Toon posts:

Geen routing met Ubiquiti USG en Ziggo

Pagina: 1
Acties:

donderdag 7 juni 2018 20:48

Acties:
  • 0 Henk 'm!
  • Jacco Rens
  • Registratie: Maart 2004
  • Laatst online: 19-08 07:02

Jacco Rens

Topicstarter
Ik heb recent een Ubiquiti USG (3P) aangesloten op mijn Ziggo Ubee (bridge modus). De USB eth0 staat ingesteld op DHCP en krijg ook netjes het verwachte IP adres (zelfde MAC als vorige router op eth0). Alles lijkt in mijn ogen goed te staan, maar ik kom niet verder dan het gateway adres van Ziggo. Nu zijn vrouw en kind bij 5 minuten downtime al gefucked, dus echt debuggen lukt niet gemakkelijk.

Relevante info:

eth0 84.106.170.***/23 u/u
eth1 192.168.20.1/24 u/D

interface lo
ip route 0.0.0.0/0 84.106.170.1

Ik heb even geen idee waar ik het zoeken moet. Wie heeft een idee voor debuggen? Ik ben nu verbonden via de serial console

[ Voor 3% gewijzigd door Jacco Rens op 07-06-2018 20:50 ]

donderdag 7 juni 2018 20:50

Acties:
  • +1 Henk 'm!
  • MisteRMeesteR
  • Registratie: December 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Verberg je WAN IP ff. Ik denk een NAT issue? Post je hele config eens?

www.google.nl

donderdag 7 juni 2018 20:50

Acties:
  • 0 Henk 'm!
  • 3DDude
  • Registratie: November 2005
  • Laatst online: 12:24

3DDude

I void warranty's

staat je nat op je loopback interface?

Be nice, You Assholes :)

donderdag 7 juni 2018 20:53

Acties:
  • 0 Henk 'm!
  • Jacco Rens
  • Registratie: Maart 2004
  • Laatst online: 19-08 07:02

Jacco Rens

Topicstarter
De complete config;

