax) https://www.ubnt.com/download/trainings/
En de Unifi training guide staat er nu ook bij. Leuk voor mensen die er nog niet zo thuis in zijn.

https://dl.ubnt.com/guide...g_Guide_v2.1_03-15-17.pdf

en zal vast veel vragen beantwoorden.

Acties:
  • +1Henk 'm!
quote:
ZaZ schreef op zaterdag 18 maart 2017 @ 23:30:
Ik zit met een vaag probleem. Ik probeer via een site-to-site VPN een ping te doen naar mijn ERL maar die faalt.
Ik heb al een rule gemaakt voor WAN_LOCAL en die wordt ook geraakt want dat kan ik zien in de stats als ik het probeer.
Hetzelfde gebeurt als ik van buiten af naar mijn public ip ping. Ook die pings geven timeout maar ze komen al wel langs de WAN_LOCAL rule.

De webinterface benaderen via de site-to-site VPN ging eerst ook niet, maar daar moest ik dus een rule voor toevoegen op WAN_LOCAL en toen ging het wel, alleen met de ping lukt het dus niet
Zonder je huidige config te hebben gezien, ik heb nog een WAN_IN rule:
code:
1
2
3
4
5
6
 rule 60 {
     action accept
     description "Allow ICMP"
     log enable
     protocol icmp
 }

En een 'set firewall all-ping enable'. Kom je daar verder mee?

U+


Acties:
  • +1Henk 'm!

  • DJSmiley
  • Registratie: mei 2000
  • Laatst online: 00:25

DJSmiley

Moderator Internet & Netwerken
quote:
Movinghead schreef op zondag 19 maart 2017 @ 12:33:


De Lite en LR doen qua prijs niet heel veel, waarbij de LR een logischer keuze is ivm 3x3 / 2x2. Wat moet er voorzien worden van Wifi, +- 75m2 (incl buiten). Er zitten wel wanden in m'n appartement maar dat zijn gewone dunne wandjes.

Kan uiteraard met 1 zender beginnen en uitbreiden, :)
De Lite en LR zijn beide 2x2 op de 5Ghz.

Alleen op de 2.4Ghz is de LR 3x3. Maar gezien de drukte op de 2.4Ghz band zie ik daar weinig meerwaarde in. En op de 5Ghz zijn ze gelijk.

De LR is ook groter. Het zendvermogen van de LR is hoger, maar daar win je niets mee zolang je clients niet hoger terugzenden.

Imho kun je de LR beter overslaan: Duurder, groter, en eigenlijk geen meerwaarde.

Acties:
  • +1Henk 'm!
Net een Unifi video camera stuk gemaakt :-(
Per ongeluk op 48v ipv de 24v gezet. En aangezien de camera aan een Toughswitch hing, dus geen IEEE 802.3af, is ie nu stuk. Als ik em vervolgens aan een PoE injector hang, gaat het injector lampje uit... Oopsie

U+


Acties:
  • +1Henk 'm!

  • Dafjedavid
  • Registratie: januari 2003
  • Laatst online: 21:15
quote:
Jeroen_ae92 schreef op zondag 19 maart 2017 @ 17:22:
Met een 802.11af of 802.11at switch gaat het wel goed. Enkel met een verkeerde PoE injector of Toughswitch niet. Die doen geen autosense volgens de standaard. Gevolg is dan inderdaad een te hoog voltage en kunnen er dingen beyond repair stuk gaan.
Er is inmiddels een compatibilty matrix verschenen voor PoE en UBNT producten:
https://help.ubnt.com/hc/...%A0#active%20vs%20passive

Who Needs Windows...


Acties:
  • +1Henk 'm!

  • zeroday
  • Registratie: mei 2007
  • Laatst online: 07:14

zeroday

Dream within a dream

quote:
Jeroen_ae92 schreef op zondag 19 maart 2017 @ 17:22:
Met een IEEE 802.3af of IEEE 802.3at switch gaat het wel goed. Enkel met een verkeerde PoE injector of Toughswitch niet. Die doen geen autosense volgens de standaard. Gevolg is dan inderdaad een te hoog voltage en kunnen er dingen beyond repair stuk gaan.
Zo zie je maar weer, het kan zelfs de expert overkomen ;)

USG, 2x Unifi AP-LR, 1x Unifi Pro, 4x HP Microserver Gen8 (1x Vmware) 3x OpenMediavault. (en nog veel meer andere meuk)


Acties:
  • +1Henk 'm!
quote:
Shaggie_NB schreef op maandag 20 maart 2017 @ 21:47:
[...]

https://community.ubnt.co...dmap/m-p/1547101#U1547101

Ik heb nu 5.5.7 (testing) draaien en daar is het bv al mogelijk om de radius server in te stellen voor een L2TP/IPsec VPN verbinding. En dat helemaal via de GUI.
Het CLI / JSON file gebeuren vind ikzelf niet echt prettig gekozen van de USG. Maar ook dat staat op de roadmap om aangepakt te worden.
Hey psssst... 5.5.8 is release candidate

U+


Acties:
  • +3Henk 'm!
quote:
Jeroen_ae92 schreef op zondag 19 maart 2017 @ 14:36:
Net een Unifi video camera stuk gemaakt :-(
Per ongeluk op 48v ipv de 24v gezet. En aangezien de camera aan een Toughswitch hing, dus geen IEEE 802.3af, is ie nu stuk. Als ik em vervolgens aan een PoE injector hang, gaat het injector lampje uit... Oopsie
Jeej de camera doet het weer. UBNT RMA mocht niet omdat de garantie van een (1) jaar al verlopen was.
Dus dan maar zelf kijken... Er zit een diode in die de camera beveiligd tegen overspanning. Deze was kapoet helaas. Een nieuwe beveiligings diode kost nog geen 2 euro dus hopsa, fixed it.

U+


Acties:
  • +1Henk 'm!

  • doc
  • Registratie: juli 2000
  • Laatst online: 18-12 13:31
quote:
Shaggie_NB schreef op maandag 20 maart 2017 @ 21:49:
[...]

Hoe denk jij over de Unifi implementatie in UNMS?

Die 5.5.8 had ik nog niet gezien. En ik kijk toch heel vaak op de beta site...
Moet ik dadelijk toch nog aan het werk :)
Je kan instellen dat je automatisch een mailtje krijgt bij nieuwe blogposts, of zet hem in je feedreader ofzo ;)

Me Tarzan, U nix!


Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
quote:
PheraX schreef op dinsdag 21 maart 2017 @ 09:04:
Ik heb een raspi 3 met de nieuwste unifi controller (gister opnieuw geÔnstalleerd) maar kan na de eerste x verbinden en ac configureren kan ik niet meer verbinden met de controller. Als ik naar localip:8443 ga dan staat er pagina niet gevonden. Als ik met mijn mobiel verbind word er een klein bestandje 'download' gedownload waar 3 tekens in staan die notepad niet kan lezen(ik zie vierkantjes).
Verder draait er home assistant en pihole op de pi, die kan ik nog wel berijken via mijn tel maar ook niet meer via pc.

Iemand eerder met dit bijltje gehakt?
Ik, ga naar https://localip:8443
Zonder de s wordt ik ook niet doorgestuurd naar de https site en krijg ik ook de tekens te zien. Er zal vast ergens een instelling in de webserver zijn welke je redirect naar de https site maar heb hierin nog geen tijd gestoken.

  • laurens0619
  • Registratie: mei 2002
  • Laatst online: 22:06
quote:
timothee schreef op woensdag 22 maart 2017 @ 17:21:
[...]


Hmm...vreemd. Volgens mij staat ie op de WAN interface toch standaard op DHCP, dus dan zou ik verwachten dat ie van mijn TP-Link een IP adres had gekregen en dus toegang tot internet.

Straks nog maar eens proberen en even in de TP-Link checken of de USG verbinding maakt.
Helaas ben ik deze zaken al vaker (hier) tegengekomen. Die USG in je netwerk/ap's opnemen schijnt toch niet zo plug & play te zijn. JB in "[Ervaringen/discussie] Ubiquiti-apparatuur"

@JB had het toen opgelost door een edgerouter-X te halen, stuk makkelijker :P

  • Samplex
  • Registratie: februari 2000
  • Laatst online: 06:43
quote:
nero355 schreef op donderdag 23 maart 2017 @ 16:00:
[...]

2 Jaar geleden de basis UAP's gekocht in een 3-pak en al 2 jaar niks aangeraakt en het werkt gewoon, zelfs met de hier beruchte Zero Handoff functie ingeschakeld ;)

Gewoon bestellen, wachten op de levering, als alles binnen is uitpakken, aansluiten en de controller op je laptop of PC installeren om eenmalig alles in te stellen en daarna niks meer aanraken, want het werkt gewoon! d:)b

Ik kwam er zelfs achter dat de 3de AP niet eens nodig was voor een gemiddeld rijtjeshuis met een 1 verdieping + zolder : Overal bereik! Zelfs in de tuin met 1 AP in de woonkamer en 1 AP op de eerste verdieping.

* nero355 wil niks anders meer 8)

Behalve 5GHZ support ooit een keer :+
Hier ook over gegaan op Ubiquiti sinds kort, eerst wilde ik de boel terug sturen omdat Zero hand off er niet op zat maar blijkbaar was alleen voor de oude generatie AP's en met de nieuwe versies werkt Roaming perfect en de snelheid was niet beter dan me oude config maar is ook opgelost.
Dankzij de hulp/tips van medetweaker @m3gA _/-\o_ het toch nog een kans gegeven en wil niet nu niet meer anders.

Bereik is beter, snelheid is beter en wifi is nu super stabiel! Tevens vind de vrouw de AP ook geen doorn in het oog want ze zijn wit en hebben geen antennes die uitsteken ;) .

Acties:
  • +1Henk 'm!

  • Samplex
  • Registratie: februari 2000
  • Laatst online: 06:43
quote:
wopper schreef op vrijdag 24 maart 2017 @ 13:00:
[...]


We hebben deze week wat tips gegeven waarmee het iemand anders is gelukt, misschien kan je die doornemen.
Krijg m nog steeds niet aan de praat, adopting lukt niet, fimrware upgrade via de Chrome App geeft Invalid firmware etc.

Na uren bezig zijn geweest heb ik het eindelijk werkend.
Via de Chrome app kreeg ik Invalid firmware dus met het upgraden, dus de upgrade via command line gedaan ging het wel.

- Ziggo Connectbox in bridge mode

- Ziggo Connectbox port 1 aangesloten aan de WAN port USG
- PC direct aangesloten op mijn switch, de LAN poort USG verbonden aan me switch (zorg ervoor dat er geen bestaande DHCP server actief is in je LAN)

- Na opstarten USG kreeg mijn PC een IP adres van de DHCP server van de USG en had ik een werkende internet connectie.

- Firmware upgrade gedaan van de USG via command line:
mca-cli
upgrade http://dl.ubnt.com/unifi/.../UGW3.v4.3.34.4943823.tar

- Mijn thuis netwerk heeft range 192.168.178.0/24 en dus ook de Unifi controller leeft in deze range, de USG heeft standaard 192.168.1.0/24 dus ssh naar de USG en de default IP range aangepast:
configure
set interfaces ethernet eth1 address 192.168.178.1/24
delete interfaces ethernet eth1 address 192.168.1.1/24
commit

- PC een static ip gegeven in range 192.168.178.0/24 en een nieuwe ssh sessie naar de USG, dan adopten maar:
mca-cli
set-inform http://192.168.178.100:8080/inform
Dan verschijnt de USG in de Unifi Controller en klik op Adopt
Doe nogmaal in je ssh sessie:
set-inform http://192.168.178.100:8080/inform

En de USG ging eindelijk naar Provisioning

  • Samplex
  • Registratie: februari 2000
  • Laatst online: 06:43
Ik zou het proberen in bridgemodus, zoals je het nu hebt kan je net zo goed de Cisco als router blijven gebruiken en de USG terug sturen.

Ps zal dat modem ook lekker omwisselen voor een met 16 down en 8 upstreams model ipv dit oude modem te houden Connectbox of via Technicolor modem.

Samplex wijzigde deze reactie 25-03-2017 15:42 (35%)

quote:
DennusB schreef op zaterdag 25 maart 2017 @ 18:44:
Hoi!

Ik heb NordVPN aan de gang gekregen op mijn Unifi USG door een PPTP client op te zetten. Vanaf de USG kan ik het NordVPN netwerk pingen, maar vanaf mijn clients.
Ik heb als test een static route aangemaakt voor : 104.27.193.92/32 om als volgende hop de NordVPN interface te pakken. Maar dat loopt dood (ik krijg geen packets naar 10.10.10.1 (vanaf de USG wel)).
Ik heb de static route ook even getest met als next hop 10.10.10.1, maar ook dat werkt niet.

Iemand enig idee hoe ik dat verkeer om moet leiden?
Heb je je NAT Masquarade rule aangepast en de static route op basis van nexthop interface?
Voorbeeld Masq rule:
code:
1
2
set service nat rule 5000 outbound-interface pptpc0
set service nat rule 5000 type masquerade

Side note: Je huidige NAT rule moet blijven staan alleen ťťntje lager dan de nieuwe. Dit omdat als de VPN down is, je toch nog kan internetten. WAF factor 1000 :+

Voorbeeld static route:
code:
1
set protocols static interface-route 0.0.0.0/0 next-hop-interface pptpc0

Hierdoor gaat wel al het verkeer over de VPN. Indien je dat niet wilt, zul je met policy based routing aan de slag moeten.

Jeroen_ae92 wijzigde deze reactie 25-03-2017 21:01 (7%)

U+


Acties:
  • +1Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

@Polyprobatos geef de LR eens een statisch IP adres, misschien helpt het, inclusief gateway.

Acties:
  • +1Henk 'm!
quote:
Domino schreef op zondag 26 maart 2017 @ 20:42:
[...]


Onzin, ik heb hier alles dekkend (500 m3, drie verdiepingen) met een Lite, op wat dode hoeken in de tuin na. Met juiste plaatsing is een hoop goed te maken.
Maar je kan hier nog 24posts aan wijden, elk huis is anders gebouwd en dat heeft alles te maken met de demping van een woning. Wat voor de een werk werkt voor de ander voor geen meter.

Ik wil overal minimaal -60 a -65 dbm signaal hebben zodat streams overal goed starten daar heb ik op ingemeten.

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!

  • RnB
  • Registratie: september 2005
  • Laatst online: 20:51
Ik heb sinds zaterdag een UniFi AP AC Pro hangen en ik heb deze, na een dag prutsen, ingesteld zoals ik het wil hebben.

Om volledig gebruik te maken van de UniFi controller functies, wil ik binnenkort een USG erbij halen.

Ik wil de USG in de plaats voor de Experiabox die ik van KPN heb ontvangen. Ik heb een tutorial gevonden over hoe ik de USG dien in te stellen om van alle KPN functionaliteiten gebruik te kunnen maken.

Nu lees ik echter weinig over de combo USG en KPN Glasvezel, des te meer lees ik over de combo EdgeRouter lite en KPN Glasvezel.

Heeft iemand hier toevallig ervaring met de USG icm KPN Glasvezel?

De tutorial waar ik naar refereer is deze.

Acties:
  • +1Henk 'm!
Wat voor Edgerouter heb je? M.i. moet je de volgende stappen doen voor een schone lei:
  • Backup maken huidige config
  • Updaten naar v1.9.1
  • Wizard (WAN+2LAN2)
  • Instellen zoals gewenst
  • Testen :P
  • L2TP instellen
  • Testen :P
De L2TP commands
Eerst de VPN IPSEC instellen:
code:
1
2
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec disable-uniqreqids

Dan L2TP:
code:
1
2
3
4
5
6
7
8
9
10
set vpn l2tp remote-access authentication local-users username *hierjeusername* password *hierjepassword*
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access client-ip-pool start 192.168.1.250
set vpn l2tp remote-access client-ip-pool stop 192.168.1.254
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret "hierjesharedsecret"
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access mtu 1492
set vpn l2tp remote-access outside-address 0.0.0.0

Om de DNS te laten werken voor de L2TP client:
code:
1
set service dns forwarding options listen-address=192.168.1.1

En dan de firewall rules tbv de L2TP VPN:
code:
1
2
3
4
5
6
7
8
9
10
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 description 'Allow L2TP'
set firewall name WAN_LOCAL rule 10 destination port 500,1701,4500
set firewall name WAN_LOCAL rule 10 log enable
set firewall name WAN_LOCAL rule 10 protocol udp
set firewall name WAN_LOCAL rule 20 action accept
set firewall name WAN_LOCAL rule 20 description 'Allow ESP'
set firewall name WAN_LOCAL rule 20 destination
set firewall name WAN_LOCAL rule 20 log enable
set firewall name WAN_LOCAL rule 20 protocol esp

Let wel op, pas je username, password, shared secret, ip adressen en rule nummers aan.

En dat is alles...

Jeroen_ae92 wijzigde deze reactie 27-03-2017 21:28 (0%)
Reden: Niet omdat het moet, maar omdat het kan

U+


Acties:
  • +1Henk 'm!

  • vossejongk
  • Registratie: maart 2006
  • Laatst online: 29-08 16:03
quote:
Jeroen_ae92 schreef op maandag 27 maart 2017 @ 21:43:
[...]


Als je Powerbeam's op elkaar aansluit, wireless offcourse, dan dient dit geen loop te creŽren. Maw, je sluit 1 kant aan op het bestaande netwerk en de andere op een laptop of computer. De computer zou dan via de wireless link een adres moeten krijgen vanuit het bestaande netwerk.

Je moet dan ook de link tussen de 2 powerbeams zien als kabel verbinding. Dus router/modem -> kabel naar Powerbeam 1 -> wireless link naar Powerbeam 2 -> Powerbeam 2 -> kabel naar computer (en later een switch).

Probeer het eerst zo eens.

Moet de overkant deel uitmaken van het bestaande netwerk van locatie 1? Of moet het een koppeling worden tussen 2 netwerken? Dan moet je namelijk iets met routeringen doen aan tenminste 1 zijde.
Het werkt! :D Blijkbaar was het een probleem dat de PB's zowel via kabel met t modem als met elkaar verbonden waren 8)7 Heb de TP link er los aangehangen en die krijgt nu gewoon een IP van het het modem :D ff getest met phone en t spul is voor mekaar :)
Hier ook even het aanbod voor Tweakers in dit topic. Ik heb een 24x7 VM bij DigitalOcean draaien als Unifi controller. Als er Tweakers zijn die hier graag gebruik van willen maken dan kan dit wat mij betreft kostenloos. Je kan zo je site importeren en ik kan een gebruiker voor je aanmaken.
Ik houd de updates altijd netjes bij :)

Mocht je interesse hebben : Stuur even een VM. En ja, kostenloos :) Omdat jullie ook Tweakers zijn ;)

Is het al bijna vrijdag?


  • Spoelly
  • Registratie: juni 2003
  • Laatst online: 11-12 23:58
quote:
Luppie schreef op woensdag 29 maart 2017 @ 22:12:
[...]

Ik had mijn controller op een VPS bij TransIP draaien, maar ben afgelopen weekend overgestapt op de Cloud Key. Reden hiervoor was dat ik met de 5.5.8 beta mijn nieuwe switches niet kon adopten op een externe host en dat ik mijn Unifi setup helemaal met Ubiquiti apparatuur wil draaien. Ondertussen het hele netwerk weer van scratch opgebouwd. Blijft mooi spul de Unifi range van Ubiquiti.

[afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding] [afbeelding][afbeelding] [afbeelding]

De Cloud Key is nu aangesloten op een PoE poort van mijn US-8 switch (Laatste foto linker poort, helaas door de korte stugge kabel kon ik de Cloud Key niet mooi op de voorkant monteren) en werkt super. Na veel gekl**t ook een certificaat aan de Cloud Key en Controller toegevoegd dus nu ook een mooi groen slotje op de adresbalk :D
Leuk even een kijkje in de keuken bij een ander ;)
Gisteren de controller gemigreerd naar een hosted oplossing, waarvoor dank @DennusB :)
quote:
Shaggie_NB schreef op donderdag 30 maart 2017 @ 19:18:
[...]

Maar je geeft toch alle opties aan een klant?

Ik snap als jullie het gehele beheer gaan doen dat je dan kiest voor de voor jullie optimale keuze.

Maar als je dat niet gaat doen is het toch de keuze van de klant...
Als ik er dan later achter kom dat mijn leverancier een half verhaal heeft verteld en die weggelaten oplossing misschien beter past bij onze beheersfilosofie. Dan zou ik me niet zo happy voelen..
Natuurlijk leggen we het aan de klant voor, en blijft het ook een keuze van de klant.
Het is dan aan de klant om de afweging te maken tussen de Pro's en Cons

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?


  • Shaggie_NB
  • Registratie: december 2008
  • Laatst online: 07:17
quote:
Jeroen_ae92 schreef op donderdag 30 maart 2017 @ 18:52:
En tot die tijd JSONnen we lekker verder :9
Dat JSON gebeuren vind ik persoonlijk nog het meest spreken, in het nadeel van de USG. Ik hoop dat ze dat nu eens snel gaan aanpakken...

Acties:
  • +1Henk 'm!
quote:
1975Mark30 schreef op vrijdag 31 maart 2017 @ 11:58:
[...]


Ook ik zou dit graag willen met mijn Edgerouter Lite. Nou ben ik hier geen wizkid in, maar het routed KPN itv, KPN internet en Guest (V)LAN via wireless AP wel werkend gekregen m.b.v. diverse guides/bronnen. Een voorbeeld configuratie om de ERL als VPN client in te stellen (windscribe pro als VPN provider in mijn geval) kan ik echter maar heel slecht vinden. Gaat voornamelijk over VPN server configuraties.

Kan iemand mij een setje geven in de juiste richting? Alvast bedankt.
Die doen OpenVPN dus dat is makkelijk. OpenVPN tunnels worden door de router gezien als interface. Hierdoor kun je relatief eenvoudig NAT rules toepassen op basis van source en/of destination.

Er zijn 2 dingen die je moet doen voor je begint. De eerste stap, haal de relevante bestanden op van Windscribe. Je dient de OVPN, CA Cert en AUTH files die je bij Windscribe gedownload hebt op je router te zetten in de folder /config/auth/. Dit doe je met scp. Hierna moet je de ovpn file aanpassen dat deze klopt.
Ik weet niet wat er default in staat maar je moet iig het pad naar de CA Cert en de AUTH key file aanpassen/bijmaken. Je kunt natuurlijk ook eerst de files aanpassen en daarna pas uploaden. Dat is om het even.

Hierna maak je de interface op basis van de OVPN config file.
code:
1
2
3
4
configure
set interfaces openvpn vtun0 config-file /config/auth/windscribe-netherlands.ovpn
set interfaces openvpn vtun0 description 'Windscribe VPN'
save,exit

Zodra dit werkt kun je de Masq NAT rule maken naar wens.

Jeroen_ae92 wijzigde deze reactie 31-03-2017 12:50 (7%)

U+


Acties:
  • +1Henk 'm!

  • Domino
  • Registratie: juli 1999
  • Laatst online: 06:44

Domino

30 Watts and overheating...

Ik gebruik plex met een usg. Ik heb het alleen niet openstaan naar het internet. Gebruik een vpn om op het interne netwerk te komen.

Ik kan vanmiddag wel even kijken of ik het direct aan het internet kan knopen als je wil.

[edit]

Hier werkt het probleemloos:





Je moet wel uPNP aanzetten in de USG:
code:
1
2
3
configure
set service upnp listen-on eth1 outbound-interface eth0
commit

En uiteraard een port forward doen in de USG naar plexserver:poort.

Mer info over uPNP icm de USG: https://community.ubnt.co...uPnP-Support/td-p/1100499

Domino wijzigde deze reactie 01-04-2017 10:12 (53%)

An IPv6 packet walks into a bar. Nobody talks to him.


Acties:
  • +1Henk 'm!
Volgens mij moet het ook prima kunnen zonder uPnP aan te zetten. Je maakt een portforward vanuit de controller. Daarna ga je naar je plex applicatie en kies je voor een custom port die overigens wel gelijk is aan de default port. C'est tout. Maargoed, als je toch uPnP nodig hebt of wilt gebruiken kun je beter gebruik maken van de config.properties file. Hierin plaats je dan config.igd.enabled=true. Oogt makkelijker dan de json file

U+


Acties:
  • +2Henk 'm!

  • tcviper
  • Registratie: april 2010
  • Laatst online: 23:33
Voor uPNP kun je beste de config.properties aanmaken in een site inderdaad en dan deze 2 regels toevoegen:

config.igd.enabled=true
config.ugw.mdns.enabled=true

Die 2e kan ook wel eens handig zijn :)
Meer info: https://help.ubnt.com/hc/...he-config-properties-file-

Verder moet een manual port forward normaal gesproken prima werken met Plex, gebruik het zelf ook en was gewoon 1x port forward (32400) toevoegen naar het IP van de Plex server en klaar.

tcviper wijzigde deze reactie 01-04-2017 11:10 (23%)

PSNid: tcviper | Spotify ID: mbnn | GameConnect.net - TechConnect.nl


Acties:
  • +1Henk 'm!

  • Samplex
  • Registratie: februari 2000
  • Laatst online: 06:43
@bijkeuken Ik denk dat je je eerst eens moet verdiepen in de materie van networking :)

Acties:
  • +1Henk 'm!

  • winwiz
  • Registratie: september 2000
  • Laatst online: 20:41
quote:
Capa schreef op dinsdag 4 april 2017 @ 11:31:
[...]


Even een quote van mijzelf om mijn vraag nog even onder de aandacht te brengen.
Ik zie hier genoeg ervaringsdeskundigen, dus ik hoop dat er iemand is met wat ervaring met buiten oplossingen O-) .
Die heb ik je ook gegeven :)

Ik zou kiezen voor een Unify AC Mesh. Kost relatief weinig. Kun je bedraad aansluiten maar kan ook draadloos contact maken met een AP-AC-Pro. Voeding is POE

Ryzen 2700X stock + 32GB GSKILL @3200 op Croshair VI Hero + RX Vega 64 + Philips BDM4065UC + DS1815+ + DS414 + MacbookPro 15" 2016


Acties:
  • +1Henk 'm!
quote:
wopper schreef op dinsdag 4 april 2017 @ 13:44:
Gents ik heb een VM hersteld (ubunt + UniFi) maar nu is de USG en de Controller niet meer in sync mbt DPI. De controller zegt dat DPI aan staat maar geen info binnen krijgt, de USG heeft inderdaad DPI aan staan.

De defecte ubntu VM is hersteld uit een VEEAM backup gewoon een 1op1 kopie van 3 dagen terug.

Ik denk er zelf over om de controller te de-installeren en dan weer installeren met een config file inladen.

Of heeft iemand andere ideeen hoe je DPI werkend krijgt, smart queues staan uit ;-)
Jemig hoe suf :) normaal lees ik alle releasenotes in detail. Maar met 5.6 teveel focus op de nieuwe features:)

De know bug met flow accounting gemist.

Oplossing:

configure
delete system flow-accounting
commit;save;exit

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!

  • rally
  • Registratie: maart 2002
  • Laatst online: 06:42

rally

Irini Ria RaphaŽlla

Ik heb de AP AC LR op 10 locaties hangen (totaal 17 AP's) en ik heb met de laatste firmware (3.7.51.6230) geen enkel probleem en ook de gebruikers/klanten melden geen problemen.

Zoals anpat al aangeeft is het handig om te weten welke firmware je gebruikt, want de stock firmware is ook vaak stokoud (alleen op een nieuwe Unifi Switch 8-60W die ik van de week heb ontvangen draaide al de nieuwste 3.7.51.6230 firmware. Dat had ik nog nooit meegemaakt.

http://irini.wachtel.nl


Acties:
  • +1Henk 'm!
quote:
EdwinB schreef op woensdag 5 april 2017 @ 13:40:
[...]


Een Lite heeft geen 802.3af. En wat bedoel je dan met "nieuwe versie"? Dat de firmware vrij recent is? Er is naar mijn weten namelijk niet een AP-AC-Lite V2 uitgekomen die wel 802.3af zou ondersteunen. Heb je niet perongeluk een PRO binnengekregen? Deze worden namelijk ook met injector geleverd.
Met nieuw wordt in dit geval bedoeld, de nieuwe serie die native 48v PoE (802.3af) ondersteund. Alle UAP-AC-Lite en UAP-AC-LR's zijn voorzien van een nieuw stukje electronica die 24v Passive PoE en 48v (802.3af) mogelijk maakt. De UAP-AC Pro's kunnen daarentegen enkel 48v (802.3af/at) aan en krijgen derhalve ook de 48v PoE brick mee (5pack daargelaten). De overige AP's krijgen nog steeds de 24v PoE brick mee. Zo ook de UAP-AC-M.

U+


Acties:
  • +1Henk 'm!
quote:
EdwinB schreef op woensdag 5 april 2017 @ 13:54:
Dat is dan wel een hele geheime nieuwe serie waar op de Ubiquiti website niets over wordt gerept. Ik zal eens kijken of ik dan nieuwe heb gekregen die 802.3af ondersteunen, want ik heb ze ook net een paar weken hangen.
Aanpassing van de hardware in het bestaande model, dus het klopt dat je daarvan niets leest. Gelukkig blijven ze innoveren, ze twijfelde bij de LR en de LITE al om van 24V af te stappen voor de lancering. Maar toch nog de keuze gemaakt om oudere klanten met 24v POE switches te blijven supporteren. Toen begon het geneuzel met de LR en LITE met de shielded UTP kabels waardoor units kort sloten.

Ze hadden hiervoor dus al een aanpassing in de LR en LITE tegen kortsluiting met shielded UTP kabels gemaakt. Nu deze aanpassingen met 48V, er zijn in feite al 3 aanpassingen gedaan.

Je kan er dan ook niets mee hooguit je 14 dagen retourtermijn hanteren als je niet de blauwe sticker hebt. Maar de productcodes zijn allemaal het zelfde waardoor je hem niet selectief kunt bestellen.

wopper wijzigde deze reactie 05-04-2017 16:44 (16%)

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!

  • marcel19
  • Registratie: september 2012
  • Laatst online: 18-12 08:01
quote:
anpat schreef op vrijdag 7 april 2017 @ 08:00:
Okee mijn eerste ervaring met de MESH PRO, wat een geweldig apparaat... naast deze heb ik nog 2 AC-PRO's maar die lijken haast wel overbodig. Zowel met de GSM's als Ipads als laptops roam ik op de beneden verdieping nog nauwelijks tussen de MESH of de AC. En dit zelfs als ik bijna naast de AC ga staan... Het bereik in de tuin is perfect te noemen,
Tot aan mijn tuinhuis en zelfs erachter nog een prima bereik (achter het tuinhuis nog steeds 2 streepjes bereik en snelheid op het netwerk intern 80 down en en up... Streamen van Netflix werkte perfect zonder haperingen op HD.
Afstand huis naar tuinhuis is onjgeveer 80 meter, over mijn totale opervlakte van bijna 1000M2 heb ik vol bereik. :-)
Enig nadeel is (had het over het hoofd gezien) is dat ze redelijk groot is :-) bijna 2 keer de grote van de AC Pro De definitieve locatie is alleen nog over te twijfelen, als ik haar buiten wil hangen hangt ze zomers vanaf 11:00 tot in de avond in de volle zon... dat zal niet goed kunnen zijn... Hier moet ik nog eens naar zien.

Mijn opzet is trouwens:
USG -- Deze doet VLAN en DHCP
Beheer: Controller software op een 2012R2 DC
2 X AC Pro gevoed door een ThoughSwitch
1 X MESH Pro Ook gevoed door bovenstaande switch
4 Wifi netwerken waarvan 1 met portal 1 voor toestellen die geen NPS ondersteuning hebben zoals een TV of Apple TV
1 Gast netwerk met NPS
en prive netwerk natuurlijk voor onszelf met NPS

Daarnaast nog een Unifi video Drone aan het tuinhuis die via een POE switch gevoed word en van het tuinhuis een Giggabit kabel naar het huis loopt.. Ook staat daar mijn backup nas

*NPS = Network Policy Server voor Windows active directory ondersteuning..


[...]


En wat lukt er niet?
Ik krijg alles wel werkend, maar in het subnet 192.168.2.254.
Ik heb daar de volgende tutorial voor gebruik:
https://kriegsman.io/2016...-edgerouter-lite-for-kpn/

met een kleine aanpassing van deze Tutorial:
http://www.pimwiddershove...uter-lite-lessons-learned

maar alles komt uit eth1 van de Edgerouter. en met een ander subnet dan ik zou willen.
Ik wil namelijk gebruik maken van het 192.168.1.* subnet

hieronder mijn wenslijst zoals ik het graag zou willen hebben.


Edgerouter;
eth0 > WAN vanuit de FTU.
eth1 > Vlan 6 Subnet:192.168.1.*
eth 2 > Vlan 6 Subnet:192.168.1.*
eth3 > Vlan 6 Subnet:192.168.1.*
eth4 > Vlan 4 voor tv van kpn

hardware achter de Edgreouter:

eth1 switch voor computers en andere hardware o.a. Wifi acces point. Deze worden later vervangen door ubiquiti accespoints.
eth2 > NAS server
eth3 > NAS server 2de back-up lijn
eth4 > switch met igmp snooping voor iptv.

ik wil op eth2 en eth3 mijn nas hebben, aangezien ik deze appart wil laten lopen via de edgerouter.
in plaatst van via de switch.

Acties:
  • +1Henk 'm!

  • loyske
  • Registratie: januari 2004
  • Laatst online: 18-12 14:25
quote:
ThinkPad schreef op vrijdag 7 april 2017 @ 08:44:
Ik heb onlangs een AP AC Lite overgenomen hier in V&A, maar nu blijf ik in de Unifi software zien dat hij op 100FDX verbonden blijft. Heb de netwerkkabel van switch > POE-injector al vervangen en de kabel van POE-injector naar AP ook, maar hij blijft op 100FDX. De switch is gewoon Gigabit.

Zou het kunnen dat er een verkeerde POE-injector bij zat? Typenummer is GP-A240-050
Iemand die een nieuwe AP AC Lite heeft gekocht (voor dat gebeuren met die blauwe sticker voor PoE gebeuren) en die hem wel op GigE heeft? Wat is het typenummer van jouw POE-injector?

Op de Ubiquiti site zie ik wel dat er verschillende modellen zijn:
[afbeelding]
https://www.ubnt.com/accessories/poe-adapters/
Denk dat je inderdaad de verkeerde POE injector hebt.
Gebruik hier het type met de toevoeging G (denk dat je wel door hebt waar die G voor staat haha).
Typenummer is GP-A240-050G en werkt dus prima op 1 Gb.

Acties:
  • +1Henk 'm!

  • Jouhki
  • Registratie: april 2011
  • Laatst online: 23:13
quote:
ThinkPad schreef op vrijdag 7 april 2017 @ 08:44:
Ik heb onlangs een AP AC Lite overgenomen hier in V&A, maar nu blijf ik in de Unifi software zien dat hij op 100FDX verbonden blijft. Heb de netwerkkabel van switch > POE-injector al vervangen en de kabel van POE-injector naar AP ook, maar hij blijft op 100FDX. De switch is gewoon Gigabit.

Zou het kunnen dat er een verkeerde POE-injector bij zat? Typenummer is GP-A240-050
Iemand die een nieuwe AP AC Lite heeft gekocht (voor dat gebeuren met die blauwe sticker voor 48V PoE gebeuren) en die hem wel op GigE heeft? Wat is het typenummer van jouw POE-injector?

Op de Ubiquiti site zie ik wel dat er verschillende modellen zijn:
[afbeelding]
https://www.ubnt.com/accessories/poe-adapters/
Je hebt niet de juiste POE injector, model die jij hebt is geen gigabit.

Acties:
  • +3Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
Ik begin bij het begin en niet vanuit de reeds geposte community configuratie, dit ook omdat veel overlappende gedeelten heeft welke nodig zijn voor meerdere zones/VLAN's. Tevens ETH2 is de internet connectie poort.
Mocht dit handig zijn om op te nemen in de TS, heb er totaal geen bezwaar tegen aangezien ik veel heb gehad aan o.a. Jeroen's hulp met opbouwen van mijn eigen configuratie

Standaard heeft de ERL3 een IP adres van 192.168.1.1 en staat de DHCP server uit (default settings)
Configureer je netwerkkaart met een vast IP adres in de 192.168.1.x reeks (natuurlijk niet gelijk aan de router ;) )
Standaard poort is ETH0 welke bereikbaar is op dit adres.

Gebruik een SSH client zoals bijv. Putty om een verbinding te maken met de ERL3 en login met de default inlog gegevens
code:
1
2
3
4
Host: 192.168.1.1
Port: 22
Username: ubnt
Password: ubnt

Als je tussentijds wil testen/stoppen zal je de configuratie moeten toepassen/opslaan, standaard gebeurt dit niet
Verschillende opties zijn:

Configuratie toepassen om te testen
code:
1
commit

Configuratie toepassen en automatische reboot indien lockout (oude opgeslagen configuratie word weer geladen)
code:
1
2
3
commit-confirm
// Na akkoord en binnen 10 minuten
confirm

Configuratie toepassen en opslaan zodat deze bewaard blijft na reboot/powercicle
code:
1
2
commit
save

Ga de configuratie mode in
code:
1
configure

De standaard login kan niet veilig worden gevonden, eventueel indien gewenst kan je ook een nieuwe user aanmaken en de standaard user verwijderen. Hierbij de stappen hiervoor

User aanmaken, wachtwoord instellen en admin rechten instellen. Vervang USERNAME door je gewenste username en PASSWORD idem.
code:
1
2
set system login user USERNAME authentication plaintext-password PASSWORD
set system login user USERNAME level admin

Optioneel, vervang USER met je volledige naam
code:
1
set system login user USERNAME full-name USER

Maak de instellingen actief en sla ze op om de user ubnt te kunnen verwijderen
code:
1
2
commit
save

Uiteraard kan je dit commando ook gebruiken om de user ubnt te voorzien van een nieuw wachtwoord.
Om de user ubnt te kunnen verwijderen verbreek de verbinding en verbind met de nieuwe inlog credentials

De user ubnt verwijderen (of een ander aangemaakt account), zorg dat je weer in configure mode bent.
code:
1
delete system login user ubnt

Hostname aanpassen, vervang ROUTER door de gewenste host naam
code:
1
set system host-name ROUTER

Optioneel: indien je de router in een domein instelling wilt hebben is dat mogelijk. Vervang EXAMPLE.COM en het ip adres voor juiste gegevens. Je router word bereikbaar onder ROUTER.EXAMPLE.COM
code:
1
2
3
4
set system domain-name EXAMPLE.COM
set system ip override-hostname-ip 192.168.1.1
set service dhcp-server hostfile-update enable
set service dns forwarding options localise-queries

Tijdzone instellen, voorbeeld voor Nederland. Als je het commando tot time-zone typt en dan op tab drukt krijg je mogelijkheden te zien om het commando af te maken. Werkt ook om commando te auto completen bijv. set system ti (druk op tab) en time-zone word ingevuld voor je.
code:
1
set system time-zone Europe/Amsterdam

SSH poort aanpassen indien gewenst, XX word je nieuwe poortnummer
code:
1
set service ssh port XX

De ERL3 heeft hardware offload support, zelf heb ik de volgende opties uit of aangezet. PPPOE heb ik niet nodig dus daarom disable. Heb je wel een PPPOE internet verbinding dan zou ik deze op enable zetten
code:
1
2
3
set system offload ipv4 forwarding enable
set system offload ipv4 pppoe disable
set system offload ipv4 vlan enable

IP instellingen aanpassen van de ETH0 poort, 192.168.1.1/24 vervangen voor je eventuele nieuwe ip adres, subnet (/24) en LAN vervangen voor je label. Zelf gebruik ik ETH2 als WAN, mocht ik namelijk een factory default moeten laden dan hoef ik mijn netwerkkabels niet om te pluggen.
code:
1
2
set interfaces ethernet eth0 address 192.168.1.1/24
set interfaces ethernet eth0 description "LAN"

Indien je een andere ip range wilt gebruiken, moet je het huidige ip adres verwijderen van de ETH0 interface
code:
1
delete interfaces ethernet eth0 address 192.168.1.1/24

IP instellingen aanpassen van de ETH2 poort, in mijn geval een DHCP instelling. Indien je een vast IP adres hebt op je WAN wit/nodig hebt, dan kan je dhcp vervangen met het ip adres / subnet. Bijvoorbeeld set interfaces ethernet eth2 address 10.0.0.1/24
code:
1
2
set interfaces ethernet eth2 address dhcp
set interfaces ethernet eth2 description "WAN"

Een VLAN creeren op een interface, neem als voorbeeld interface ETH0 en wil een VLAN id van 20 and een ip adres van 192.168.2.1 (note: VLAN id's worden getagged op de interface gezet)
code:
1
2
set interfaces ethernet eth0 vif 20 address 192.168.2.1/24
set interfaces ethernet eth0 vif 20 description "WLANGUEST"

Afhankelijk van hoeveel interfaces je gebruikt zal je ook het aantal DHCP servers "moeten" maken, in dit geval ga ik even uit van de 2 interfaces welke eerder aangegeven zijn. Namelijk LAN en WLANGUEST.
Voor het gemak houd ik deze namen ook voor de DHCP servers, dit is niet verplicht.
Ik ga uit van dat de ERL3 ook de DNS doet, dit is ook niet verplicht. Een externe DNS is ook mogelijk, wijzig hiervoor de dns-server naar het gewenste ip adres.
Bij het subnet geef je het volledige subnet door dus .0, start is het eerste ip adres wat uitgedeelt mag worden en stop het laatste. Bij het voorbeeld zijn er dus 51 uitdeelbare ip adressen
het default-router adres is het ip adres van de router in dat subnet.
Lease is de lease tijd in seconden, 86400 = 1 dag
code:
1
2
3
4
5
6
7
8
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.150
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 default-router 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 lease 86400
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 start 192.168.2.100 stop 192.168.2.150
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 default-router 192.168.2.1
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 dns-server 192.168.2.1
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 lease 86400

Optioneel: In het geval dat je een domein configuratie hebt gemaakt, kan je ook het domein naam meegeven in de DHCP. Vervang EXAMPLE.COM voor je domeinnaam.
code:
1
2
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 domain EXAMPLE.COM
set service dhcp-server shared-network-name WLANGUEST subnet 192.168.2.0/24 domain EXAMPLE.COM

Optioneel 2: Je DHCP('s) server autoritair maken
code:
1
2
set service dhcp-server shared-network-name LAN authoritative enable
set service dhcp-server shared-network-name WLANGUEST authoritative enable

Dan wat NAT en DNS instellingen om te zorgen dat routing tussen de interfaces mogelijk word. Tevens word ETH2 gemarkeerd als WAN interface en zal alles buiten het netwerk daarheen gerouteerd worden.
In het geval dat je een externe DNS hebt ingesteld bij de DHCP server kan je de dns forwarding settings overslaan (line 6,7,8)
code:
1
2
3
4
5
6
7
8
9
10
11
12
set service nat rule 5010 outbound-interface eth2
set service nat rule 5010 type masquerade
set service nat rule 5010 description "Masquerade to eth2"
set service nat rule 5010 protocol all
set service nat rule 5010 log disable
set service dns forwarding cache-size 150
set service dns forwarding listen-on eth0
set service dns forwarding listen-on eth0.20
set port-forward hairpin-nat enable
set port-forward lan-interface eth0
set port-forward lan-interface eth0.20
set port-forward wan-interface eth2

Optioneel: Een DHCP mapping aanmaken om een ip adress aan een mac adres te koppelen.
Vervang HOSTNAME door een gewenste naam (gebruik zelf de hostname), de x door het gewenste ip adres en 00:01:02:03:04:05 door het mac adres van de netwerkkaart
code:
1
2
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 static-mapping HOSTNAME ip-address 192.168.1.x
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 static-mapping HOSTNAME mac-address 00:01:02:03:04:05

Optioneel: Je hostname(s) kunnen gebruikt om computers te bereiken door de DNS van de EdgeRouter.
HOSTNAME vervangen door de hostname en het ip adres door het ip adres van de host. De alias is alleen nodig indien je een domein configuratie hebt en maakt de hostname ook bereikbaar op de FQDN.
code:
1
2
set system static-host-mapping host-name HOSTNAME inet 192.168.1.x
set system static-host-mapping host-name HOSTNAME alias HOSTNAME.EXAMPLE.COM

Nu alles opslaan, als je je ip adres van de router en/of de poort hebt aangepast zal je na de commit de verbinding verloren zijn. Verbind dan met de nieuwe instellingen om het save commando te kunnen uitvoeren.
code:
1
2
commit
save

Internetten is nu mogelijk maar er is nu niets wat tegengehouden word, daarom gaan we verder in de volgende post met de zone based firewall.

MdBruin wijzigde deze reactie 11-04-2017 13:01 (69%)


Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
De zone base firewall instellingen:

Eerst maak ik wat ip en subnet groepen, dit is makkelijk als je source/destination wilt gebruiken. Als je dan een ander ip adres aan wilt hangen of het subnet wilt aanpassen hoef je dit op 1 plaats aan te passen. Doe je dit niet zal je alle regels afzonderlijk moeten nalopen om alles goed te zetten (geen aanrader).
Maak de instellingen weer gebaseerd op de 2 LAN en 1 WAN interfaces
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
set firewall group address-group LAN-RTR-Address
set firewall group address-group LAN-RTR-Address description "LAN address of the router"
set firewall group address-group LAN-RTR-Address address 192.168.1.1
set firewall group address-group WLANGUEST-RTR-Address
set firewall group address-group WLANGUEST-RTR-Address description "WLANGUEST address of the router"
set firewall group address-group WLANGUEST-RTR-Address address 192.168.2.1
set firewall group network-group LAN-Subnet
set firewall group network-group LAN-Subnet description "LAN Subnet"
set firewall group network-group LAN-Subnet network 192.168.1.0/24
set firewall group network-group WLANGUEST-Subnet
set firewall group network-group WLANGUEST-Subnet description "WLANGUEST Subnet"
set firewall group network-group WLANGUEST-Subnet network 192.168.2.0/24

//optioneel, een veiligheids optie dat je zorgt dat je wel de juiste kabel naar je WAN poort connect.
set firewall group network-group BOGONS
set firewall group network-group BOGONS description "Invalid WAN networks"
set firewall group network-group BOGONS network 10.0.0.0/8
set firewall group network-group BOGONS network 100.64.0.0/10
set firewall group network-group BOGONS network 127.0.0.0/8
set firewall group network-group BOGONS network 169.254.0.0/16
set firewall group network-group BOGONS network 172.16.0.0/12
set firewall group network-group BOGONS network 192.0.0.0/24
set firewall group network-group BOGONS network 192.0.2.0/24
set firewall group network-group BOGONS network 192.168.0.0/16
set firewall group network-group BOGONS network 192.18.0.0/15
set firewall group network-group BOGONS network 198.51.100.0/24
set firewall group network-group BOGONS network 203.0.113.0/24
set firewall group network-group BOGONS network 224.0.0.0/3

Vervolgens komen alle afzonderlijke zones aan de beurt, voor de rules gebruik ik een vaste volgorde met rule nummers zodat elke zone dezelfde indeling heeft qua service.
Standaard actie is bij mij drop dus alles wat wel mag zal dus aangegeven moeten worden.
Established en Related heb je bij elke zone, dit zorgt er voor dat een pakket welke in de richting van bijv. van de LAN naar de WAN interface ook weer als antwoord terug kan komen bij de LAN. Sta je dit niet toe dan kan een pakket nooit meer terug komen.
Ik heb de volgende volgorde gebruikt
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Rule 1 - State Invalid 
Rule 2 - BOGONS  // alleen voor de WAN interface
Rule 10 - DPI block/allow
Rule 100 - ICMP
Rule 200 - Web
Rule 300 - FTP
Rule 400 - NTP
Rule 500 - SMTP
Rule 600 - DNS
Rule 700 - DHCP
Rule 800 - SSH
Rule 900 - IMAPS
Rule 1000 - NNTP (nieuwsgroepen)
Rule 1100 - SMB
Rule 1200 - State Established, Related 
default-action drop

Voordat we met de rules gaan beginnen het volgende, we hebben 4 mogelijke interfaces in het voorbeeld.
Ja 4, local is er ook 1. Elke interface naar interface krijgt een eigen firewall regel set. Het zijn er dus wel een aantal als je meerdere interfaces creŽert.
Voor het voorbeeld hebben we dus de volgende richtingen
code:
1
2
3
4
5
6
7
8
9
10
11
12
LAN naar LOCAL
LAN naar WAN
LAN naar WLANGUEST
LOCAL naar LAN
LOCAL naar WAN
LOCAL naar WLANGUEST
WAN naar LAN
WAN naar LOCAL
WAN naar WLANGUEST
WLANGUEST naar LAN
WLANGUEST naar LOCAL
WLANGUEST naar WAN

De opbouw van de regels, eerst de LAN naar LOCAL (Drop invalid en allow ICMP, HTTP(S), DNS, DHCP en SSH)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
set firewall name LAN_LOCAL
set firewall name LAN_LOCAL rule 1
set firewall name LAN_LOCAL rule 1 action drop
set firewall name LAN_LOCAL rule 1 description "Drop invalid connections"
set firewall name LAN_LOCAL rule 1 state invalid enable
set firewall name LAN_LOCAL rule 1 log enable
set firewall name LAN_LOCAL rule 100
set firewall name LAN_LOCAL rule 100 action accept
set firewall name LAN_LOCAL rule 100 description "Allow ICMP"
set firewall name LAN_LOCAL rule 100 destination group address-group LAN-RTR-Address
set firewall name LAN_LOCAL rule 100 protocol icmp
set firewall name LAN_LOCAL rule 100 log enable
set firewall name LAN_LOCAL rule 100 source group network-group LAN-Subnet
set firewall name LAN_LOCAL rule 200
set firewall name LAN_LOCAL rule 200 action accept
set firewall name LAN_LOCAL rule 200 description "Allow HTTP(S)"
set firewall name LAN_LOCAL rule 200 destination group address-group LAN-RTR-Address
set firewall name LAN_LOCAL rule 200 destination port 80,443
set firewall name LAN_LOCAL rule 200 protocol tcp
set firewall name LAN_LOCAL rule 200 log enable
set firewall name LAN_LOCAL rule 200 source group network-group LAN-Subnet 
set firewall name LAN_LOCAL rule 600
set firewall name LAN_LOCAL rule 600 action accept
set firewall name LAN_LOCAL rule 600 description "Allow DNS"
set firewall name LAN_LOCAL rule 600 destination group address-group LAN-RTR-Address
set firewall name LAN_LOCAL rule 600 destination port 53
set firewall name LAN_LOCAL rule 600 protocol tcp_udp
set firewall name LAN_LOCAL rule 600 log enable
set firewall name LAN_LOCAL rule 600 source group network-group LAN-Subnet
set firewall name LAN_LOCAL rule 700
set firewall name LAN_LOCAL rule 700 action accept
set firewall name LAN_LOCAL rule 700 description "Allow DHCP"
set firewall name LAN_LOCAL rule 700 destination group address-group LAN-RTR-Address
set firewall name LAN_LOCAL rule 700 destination port 67,68
set firewall name LAN_LOCAL rule 700 protocol udp
set firewall name LAN_LOCAL rule 700 log enable
set firewall name LAN_LOCAL rule 700 source group network-group LAN-Subnet
set firewall name LAN_LOCAL rule 800
set firewall name LAN_LOCAL rule 800 action accept
set firewall name LAN_LOCAL rule 800 description "Allow SSH"
set firewall name LAN_LOCAL rule 800 destination group address-group LAN-RTR-Address
set firewall name LAN_LOCAL rule 800 destination port 22
set firewall name LAN_LOCAL rule 800 protocol tcp
set firewall name LAN_LOCAL rule 800 log enable
set firewall name LAN_LOCAL rule 800 source group network-group LAN-Subnet
set firewall name LAN_LOCAL rule 1200
set firewall name LAN_LOCAL rule 1200 action accept
set firewall name LAN_LOCAL rule 1200 description "Allow established and related connections"
set firewall name LAN_LOCAL rule 1200 state established enable
set firewall name LAN_LOCAL rule 1200 state related enable

LAN naar WAN (Drop invalid, allow ICMP, HTTP(S), FTP, NTP, email (pop 500 / imap 900), SSH, nieuwsgroepen)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
set firewall name LAN_WAN
set firewall name LAN_WAN rule 1
set firewall name LAN_WAN rule 1 action drop
set firewall name LAN_WAN rule 1 description "Drop invalid connections"
set firewall name LAN_WAN rule 1 state invalid
set firewall name LAN_WAN rule 1 log enable
set firewall name LAN_WAN rule 100
set firewall name LAN_WAN rule 100 action accept
set firewall name LAN_WAN rule 100 description "Allow ICMP"
set firewall name LAN_WAN rule 100 protocol icmp
set firewall name LAN_WAN rule 100 log enable
set firewall name LAN_WAN rule 100 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 200
set firewall name LAN_WAN rule 200 action accept
set firewall name LAN_WAN rule 200 description "Allow HTTP(S)"
set firewall name LAN_WAN rule 200 destination port 80,443
set firewall name LAN_WAN rule 200 protocol tcp
set firewall name LAN_WAN rule 200 log enable
set firewall name LAN_WAN rule 200 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 300
set firewall name LAN_WAN rule 300 action accept
set firewall name LAN_WAN rule 300 description "Allow FTP"
set firewall name LAN_WAN rule 300 destination port 20,21
set firewall name LAN_WAN rule 300 protocol tcp
set firewall name LAN_WAN rule 300 log enable
set firewall name LAN_WAN rule 300 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 400
set firewall name LAN_WAN rule 400 action accept
set firewall name LAN_WAN rule 400 description "Allow NTP"
set firewall name LAN_WAN rule 400 destination port 123
set firewall name LAN_WAN rule 400 protocol udp
set firewall name LAN_WAN rule 400 log enable
set firewall name LAN_WAN rule 400 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 500
set firewall name LAN_WAN rule 500 action accept
set firewall name LAN_WAN rule 500 description "Allow pop mail"
set firewall name LAN_WAN rule 500 destination port 25,110
set firewall name LAN_WAN rule 500 protocol tcp
set firewall name LAN_WAN rule 500 log enable
set firewall name LAN_WAN rule 500 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 800
set firewall name LAN_WAN rule 800 action accept
set firewall name LAN_WAN rule 800 description "Allow SSH"
set firewall name LAN_WAN rule 800 destination port 22
set firewall name LAN_WAN rule 800 protocol tcp
set firewall name LAN_WAN rule 800 log enable
set firewall name LAN_WAN rule 800 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 900 action accept
set firewall name LAN_WAN rule 900 description "Allow imap mail"
set firewall name LAN_WAN rule 900 destination port 465,993
set firewall name LAN_WAN rule 900 protocol tcp
set firewall name LAN_WAN rule 900 log enable
set firewall name LAN_WAN rule 900 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 1000
set firewall name LAN_WAN rule 1000 action accept
set firewall name LAN_WAN rule 1000 description "Allow NNTP"
set firewall name LAN_WAN rule 1000 destination port 119,563
set firewall name LAN_WAN rule 1000 protocol tcp
set firewall name LAN_WAN rule 1000 log enable
set firewall name LAN_WAN rule 1000 source group network-group LAN-Subnet
set firewall name LAN_WAN rule 1200
set firewall name LAN_WAN rule 1200 action accept
set firewall name LAN_WAN rule 1200 description "Allow established and related connections"
set firewall name LAN_WAN rule 1200 state established enable
set firewall name LAN_WAN rule 1200 state related enable

LAN naar WLANGUEST (Drop invalid en allow ICMP)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
set firewall name LAN_WLANGUEST rule 1
set firewall name LAN_WLANGUEST rule 1 action drop
set firewall name LAN_WLANGUEST rule 1 description "Drop invalid connections"
set firewall name LAN_WLANGUEST rule 1 state invalid enable
set firewall name LAN_WLANGUEST rule 1 log enable
set firewall name LAN_WLANGUEST rule 100
set firewall name LAN_WLANGUEST rule 100 action accept
set firewall name LAN_WLANGUEST rule 100 description "Allow ICMP"
set firewall name LAN_WLANGUEST rule 100 destination group network-group WLANGUEST-Subnet
set firewall name LAN_WLANGUEST rule 100 protocol icmp
set firewall name LAN_WLANGUEST rule 100 log enable
set firewall name LAN_WLANGUEST rule 100 source group network-group LAN-Subnet
set firewall name LAN_WLANGUEST rule 1200
set firewall name LAN_WLANGUEST rule 1200 action accept
set firewall name LAN_WLANGUEST rule 1200 description "Allow established and related connections"
set firewall name LAN_WLANGUEST rule 1200 state established enable
set firewall name LAN_WLANGUEST rule 1200 state related enable

LOCAL naar LAN (Drop invalid en allow ICMP, DNS en DHCP)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
set firewall name LOCAL_LAN
set firewall name LOCAL_LAN rule 1
set firewall name LOCAL_LAN rule 1 action drop
set firewall name LOCAL_LAN rule 1 description "Drop invalid connections"
set firewall name LOCAL_LAN rule 1 state invalid enable
set firewall name LOCAL_LAN rule 1 log enable
set firewall name LOCAL_LAN rule 100
set firewall name LOCAL_LAN rule 100 action accept
set firewall name LOCAL_LAN rule 100 description "Allow ICMP"
set firewall name LOCAL_LAN rule 100 destination group network-group LAN-Subnet
set firewall name LOCAL_LAN rule 100 protocol icmp
set firewall name LOCAL_LAN rule 100 log enable
set firewall name LOCAL_LAN rule 100 source group address-group LAN-RTR-Address
set firewall name LOCAL_LAN rule 1200
set firewall name LOCAL_LAN rule 1200 action accept
set firewall name LOCAL_LAN rule 1200 description "Allow established and related connection"
set firewall name LOCAL_LAN rule 1200 state established enable
set firewall name LOCAL_LAN rule 1200 state related enable

En LOCAL naar WAN (Drop invalid, allow ICMP, NTP en DNS)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
set firewall name LOCAL_WAN
set firewall name LOCAL_WAN rule 1
set firewall name LOCAL_WAN rule 1 action drop
set firewall name LOCAL_WAN rule 1 description "Drop invalid connections"
set firewall name LOCAL_WAN rule 1 state invalid enable
set firewall name LOCAL_WAN rule 1 log enable
set firewall name LOCAL_WAN rule 100
set firewall name LOCAL_WAN rule 100 action accept
set firewall name LOCAL_WAN rule 100 description "Allow ICMP"
set firewall name LOCAL_WAN rule 100 protocol icmp
set firewall name LOCAL_WAN rule 100 log enable
set firewall name LOCAL_WAN rule 400
set firewall name LOCAL_WAN rule 400 action accept
set firewall name LOCAL_WAN rule 400 description "Allow NTP"
set firewall name LOCAL_WAN rule 400 destination port 123
set firewall name LOCAL_WAN rule 400 protocol udp
set firewall name LOCAL_WAN rule 400 log enable
set firewall name LOCAL_WAN rule 600
set firewall name LOCAL_WAN rule 600 action accept
set firewall name LOCAL_WAN rule 600 description "Allow DNS"
set firewall name LOCAL_WAN rule 600 destination port 53
set firewall name LOCAL_WAN rule 600 protocol tcp_udp
set firewall name LOCAL_WAN rule 600 log enable
set firewall name LOCAL_WAN rule 1200
set firewall name LOCAL_WAN rule 1200 action accept
set firewall name LOCAL_WAN rule 1200 description "Allow established and related connections"
set firewall name LOCAL_WAN rule 1200 state established enable
set firewall name LOCAL_WAN rule 1200 state related enable

LOCAL naar WLANGUEST (Drop invalid, allow ICMP, DNS en DHCP)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
set firewall name LOCAL_WLANGUEST
set firewall name LOCAL_WLANGUEST rule 1
set firewall name LOCAL_WLANGUEST rule 1 action drop
set firewall name LOCAL_WLANGUEST rule 1 description "Drop invalid connections"
set firewall name LOCAL_WLANGUEST rule 1 state invalid enable
set firewall name LOCAL_WLANGUEST rule 1 log enable
set firewall name LOCAL_WLANGUEST rule 100
set firewall name LOCAL_WLANGUEST rule 100 action accept
set firewall name LOCAL_WLANGUEST rule 100 description "Allow ICMP"
set firewall name LOCAL_WLANGUEST rule 100 destination group network-group WLANGUEST-Subnet
set firewall name LOCAL_WLANGUEST rule 100 protocol icmp
set firewall name LOCAL_WLANGUEST rule 100 log enable
set firewall name LOCAL_WLANGUEST rule 100 source group address-group WLANGUEST-RTR-Address
set firewall name LOCAL_WLANGUEST rule 1200
set firewall name LOCAL_WLANGUEST rule 1200 action accept
set firewall name LOCAL_WLANGUEST rule 1200 description "Allow established and related connections"
set firewall name LOCAL_WLANGUEST rule 1200 state established enable
set firewall name LOCAL_WLANGUEST rule 1200 state related enable

WAN naar LAN (Drop invalid en BOGONS)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
set firewall name WAN_LAN 
set firewall name WAN_LAN rule 1
set firewall name WAN_LAN rule 1 action drop
set firewall name WAN_LAN rule 1 description "Drop invalid connections"
set firewall name WAN_LAN rule 1 state invalid enable
set firewall name WAN_LAN rule 1 log enable
set firewall name WAN_LAN rule 2
set firewall name WAN_LAN rule 2 action drop
set firewall name WAN_LAN rule 2 description "Drop BOGONS"
set firewall name WAN_LAN rule 2 source group network-group BOGONS
set firewall name WAN_LAN rule 2 log enable
set firewall name WAN_LAN rule 1200
set firewall name WAN_LAN rule 1200 action accept
set firewall name WAN_LAN rule 1200 description "Accept established and related connections"
set firewall name WAN_LAN rule 1200 state established enable
set firewall name WAN_LAN rule 1200 state related enable

WAN naar LOCAL (Drop invalid and BOGONS)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
set firewall name WAN_LOCAL
set firewall name WAN_LOCAL rule 1
set firewall name WAN_LOCAL rule 1 action drop
set firewall name WAN_LOCAL rule 1 description "Drop invalid connections"
set firewall name WAN_LOCAL rule 1 state invalid enable
set firewall name WAN_LOCAL rule 1 log enable
set firewall name WAN_LOCAL rule 2
set firewall name WAN_LOCAL rule 2 action drop
set firewall name WAN_LOCAL rule 2 description "Drop BOGONS"
set firewall name WAN_LOCAL rule 2 source group network-group BOGONS
set firewall name WAN_LOCAL rule 2 log enable
set firewall name WAN_LOCAL rule 1200
set firewall name WAN_LOCAL rule 1200 action accept
set firewall name WAN_LOCAL rule 1200 description "Accept established and related connections"
set firewall name WAN_LOCAL rule 1200 state established enable
set firewall name WAN_LOCAL rule 1200 state related enable

WAN naar WLANGUEST (Drop invalid and BOGONS)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
set firewall name WAN_WLANGUEST
set firewall name WAN_WLANGUEST rule 1
set firewall name WAN_WLANGUEST rule 1 action drop
set firewall name WAN_WLANGUEST rule 1 description "Drop invalid connections"
set firewall name WAN_WLANGUEST rule 1 state invalid enable
set firewall name WAN_WLANGUEST rule 1 log enable
set firewall name WAN_WLANGUEST rule 2
set firewall name WAN_WLANGUEST rule 2 action drop
set firewall name WAN_WLANGUEST rule 2 description "Drop BOGONS"
set firewall name WAN_WLANGUEST rule 2 source group network-group BOGONS
set firewall name WAN_WLANGUEST rule 2 log enable
set firewall name WAN_WLANGUEST rule 1200
set firewall name WAN_WLANGUEST rule 1200 action accept
set firewall name WAN_WLANGUEST rule 1200 description "Allow established and related connections"
set firewall name WAN_WLANGUEST rule 1200 state established enable
set firewall name WAN_WLANGUEST rule 1200 state related enable

WLANGUEST naar LAN (Drop invalid)
code:
1
2
3
4
5
6
7
8
9
10
11
set firewall name WLANGUEST_LAN
set firewall name WLANGUEST_LAN rule 1
set firewall name WLANGUEST_LAN rule 1 action drop
set firewall name WLANGUEST_LAN rule 1 description "Drop invalid connections"
set firewall name WLANGUEST_LAN rule 1 state invalid enable
set firewall name WLANGUEST_LAN rule 1 log enable
set firewall name WLANGUEST_LAN rule 1200
set firewall name WLANGUEST_LAN rule 1200 action accept
set firewall name WLANGUEST_LAN rule 1200 description "Allow established and related connections"
set firewall name WLANGUEST_LAN rule 1200 state established enable
set firewall name WLANGUEST_LAN rule 1200 state related enable

WLANGUEST naar LOCAL (Drop invalid, allow DHCP en DNS)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
set firewall name WLANGUEST_LOCAL
set firewall name WLANGUEST_LOCAL rule 1
set firewall name WLANGUEST_LOCAL rule 1 action drop
set firewall name WLANGUEST_LOCAL rule 1 description "Drop invalid connections"
set firewall name WLANGUEST_LOCAL rule 1 state invalid enable
set firewall name WLANGUEST_LOCAL rule 1 log enable
set firewall name WLANGUEST_LOCAL rule 600
set firewall name WLANGUEST_LOCAL rule 600 action accept
set firewall name WLANGUEST_LOCAL rule 600 description "Allow DNS"
set firewall name WLANGUEST_LOCAL rule 600 destination group address-group WLANGUEST-RTR-Address
set firewall name WLANGUEST_LOCAL rule 600 destination port 53
set firewall name WLANGUEST_LOCAL rule 600 protocol tcp_udp
set firewall name WLANGUEST_LOCAL rule 600 log enable
set firewall name WLANGUEST_LOCAL rule 600 source group network-group WLANGUEST-Subnet
set firewall name WLANGUEST_LOCAL rule 700
set firewall name WLANGUEST_LOCAL rule 700 action accept
set firewall name WLANGUEST_LOCAL rule 700 description "Allow DHCP"
set firewall name WLANGUEST_LOCAL rule 700 destination group address-group WLANGUEST-RTR-Address
set firewall name WLANGUEST_LOCAL rule 700 destination port 67,68
set firewall name WLANGUEST_LOCAL rule 700 protocol udp
set firewall name WLANGUEST_LOCAL rule 700 log enable
set firewall name WLANGUEST_LOCAL rule 700 source group network-group WLANGUEST-Subnet
set firewall name WLANGUEST_LOCAL rule 1200
set firewall name WLANGUEST_LOCAL rule 1200 action accept
set firewall name WLANGUEST_LOCAL rule 1200 description "Allow established and related connections"
set firewall name WLANGUEST_LOCAL rule 1200 state established enable
set firewall name WLANGUEST_LOCAL rule 1200 state related enable

WLANGUEST naar WAN (Drop invalid, Allow ICMP, HTTP(S) en NTP)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
set firewall name WLANGUEST_WAN
set firewall name WLANGUEST_WAN rule 1
set firewall name WLANGUEST_WAN rule 1 action drop
set firewall name WLANGUEST_WAN rule 1 desctiption "Drop invalid connections"
set firewall name WLANGUEST_WAN rule 1 state invalid enable
set firewall name WLANGUEST_WAN rule 1 log enable
set firewall name WLANGUEST_WAN rule 100
set firewall name WLANGUEST_WAN rule 100 action accept
set firewall name WLANGUEST_WAN rule 100 description "Allow ICMP"
set firewall name WLANGUEST_WAN rule 100 protocol icmp
set firewall name WLANGUEST_WAN rule 100 log enable
set firewall name WLANGUEST_WAN rule 100 source group network-group WLANGUEST-Subnet
set firewall name WLANGUEST_WAN rule 200
set firewall name WLANGUEST_WAN rule 200 action accept
set firewall name WLANGUEST_WAN rule 200 description "Allow HTTP(S)"
set firewall name WLANGUEST_WAN rule 200 destination port 80,443
set firewall name WLANGUEST_WAN rule 200 protocol tcp
set firewall name WLANGUEST_WAN rule 200 log enable
set firewall name WLANGUEST_WAN rule 200 source group network-group WLANGUEST-Subnet
set firewall name WLANGUEST_WAN rule 400
set firewall name WLANGUEST_WAN rule 400 action accept
set firewall name WLANGUEST_WAN rule 400 description "Allow NTP"
set firewall name WLANGUEST_WAN rule 400 destination port 123
set firewall name WLANGUEST_WAN rule 400 protocol udp
set firewall name WLANGUEST_WAN rule 400 log enable
set firewall name WLANGUEST_WAN rule 400 source group network-group WLANGUEST-Subnet
set firewall name WLANGUEST_WAN rule 1200
set firewall name WLANGUEST_WAN rule 1200 action accept
set firewall name WLANGUEST_WAN rule 1200 description "Allow established and related connections"
set firewall name WLANGUEST_WAN rule 1200 state established enable
set firewall name WLANGUEST_WAN rule 1200 state related enable

Indien je een externe of andere interne DNS gebruikt, zal je in je juiste zone_zone de DNS moeten toestaan.

Voor de zekerheid na het werk van alle rules toevoegen even opslaan.
code:
1
2
commit
save

In de volgende post de binding van de rules naar de zones.

MdBruin wijzigde deze reactie 17-04-2017 21:01 (255%)


Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
De koppeling van de rules aan de interfaces/zones

Eerst de zones koppelen aan de interfaces
code:
1
2
3
4
5
6
set zone-policy zone LAN default-action drop
set zone-policy zone LAN interface eth0 
set zone-policy zone WAN default-action drop
set zone-policy zone WAN interface eth2
set zone-policy zone WLANGUEST default-action drop
set zone-policy zone WLANGUEST interface eth0.20

Daarna de rules aan de zones, het werkt alleen anders dan je zou verwachten. Ze hebben bij Ubiquiti net andersom de regels om te koppelen omgedraaid. Het werkt in de vorm van source i.p.v. destination dus from i.p.v. to.
Je koppelt dus LAN from LOCAL, de firewall regel is dan LOCAL_LAN

NOTE: Eerst de LOCAL zone aanmaken en de firewall regel LAN_LOCAL koppelen om uitsluiting te voorkomen. Daarna moet de aangemaakte configuratie actief worden gemaakt om de zones te kunnen koppelen. Koppel je de firewall regel niet dan sluit je jezelf uit en zal je EdgeRouter van spanning af moeten halen en opnieuw laten starten om de oude configuratie te laden (been there, done that :X )
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
set zone-policy zone LOCAL default-action drop
set zone-policy zone LOCAL local-zone
set zone-policy zone LOCAL from LAN firewall LAN_LOCAL
commit
set zone-policy zone LAN from LOCAL firewall LOCAL_LAN
set zone-policy zone LAN from WAN firewall WAN_LAN
set zone-policy zone LAN from WLANGUEST firewall WLANGUEST_LAN
set zone-policy zone LOCAL from WAN firewall WAN_LOCAL
set zone-policy zone LOCAL from WLANGUEST firewall WLANGUEST_LOCAL
set zone-policy zone WAN from LAN firewall LAN_WAN
set zone-policy zone WAN from LOCAL firewall LOCAL_WAN
set zone-policy zone WAN from WLANGUEST firewall WLANGUEST_WAN
set zone-policy zone WLANGUEST from LAN firewall LAN_WLANGUEST
set zone-policy zone WLANGUEST from LOCAL firewall LOCAL_WLANGUEST
set zone-policy zone WLANGUEST from WAN firewall WAN_WLANGUEST

Als laatste nog even opslaan. Wel een notitie, het opstarten duurt wel langer nu. De mijne met 7 zones en over de 235 firewall regels heeft ruim 8 minuten nodig voordat deze is opgestart. Daarna werkt alles normaal en lekker snel.
code:
1
2
commit
save

Extra toevoeging voor de DNS aangezien deze alleen nu wordt toegestaan naar de EdgeRouter.
Als er dus een client is met een eigen DNS setting zal deze geen DNS functionaliteit hebben. Met dnat kan je dit afvangen en alles naar de EdgeRouter redirecten.
Voor LAN
code:
1
2
3
4
5
6
7
8
9
10
11
configure
set service nat rule 1
set service nat rule 1 description "Redirect LAN DNS request if not to EdgeRouter"
set service nat rule 1 destination address !192.168.1.1
set service nat rule 1 destination port 53
set service nat rule 1 inbound-interface eth0
set service nat rule 1 inside-address address 192.168.1.1
set service nat rule 1 inside-address port 53
set service nat rule 1 protocol udp
set service nat rule 1 log disable
set service nat rule 1 type destination

En WLANGUEST
code:
1
2
3
4
5
6
7
8
9
10
set service nat rule 2
set service nat rule 2 description "Redirect WLANGUEST DNS request if not to EdgeRouter"
set service nat rule 2 destination address !192.168.2.1
set service nat rule 2 destination port 53
set service nat rule 2 inbound-interface eth0.20
set service nat rule 2 inside-address address 192.168.2.1
set service nat rule 2 inside-address port 53
set service nat rule 2 protocol udp
set service nat rule 2 log disable
set service nat rule 2 type destination

Toepassen en opslaan
code:
1
2
commit
save

De rules wordt alleen gehit als niet (!) de request naar de EdgeRouter gaat.

Toevoeging:
Niet iedereen wil een strikte firewall van LAN naar WAN, daarom de volgende toevoeging welke zorgt dat het verkeer wat niet voldoet met de rules welke toegestaan zijn toch geaccepteerd word.
code:
1
2
3
4
5
6
set firewall name LAN_WAN rule 1300
set firewall name LAN_WAN rule 1300 action accept
set firewall name LAN_WAN rule 1300 description "Allow all traffic"
set firewall name LAN_WAN rule 1300 protocol all
set firewall name LAN_WAN rule 1300 log disable
set firewall name LAN_WAN rule 1300 source group network-group LAN-Subnet

Natuurlijk in de configure mode, en na het toevoegen even toepassen en opslaan met commit en save.
Log heb ik hier op disable gezet, je kunt indien gewenst deze ook op enable zetten.
Protocol staat op all, je zou deze ook op tcp_udp kunnen zetten.

Opbouw van de firewall regels.
Je begint met het toekennen van een naam van de firewall regel, in het voorbeeld heb ik gebruikt zoneX naar zoneY (zoneX_zoneY). Je kunt hiervoor een eigen benaming gebruiken welke je zelf handig vind.
code:
1
set firewall name zoneX_zoneY

Daarna krijg je het rule getal, dit geeft aan in welke volgorde de rules worden gecheckt. De firewall gaat alle regels een voor een af gaat net zo lang door totdat er een regel word gevonden welke er aan voldoet. Zijn er geen rules meer dat word de default actie uitgevoerd, bij de zone based firewall is dit drop of reject. Vervang XX voor het rule nummer wat je wilt gebruiken
code:
1
set firewall name zoneX_zoneY rule XX

Nu krijg je de standaard actie welke uitgevoerd moet worden als de regel toegepast moet worden, dit kan zijn accept, drop en reject. Gebruik hier in het voorbeeld accept
code:
1
set firewall name zoneX_zoneY rule XX action accept

We geven een omschrijving aan de rule zodat we weten waarvoor de regel is, indien er spaties in de naam zitten tussen de dubbele quotes zetten. Indien geen spaties is dit niet verplicht
code:
1
set firewall name zoneX_zoneY rule XX description "Omschrijving van de rule"

Een optie om te bepalen wat de bestemming is van het pakket, de opties zijn address, group en port.
Hierbij een voorbeeld van naar 192.168.1.10 en poort 25
code:
1
2
set firewall name zoneX_zoneY rule XX destination address 192.168.1.10
set firewall name zoneX_zoneY rule XX destination port 25

Met de group optie kan je verwijzen naar een address-group of network-group, de eerste verwijst naar een enkel adres welke als address-group is aangemaakt (zie hiervoor verderop in deze post) of een opgegeven subnet met dus meerdere adressen (zie ook hiervoor verder in deze post)
Een voorbeeld is dus:
code:
1
2
set firewall name zoneX_zoneY rule XX group address-group NAAMADRESGROEP
set firewall name zoneX_zoneY rule XX group network-group NAAMNETWORKGROEP

Je moet een protocol aangeven welke je wilt toepassen voor je rule, de meest gebruikte zijn tcp, tcp_udp, upd, icmp en all. Er zijn er nog wel een aantal meer welke ondersteund worden, type daarvoor tot protocol en druk op tab om te zien welke nog meer. Hierbij een voorbeeld met tcp_udp
code:
1
set firewall name zoneX_zoneY rule XX protocol tcp_udp

Een optionele optie, aangeven of er gelogt moet worden. Als je dit niet aangeeft wordt er niet gelogt.
code:
1
set firewall name zoneX_zoneY rule XX log enable

Nog een optionele optie, aangeven waar het pakket vandaan komt (source). Dit gaat net zoals in het destination gedeelte.
code:
1
2
3
4
set firewall name zoneX_zoneY rule XX source address 192.168.1.10
set firewall name zoneX_zoneY rule XX source port 25
set firewall name zoneX_zoneY rule XX source group address-group NAAMADRESGROEP
set firewall name zoneX_zoneY rule XX source group network-group NAAMNETWERKGROEP

Dit zijn de belangrijkste opties voor het opbouwen van een rule, er zijn nog opties zoals o.a. time waarbij je kunt instellen wanneer de rule toegepast moet worden of wanneer niet. Vul tot XX in en druk op tab om te zien welke opties er nog meer beschikbaar zijn.

Aanmaken van een address of network group

Eerst de naam aanmaken voor de address-group, vervang NAAM voor de gewenste naam van de address-group
code:
1
set firewall group address-group NAAM

Daarna geven een een omschrijving aan de address-group
code:
1
set firewall group address-group NAAM description "Omschrijving van de adres groep"

Daarna kunnen we het IP adres opgeven van de des betreffende host
set firewall group address-group NAAM address XXX.XXX.XXX.XXX

Een netwerk groep gaat bijna gelijk, address wordt vervangen voor network en in plaats van een enkel ip adres geven we een subnet op. Bijvoorbeeld 192.168.1.0/24 wat dus het subnet 192.168.1.0/255.255.255.0 betekend.
code:
1
2
3
set firewall group network-group NAAM
set firewall group network-group NAAM description "Omschrijving van de netwerk groep"
set firewall group network-group NAAM network XXX.XXX.XXX.XXX/XX

MdBruin wijzigde deze reactie 18-04-2017 20:26 (187%)


Acties:
  • +1Henk 'm!

  • marcel19
  • Registratie: september 2012
  • Laatst online: 18-12 08:01
quote:
MdBruin schreef op vrijdag 7 april 2017 @ 15:52:
[...]


Ja vandaar ook mijn opmerking dat het in de TS mag worden opgenomen. Een apart topic er voor openen lijkt me niet handig.
ben erg benieuwd naar het gedeelte van vlans toewijzen en poorten configureren.

Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
quote:
1975Mark30 schreef op zaterdag 8 april 2017 @ 20:08:
[...]


Ja, wel een nul aan het einde gebruikt en inderdaad in de configure mode. Als ik op de tab toets druk na het tweede commando gebeurt er helaas niets. Ook met een v neergezet niet. Ik ben in de CLI gekomen via SSH PUTTY en via CLI aangeklikt via de webinterface. In beide gevallen geen reactie op de tab toets helaas...
Ze hebben in de versies aardig wat aanpassingen gemaakt, mijn configuratie stamt nog af van de 1.5 versie. Ik had mijn vpn nog niet gebruikt, tot nu toe en kom er achter dat de config ook niet meer werkt.
Kom er op terug, of Jeroen moet weten wat je moet veranderen.

De port-forward zit tegenwoordig niet meer onder service maar is rechtstreeks te benaderen via set port-forward ...
Helaas zit bij mij ook de vtun0 daar ook niet meer onder, waar wel durf ik niet zo te zeggen.
Mij lijkt dat de configuratie van vtun0 nog als LAN gemarkeerd zou moeten worden zodat de masquerade weet dat indien niet bekent naar de WAN interface gerouteerd moet worden.

Acties:
  • +1Henk 'm!
quote:
1975Mark30 schreef op zondag 9 april 2017 @ 10:31:
[...]


Hi Jeroen, bedankt voor je reactie! Bovenstaande source NAT rule had ik al, en ook als rule in volgorde boven mijn "normale" verkeer staan. Ik zie de count hiervan ik de GUI wel oplopen, maar ik heb dan helaas geen werkende internet verbinding.... :'(

Als ik de optie "route-nopull" toevoeg aan mijn ovpn file dan heb ik wel een werkende internet verbinding, maar dan loopt deze volgens mij niet over de VPN tunnel. Mijn publieke IP adres is dan namelijk niet veranderd, en de source NAT rule count van mijn "normale" verkeer loopt op ipv de vpn rule... :?

Enig idee?
Mmm... pretty weird... Weet je wat ik doen, gezien het toch gratis is, ik maak gewoon even een account aan. Kan ik eens bezien wat de issues en oplossingen zijn. Heb nog wel een Edgerouter waar ik dat op kan proberen. Kan ik gelijk even zien wat de performance hit is op bv een Edgerouter Lite en een Edgerouter Pro.

U+


Acties:
  • +2Henk 'm!
quote:
1975Mark30 schreef op zondag 9 april 2017 @ 16:58:
[...]


Ja, die had ik er weer uitgehaald. Bedankt iig. _/-\o_ Ik ga nog wat verder troubleshooten en laat het weten als het werkt!
Komt ie dan he... Ik maak em even van voor tot achter...

Er zijn 2 dingen die je moet doen voor je begint. De eerste stap, haal de relevante bestanden op van Windscribe. Pas de OVPN file aan als volgt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
client
dev tun
;------ tls-client invoegen
tls-client
;------
proto udp
remote nl.windscribe.com 1194
nobind
auth-user-pass /config/auth/auth.txt
;------ route-nopull invoegen
route-nopull
;------
resolv-retry infinite

auth SHA512
cipher AES-256-CBC
keysize 256
comp-lzo
verb 2
mute-replay-warnings
ns-cert-type server
persist-key
persist-tun

key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----                                       
</ca>                                                           
<tls-auth>                                                      
-----BEGIN OpenVPN Static key V1-----                           
....                              
-----END OpenVPN Static key V1-----

Je dient de aangepaste OVPN, CA Cert en AUTH files die je bij Windscribe gedownload hebt op je router te zetten in de folder /config/auth/. Dit doe je met scp commando's of FileZilla ofzow.
Hier iig de scp commando's voor Linux en OSX.
code:
1
2
3
scp ca.crt ubnt@192.168.1.1:/config/auth/
scp ta.key ubnt@192.168.1.1:/config/auth/
scp Windscribe-Netherlands.ovpn ubnt@192.168.1.1:/config/auth/

Hierna heb je wat voor bereiding nodig op de router.

Maak eerst 2 groepen aan. De eerste om je locale subnetten de over de main table te laten routeren en de 2e om een groep te maken met daarin je devices die over Windscribe mogenrouteren. Vul en pas aan waar nodig
code:
1
2
3
set firewall group network-group PRIVATE_NETS description 'Private networks'
set firewall group network-group PRIVATE_NETS network 192.168.1.0/24
set firewall group network-group PRIVATE_NETS network 192.168.2.0/24


code:
1
2
set firewall group address-group OPENVPN_COMPUTERS address 192.168.1.99
set firewall group address-group OPENVPN_COMPUTERS description 'Route to Windscribe'

Nu op naar de modify rules. Hiermee creŽer je een policy based routing setup maar voldoet in deze.
Zie hier de 2 groepen die je net gemaakt hebt terug komen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
set firewall modify OPENVPN_ROUTE description 'Modify static route for Windscribe'
set firewall modify OPENVPN_ROUTE rule 10 action modify
set firewall modify OPENVPN_ROUTE rule 10 description 'do NOT adjust lan to lan'
set firewall modify OPENVPN_ROUTE rule 10 destination group network-group PRIVATE_NETS
set firewall modify OPENVPN_ROUTE rule 10 modify table main
set firewall modify OPENVPN_ROUTE rule 20 action modify
set firewall modify OPENVPN_ROUTE rule 20 description 'do NOT adjust destination public address'
set firewall modify OPENVPN_ROUTE rule 20 destination group address-group ADDRv4_eth0
set firewall modify OPENVPN_ROUTE rule 20 modify table main
set firewall modify OPENVPN_ROUTE rule 30 action modify
set firewall modify OPENVPN_ROUTE rule 30 modify table 1
set firewall modify OPENVPN_ROUTE rule 30 source group address-group OPENVPN_COMPUTERS

Nu maken we de OpenVPN interface en hangen er voor het gemaak gelijk maar even de default WAN firewall aan:
code:
1
2
3
4
set interfaces openvpn vtun0 config-file /config/auth/Windscribe-Netherlands.ovpn
set interfaces openvpn vtun0 description 'Windscribe VPN'
set interfaces openvpn vtun0 firewall in name WAN_IN
set interfaces openvpn vtun0 firewall local name WAN_LOCAL

Hopsa, de table 1 maken voor de routing over de VPN tunnel:
code:
1
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0

En de Masq rules (let op dat je de default niet overschijft!!)
Hier hangt ook de groep met computers aan :)
code:
1
2
3
4
5
6
set service nat rule 5000 description 'Masq for Windscribe'
set service nat rule 5000 log disable
set service nat rule 5000 outbound-interface vtun0
set service nat rule 5000 protocol all
set service nat rule 5000 source group address-group OPENVPN_COMPUTERS
set service nat rule 5000 type masquerade

En last but not least, zorg dat de modify rule aan je LAN interfaces hangt.
code:
1
2
set interfaces ethernet eth1 firewall in modify OPENVPN_ROUTE
-- Optioneel -- set interfaces ethernet eth1 vif 10 firewall in modify OPENVPN_ROUTE

De groep OPENVPN_COMPUTERS bevat de clients die gebruik mogen maken van de Windscribe VPN. Hierdoor kun je controle houden over je devices en of ze over de normale WAN interface internetten of de Windscribe VPN.

Ik heb het zo werkend gekregen. De Edgerouter is nog steeds bereikbaar op de WAN interface vanuit het "internet" en alle interne devices internetten nog via de normale interface. Enkel de apparaten die in de OPENVPN_COMPUTERS zitten gaan het internet op via Windscribe en worden geNAT achter een Leaseweb adres.

U+


Acties:
  • +1Henk 'm!
quote:
UnitedJunk schreef op dinsdag 11 april 2017 @ 19:08:
[...]


Helaas niet. Google.fr was in mijn verhaal even een voorbeeld. Anyways, thanks voor meedenken!
Een Edgerouter en USG gaan ook geen DNS rewriting doen. Misschien een RaspberryPi met een Nginx proxy die dat gaat doen. Dan kun je wel iets met een statichost doen op je interne dns naar die Pi. Die doet dan de rewrite van domeinnaam A naar domeinnaam B.

U+


Acties:
  • +1Henk 'm!

  • MdBruin
  • Registratie: maart 2011
  • Laatst online: 23:39
quote:
sarlo schreef op dinsdag 11 april 2017 @ 21:52:
Geen enkele manier werkt. Ik zie de AP in mijn ziggo router device overzicht en deze is ook te configureren via de Unifi app op mijn android telefoon. Maar op geen enkele manier is de AP zichtbaar te maken in het control center. Het AP is overigens wel te pingen,dat dan weer wel.

Voorals nog heb ik hem maar "even snel" geconfigureerd via mjin telefoon zodat ik wifi heb maar meer dan dat kan ik dus niet.

Heeft er iemand enig idee?
Brand het lampje van de uap ac lr solid blauw of staat deze te knipperen.
Als het lampje blauw brand dan klopt het dat de unifi controller software het ap niet kan vinden. Haal dan de netwerkkabel uit het ap, druk het reset knopje in en doe de netwerkkabel er weer in. Houd het reset knopje voor 30 seconden vast, hierdoor wordt het ap gereset en zou te vinden moeten zijn door de controller software en geadopteerd kunnen worden. Let wel op dat de controller en ap in het zelfde subnet bevinden anders gaat de controller het ap niet vinden.

  • Shaggie_NB
  • Registratie: december 2008
  • Laatst online: 07:17
quote:
mvds schreef op woensdag 12 april 2017 @ 14:30:
[...]

Definieer "zichtbaar maken" eens?
ff teruglezen.. Is al opgelost.
Beetje off-topic, maar: Heb je met je Fritz!box al eens geprobeerd de Green mode van de netwerkpoorten uit te zetten? Die kan wel eens aparte dingen doen icm. sommige netwerk interfaces of bekabeling (slecht te duiden).

Een ER-X zal verder prima kunnen. Fritz!box kan je als 'client' in je netwerk opnemen, waarna hij een veredelde switch, AP en DECT basisstation wordt.

Echter, je hebt dan wel kans dat je WLAN straks beperkt wordt door de bedrade verbinding tussen je FB en je ER-X. Dus beter zoek je eerst naar de oplossing van dat probleem ;). Waartegen benchmark je trouwens dat je WLAN wťl snel is? Bedrade verbinding met de mediaconverter van de glasvezel? Waarom is die dan wel snel?

eymey wijzigde deze reactie 13-04-2017 09:06 (52%)


  • Moris
  • Registratie: augustus 2001
  • Laatst online: 21:12
Gisterenavond is hier een Unifi USG toegekomen.

En zit nog met de vraag of intussen al de mogelijk bestaat om op Wan 2 je decoder IPTV kan toewijzen, zodat mijn setupbox van de provider zelf een ip krijgt toegewezen?

Indien deze mogelijkheid bestaat, hoe kan je dit op eenvoudige wijze configureren?

Acties:
  • +1Henk 'm!

  • Luppie
  • Registratie: september 2001
  • Laatst online: 14-12 17:05

Luppie

www.msxinfo.net

quote:
wopper schreef op donderdag 30 maart 2017 @ 10:54:
[...]


ping.ubnt.com is de url, die zit bij een CDN netwerk wat nogal dynamisch de load verdeelt. Ene moment is het 8ms en de volgende dagen 100ms.

Heb je toevallig een link naar het artikel over de aanpassing, zover ik weet regelt de controller dit op CLI met de USG en is het niet aan te passen. Dus ik ben zeer benieuwd wat jij hebt gevonden?
Dit is aan te passen door een setting in config.properties:
code:
1
config.echo_server=ping.example.com

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.


Acties:
  • +1Henk 'm!

  • LightStar
  • Registratie: juli 2003
  • Laatst online: 18-12 16:47
Nieuw product van Ubiquiti, de UAS (Unifi Application Server) - Pro

https://community.ubnt.co...n-Beta-Store/ba-p/1897730

Linkje in de store (beta access required)
https://store.ubnt.com/co...r-pro?variant=35774385549

Ubiquiti UniFiģ


Acties:
  • +1Henk 'm!

  • LightStar
  • Registratie: juli 2003
  • Laatst online: 18-12 16:47
quote:
Oke, je kan het vinden onder je netwerken (dhcp scopes), is 1 van opties igmp snooping.

Ubiquiti UniFiģ


Acties:
  • +1Henk 'm!
quote:
Jeroen_ae92 schreef op zondag 16 april 2017 @ 13:29:
[...]


Klopt helemaal, het is of 1 untagged vlan of alle vlan's waarvan vlan1 untagged is. Het is efen enorme beperking helaas.
Helaas heel veel heb jij bij het rechte eind maar dit niet ;) al geruim een jaar kan je eigen sets maken. Ik heb:

-ESXi
-WiFi
-USG

Drie sets op allemaal verschillende poorten met allemaal hun eigen bundel vlans, uniek per set. Zo komt het gasten vlan niet uit op mijn ESXi server omgeving.

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!
@Beunhaas91, ik heb even zitten neuzen en kom denk ik bijna tot een werkende json file. Echter, ik mis een stukje. Globaal zou dit het moeten zijn. Incl de taskscheduler voor het script die de IPTV route update zoals op Kriegsman.io staat. Maar wat ik mis, is het stukje met de interfaces voor de Experiabox. Ik zie een bridge br0 met daarin eth2.7 maar ik vermoed dat eth1.7 of eth3.7 hier ook onderdeel van zou moeten zijn. De Experiabox wordt toch aangesloten op een andere poort? Weet je al welke poort? Want dan zou het een toevoeging moeten worden zoals:
code:
1
2
3
4
5
6
7
8
9
10
11
12
            "eth1": {
                "disable": "''",
                "duplex": "auto",
                "speed": "auto"
            }
                    "7": {
                        "bridge-group": {
                            "bridge": "br0"
                        },
                        "description": "eth2.7 - ExperiaBox VOIP",
                        "mtu": "1500"
                    }

Maar dat wordt even testen.

Even een sidenote, ik ben uitgegaan van een werkende config vanuit de controller die de WAN interface met PPPoE verbinding al heeft werken. Hierdoor zijn enkel wat toevoegingen nodig. Als je meer in de json gaat zetten beperk je jezelf verder in het gebruik van de controller. Namelijk hoe meer je vast zet in een json, hoe minder je kunt wijzigen in de controller. Het is dus belangrijk om alleen hetgeen in de json te zetten die echt niet via de controller kunnen.

Jeroen_ae92 wijzigde deze reactie 17-04-2017 08:35 (20%)

U+


  • rally
  • Registratie: maart 2002
  • Laatst online: 06:42

rally

Irini Ria RaphaŽlla

De meningen verschillen daarover.

Ik ben een groot fan van de USG's (3P en 4P versies), maar anderen zweren bij de EdgeRouters.

Persoonlijk vind ik de USG's een goede performance bieden met een groot gebruiksgemak (lees: configuratie mogelijkheden). En in de roadmap van Ubiquiti zitten nog veel mooie functies (zoals LocalDNS, application blocking, etc).

Ik heb 11 sites draaien met de USG's en allemaal zijn ze uitermate tevreden met de performance (mijzelf inclusief). Ik heb een 600/60 verbinding die ik helemaal vol kan trekken met de USG.

http://irini.wachtel.nl


Acties:
  • +1Henk 'm!

  • lier
  • Registratie: januari 2004
  • Laatst online: 18-12 17:10
quote:
djkavaa schreef op donderdag 20 april 2017 @ 23:50:
Hoeft niet kan wel, het is net wat je prettig vindt.
Als je alles wat altijd in je netwerk zit zoals switches etc. ook een vast IP geeft dan zou ik het doen.
Anders lekker op DHCP laten staan. Dan hoef je ook nergens over na te denken. >:)
Mijn voorkeur is de hybride vorm: neem statische IP adressen op in je DHCP server voor vaste apparaten zoals accesspoints. Maar als je DHCP server ook DNS doet, dan kan je alles op naam benaderen.

Optimaal is relatief, je WiFi throughput zal bijvoorbeeld niet veranderen.

"If a man is considered guilty for what goes on in his mind. Then give me the electric chair for all my future crimes" - Prince
ShareValue E-miel


Acties:
  • +1Henk 'm!

  • Ron!n
  • Registratie: juli 2003
  • Laatst online: 23:17
quote:
GioStyle schreef op vrijdag 21 april 2017 @ 17:05:
Ik had 2 Unifi AP's hangen hier, maar deze zijn voor een nette prijs zojuist verkocht.

Nu wil ik graag 2 AC Lites bestellen, maar Megekko zit nog met oude voorraad. (Ik wil graag de nieuwe met 48V ondersteuning). Iemand recentelijk deze AC Lites nog besteld tegen een leuke prijs?

Voor de rest zit ik ook te twijfelen tussen 2x AC Lites of LR's of Pro's.. Pfff.. Lastig kiezen allemaal.. :+ :D
Ik heb anders zelf 2 dagen geleden bij megekko 2 AC Lites (naast Pro en LR) besteld en 2 nieuwe binnen gekregen!

Ron!n wijzigde deze reactie 21-04-2017 18:29 (12%)

What's in the case?

Nou ben ik het zat ook... :(
Ik ga nu ook de 5.6.x versies eens begluren. Heb nog een een ongebruikte cloudkey liggen. Kan ik daar vast voor misbruiken :P

U+

quote:
wopper schreef op zaterdag 22 april 2017 @ 15:04:
[...]


Ja ze gaan echt goed met de USG, in de laatste firmware is de edgeOS code 1.9.7 overgenomen. Dus ik verwacht ook IPv6 ondersteuning op korte termijn.
Wow... just wow...

Logging incl mail functionaliteit, mDNS, uPNP, OpenvPN site to site, data retention die uitgebreid is.
Er zit inderdaad heel wat nieuwe features in de GUI die ook eigenlijk niet langer konden uitblijven.

U+


Acties:
  • +1Henk 'm!

  • GioStyle
  • Registratie: januari 2010
  • Laatst online: 06:54
- Controller hoeft niet altijd te draaien. Alleen als je instellingen wil wijzigen heb je de controller nodig.

- Unifi AP's werken goed onderling en je zal zien dat de devices switchen naar een AP welke beter bereik geeft. Een Unifi router (USG) is niet noodzakelijk. Meeste mensen willen alles van Unifi voor de mooiheid. Als je Experiabox aan jouw eisen voldoet kan je prima alleen Unifi AP's gebruiken voor de WiFi.

- Tegenwoordig ondersteunen de Lite en LR ook POE/af, dus nog een reden om niet meer voor de Pro te kiezen. De Pro heeft 3x3 antennes op zowel 2.4Ghz als 5Ghz. Ik vind het prijsverschil van 60 euro ten opzichte van de Lite niet waard.

Acties:
  • +1Henk 'm!

  • rally
  • Registratie: maart 2002
  • Laatst online: 06:42

rally

Irini Ria RaphaŽlla

Let wel op dat je controleert of je een 1e of 2e revisie koopt van de AC LR of AC lite (er zijn nog oude versie in omloop die alleen Passive PoE ondersteunen).

Overigens denk ik dat de (kleine) meerprijs voor de AC LR en het betere bereik het meer dan waard is.

Ik heb bij een aantal klanten de Lite opgehangen (kostenbesparing) maar de LR bleek toch *net* even wat meer vermogen te hebben waardoor ze ook op zolder en achter in de tuin goed ontvangst hadden (en niet krap) en zijn ze toch maar voor de "upgrade" gegaan.

Just my 2 cents.

http://irini.wachtel.nl


Acties:
  • +1Henk 'm!

  • Shaggie_NB
  • Registratie: december 2008
  • Laatst online: 07:17
quote:
rally schreef op zondag 23 april 2017 @ 10:51:
Let wel op dat je controleert of je een 1e of 2e revisie koopt van de AC LR of AC lite (er zijn nog oude versie in omloop die alleen Passive PoE ondersteunen).

Overigens denk ik dat de (kleine) meerprijs voor de AC LR en het betere bereik het meer dan waard is.

Ik heb bij een aantal klanten de Lite opgehangen (kostenbesparing) maar de LR bleek toch *net* even wat meer vermogen te hebben waardoor ze ook op zolder en achter in de tuin goed ontvangst hadden (en niet krap) en zijn ze toch maar voor de "upgrade" gegaan.

Just my 2 cents.
Ben het met je eens.
Maar het grote voordeel van de Lites is de grootte. Ik merk dat ik bij klanten en zeker in de huiskamer de Lite er makkelijker doorheen krijg als de LR.
Zeker als de vrouw zich ermee gaat bemoeien... :)
Het scheelt absoluut gezien niet zoveel in grootte maar aan het plafond is het visueel toch een groot verschil.

Acties:
  • +1Henk 'm!
quote:
ventusGallus schreef op zondag 23 april 2017 @ 13:17:
Toen las ik dat dit ook problemen kan geven omdat een (mobiel) apparaat de LR wel goed kan ontvangen maar mogelijk zelf niet bereiken. Dat lees ik hier veel terug.
Afgaande op de marketing praat van Ubiquity is dat niet het geval. Normaal hoor je vaker van "hacks" om bij een AP het land ergens anders op in te stellen waar het AP harder mag zenden, en dan heb je inderdaad het nadeel dat je mobiele apparaat niet harder doet terug zenden en je dus kans hebt dat je mobiele apparaat wel de signalen van het AP ontvangt maar het mobiele apparaat nog steeds een (te) zwak signaal terug stuurt voor het AP om te ontvangen. Echter zou de LR juist zo'n antenne configuratie hebben dat (ook) het ontvangst beter is (het AP "luistert" ook beter). Daarnaast doet de LR iets harder zenden, maar het verschil daarvan is vrij klein vergeleken met een Lite (ik meen 20dB voor de Lite en 22dB voor de LR).

Acties:
  • +3Henk 'm!
Ubiquity heeft die update niet echt aangekondigd. Je ziet het in ieder geval op de doos, dan zit er linksboven een blauwe sticker met daarop dat 802.11af ondersteund wordt. Zie ook deze post van @Ron!n waarin hij aangeeft recentelijk nog de 802.11af varianten ontvangen te hebben van bij Megekko.

Acties:
  • +1Henk 'm!

  • Domino
  • Registratie: juli 1999
  • Laatst online: 06:44

Domino

30 Watts and overheating...

Je logt in principe ook niet in op de usg. Je maakt je wijzigingen in de controller en die pushed ze naar de usg.

Je kan er overigens wel op inloggen, maar dan krijg je hetzelfde scherm als bij de initiele config: dwz internet toegang instellen (dhcp,pppoe ed) en done.

Quick and dirty screenshot vanaf de telefoon:

An IPv6 packet walks into a bar. Nobody talks to him.


Acties:
  • +1Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 06:46

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

quote:
toro schreef op maandag 24 april 2017 @ 14:03:
[...]

He joh, jammer dat je zomaar aannames doet. Het zal wel maandag zijn :/
Nou, nou. :|

Maar had je nu echt verwacht dat je op een ER lite een eigen OS kon zetten? Misschien kan het wel, maar het is niet echt het juiste platform om mee te knutselen in mijn ogen. Op zich is de reactie over een ander platform dus niet eens zo raar. :)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • +1Henk 'm!
Ik doe t aanbod gewoon nog een keer, omdat ik het leuk vind om mede-GoT'ers te helpen!
Ik heb een Unifi controller draaien bij DigitalOcean met de laatste Unifi software (5.6.3). Als iemand interesse heeft om zijn site hierop te draaien of naartoe te migreren dan mag dat gratis. Er zit al een andere Tweaker op ook :)
Uiteraard kan niemand anders bij je site als je hem op de shared controller zet.

Wil je meer info of heb je interesse? Stuur me dan ff een DM :)

Is het al bijna vrijdag?


Acties:
  • +1Henk 'm!

  • m3gA
  • Registratie: juni 2002
  • Laatst online: 18-12 17:26
Weer een leuke blog van Troy Hunt over de in-wall.

https://www.troyhunt.com/...-ground-up-with-ubiquiti/

Acties:
  • +1Henk 'm!
quote:
mvds schreef op dinsdag 25 april 2017 @ 11:41:
[...]
Hoe laat ik de image draaien in hetzelfde netwerk als de host? Welke instelling is dat?
Alleen zichtbaar als je de docker opnieuw aanmaakt, in het gedeelte van de netwerkinstellingen.

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!
quote:
Treadstone schreef op dinsdag 25 april 2017 @ 22:10:
Vraagje omtrent Ubiquiti Security Gateway.

Ik wil graag een ransomware Command en Control lijst toevoegen aan de WAN IN interface. De lijst bestaat uit een paar duizend IP adressen.

Is er een manier om dit te scripten ? Ik zie nergens via Google sowieso een manier om een IP via ssh in de firewall te krijgen en heb nou niet echt veel verstand van Linux helaas. Laat staan EdgeOS.
Jahoor, dit kan en bestaat al. Maar die duizenden adressen wil je per dag geupdate hebben, zoniet per uur.
Dit zijn veel extra writes en gaat ten koste van de levensduur van je flashstick.

Anyway, dit is denk ik waar je naar op zoek bent: https://community.ubnt.co...ats-Blacklist/td-p/645375

U+

quote:
Woask schreef op woensdag 26 april 2017 @ 09:39:
Is het mogelijk om een AP in een ander vlan te zetten dan de clients die met dat AP connecten te zetten? Dan zou ik mijn AP in een management VLAN willen zetten, en mijn clients willen laten connecten in een client VLAN. Puur omdat het kan. :P

AP: VLAN 100 STATIC IP
Clients op AP: VLAN 200 DHCP configured
https://help.ubnt.com/hc/...dware#device%20management

Is het al bijna vrijdag?


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 18-12 16:47
Ap3 2.4 ghz op channel 1 en 5 op 40/44

Ubiquiti UniFiģ


Acties:
  • +1Henk 'm!

  • Movinghead
  • Registratie: november 2001
  • Laatst online: 09-12 13:09
quote:
Mixpower schreef op zondag 30 april 2017 @ 15:51:
[...]

Ik heb geen hulp nodig voor de setup, ik heb de motd file nodig van de Cloud Key. ;)
Via SSH is de motd te vinden in /etc/motd ik heb de inhoud van de motd file nodig of de motd file zelf dat maakt niet zoveel uit, ik heb geen zin om de Cloud Key naar factory te resetten dus wil ik alleen de motd file restoren naar origineel want de backup file is kwijt. :+

code:
1
2
3
4
5
6
7
8
9
10
root@UniFi-CloudKey:~# cat /etc/motd

  ___ ___      .__________.__
 |   |   |____ |__\_  ____/__|
 |   |   /    \|  ||  __) |  |   (c) 2013-2016
 |   |  |   |  \  ||  \   |  |   Ubiquiti Networks, Inc.
 |______|___|  /__||__/   |__|
            |_/                  http://www.ubnt.com

      Welcome to UniFi CloudKey!

MCITP Enterprise Messaging Administrator 2010, MCTS 70-640, 70-642, 70-662, PRO 70-663


Acties:
  • +1Henk 'm!
quote:
ThePrutser schreef op maandag 1 mei 2017 @ 01:04:
[...]

Ik heb GoT en de genoemde link doorgenomen, maar toch kan ik de juiste locatie waar de config.gateway.json file te plaatsen niet vinden. Een belangrijk detail is dat ik de Unifi Controller in een docker draai op een Synology. Alle genoemde locaties kan ik noch op/in docker vinden, noch op de synology zelf, noch in de mappenstructuur van de controller (WinSCP).

Heeft iemand zijn controller ook in een docker op Synology draaien en heeft diegene met succes een config.gateway.json bestand weten weg te zetten?

Mijn GoogleFU laat mij of in de steek of geeft niet de juiste resultaten.
Als je de Docker file die je gebruikt even ontleed kan je daar misschien meer info uit halen. Het fijnste vond ik de Goofball222 Docker die gebruikt gewoon apt-get voor installatie. Ik kan mij niet herinneren dat ik daar problemen mee had met die config.json. Ik had die map namelijk al gemapped (-v) naar een synology MAP. Ik zou die anders even installeren, hij is ook snel met beta updates.

Ik kon de config.json gewoon met de testeditor op de NAS wijzigen. In /volume1/docker/unifi/config.gateway.json mits je dat ook zo ingesteld hebt. Je kunt nl ook een file los mappen, oplossingen genoeg _/-\o_

Ik ben nu weer over naar een Ubuntu servertje, voor Unifi.

PVoutput 2720WP ZW en Oost-West


Acties:
  • +1Henk 'm!

  • EdwinB
  • Registratie: september 1999
  • Laatst online: 19:54
quote:
vandermark schreef op maandag 1 mei 2017 @ 13:39:
Even een korte vraag: De PoE injector die bij een singlepack AC-Lite wordt meegeleverd: die mag je toch gewoon in de meterkast snel na de switch plaatsen? Dus de lange CAT6 kabel na de PoE injector loopt door de loze leiding naar de plek in plafond? Het gaat er mij om dat de injector niet dichtbij het accespoint hoeft te zitten.
Ik heb dit op deze manier bij mij thuis en dat werkt prima. Er zit denk ik ongeveer 15 meter netwerkkabel tussen de injector en het AP.

Acties:
  • +1Henk 'm!
quote:
BushWhacker schreef op zondag 30 april 2017 @ 18:40:
Ik ben een site2site vpn via ipsec opgebouwd.
Die werkt goed, maar.....
Vanaf de andere kant kan ik overal bij behalve bij de ERL3.
Andersom precies zo. Alles bereikbaar, behalve de ERL3.
Moet ik nog iets instellen in de firewall om dat wel te kunnen?
Voor toegang tot de GUI (en SSH), voeg een firewall regel toe aan de WAN_LOCAL ruleset. Accepteer tcp en match op inkomende IPSEC pakketten. Als source kies je je remote subnet en als destination enkel poort 80 en 443 (eventueel dus ook 22 voor SSH).

U+

Pagina: 1 2 3 ... 16

Dit topic is gesloten.

Let op:
Aankoopadvies hoort niet thuis in dit topic, maar hoort in een eigen topic.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True