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638

----------------
Running configuration
----------------
firewall {
    all-ping enable
    broadcast-ping disable
    group {
        address-group authorized_guests {
            description "authorized guests MAC addresses"
        }
        address-group guest_allow_addresses {
            description "allow addresses for guests"
        }
        address-group guest_allow_dns_servers {
            description "allow dns servers for guests"
        }
        address-group guest_portal_address {
            description "guest portal address"
        }
        address-group guest_restricted_addresses {
            address 192.168.0.0/16
            address 172.16.0.0/12
            address 10.0.0.0/8
:
            description "restricted addresses for guests"
        }
        address-group unifi_controller_addresses {
        }
        ipv6-network-group corporate_networkv6 {
            description "IPv6 corporate subnets"
        }
        ipv6-network-group guest_networkv6 {
            description "IPv6 guest subnets"
        }
        network-group captive_portal_subnets {
            description "captive portal subnets"
        }
        network-group corporate_network {
            description "corporate subnets"
            network 192.168.20.0/24
        }
        network-group guest_allow_subnets {
            description "allow subnets for guests"
        }
        network-group guest_network {
            description "guest subnets"
        }
:
        network-group guest_restricted_subnets {
            description "restricted subnets for guests"
        }
        network-group remote_client_vpn_network {
            description "remote client VPN subnets"
        }
        network-group remote_site_vpn_network {
            description "remote site VPN subnets"
        }
        network-group remote_user_vpn_network {
            description "Remote User VPN subnets"
        }
        port-group guest_portal_ports {
            description "guest portal ports"
        }
        port-group guest_portal_redirector_ports {
            description "guest portal redirector ports"
            port 39080
            port 39443
        }
        port-group unifi_controller_ports-tcp {
            description "unifi tcp ports"
            port 8080
:
        }
        port-group unifi_controller_ports-udp {
            description "unifi udp ports"
            port 3478
        }
    }
    ipv6-name AUTHORIZED_GUESTSv6 {
        default-action drop
        description "authorization check packets from guest network"
    }
    ipv6-name GUESTv6_IN {
        default-action accept
        description "packets from guest network"
        rule 3001 {
            action drop
            description "drop packets to intranet"
            destination {
                group {
                    ipv6-network-group corporate_networkv6
                }
            }
        }
    }
:
    ipv6-name GUESTv6_LOCAL {
        default-action drop
        description "packets from guest network to gateway"
        rule 3001 {
            action accept
            description "allow DNS"
            destination {
                port 53
            }
            protocol udp
        }
        rule 3002 {
            action accept
            description "allow ICMP"
            protocol icmp
        }
    }
    ipv6-name GUESTv6_OUT {
        default-action accept
        description "packets forward to guest network"
    }
    ipv6-name LANv6_IN {
        default-action accept
:
        description "packets from intranet"
    }
    ipv6-name LANv6_LOCAL {
        default-action accept
        description "packets from intranet to gateway"
    }
    ipv6-name LANv6_OUT {
        default-action accept
        description "packets forward to intranet"
    }
    ipv6-name WANv6_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
:
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
:
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
:
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    name AUTHORIZED_GUESTS {
        default-action drop
        description "authorization check packets from guest network"
    }
    name GUEST_IN {
        default-action accept
        description "packets from guest network"
        rule 3001 {
            action accept
            description "allow DNS packets to external name servers"
            destination {
                port 53
            }
            protocol tcp_udp
:
        }
        rule 3002 {
            action accept
            description "allow packets to captive portal"
            destination {
                group {
                    network-group captive_portal_subnets
                }
                port 443
            }
            protocol tcp
        }
        rule 3003 {
            action accept
            description "allow packets to allow subnets"
            destination {
                group {
                    address-group guest_allow_addresses
                }
            }
        }
        rule 3004 {
            action drop
:
            description "drop packets to restricted subnets"
            destination {
                group {
                    address-group guest_restricted_addresses
                }
            }
        }
        rule 3005 {
            action drop
            description "drop packets to intranet"
            destination {
                group {
                    network-group corporate_network
                }
            }
        }
        rule 3006 {
            action drop
            description "drop packets to remote user"
            destination {
                group {
                    network-group remote_user_vpn_network
                }
:
            }
        }
        rule 3007 {
            action drop
            description "authorized guests white list"
            destination {
                group {
                    address-group authorized_guests
                }
            }
        }
    }
    name GUEST_LOCAL {
        default-action drop
        description "packets from guest network to gateway"
        rule 3001 {
            action accept
            description "allow DNS"
            destination {
                port 53
            }
            protocol udp
        }
:
        rule 3002 {
            action accept
            description "allow ICMP"
            protocol icmp
        }
        rule 3003 {
            action accept
            description "allow to DHCP server"
            destination {
                port 67
            }
            protocol udp
            source {
                port 68
            }
        }
    }
    name GUEST_OUT {
        default-action accept
        description "packets forward to guest network"
    }
    name LAN_IN {
        default-action accept
:
        description "packets from intranet"
        rule 6001 {
            action accept
            description "accounting defined network 192.168.20.0/24"
            source {
                address 192.168.20.0/24
            }
        }
    }
    name LAN_LOCAL {
        default-action accept
        description "packets from intranet to gateway"
    }
    name LAN_OUT {
        default-action accept
        description "packets forward to intranet"
        rule 6001 {
            action accept
            description "accounting defined network 192.168.20.0/24"
            destination {
                address 192.168.20.0/24
            }
        }
:
    }
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
:
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
:
:
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type vti
            mss 1452
        }
        mss-clamp6 {
            interface-type pppoe
            interface-type pptp
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    syn-cookies enable
:
}
geoip {
    action accept-only
    country-list CA,NL,SE
    lan-list eth1,eth2
    traffic-direction both
    wan-list eth0
}
interfaces {
    ethernet eth0 {
        address dhcp
        dhcp-options {
            client-option "retry 60;"
            default-route-distance 1
            name-server no-update
        }
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
:
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
    }
    ethernet eth1 {
        address 192.168.20.1/24
        firewall {
            in {
                ipv6-name LANv6_IN
                name LAN_IN
            }
            local {
                ipv6-name LANv6_LOCAL
                name LAN_LOCAL
            }
            out {
                ipv6-name LANv6_OUT
                name LAN_OUT
            }
:
        }
    }
    ethernet eth2 {
        disable
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall disable
    hairpin-nat enable
    lan-interface eth1
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update enable
        shared-network-name net_LAN_192.168.20.0-24 {
            authoritative enable
            description vlan1
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
:
                dns-server 192.168.20.200
                dns-server 192.168.20.201
                domain-name jaccorens.com
                lease 86400
                start 192.168.20.50 {
                    stop 192.168.20.150
                }
                unifi-controller 192.168.20.202
            }
        }
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 10000
            except-interface eth0
            options ptr-record=1.20.168.192.in-addr.arpa,UNIFI-USG-3P
            options host-record=unifi,127.0.0.1
        }
    }
    gui {
        https-port 443
    }
:
    lldp {
        interface eth0 {
            disable
        }
    }
    nat {
        rule 6001 {
            description "MASQ corporate_network to WAN"
            log disable
            outbound-interface eth0
            protocol all
            source {
                group {
                    network-group corporate_network
                }
            }
            type masquerade
        }
        rule 6002 {
            description "MASQ remote_user_vpn_network to WAN"
            log disable
            outbound-interface eth0
            protocol all
:
            source {
                group {
                    network-group remote_user_vpn_network
                }
            }
            type masquerade
        }
        rule 6003 {
            description "MASQ guest_network to WAN"
            log disable
            outbound-interface eth0
            protocol all
            source {
                group {
                    network-group guest_network
                }
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
:
    }
}
system {
    conntrack {
        timeout {
            icmp 30
            other 600
            tcp {
                close 10
                close-wait 60
                established 7440
                fin-wait 120
                last-ack 30
                syn-recv 60
                syn-sent 120
                time-wait 120
            }
            udp {
                other 30
                stream 180
            }
        }
    }
:
    domain-name jaccorens.com
    host-name UNIFI-USG-3P
    ip {
        override-hostname-ip 192.168.20.1
    }
    login {
        user beheerder {
            authentication {
                encrypted-password ****************
            }
            level admin
        }
    }
    name-server 1.1.1.1
    name-server 1.0.0.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipsec enable
        ipv4 {
            forwarding enable
:
            gre enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    static-host-mapping {
        host-name setup.ubnt.com {
            alias setup
            inet 192.168.20.1
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
:
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi enable
        export disable
    }
}
unifi {
    mgmt {
        cfgversion 174c557994fc976a
    }
}

[ Voor 100% gewijzigd door Equator op 08-06-2018 06:49 . Reden: Even de config in [code][/code] tages geplaatst ]

vrijdag 8 juni 2018 07:05

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 18-08 16:05

Equator

Crew Council

#whisky #barista

Waarom geef je:
dns-server 192.168.20.200
dns-server 192.168.20.201
Mee in de DHCP configuratie? Moet dat niet je IP adres van de USG zelf zijn? Aangezien je USG zelf:
1.1.1.1
1.0.0.1
gebruikt?

(Letop, als jij op die IP adressen een DNS server - bijvoorbeeld Pi-Hole - draait, geen probleem)
Maar voglens mij mis ik de rules op WAN_OUT om DNS verkeer uberhaupt naar buiten te krijgen. Sowieso mis ik daar behoorlijk wat rules naar mijn idee. Maar ik heb even geen toegang tot mijn Edge Router om dat te controleren.

vrijdag 8 juni 2018 17:22

Acties:
  • 0 Henk 'm!
  • Jacco Rens
  • Registratie: Maart 2004
  • Laatst online: 19-08 07:02

Jacco Rens

Topicstarter
Het probleem is dus dat wanneer ik serieel verbonden ben met de USG, ik wel het eigen WAN IP, en de Ziggo gateway kan pingen, maar geen next hop, b.v. de google DNS. Ik heb de USG al twee maal compleet gereset, maar zonder effect.

vrijdag 8 juni 2018 18:04

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 11:54

HKLM_

is je USG up to date ? heb je de config als eens via de controller doorlopen i.p.v CLI.
check anders een deze van ziggo: https://community.ziggo.n...iten-ubiquiti-unifi-22834

Cloud ☁️

vrijdag 8 juni 2018 18:21

Acties:
  • 0 Henk 'm!
  • Aherin
  • Registratie: Juli 2009
  • Laatst online: 27-07 19:54

Aherin

Kan het niet komen omdat de USG niet het mac adres van je modem heeft?
Ik weet dat ik in het verleden wel eens het mac adres van mijn modem moest klonen om internet toegang te krijgen met een ander apparaat dan mijn modem :|

Ja dus

[ Voor 3% gewijzigd door Aherin op 08-06-2018 18:22 ]

woensdag 27 juni 2018 11:17

Acties:
  • +1 Henk 'm!
  • Jacco Rens
  • Registratie: Maart 2004
  • Laatst online: 19-08 07:02

Jacco Rens

Topicstarter
Uiteindelijk opgelost door nog eens helemaal van scratch te beginnen. Blijkbaar gaat het achteraf toevoegen van een USG aan een bestaande Unifi Setup niet helemaal soepel. Na alles compleet tot factory default te hebben gereset, en de boel als LAB Setup te configgen draait alles ondertussen als een zonnetje.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq