Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

[Ubiquiti & IPTV] Ervaringen & Discussie

Pagina: 1 2 3
Acties:

Onderwerpen


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Mede-auteurs:
  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53

xbeam

  • Coolhva
  • Registratie: juni 2003
  • Laatst online: 22:47

Coolhva

[ubiquiti & IP-tv] Ervaringen en Discussies


Welkom op dit Topic dat specifiek over Ubiquiti routers & switches gaat in combinatie met IP-tv.
Er zijn steeds meer mensen die afscheid willen nemen van de router die wordt meegeleverd vanuit de provider icm glasvezel. Dit om een grote verscheidenheid aan redenen. (security, stabiliteit, gebruikersgemak of gewoon omdat het moet kunnen)

Het algemene Ubiquiti topic is zeer populair en we (Xbeam en ikzelf) zien steeds vaker dezelfde vragen met betrekking tot IP-tv configuraties terugkomen. Vandaar de start van dit nieuwe topic. Aangezien dit een nieuwe start is, moet nog veel informatie worden aangevuld in de Topic Start. Als er contributies zijn, dan horen we dit graag.

Algemene Uitleg WAN netwerk


De meeste providers leveren hun dienst met een eigen dichtgetimmerde router. De routers zijn van wisselende kwaliteit. De rol van de routers is om de routering van data verkeer tussen het internet (WAN) en het lokale (LAN) netwerk te regelen.
Alle providers hebben aan de WAN kant meerdere virtuele netwerken in gebruik. (VLAN) Ze doen dit om makkelijker de kwaliteit en prioriteit van de data pakketten te kunnen regelen, zonder het gebruik de DPI.

De meeste partijen (de grote jongens) leveren hun IP-TV dienst middels een routed IP-tv. Dit betekent dat de router de verschillende VLANS aan de WAN zijde vertalen naar een enkel LAN aan de lokale zijde.
Binnen je eigen netwerk, werk je dan min of meer plug and play tussen je apparaten. Het maakt dus niet uit waar je je TV-box aansluit.

T-mobile werken middels Switched IP-tv. Dit betekent dat je aan je geleverde router een of twee poorten hebt waar je je TV-box op mag aansluiten (die mag je natuurlijk met een switch verder uitbreiden)
Kortom TV en Internet is volledig gescheiden, ook op het interne netwerk. Voor elke TV box moet je dus, in theorie, een kabel trekken naar de router.

Dit verschil is van belang als je je router wil vervangen.

Algemene uitleg intern netwerk


Ook op je interne netwerk kun je gaan werken met VLAN's. Met verschillende VLAN's maak je eigenlijk verschillende netwerken op 1 fysiek netwerk.
Redenen waarom je dat zou willen is voornamelijk isolatie van de verschillende apparaten / mensen op je netwerk.
Je kunt hierbij denken aan een gasten (wifi)netwerk, of een apart netwerk voor IOT apparaten.
Eigenlijk kun je op deze manier netwerk scheiden op basis van het vertrouwen wat je in de 'klanten' hebt.

Een paar 'spelregels'
  • Verdiep je in de materie, want dit is niet makkelijk om op te zetten
  • Zorg voor managed switches over je hele netwerk
  • maak van te voren een plan hoe je de dingen wil opzetten (hoeveel VLANS, en welk apparaat moet waar)
  • Besef je dat apparaten tussen VLANS in beginsel niet met elkaar praten.. (defeats the purpose)
  • Besef je dat eindapparatuur over het algemeen absoluut niet overweg met een VLAN (vandaar de noodzaak van managed switches)
In het onderstaande plaatje wordt IP-tv en Internet ondergebracht in hun eigen VLAN
Hierbij is de router de spin in het web die middels regels de interne en externe routering regelt.
Van de Router gaan er dus VLAN 'tagged' data pakketjes naar de Core Switch.
In die core switch definieer je dus een uplink poort die tagged pakketjes herkent op de VLAN nummers die je wil gebruiken.
Vanaf dit punt moet je dus weten welk poortje welk apparaat gaat 'servicen'. Als het een andere switch is, moet je weten of datapakketjes van beide VLANS mogelijk moet zijn of misschien maar 1.
Als het poortje een eindpunt bevat dan koppel je het betreffende VLAN aan die poort als untagged. Want het apparaat dat aan dat poortje hangt, weet niets van VLANs.
Op deze manier kun je dus een soort snelweg bouwen van VLAN verkeer tussen switches en pas op het eindpunt beslis je welk VLAN het apparaat toe behoort.
Er zijn ook apparaten die wel met een VLAN overweg kunnen, zoals verschillende AccessPoints. Voorbeeldje, de unifi APs kunnen overweg met VLANS.
Je kunt dus 2 VLANS laten uitkomen op het poortje waar de AP op zit. (getagged) waarbij je in de config van unifi aangeeft welk VLAN aan welke SSID gekoppeld moet worden.

Netwerk plaatje

Hertel van niet meer werkende VPN instellingen.


Kopieer en plak deze instelling naar een het kladblok op je pc. Wijzig de pppoeX en ethX naar de Door jouw gebruikte eth en pppoe configuratie uit je JSon.

Login via SSH in op de USG en kopieer en plak je aangepaste instellingen in de ssh terminal en voer ze uit. De vpn instellingen worden zo tijdelijk hersteld.

Helaas moet je deze instellingen na iedere provisioning opnieuw uitvoeren. Dit is op te vangen door een script wat deze instellingen automatische na iedere provisioning uitvoert
code:
1
2
3
4
5
6
configure
set vpn ipsec ipsec-interfaces interface pppoeX
delete vpn l2tp remote-access dhcp-interface ethX
set vpn l2tp remote-access outside-address 0.0.0.0
commit
save

Ik hoop dat bovenstaand omschrijving een beetje helpt met het ontrafelen van de netwerkwerk beginselen.

Basis informatie per provider


KPN
VLAN IDFunctieverbindingstype
4IP-tvDHCP
6Internet en Telefoniepppoe
  • IGMP Snooping / Routing over VLAN 4
  • De router maakt (naast de normale internet verbinding via een PPP verbinding) ook een (bridged, RFC1483) verbinding voor de TV.
    • Voor ADSL gaat dat via vpi/vci 8/71
    • Voor VDSL en FTTH via (802.1q) VLAN 4

    Via DHCP wordt een ip adres (alleen v4) opgehaald. In het DHCP request moeten de volgende opties staan:
    • 55 (parameter-rquest-list), bevat minstens 1, 3, 28 en 121
    • 60 (Vendor Class Identifier), bevat de string IPTV_RG

    Het DHCP antwoord bevat (in optie 121, zie RFC3442) een of meer statische routes, daarmee wordt dynamisch aangegeven welk verkeer niet via de PPP verbinding maar via de iTV verbinding gerouteerd moet worden
  • Static route naar 213.75.112.0/21 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
Voor officiele informatie van KPN over het gebruik van een eigen modem & router klik hier. https://www.kpn.com/servi...nstellen-en-gebruiken.htm

Op deze pagina is bovenstaande informatie te vinden + extra details over het gebruik van een eigen Telefonie SIP client.

Telfort
VLAN IDFunctieverbindingstype
4IP-tvDHCP
34Internet DHCP
  • IGMP Snooping / Routing over VLAN 4
  • Static route naar 213.75.112.0/21 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
XS4ALL
VLAN IDFunctieverbindingstype
4IP-tvDHCP
6Internetpppoe
7VoIPDHCP
  • IGMP Snooping / Routing over VLAN 4
  • Static route naar 213.75.112.0/21 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
T-Mobile
VLAN IDFunctieverbindingstype
640IP-tvDHCP
300InternetDHCP
  • Let op : T-mobile werkt met een switched configuratie in hun eigen router
Trined
VLAN IDFunctieverbindingstype
4IP-tvDHCP
6InternetDHCP
  • IGMP Snooping / Routing over VLAN 4
  • MAC-adres van de geleverde Fritzbox koppelen aan VLAN 4.
Tweak icm Canal Digitaal TV
VLAN IDFunctieverbindingstype
4IP-tvDHCP
34Internet (en Telefonie)DHCP
  • IGMP Snooping / Routing over VLAN 4
  • Static route naar 185.24.175.0/24 en 185.41.48.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
  • IGMP Proxy whitelist : 239.0.3.0/16 en 225.0.71.0/24 en 224.0.0.0/16
Online
VLAN IDFunctieverbindingstype
4IP-tv DHCP
1001Internet DHCP
500Onbekend DHCP
  • IGMP Snooping / Routing over VLAN 4
  • Static route naar 185.24.175.0/24 en 185.41.48.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
  • IGMP Proxy whitelist : 239.0.3.0/16 en 225.0.71.0/24 en 224.0.0.0/16
Stipte
VLAN IDFunctieverbindingstype
4IP-tvDHCP
128Internetpppoe
  • IGMP Snooping / Routing over VLAN 4
  • Static route naar 217.166.226.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
  • IGMP Proxy whitelist : 213.75.167.0/24 en 217.166.226.0/24
Fiber (via caiway)
VLAN IDFunctieverbindingstype
148IP-tvDHCP
141InternetDHCP
149VoIPDHCP
  • IGMP Snooping / Routing over VLAN 148
  • Static route naar 217.166.226.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 148)
  • IGMP Proxy whitelist : 239.0.3.0/16, 225.0.71.0/24, 224.0.0.0/16

Unifi configuratie en How To's


Voor een installatie script en uitleg zie
@Coolhva ’s GitHub

Voor een do het zelf config lees verder.
Voorbeeld van een doe het zelf KPN USG Pro JSON
JSON:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
{
    "interfaces": {
        "ethernet": {
            "eth2": {
                "firewall": {
                    "in": {
                        "ipv6-name": "WANv6_IN",
                        "name": "WAN_IN"
                    },
                    "local": {
                        "ipv6-name": "WANv6_LOCAL",
                        "name": "WAN_LOCAL"
                    },
                    "out": {
                        "ipv6-name": "WANv6_OUT",
                        "name": "WAN_OUT"
                    }
                },
                "dhcp-options": {
                    "default-route": "no-update",
                    "name-server": "no-update"
                },
                "vif": {
                    "4": {
                        "address": [
                            "dhcp"
                        ],
                        "dhcp-options": {
                            "client-option": [
                                "send vendor-class-identifier "IPTV_RG";",
                                "request subnet-mask, routers, broadcast-address, static-routes, rfc3442-classless-static-routes;"
                            ],
                            "default-route": "no-update",
                            "default-route-distance": "210",
                            "name-server": "no-update"
                        },
                        "ip": {
                            "source-validation": "loose"
                        }
                    },
                    "6": {
                        "description": "WAN",
                        "firewall": {
                            "in": {
                                "ipv6-name": "WANv6_IN",
                                "name": "WAN_IN"
                            },
                            "local": {
                                "ipv6-name": "WANv6_LOCAL",
                                "name": "WAN_LOCAL"
                            },
                            "out": {
                                "ipv6-name": "WANv6_OUT",
                                "name": "WAN_OUT"
                            }
                        },
                        "pppoe": {
                            "2": {
                                "default-route": "none",
                                "firewall": {
                                    "in": {
                                        "ipv6-name": "WANv6_IN",
                                        "name": "WAN_IN"
                                    },
                                    "local": {
                                        "ipv6-name": "WANv6_LOCAL",
                                        "name": "WAN_LOCAL"
                                    },
                                    "out": {
                                        "ipv6-name": "WANv6_OUT",
                                        "name": "WAN_OUT"
                                    }
                                },
                                "name-server": "none",
                                "password": "kpn",
                                "user-id": "kpn"
                            }
                        }
                    }
                }
            }
        }
    },
    "protocols": {
        "igmp-proxy": {
            "interface": {
                "eth2.4": {
                    "alt-subnet": [
                        "0.0.0.0/0"
                    ],
                    "role": "upstream",
                    "threshold": "1"
                },
                "eth0": {
                    "alt-subnet": [
                        "0.0.0.0/0"
                    ],
                    "role": "downstream",
                    "threshold": "1"
                }
            }
        },
        "static": {
            "interface-route": {
                "0.0.0.0/0": {
                    "next-hop-interface": {
                        "pppoe2": {
                            "distance": "1"
                        }
                    }
                }
            }
        }
    },
    "port-forward": {
        "wan-interface": "pppoe2"
    },
    "service": {
        "dns": {
            "forwarding": {
                "except-interface": [
                    "pppoe2"
                ]
            }
        },
        "nat": {
            "rule": {
                "5000": {
                    "description": "MASQ corporate_network to IPTV network",
                    "destination": {
                        "address": "213.75.112.0/21"
                    },
                    "log": "disable",
                    "outbound-interface": "eth2.4",
                    "protocol": "all",
                    "type": "masquerade"
                },
                "6001": {
                    "outbound-interface": "pppoe2"
                },
                "6002": {
                    "outbound-interface": "pppoe2"
                },
                "6003": {
                    "outbound-interface": "pppoe2"
                }
            }
        }
    }

Bij dit voorbeeld JSON moet de static next-hop handmatig in de controller worden toegevoegd.
static

Basis uitleg hoe de JSON beheerd moet worden zie hier

Edgemax configuratie en How To's


Aangezien er vele verschillende soorten Edgerouters zijn met meer of minder interfaces of gecombineerd met switches, is het niet handig om een compleet edgerouter config file te posten.
In plaats daarvan lijkt het handig om de specifieke eigenschappen voor de WAN interface en IGMP proxy etc.. per provider te posten.

Om van nul te starten met een edgerouter is het dan handig om de router af fabriek eerst middels de wizard de basis instellingen te geven en dan specifieke brokken te updaten op basis van de provider inputs.
Dit forum hier heeft als hoofdfocus IP-TV configs, dus laten we firewall settings even buiten beschouwing.

Er zijn eigenlijk maar een paar 'kleine' dingen te configureren om een edgerouter de hoofdrol in je netwerk te laten nemen.
  1. WAN interface configuratie
  2. LAN configuratie (mag je lekker zelf weten, 1 groot lokaal lan, of allerlei VLAN-nen voor IOT en of gasten.) let wel op dat hoe meer virtual LANs lokaal hoe meer routes er zijn om verkeer te regelen.
    De configs gaan uit van 1 LAN interface.
  3. Static route voor IP-TV
  4. IGMP Proxy
  5. aanzetten RTSP helper (helpt bij haperingen of niet werken van on demand diensten.)
Tweak
Voor Tweak zijn dan de volgende config elementen belangrijk

WAN instellingen
Er zijn dus twee Virtual interfaces, 4 en 34, beide krijgen middels DHCP een IP-adres. de MAC adressen zijn gekopieerd van het de vervangen router om dezelfde IP-adressen te houden als daarvoor.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
    ethernet eth0 {
        description WAN
        duplex auto
        firewall {
            in {
            }
            local {
            }
        }
        speed auto
        vif 4 {
            address dhcp
            description WAN-IPTV
            firewall {
                in {
                    name WANIPTV_IN
                }
                local {
                    name WANIPTV_LOCAL
                }
            }
            mac XX:XX:XX:XX:XX:XX
        }
        vif 34 {
            address dhcp
            description WAN-INTERNET
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            mac XX:XX:XX:XX:XX:XX
        }
    }


Static route voor IP-tv.
Op basis van het ip adres op vif4 (in mijn geval 10.10.51.50) moet de route worden vastgelegd.

code:
1
2
3
4
5
6
7
8
9
10
11
12
    static {
        interface-route 0.0.0.0/0 {
            next-hop-interface eth0.34 {
            }
        }
        route 185.6.48.0/26 {
            next-hop 10.10.51.1 {
                description "Routed IPTV"
                distance 1
            }
        }
    }


Volgende stap is de IGMP proxy, anders krijgt de settopbox nog steeds geen zenders doorgegeven.
Zet voor elke interface waarbij de Proxy niets hoeft te doen 'role disabled' dat voorkomt een hoop 'ruis' op het netwerk.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
    igmp-proxy {
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0.34 {
            role disabled
            threshold 1
        }
        interface eth1 {
            role downstream
            threshold 1
            whitelist 239.0.3.0/16
            whitelist 225.0.71.0/24
            whitelist 224.0.0.0/16
        }
        interface eth2 {
            role disabled
            threshold 1
        }
    }


Conntracking
Voor tweak specifiek zijn er twee elementen die stabiliteit geven voor unicasting van media (on-demand spullen) en voor SIP.
In de system configuratie voor conntrack, kun je rtsp aanzetten en sip uitzetten. Dit is optioneel als het in jou situatie al goed werkt, niet aankomen. ;)
code:
1
2
3
4
5
6
7
8
9
10
11
12
    conntrack {
        expect-table-size 2048
        hash-size 32768
        modules {
            rtsp {
            }
            sip {
                disable
            }
        }
        table-size 262144
    }

[Voor 231% gewijzigd door hermanh op 25-03-2020 13:48. Reden: toevoeging van KPN informatie pagina]


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
First post is gereserveerd.. :-)

  • gastje01
  • Registratie: oktober 2005
  • Laatst online: 08-04 22:23
T-Mobile werkt met vlan 300 voor internet en 640 voor IPTV als aanvulling. Ik heb dit direct vanaf de vezel/sfp gebridged naar de decoders en dit werkt gewoon goed en stabiel.

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
Kpn en XS4ALL werken dan wel met vlan6 maar met pppoe verbinding. Dus in de OP hoort niet vlan6 te staan maar pppoe over vlan6

U+


  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Breakthrough

ik heb het voor elkaar om IPTV zonder static route en next hop (router adres ) te laten werken.

Nu nu de oorzaak bekent is kunnen we de IPTV route automatische laten configureren.

juich niet te vroeg een json vraagt nog wat aandacht vanwege de juiste config van de defealt gateway en dat kan even duren

Edit: Dit kan nog heel Lang duren:

[Voor 17% gewijzigd door xbeam op 09-11-2018 01:18]


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Dat gaat inderdaad gewoon werken. Het is in beginsel niet mogelijk om via zo'n switch ook een internet connectie te krijgen.

Voor de experts, dit kan wel als je managed switches gaat gebruiken om VLAN's samen te brengen en ook weer te splitten per poort.

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Ik moet iedereen teleur stellen.
Mijn aanpassing en optie28 toevoeging (broadcast adressen) in de DHCP cliënt request blijken niet helpen. Volgens de officiële Xs4all documatie moet deze optie verplicht in de request en in de online configs zit deze nog niet. Ik zal hem toevoegen aan de free2wifi config.

Veder (ik ben geen DHCP expert) heb ik een beetje uit de documentatie van DHCP-server begrepen dat de static route en het router adress geforward kan worden naar de clients op een subnet. Waardoor de dit niet op edge/usg hoeft. Nu staat daar inderdaad een mooi script voor het Ubnt forum.
Maar zoals ik de documatie begrijp kunnen via de global opties ook de cliënt opties van de wan overdragen zonder script.


Dit is iets wat ik van de week(en) ga proberen.
Als er mensen zijn die willen helpen graag ;-)

[Voor 25% gewijzigd door xbeam op 20-10-2018 11:17]


  • raytje192
  • Registratie: oktober 2007
  • Laatst online: 11:31
Fijn om nu een apart topic te hebben voor dit onderwerp. Het was soms lastig te volgen in het andere topic met alle andere dingen tussendoor. Keep up the good work :)

Heb thuis KPN glasvezel en na een hoop gekloot met de config uiteindelijk maar een switch voor mijn USG geplaatst om IPTV af te splitsen, heb 1 decoder die nu dus bridged IPTV heeft door hem rechtstreeks in te pluggen in de switch voor de USG. Op die switch port isolation etc gebruikt om te zorgen dat het IPTV verkeer verder gewoon uberhaupt niet op mijn netwerk komt. Voordeel is dat de USG compleet van uit Unifi geprovisioned kan worden, inclusief werkende VPN, firewall etc.

Nadeel is dat ik begrijp dat op termijn bridged TV mogelijk niet meer gaat werken? Daarnaast is het ook relatief zonde om hier een switch voor te moeten opofferen.

  • rens-br
  • Registratie: december 2009
  • Laatst online: 22:42

rens-br

Moderator Mobile & IN
@hermanh @xbeam Mooi initiatief! Ik heb even de titel aangepast op hoofdletter gebruik.

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Kecin schreef op dinsdag 23 oktober 2018 @ 21:03:
Is het de bedoeling om ook andere IPTV providers te gaan ondersteunen? Zo heb ik bijvoorbeeld Caiway. Nogal vervelend om voor elke decoder een losse kabel te hebben naar de meterkast.
Als caiway IPTV heeft kunnen we instellingen toevoegen.

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
De nieuwste USG-DEV firmware is beschikbaar:

LET OP!!!!!!!!
Deze update/firmware is nog in ontwikkeling (beta) en nog niet getest. Gebruik hem dus niet op systemen die je niet kan missen je loopt het risico dat je usg offline gaat en dat je usg moet reseten naar de vorige versie.

https://community.ubnt.co...-for-testing/td-p/2539539

Ubiquiti Employee UBNT-cmb
[USG] Firmware v4.4.32dev available for testing [ New ] Options yesterday - last edited yesterday

Changes since 4.4.31dev:
IDS/IPS
-Reduce frequency of lookups to ips1.unifi-“” ai.com for cloud connectivity.
-Adjust configuration for USG3 to decreasd CPU and memory usage

-Significant updates in ubnt-util, mostly related to load-balance functionality but also some dependent interface-related changes. Only functional impact should be in load-balance and its watchdog.
-Fixes a number of edge case bugs where route metrics were not updated correctly, especially upon fail-back.
-Speed test updates to not get stuck on a non-responsive server.

—————————————————————
Changes since 4.4.29 release include the above plus:
-IDS/IPS fixes/improvements
-utmdaemon high CPU usage fixed (cause of "heartbeat missed" a few reported). Note that cannot prevent "heartbeat missed" in all possible circumstances. Where under extreme load for extended periods, it's inevitable for userland to be starved of resources enough to miss informs.
-Added a couple missing signatures to those bundled in firmware so all are immediately available post-upgrade. Some noted spamhaus.rules was only available after signature update.
-Suricata version string corrected to reflect specific version.
-If no interface with "description WAN" is found (config.gateway.json overwriting the controller-generated config), assume the default interface assignment for that hardware platform, so config_network_wan is included in the inform. That prevents INFORM_ERROR status on controller versions prior to 5.9.28. In 5.9.28 and newer controllers, there is also a change controller-side to not end up in this condition regardless of whether this firmware-side change is available.

USG-XG-8 specific:
With UF-RJ45-1G SFPs, pass through the copper link state to the SFP+ port. Previously they always showed link up in the OS when plugged in regardless of copper link status (was SFP module to SFP slot link), which is problematic if using one for a dynamic IP WAN in some cases, as linkup actions are important.

Downloads
USG
USG Pro
USG-XG-8

[Voor 12% gewijzigd door xbeam op 24-10-2018 11:50]


  • DutchCrownNL
  • Registratie: mei 2012
  • Laatst online: 21:52
Eindelijk een topic puur voor IPTV, het “reguliere” topic was niet echt meer te volgen.

Ben benieuwd wat hier uit gaat komen, heb onlangs een nieuwe poging gegeven om Routed werkend te krijgen (KPN Glas + EdgerouterLite), en hoewel dat voor een week stabiel heeft gewerkt kreeg ik toch weer haperingen / zender niet beschikbaar..

Nu maar (tijdelijk) terug naar Bridged-Mode aangezien dat wel stabiel werkt, echter weet ik dat dit op den duur zal worden uitgefasseerd.

Xbox Live Ambassador | Xbox One X | Flintstone NL | KPN Glas (Routed iTV) 500/500 i.c.m. Pfsense.


  • Bockelaar
  • Registratie: juli 2001
  • Laatst online: 13:13
lekker ouderwetse insteek. Stuur je berichten ook nog door de ether met je 27MC? Stuur je mail ook nog in een envelop met postzegel? Telefonie is de standaard tegenwoordig toch echt richting VOIP aan het schuiven en is TV toch echt naar IPTV aan het bewegen ...

Remember: A CRAY is the only computer that runs an endless loop in just 4 hours...


  • Witte8
  • Registratie: juli 2006
  • Laatst online: 22:30
Geweldige topic. Kan er ook info voor bv Vlaamse providers worden toegevoegd ? Er was een interessant apart topic voor Telenet. Zie hierna

Aansluiting op Telenet met meerdere VLAN's, gastnetwerk...

@Kurt De Naeyer

  • Poenzkie
  • Registratie: oktober 2006
  • Laatst online: 12:44

Poenzkie

Just being Hendrick

Klein bedankje naar @xbeam mijn USG 3P werkt als een trein met de config. Wel met het route script erbij. Wat mij wel opviel is dat ik met de USG het zelfde externe IP krijg als met de EB, dit gaat blijkbaar niet op MAC?

Overigens voor iemand die van de oude propositie komt wel even wennen dat als je kleine hiccup in de lijn heb dat je tv ook even stil blijft staan -_-'. Ik in paniek dat de config niet goed was. Bleek de lijn niet helemaal stabiel. Gelukkig maar eenmalig gehad.

  • Coolhva
  • Registratie: juni 2003
  • Laatst online: 22:47
Ik heb nu een config draaien zonder update route script en tot dusver werkt dat prima. Ik heb dit opgelost door een DHCP Client hook script te installeren die de static routes via de dhcp lease op vlan4 omzet in static routes.

Alleen voor IPv6 heb ik nog wel een postprovision bash script voor nodig vanwege de bug dat met pppoe de json nesting te diep wordt. Het grappige is dat ik op mijn pppoe interface geen ipv6 adres heb, alleen op de lan interface. Maar het functioneert wel (ipv6-test geeft maximale score)

[Voor 18% gewijzigd door Coolhva op 03-11-2018 12:17]


  • JVaags
  • Registratie: juni 2001
  • Laatst online: 04-04 15:39

JVaags

Je voelt je beter in een 504

Mijn ERX draait nu een paar weken probleemloos als vervanger voor mijn Experiabox op Telfort glasvezel, met dank aan de heren in het Ubiquiti topic.

Van de week ben ik bezig geweest om de config te hardenen en zo zag ik dat er geen firewall rules actief zijn op de wan interface van het IPTV vlan. Nu ik even rondgekeken heb in de diverse gedeelde configs zie ik dat ook weinig mensen dit geconfigureerd lijken te hebben.

Vraag heeft dit een reden? Als je nu geen "listen on" hebt ingesteld op de gui en ssh is de ERX remote bereikaar vanaf het IPTV vlan. Lijkt me toch niet helemaal lekker?

Heb het nog niet geprobeerd maar ik denk dat ik de default rules (Allow established/related) doortrek naar het IPTV vlan. Of is hier een andere config nodig?

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
nero355 schreef op zondag 4 november 2018 @ 16:52:
[...]

Maar... wil je nou hiermee zeggen dat SSH standaard niet alleen vanaf de LAN kant toegestaan is :?
Dat lijkt me namelijk wel iets om met Ubiquiti Support te bespreken
Bij default wordt het verkeer naar de router toe geblokkeerd vanuit de wan kant. Dus dmv de wan_local ruleset. Wil je verder dichttimmeren zijn er mogelijkenheden om bv X_local te gebruiken met een drop op ssh en https. Of idd, een listen-on mee te geven aan die services.

Dus vanuit het doosje en na het draaien van de wizard ben je prima beschermt tegen verkeer van buitenaf. Maar als je zelf interfaces bij gaat maken die niet persé lan zijn, dan zul je zelf zorg moeten dragen voor de security ervan.

U+


  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
JVaags schreef op zondag 4 november 2018 @ 20:11:
Net even geprobeerd. Als ik de default firewall rules laad dan werkt de IPTV niet meer.

Heb even zitten prutsen en ben tot dusver tot de volgende set gekomen maar wil nog kijken of ik dit beter kan krijgen. Want feitelijk staat alles voor UDP nog open.
Ik denk dat dit beter gaat met alleen UDP open voor het broadcast verkeer.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
name IPTV_IN {
        default-action drop
        description "IPTV to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow UDP to Multicast"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol udp
            state {
                new enable
            }
        }
        rule 30 {
            action accept
            description "Allow igmp"
            log disable
            protocol igmp
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    name IPTV_LOCAL {
        default-action drop
        description "IPTV to router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow Multicast"
            destination {
                address 224.0.0.0/4
            }
            log disable
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log enable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }

U+


  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
nero355 schreef op maandag 5 november 2018 @ 14:19:
[...]

Totdat iemand eens gaat rommelen met dat VLAN 4 en bij andere abonnees op het privé netwerk zit :?
Ook mijn angst. Misschien moeten we het een keer testen en dan gelijk ook de EB.

Je zou verwachten dat kpn ook om zich zelf te beschermen een soort van cliënt isolatie op de vlan heeft zitten anders is het wel serieus een risco voor kpn.

Acties:
  • +1Henk 'm!
  • Pinned

  • mtenberg
  • Registratie: juni 2013
  • Laatst online: 07-04 23:08
Voor een firewall op het IPTV VLAN deel ik de "angst" met jullie dat er vanuit dat VLAN hier thuis kan worden "gesnuffeld". Daarom heb ik daar zeker een firewall voor draaien die ik tune op basis van de IPTV-adressen die ik kan sniffen op mijn WAN-interface. Voor provider Tweak staan ze op mtenberg in "[Tweak Glasvezel] Ervaringen & Discussie - Deel 5" maar dit kun je zo instellen voor elke ISP die IPTV levert. Even met een open configuratie beginnen en goed kijken welke rules netjes geraakt worden.

Acties:
  • +5Henk 'm!
  • Pinned

  • Coolhva
  • Registratie: juni 2003
  • Laatst online: 22:47
Mijn (werkende) configuratie voor KPN met IPTV en IPv6 via FTTH heb ik op github geplaatst:

https://github.com/coolhva/usg-kpn-ftth

Een verschil met de config van xbeam is het post config dhcp script en IPv6.

Acties:
  • +5Henk 'm!
  • Pinned

  • Coolhva
  • Registratie: juni 2003
  • Laatst online: 22:47
xbeam schreef op woensdag 7 november 2018 @ 23:03:
[...]


Zeer Netjes :-)

Maar is het niet handiger om de mtu met rust te laten in de json. Loop je nu niet het risico op een conflict wanneer iemand met wan settings gaat zitten spelen? De standaart waarden geven volgens mij geen problemen met internet en multicast.
KPN ondersteunt 1512 (en nog veel hoger) op haar netwerk. De reden dat ik de MTU vergroot heb is dat standaard de MTU wordt verkleind naar 1492. Dit komt omdat PPPoE header 8 bytes inneemt. Op je lokale netwerk is je MTU standaard 1500 (ethernet). Dit houdt impliciet in dat zodra je een pakket naar het internet verstuurd met de grootte van 1500 (wat je clients op je lokale netwerk denken te kunnen gebruiken) de USG dit pakket moet fragmenteren. Dat kost CPU en introduceert ook latency.

Door de fysieke interface op 1512 te zetten, de VLAN interface op 1508 (802.1Q (VLAN) header neemt 4 bytes in beslag) en de PPPoE interface op 1500 (de PPPoE header neemt 8 bytes in beslag) maakt dat pakketten naar het internet toe niet te hoeven worden opgebroken.

Op mijn mac kan ik dit testen door een ipv4 ping uit te voeren met een payload van 1472 bytes (+ 8 bytes voor ICMP header en + 20 voor IP header = 1500 bytes totaal) met het "Dont Fragment" bit gezet naar, bijvoorbeeld, mijn website:

code:
1
2
3
4
5
6
7
8
9
 hva@hvaX ~ $ ping -D -s 1472 vanachterberg.org
PING vanachterberg.org (89.31.57.11): 1472 data bytes
1480 bytes from 89.31.57.11: icmp_seq=0 ttl=60 time=6.227 ms
1480 bytes from 89.31.57.11: icmp_seq=1 ttl=60 time=7.268 ms
1480 bytes from 89.31.57.11: icmp_seq=2 ttl=60 time=6.482 ms
1480 bytes from 89.31.57.11: icmp_seq=3 ttl=60 time=5.524 ms
--- vanachterberg.org ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 5.524/6.375/7.268/0.623 ms


https://vanachterberg.org/tweakers/mtu_1500.png

In de afbeelding zie je de grootte (1500) en dat dit NIET opgebroken mag worden (Don't Fragment bit set).

Als ik een byte meer (1473 ipv 1472) in de payload stop dan zegt OSX dat het pakket te lang is om verstuurd te worden:

code:
1
2
3
4
5
6
7
8
9
10
11
 hva@hvaX ~ $ ping -D -s 1473 vanachterberg.org
PING vanachterberg.org (89.31.57.11): 1473 data bytes
ping: sendto: Message too long
ping: sendto: Message too long
Request timeout for icmp_seq 0
ping: sendto: Message too long
Request timeout for icmp_seq 1
ping: sendto: Message too long
Request timeout for icmp_seq 2
--- vanachterberg.org ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss


Op de USG kan je dit ook via SSH uitvoeren:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
unifiadmin@HVA-USG-GW:~$ sudo ping -M do -s 1472 -c 1 vanachterberg.org
PING vanachterberg.org (89.31.57.11) 1472(1500) bytes of data.
1480 bytes from www.vanachterberg.org (89.31.57.11): icmp_req=1 ttl=61 time=4.03 ms

--- vanachterberg.org ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.036/4.036/4.036/0.000 ms
unifiadmin@HVA-USG-GW:~$ sudo ping -M do -s 1473 -c 1 vanachterberg.org
PING vanachterberg.org (89.31.57.11) 1473(1501) bytes of data.
From ip565eeb17.direct-adsl.nl (86.94.235.23) icmp_seq=1 Frag needed and DF set (mtu = 1500)

--- vanachterberg.org ping statistics ---
0 packets transmitted, 0 received, +1 errors


XS4ALL maakt gebruik van de infrastructuur van KPN en zegt het volgende hierover (https://www.xs4all.nl/ser...-fritzbox-instellen.htm):

VDSL en FTTH
• PPPoE via VLAN6 (802.1Q). Via de PPPoE verbinding loopt zowel IPv4 als IPv6 verkeer. • PPP authenticatie: PAP
• PPP credentials moeten ingevuld zijn (de waarden zijn niet belangrijk, maar er moet er wel iets ingevuld zijn)
• RFC4638 wordt ondersteund op ons netwerk. Dit betekent dat u als klant een MTU van 1500 kunt gebruiken als uw router RFC4638 ondersteunt.

RFC4638 (https://tools.ietf.org/html/rfc4638): Accommodating a Maximum Transit Unit/Maximum Receive Unit (MTU/MRU) Greater Than 1492 in the Point-to-Point Protocol over Ethernet (PPPoE)

Daarnaast zou een MTU van 1492 problemen veroorzaken met IPv6 omdat MSS Clamping op de USG, zover ik kan zien, met IPv6 niet goed werkt: https://community.ubnt.co...UniFi-5-7-20/td-p/2276201
En kan wanneer IPv6 op de eth0/1/wan hebt deze niet via de controller doorzetten naar de Lan/Local subnet via het prefix id?
IPv6 komt niet op de WAN interface omdat, zodra een PPPoE sessie wordt opgebouwd, er via DHCPv6 Prefix Delegation een DHCP request naar KPN wordt gestuurd met het verzoek een /48 IPv6 netwerk terug te geven. Dat gebeurd en van dat netwerk wordt :1 (dus xxxx:xxxx:xxxx:1:/64) aan eth1 (LAN) toegewezen. Via router advertisements wordt dan aan de client duidelijk gemaakt dat ze een adres mogen maken in dat netwerk en de USG als gateway gebruiken. De USG heeft een default route voor IPv6 via de interface PPPoE 2 staan. De link local adressen, die tijdens het opbouwen van de PPPoE worden uitgewisseld, worden gebruikt om het IPv6 verkeer met elkaar uit te wisselen. Hierdoor is er ook geen publiek IPv6 adres nodig op de PPPoE interface. Omdat met IPv6 NAT niet meer nodig is, kan je met het IPv6 adres op interface Eth1 ook direct naar het (IPv6) internet.

Ook heeft de controller json parsing een bug waarbij de IPv6 configuratie er voor zorgt dat er teveel niveau's in de json ontstaan (nesting) waardoor commando's worden afgekapt en dus fouten veroorzaken wanneer deze worden uitgevoerd op de USG.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
UniFi Alarm: Gateway Commit Error
Device name: HVA-USG-GW
Site: <redacted>

Message: Gateway[fc:ec:da:d6:fc:1d] 
Configuration Commit Error. 
Error message: 
{
  "DELETE": {
    "failure": "0",
    "success": "1"
  },
  "SESSION_ID": "060f06b5264129f420c5c4ce2e",
  "SET": {
    "error": {
      "interfaces ethernet eth0 vif 6 pppoe 2 dhcpv6-pd pd 0 interface eth1 prefix-id ...": "invalid prefix ID\n\nValue validation failed\n",
      "interfaces ethernet eth0 vif 6 pppoe 2 dhcpv6-pd pd 0 interface eth1 service ...": "service must be slaac, dhcpv6-stateless or dhcpv6-stateful\n\nValue validation failed\n"
    },
    "failure": "1",
    "success": "1"
  }
}

En net als de firewall rules gewoon via de controller zouden kunnen.

Ik zelf probeer altijd zo min mogelijk in de json te zetten zelf heb de static rules ook via de controller en niet via de json.
Je hebt helemaal gelijk dat verschillende onderdelen in de config naar de controller zouden kunnen. Maar het is niet mijn opzet geweest om zoveel mogelijk in de controller te doen, maar om een zo stabiel en robuust mogelijke configuratie te maken die zo eenvoudig mogelijk te gebruiken is.

Ik ga nog spelen met een "minimale json" configuratie, al vindt ik dat de USG firmware ook wat bugs zou mogen verhelpen ;-), dat zou ook schelen.

In elk geval bedankt voor je compliment en ik hoop dat andere mensen hier hun voordeel mee kunnen doen.

[Voor 23% gewijzigd door Coolhva op 29-09-2019 18:49]


Acties:
  • +1Henk 'm!
  • Pinned

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
Coolhva schreef op woensdag 7 november 2018 @ 20:46:
Mijn (werkende) configuratie voor KPN met IPTV en IPv6 via FTTH heb ik op github geplaatst:

https://github.com/coolhva/usg-kpn-ftth

Een verschil met de config van xbeam is het post config dhcp script en IPv6.
Ik snap wat je doet gezien wij dit al enige tijd op een soortgelijke wijze doen. Maar de rfc3442_classless_static_routes file blijft niet staan na een firmware upgrade. Dit is absoluut nog even het vermelden waard in de handleiding.

U+


  • mtenberg
  • Registratie: juni 2013
  • Laatst online: 07-04 23:08
Martin-at-Home schreef op donderdag 8 november 2018 @ 22:33:
Ik heb een zelfde soort vraag/ probleem.
Hierboven staat voornamelijk beschreven hoe een USG in te zetten voor het vervangen van een Router met IPtv. Echter ik zou het ander willen doen, en de vraag is of dat werkt, ik krijg het in ieder geval niet (goed) aan de praat.
Mijn componenten zijn:
1 X Unifi USG
3 X Unifi 8P Switch
3 X Unifi AP LR
3 X WiFi SIDDS (incl gasten wifi met portal)

T-Mobile als provider en Drayteck mode.

Ik heb wel 2 UTP kabels liggen naar mijn TV kast beneden, daar is dus 1 van netwerk en de ander TV (rechtstreeks in poort 4 van de drayteck). Alles werkt tot nnu toe.
Echter wil ik graag voor mijn zoon op zolder een TV tuner aansluiten die ook over UTP gaat. Daar licht maar 1 UTP kabel naar toe. Met daar een Unifi Switch met een PS4, Apple TV en SONOS connect.
Als ik poort 4 van de switch in de meterkast reserveer voor IPTV (VLAN 10 aangemaakt zonder DHCP) en boven op dezelfde poort 4 (om het makkelijk te maken) ook VLAN 10 reserveer (tag) zou het toch moeten werken. Lijkt mij. In de meterkast ga ik van poort 3 van de drayteck naar poort 4 van de unifi meterkast switch (VLAN 10) en boven met VLAN 10 er weer uit. Alle andere poorten heb ik niet op ALL gezet maar op LAN VLAN. Poort 8 van de meterkast switch gaat naar boven naar poort 8 van de zolder switch, daar staan de VLANs op ALL. deze zouden dus wel aan moeten komen, en dat klopt ook wel.
Als alles is aangesloten gaat m'n hele netwerk over de zeik en geen enkele SONOS en Apple TV is meer bereikbaar. vooral alles wat achter de zolder switch is aangesloten is dan helemaal over de zeik.
Diverse dingen geprobeerd maar komt er niet uit. Soms lijkt het te werken als ik TV tuners uit heb staan.
Als ik alles uit de switch haal en allee IPtv aansluit werkt het overigens wel.

Iemand een idee welke denkfout ik hier maak? of kan het helemaal niet zoals ik graag zou willen?
Ik heb het als volgt:

* Router LAN-interface, bijv. eth1, voorzie ik van meerdere VLAN's voor o.a. voice, IPTV en de interne gescheiden netwerken waarvan sommige ook weer gekoppeld zijn aan de SSID's van de Unifi AP.
* Vanaf deze eth-interface op de router loopt een ethernetkabel naar de "hoofd"-switch. Vanaf deze switch maak je weer een uplink naar de volgende switch(es) in je netwerk. Op zowel de ethernetpoort naar je router als ook naar je volgende switch zet je beide poorten op Tagged voor alle VLAN's die je uiteindelijk uit wilt laten komen op deze switch en de achterliggende router.
* Op de overige switch(es) zet je op de uplinkpoorten ook weer alles Tagged voor alle VLAN's en voor aangesloten devices zet je de poorten op Untagged en het VLAN waar je ze in wilt hebben. Ook zet je op die poort een overeenkomstige PVID (nummer van het VLAN).
* Als je een Unifyi AP koppelt op je switch(es) zet je voor alle VLAN's die je erop wilt aanbieden die poort op Tagged voor alle VLAN's zodat je SSID's kunt maken met gescheiden VLAN's.

Zo kun je over 1 ethernetkabel vanaf je router en meerdere switches op diverse plekken in huis overal alle VLAN's aanbieden en verkeersstromen gescheiden houden. I.c.m. IPTV ook wel zo fijn. Managed switches met IGMP-snooping raad ik je daarbij aan. En zet je IPTV-vlan niet op de poort waarop je Unifi AP is aangesloten.

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
kariem112 schreef op zondag 25 november 2018 @ 10:23:
[...]

Werken deze rules nog steeds goed? En, hoe kan ik ze eenvoudig importeren :9
Ik zou ze er gewoon via de controller inzetten
Zo veel regels zijn het niet.

  • insan1ty
  • Registratie: oktober 2001
  • Laatst online: 30-03 22:13
mithras schreef op zaterdag 24 november 2018 @ 17:57:
[...]
Ja dat kan, ik heb zelf ook eigen vlans op mijn netwerk. Je moet alleen oppassen dat de iptv volgens mij untagged blijft. Zoals de vraag van @johnbetonschaar net onder jou, ik heb dat nog niet voor elkaar gekregen.

[...]
Ja dat is onafhankelijk (ik gebruik 192.168.1.0/24 maar dat maakt eigenlijk niets uit.

[...]
Ze werken prima samen, maar het advies is om je json zo klein mogelijk te houden en wat je via de web interface kan doen, ook daar te doen. Dat maakt je json ook overzichtelijk.

Er zijn enkele onderdelen die niet helemaal lekker samen werken: de web interface gaat uit van 1 verbinding op WAN, terwijl ik bijvoorbeeld met PPPoE op vlan6 inbel en met DHCP op vlan 4 een iptv ip adres krijg. De interface laat alleen de dhcp zien. Dus technisch werkt het, maar door de json kan je in de web interface de WAN connectie niet meer aanpassen.
Top, ik heb alles nu werkend met de json van @xbeam en het updatescript van basmeerman. Het heeft me wel een hele avond gekost inclusief een factory reset van alle devices en een clean install van de controller maar uiteindelijk hebben we dan internet, routed IPTV, werkende chromecast via wifi, enz. _/-\o_
Heb de tweede IPTV STB nog niet aangesloten, maar gok dat dat ook wel zal werken.

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
Psycho_Mantis schreef op dinsdag 27 november 2018 @ 10:24:
Ik ben gisteren avond weer druk geweest om alles te configureren naar wens.

ETH0 untagged krijgt van de ISP een publiek IP en Edge OS maakt vanzelf een static route aan met destination 0.0.0.0/0 via 85.149.XX.XX

ETH0.4 krijgt ook een IP van de ISP op het IPTV vlan en hij maakt ook een static route vanzelf aan met destination 0.0.0.0/0 via 10.226.112.1

Dit geeft natuurlijk direct al problemen, omdat alleen via 85.149.XX.XX internet toegang is.

Hoe lossen jullie dit op? Aangezien deze routes gewoon door Edge OS zelf worden gemaakt door DHCP. Ik wil natuurlijk helemaal niet dat al het verkeer gerouteerd wordt via de IPTV gateway (want dat werkt niet). De standby box werkt wel in deze situatie, maar internet erbij is ook wel fijn.


Zelf had ik de volgende oplossing bedacht:
DHCP voor mijn eigen lan op 10.0.1.0/24
DHCP voor IPTV op 10.0.2.0/24

switch0 met ip 10.0.1.1/24
eth4 met ip 10.0.2.1/24


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
set protocols static table 11 route 0.0.0.0/0 next-hop 85.149.XX.1
set protocols static table 12 route 0.0.0.0/0 next-hop 10.226.112.1

set firewall modify PBR_policy rule 20 description Route_iNET
set firewall modify PBR_policy rule 20 source address 10.0.1.0/24
set firewall modify PBR_policy rule 20 modify table 11

set firewall modify PBR_policy rule 30 description Route_IPTV
set firewall modify PBR_policy rule 30 source address 10.0.2.0/24 
set firewall modify PBR_policy rule 30 modify table 12

set interfaces ethernet eth4 firewall in modify PBR_policy
set interfaces ethernet switch firewall in modify PBR_policy



Alleen nu loop ik er nog op stuk dat de STB geen ip krijgt via DHCP op ETH4. op Switch0 wel.
Mijn laptop krijgt wel een IP op ETH4. 8)7
Op je eth0 en dus ook eth0.4 staat address op dhcp begrijp ik. Je kunt dan ook gelijk dhcp-options default-route-distance opgeven. Als je die op eth0 op bijvoorbeeld 200 zet en die van eth0.4 op 201 is je issue al opgelost mbt routing issues. Nu zou je met enkel een NAT rule kunnen zeggen dat het source ip, de stb dus, via eth0.4 moet lopen en de rest via eth0. Lijkt me net iets simpeler dan met modify rules gaan sleuren

U+


  • Psycho_Mantis
  • Registratie: februari 2007
  • Laatst online: 05-04 19:51

Psycho_Mantis

Wow. So Amaze.

hermanh schreef op donderdag 29 november 2018 @ 23:12:
Kan maar 2 dingen verzinnen op het moment. Heb je nog een switch tussen de router en de tv-box? Zo ja ondersteund die wel igmp snooping?
Een andere optie is om te kijken of de igmpproxy nog wel draait na die 5 minuten. Ik heb wel gehad dat een foute config (zoals het niet opnemen van alle interfaces) tot crashes zorgt wat op zijn beurt tot dit kijkgedrag leidt.
Het probleem zat hem in de firewall.
op local werdt alles geblokkeerd voor IPTV. Nu staat het open en kan ik langer dan 4:30 munten TV kijken.

1 STB zit direct op de Edgerouter-X en de andere gaat via een oude HP procurve. Deze ondersteund dus geen IGMP snooping. Wel Vlans, dus vandaar ik heel graag mijn IPTV's een ander Vlan wilde geven. Want al dat broadcast verkeer haalde mijn airport extreme zelfs naar beneden. Die gaf ineens overal "Wachtwoord verkeer" aan.
De STB die dus via de procurve gaat werkt nu ook prima. Er is geen verschil merkbaar. Begin gemist, terugkijken en pauzeren werkt allemaal prima.

Ik zal binnenkort nog wel even mijn complete config hier delen, zodat anderen er ook nog wat aan hebben :)

PVoutput


  • willemvdvliet
  • Registratie: maart 2005
  • Laatst online: 07-04 08:06
Gasten jullie zijn goud waard! Het is gelukt en het vrouwtje is weer blij :-)

  • cycloon_
  • Registratie: december 2003
  • Laatst online: 06-04 11:07
Ter info , de laatste usg 4.4.36 werkt naar behoren met xs4all iptv (en een json natuurlijk).

http://specs.tweak.to/9714


  • the squaler1
  • Registratie: augustus 2006
  • Laatst online: 31-03 18:48
GAEvakYD schreef op zaterdag 15 december 2018 @ 12:52:
Ja inderdaad dat gaat wel werken, echter heb je dan geen routed ip en geen interactieve diensten op je tv ontvanger zoals Netflix app, etc. Voordeel is wel dat je dan inderdaad geen json bestand nodig hebt.
nero355 schreef op zaterdag 15 december 2018 @ 11:29:
@the squaler1 Dat is gewoon de oude Bridge manier zeg maar en dat moet gewoon werken :)
Beide bedankt voor jullie antwoorden.

Met een Netgear GS105eV2 het niet werkend gekregen.
Sinds vandaag het geprobeerd met als basis de JSON uit dit forum en heb nu IPTV en internet werkend. *O*
Hopen dat het blijft werken :+

CM SL600M | MSI MPG Z390 PRO CARBON & RTX2080TI GAMING X TRIO | CORSAIR 115i PRO & CORSAIR RGB PRO 16GB 3200DDR4 & HX750V2 | INTEL I9 9900K & 660P 512GB & 1TB | LOGITECH G910 & G502 | RAZER NARI ULTIMATE | TEUFEL CONCEPT 2.1 | LG 27UK850


  • To_Tall
  • Registratie: september 2004
  • Laatst online: 21:08
mkoolen schreef op zondag 16 december 2018 @ 19:29:
Zijn er hier ook mensen die geen USG gebruiken maar puur de router van de ISP (in mijn geval een Experiabox v10a) welke hierachter wel een Unifi netwerk hebben.

Ik probeer duidelijk te krijgen (Bij zoeken naar meer informatie kom ik bijna altijd op een USG topic uit.):
- Kan ik zowel mijn netwerk als de tv-ontvangers op dezelfde Unifi switch aansluiten (welke verbonden zal zijn met de Experiabox) en is dit volledig plug-and-play of moet ik hier bepaalde instellingen voor doen zoals jullie ook bij gebruik van een USG doen.

Ik hoop dat iemand hier wat duidelijkheid in kan verschaffen want zou graag voor het gross overstappen op Unifi qua switches/AP's op termijn maar ik wil 0.0 problemen ondervinden met de tv-ontvangers.
Als je geen USG gebruikt, kan je gewoon een UNIFI switch en AP er achter hangen zonder problemen en zonder instellingen aan te passen.

A Soldiers manual and a pair of boots.


  • GAEvakYD
  • Registratie: juni 2001
  • Laatst online: 21:31
To_Tall schreef op maandag 17 december 2018 @ 20:52:
Ik heb de USG met de config.json van @xbeam ingesteld.

Zaterdag functioneerde alles perfect. coldstart van de media box KPN functioneerde zonder problemen, en NETFLIX e.d. konden worden benaderd.
Zondag nope nada haperend beeld en na een minuut stilstaand beeld.
Als ik haperend beeld heb, en dat gebeurd soms na een Fw upgrade van de USG of als hele huis een dag geen stroom had (nieuwbouwhuis). Doe dan de volgende dingen.

1) Lees de laatste Next hop uit door via ssh op je USG in te loggen het commando:
show dhcp client leases interface eth0.4
-Pak het adres dat bij router staat
2) Update je custom json en zet het adres uit stap 1 op de juiste plek
3) Force provisioning vanuit de controller naar de uso
4) USG herstarten. Bijvoorbeeld door met ssh in te loggen en dan sudo reboot

Gek genoeg is stap 4 vereist om alles goed op te starten.

Mocht je nou nog issues hebben. Controleer wederom je next hop adres (router stap 1) en check die met waarde die in je json zit.

Vaak kijk ik ook even welke config er nou precies in de USG actief is. Doe dit door:
mca-ctrl -t dump-cfg

eventueel even mca-ctrl -t dump-cfg | grep 10.xxxxxxxx. (adres van je next hop) om te kijken of de change goed is doorgekomen

Lekker duurzaam. Tesla Model 3 LR AWD Pearl White, Alpha Innotec Brine warmtepomp (MSW2-6S), Totaal 12135 Wp aan Zonnepanelen geïnstalleerd.


  • shaft8472
  • Registratie: januari 2002
  • Laatst online: 20-03 11:05
NBK schreef op woensdag 19 december 2018 @ 00:11:
Ik had een vriend van mij aangeboden om zijn USG 3P (blijkbaar dus de LITE??) in te stellen voor zijn KPN glasvezel maar inmiddels snap ik er niet veel meer van.
LITE is iets wat xbeam volgens mij in het leven heeft geroepen, eerder in dit topic (of dat over KPN glasvezel) hebben we dit rechtgetrokken. De USG 3P = USG LITE (xbeam gebruikt beide op zijn site.)
NBK schreef op woensdag 19 december 2018 @ 00:11:
Bij de meest complete pagina's met uitleg loop ik al vast bij de eerste optie om de VoIP aan te zetten op WAN2.
Voor zover ik begrijp is dat ook niet gebruikelijk. Het instellen van telefonie via je USG is schijnbaar niet te doen of zeer moeilijk de realiseren vanwege SIP. Dus is het verstandig dit gewoon lekker door de ExperiaBox te laten uitvoeren.
NBK schreef op woensdag 19 december 2018 @ 00:11:
Daarna begint iedereen met JSON files te gooien maar verteld niemand meer waar deze dan moeten worden geplaatst en hoe je ze daar krijgt. Ik neem maar aan dat dit nog steeds over de config.gateway.json gaat? maar dat kan ik eigenlijk nergens meer terug vinden.
Hier staat uitgelegd hoe en waar je de config.gateway.json moet plaatsen.
NBK schreef op woensdag 19 december 2018 @ 00:11:In de meeste nieuwe scripts vind ik niks meer terug over het achter de USG aansluiten van de experiabox om toch de VoIP van de experia te kunnen gebruiken.Hooguit dat er ergens geroepen word dat je dan 'even een bridge' moet maken.
Klopt, dit is ook niet handig/te doen.
Wat dan wel? Vanuit de NTU kun je een managed switch plaatsen. Die splitst vervolgens de VLANS. In het geval van KPN gaan 4 en 6 (respectievelijk iptv en internet) naar de USG. VLAN 7 gaat naar de Experiabox. Hou er wel rekening mee dat de meeste tweakers geen vaste telefonie (meer) hebben en dit 'probleem' dus ook niet hoeven op te lossen. Zij sluiten de USG gewoon direct op de NTU aan.
NBK schreef op woensdag 19 december 2018 @ 00:11:
Dan is er ook nog gedoe met wel of niet routed IPTV. Terwijl 1 van die opties toch het meest compleet zou moeten zijn. Als iets toch in een script staat waarom dan niet gewoon die meest complete versie uitwerken/toepassen?
Niet iedereen heeft hetzelfde wensenpakket. Als je de meest complete versie wil hebben die volgens mij nu door iedereen als werkend wordt ervaren dan gebruik je de handleiding van xbeam op zijn site.
NBK schreef op woensdag 19 december 2018 @ 00:11:
Hier zie ik overal dat je de next-hop steeds moet aanpassen terwijl er bij basmeerman een "4. Auto update IPTV route automatically" script staat. Werkt die niet meer?
Die informatie word toch ook op een of andere manier naar de experia-boxen verstuurd?
Zeker, maar de ExperiaBox wordt dan ook door KPN zelf aangestuurd dus die hebben dit probleem niet. De werkwijze van basmeerman is onveilig zoals ook te lezen is op de site van xbeam. Dus die gebruiken we liever niet meer.

Daarnaast is xbeam voor zover ik begrijp bezig om het auto update stukje aan te pakken en l2tp vpn werkend te krijgen met deze configuratie. Hij heeft zelf echter ook kerstvakantie dus dat duurt nog even. Daarnaast ga ik iemand die zich zo inzet om het voor ons allemaal op te lossen niet haasten. Ben al zeer blij dat het bij mij inmiddels 2 maanden lang stabiel werkt.
NBK schreef op woensdag 19 december 2018 @ 00:11:
Ik ben absoluut geen fan van die onhandig vormgegeven klote dingen. Leuk als je dat ding graag prominent op je TV kast heb staan maar je kun hem niet eens tegen de zijkant van je meterkast schroeven. Tenminste, ik heb bij zijn versie nog geen schroefbevestiging gevonden.
Ik weet niet welke versie jij hebt, maar mijn USG 3P heeft gewoon gaatjes aan de onderkant en hangt bij mij aan de muur:
https://www.balticnetworks.com/media/catalog/product/cache/1/image/512x512/9df78eab33525d08d6e5fb8d27136e95/u/s/usg-2.jpg
NBK schreef op woensdag 19 december 2018 @ 00:11:
En dan nog de beperkte instelmogelijkheden. Geen VPN, IP range staat vast (wat handig is als je werk wel vpn heeft maar ook de .2.x gebruikt). Volledig onbruikbaar dus.
VPN werkt prima, IP Range is mooi aan te passen. Het klink alsof je de USG probeert aan te sturen zonder controller. (Die kan bijvoorbeeld op een Raspberry Pi draaien of de Cloudkey van UBNT zelf.

Mag ik vragen waarom je hebt aangeboden het netwerk van je vriend te configureren? Het klinkt alsof je eerst nog wat basiskennis over de werking van UBNT apparatuur moet lezen.

  • GAEvakYD
  • Registratie: juni 2001
  • Laatst online: 21:31
Er is een nieuwe test versie van de USG firmware, v4.4.37dev. Wie durft als eerste? :X :X
https://community.ubnt.co...-for-testing/td-p/2596963

[Voor 4% gewijzigd door GAEvakYD op 19-12-2018 20:16]

Lekker duurzaam. Tesla Model 3 LR AWD Pearl White, Alpha Innotec Brine warmtepomp (MSW2-6S), Totaal 12135 Wp aan Zonnepanelen geïnstalleerd.


  • Nielsvr
  • Registratie: maart 2004
  • Laatst online: 03-04 14:17
Klaaspier schreef op donderdag 20 december 2018 @ 10:15:
[...]


Ahum, herstart bleek het probleem op te lossen, dank voor de reactie. Is dat normaal/veel voorkomend dat je hem regelmatig moet herstarten om het tv signaal goed te houden?
Nee, maar als er een probleem is vaak wel de eerste (en enige nodige) oplossing. Mijne draait alweer een hele tijd stabiel zonder enige aanpassing.

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Beste lezers.

De spraak verwarring over de usgp3 en lite komt door mij. Tijdens het online zetten van de config heb de edge lite in mij hoofd verwart met de usg. Daardoor ik ging er vanuit de dat kleine versie van de usg ook lite hete.
Verder zal ik de site aanpassen ik heb deze toen even snel online gezet vanwege de stort vloed aan verzoeken. Alleen ik ben dyslectisch dus even snel is nooit een goed idee;-)

Verder (werkt) vpn alleen zit er een bug in de communicatie tussen de usg en controller. Omdat de wan opgezet wordt door de json en de controller geen meerdere vlan’s op de wan port herkent. Blijft de controller een verkeerde outgoining IPSec en L2pt port pushe naar de controller. Dit is niet te wijzigen met json. Omdat dat een conflict oplevert tussen de json en controller. Ik ben hier voor al maanden met Ubnt in overleg en zie dat er in de beta’s Gezocht wordt naar een oplossing.

De work a around hiervoor is de settings handmatig via SSH aanpassen (dit moet helaas na iedere reboot ) dit kan via een cronjob.
Ook deze zal ik waneer ik terug ben online zetten.

Firmware 37 zal ik testen alleen ben pas na nieuwjaar weer in NL (volgens mij is deze momenteel alleen nog in beta)

Verder ik werk aan een script waardoor de stactic route niet meer nodig is en next-hoop automatische wijzigt. Alleen ik ben druk met werk waardoor IPTV even op wat lager pit je staat (mede omdat het bij mij zonder problemen werkt ) dit script is al in omloop op het Ubnt forum (is niet van mij) en is door sommige al in gebruik voor kpn.

Voor de mensen die problemen hebben met hun json, stuur even in PM dan kijk ik er even na. PS gebruik tag: [code=json]
Anders is het onleesbaar voor mij op de telefoon


Verder is Vlan 7(telefoon) bride via de usg een NO GO. Vandaar dat je er niet zo veel over leest. De bridge zorgt er voor dat de hardware offloading uitgeschakeld wordt net zo als op de edge serie’s. Hierdoor gaat al het verkeer door de cpu en dat maakt de usg heel langzaam (max 85 Mbit/s voor de usg3p en 250mbit voor de usg4p) gebruik dus voor telefoon altijd een switch voor de usg om vlan7 er uit te filteren.
Of gebruik telefoon gewoon niet uit protest. Tegen kpn.

[Voor 19% gewijzigd door xbeam op 25-12-2018 03:05]


  • gastje01
  • Registratie: oktober 2005
  • Laatst online: 08-04 22:23
kevinl schreef op donderdag 20 december 2018 @ 13:51:
Ik wil mijn T-mobile thuis glasvezel kabel direct aansluiten op de USG Pro. Maar ik heb nog iets nodig om in de SFP port te stoppen. Weten jullie uit ervaring welke ik precies moet hebben? Of is elk willekeurig SFP module goed?
De SFP module die nu in je Draytek zit? Die werkt bij mij gewoon prima.

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
NBK schreef op donderdag 27 december 2018 @ 23:52:
[...]

Ik weet niet veel van scripts maar volgens mij is dit scriptje uiteindelijk vrij simpel.
Hij haalt de adressen uit het RFC3442 bericht. Ook bij meerdere routes en subnetten zou dit scriptje moeten werken. En het lijkt al in het format van een .sh scriptje ook.
Dat zou dan toch ook 1 op 1 bij KPN moeten werken?

Maar waar ik dan steeds weer vast loop is waar ik dit scriptje moet planten (als <scriptnaam>.sh in "/config/scripts/" op de USG zelf blijkbaar) en hoe ik het moet laten runnen... Dat staat er nooit bij uitgelegd :? :(
En blijkbaar kan het om de zoveel tijd via een cron task gestart worden maar is dat voldoende? Je wil de config aanpassen bij booten en zodra KPN een nieuw DHCP bericht stuurt of je DHCP lease verlopen is.

Zelfde met die aangepaste boot.config. Ik zou het denk nog wel voor elkaar krijgen om de bestaande JSON te verbouwen zodat het overeen komt met de boot.config maar ik snap nog steeds niet waar ik die JSON neer moet zetten Uiteindelijk hier een redelijk duidelijke how-to gevonden.


[...]

Neem aan dat het bij andere Linux versies en Raspberry Linux ook in de /usr/lib/ zal staan...


Het zou toch wel fijn zijn als die controller gewoon overweg zou kunnen met meerdere VLAN's op de verschillende interfaces. Lijkt me niet zo'n heel vreemde/uitzonderlijke configuratie?
Dan heb je dat probleem met de IPsec VPN ook niet meer.
Dat bestandje hoort hier te staan:

code:
1
 /etc/dhcp3/dhclient-exit-hooks.d/



Dus gewoon een cooy script maken die die file download en daar plaatst na booten van de USG. Of kopiert vanuit de /config/scripts/ folder.

U+


  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
dappertje25 schreef op maandag 31 december 2018 @ 12:59:
[...]


Heel erg bedankt voor de reactie.
Laatste vraag en dan denk ik er wel uit te komen.

Het is dus copy paste, via putty.
Is het dan zo, dat ik de edgerouter op het internet moet verbinden of kan het ook dat ik de edgerouter met lan kabel aan de computer hang en dan de regels instel. (dat is voor mij nog onduidelijk, of ik lees het niet goed)
Thanks

Niet heel goed gelezen dus |:(
Nee, via Putty kun je met ssh naar de CLI van de router. Het lijkt me zinvol om dit niet via de WAN interface te doen. Het zou wel kunnen maar dan zul je een firewall accept rule moeten maken op je WAN_IN ruleset. SSH wordt wel als veilig geacht maar ik zou het gewoon niet doen.

Dus, je connecteerd met Putty aan het LAN ip adres van de router. Van hieruit kun je de configuratie wijzigingen maken. Middels SCP kun je eventuele scripts uploaden. Let even op, alles in de /config/ folder blijft bewaard met upgraded, backups etc. De rest is na een upgrade weg. De /var/log/ folder is leeg na een reboot.

U+


  • GAEvakYD
  • Registratie: juni 2001
  • Laatst online: 21:31
NBK schreef op donderdag 3 januari 2019 @ 11:46:
[...]

Voor die next-hop is er nu dat scriptje voor de rfc3442-classless-routes.
Ik heb alleen nog niet kunnen testen of het werkt :/
Ik zie nog steeds mijn echo berichten niet in de messages file
Als er een werkende versie van de rfc3442 scriptjes is dan zou dat inderdaad de oplossing zijn, echter had ik nog niet de indruk dat iemand het al 100% aan de gang had. Ik kan dit weekend ook wat gaan proberen, maar op avonden dat ik zelf niet thuis ben durf ik de de USG etc niet meer aan te raken vanwege IPTV issues en de vrouw. :)

Lekker duurzaam. Tesla Model 3 LR AWD Pearl White, Alpha Innotec Brine warmtepomp (MSW2-6S), Totaal 12135 Wp aan Zonnepanelen geïnstalleerd.


Acties:
  • +1Henk 'm!

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Cartman! schreef op zondag 6 januari 2019 @ 08:51:
Is het met de config van @xbeam al veilig om de USG te upgraden naar 4.4.36.5146617?
Werkt prima.
Ik zit inmiddels op 4.4.37 en dat werkt tot nu toe ook goed.

Acties:
  • +1Henk 'm!

  • dappertje25
  • Registratie: november 2010
  • Laatst online: 23-02 23:08
Zo na een x aantal dagen met griep op de bank te hebben gelegen, morgen jouw advies maar eens op volgen. _/-\o_ Thanks. Denk idd dat dat het is.

  • mithras
  • Registratie: maart 2003
  • Niet online
dennislaumen schreef op dinsdag 8 januari 2019 @ 15:01:
Zoals velen hier probeer ik ook IPTV aan de praat te krijgen i.c.m. mijn Unifi-netwerk met USG (3P). Ik heb geprobeerd @xbeam's JSON aan de praat te krijgen maar hier faalt elke keer de eth0.4 op de USG (FAIL bij het uitvoeren van `show dhcp client leases`).

[...]

Heeft iemand nog ideeën? Ik twijfel ook nog wel of mijn next hop-adres in de static route helemaal klopt maar ik weet niet hoe ik dit het beste kan achterhalen (ik heb dit ergens uit de logs van de Fritz!Box geplukt).

Bij voorbaat dank voor alle reacties!
In de topicstart staat bij mijn provider (KPN) specifiek RFC1483 vermeld. Oftewel, Multiprotocol Encapsulation over ATM. Op de modem die ik gebruik (Draytek) had ik eerst een PPPoE passthrough gedaan, maar daardoor kreeg vlan 4 via DHCP geen adres. Dat resulteerde in dezelfde problemen die jij beschrijft.

Kan jij in de instellingen van je modem nog iets wijzigen? Het lijkt er eerder op dat het daar mis gaat dan in je USG.

  • chickpoint
  • Registratie: oktober 2009
  • Laatst online: 22:48
chickpoint schreef op dinsdag 8 januari 2019 @ 13:43:
Oei dit topic had ik helemaal nog niet gezien, dan is het waarschijnlijk beter om mijn vraag hier te droppen.
Heeft iemand al de v2.0.0 software voor de EdgeRouter (Lite) al uitgeprobeerd?

Ik heb sinds de vorige versie namelijk dat mijn PPPoE verbinding er met enige regelmaat uitvalt op verschillende momenten. Aangezien ik al veel slechte reacties lees op het Ubiquiti forum was ik benieuwd of er iets mis gaat icm een config voor KPN IPTV? Anders wil ik die van mij zo snel mogelijk upgraden in de hoop dat mijn probleem verholpen is.
Oke, toch maar gelijk de stoute schoenen aangetrokken aangezien vrouwlief van huis is. Heb mijn EdgeRouter Lite een upgrade gegeven naar v2.0.0 en alles werkt gelukkig nog! _/-\o_

Ik heb echt geen 9 tot 5 mentaliteit! Eerder 10 tot 3...


  • prakka
  • Registratie: oktober 2009
  • Laatst online: 20:36
marcel19 schreef op vrijdag 11 januari 2019 @ 21:33:
Ik ben sinds kort overgestapt naar T-mobile glasvezel.
Direct heb ik mijn eigen router in gebruik genomen: Asus RT-AC87U.
Maar aangezien ik wil overstappen naar een Ubiquiti netwerk ben ik aan de slag gegaan.

wat heb ik al gedaan:
Mediaconverter van t-mobile -> UTP kabel -> Ubiquiti Edgerouter X
Ubiquiti Edgerouter X -> switch netgear GS108E -> netwerk in het huis.

De Netgear switch is verdeeld met vlans:
Poort 1-5 is vlan 300
poort 6-9 is VLAN 640.

Tot op heden heb ik Internet werkend vanuit de Ubiquiti edgerouter X, maar TV wel maar niet lukken.
Ik heb de wizard gedaan en hier voor Basic Srup gekozen.
VLAN 300 meegegeven op eth0 en de rest van de poorten als 1 lan gezet.

Ik heb verschillende mogelijkheden gedaan en gevolgd op het internet en hier op tweakers om VLAN 640 op poort eth4 uit te kunnen laten komen.

De ene keer dan krijg ik een error, de andere keer krijg ik geen internet meer uit de poorten e de andere keer werkt helemaal niks meer.

Ik heb de volgende tut's gevolgd:
https://www.robinvanbrugg...er-with-edgerouter-x-sfp/
PL3X4N in "[T-Mobile Thuis Glasvezel] Ervaringen & Discussie"
En dan uiteraard met mijn aanpassingen.

Het tv kastje start nu wel op, maar ik kan alleen programma gemist doen.
Live tv krijg ik een error.
Op het moment dat ik even pauzeer, en na 2-4 seconden weer op play druk werkt alles ook weer.

Ik ben een beetje de draad kwijt op dit moment.
Heb je dit ook al gedaan? Onderstaand is nodig voor T-Mobile tv signaal

configure
set interfaces bridge br0 multicast enable
echo -n 0 | sudo tee /sys/devices/virtual/net/br0/bridge/multicast_snooping
echo -n 1 | sudo tee /sys/devices/virtual/net/br0/bridge/multicast_querier
commit
save

  • S1W
  • Registratie: mei 2000
  • Laatst online: 12-03 20:41
Is er iemand die een werkende config heeft voor de edgerouter x sfp om IPTV via t-mobile werkend te krijgen? M'n tv gids / EPG krijgt wel actuele data binnen maar tv blijft zwart.

Ah! Dit was de oplossing:
configure
set interfaces bridge br0 multicast enable
echo -n 0 | sudo tee /sys/devices/virtual/net/br0/bridge/multicast_snooping
echo -n 1 | sudo tee /sys/devices/virtual/net/br0/bridge/multicast_querier
commit
save

[Voor 43% gewijzigd door S1W op 12-01-2019 12:51]


  • Ewin
  • Registratie: mei 2010
  • Laatst online: 19:08
Ook ik heb een mail van KPN gekregen dat ik een nieuw modem ga ontvangen. Ik gebruikte IPTV in bridged mode met een managed switch. Internet liep vervolgens via mijn USG-Pro. Om te voorkomen dat mijn tv straks niet meer werkt heb in besloten over te stappen naar routed IPTV.

Ik heb nu met de .json van xbeam alles werkend gekregen met routed IPTV via de USG-Pro. Dit werkt echt super. Enige nadeel is dat nu mijn VPN via mijn Unifi apparatuur niet meer werkt. Heeft iemand de VPN werkend gekregen i.c.m. de routed IPTV settings via de .json? Is hier een fix voor?

[Voor 9% gewijzigd door Ewin op 15-01-2019 06:47]


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Ewin schreef op dinsdag 15 januari 2019 @ 06:46:
Ook ik heb een mail van KPN gekregen dat ik een nieuw modem ga ontvangen. Ik gebruikte IPTV in bridged mode met een managed switch. Internet liep vervolgens via mijn USG-Pro. Om te voorkomen dat mijn tv straks niet meer werkt heb in besloten over te stappen naar routed IPTV.

Ik heb nu met de .json van xbeam alles werkend gekregen met routed IPTV via de USG-Pro. Dit werkt echt super. Enige nadeel is dat nu mijn VPN via mijn Unifi apparatuur niet meer werkt. Heeft iemand de VPN werkend gekregen i.c.m. de routed IPTV settings via de .json? Is hier een fix voor?
check the post van Xbeam even.. https://gathering.tweakers.net/forum/view_message/57523354

  • TheJVH
  • Registratie: mei 2007
  • Laatst online: 22:29
Op verzoek hierbij de volledige config die ik gebruik voor Telfort Glasvezel, heb geen telefonie erbij zitten, alleen internet en (IP)TV. Werkt sinds afgelopen week weer vlekkeloos.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow IGMP"
            log disable
            protocol igmp
        }
        rule 20 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation loose
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description "eth0 - FTTH"
        dhcp-options {
            default-route no-update
            default-route-distance 1
            name-server no-update
        }
        duplex auto
        mtu 1512
        speed auto
        vif 4 {
            address dhcp
            description "eth0.4 - IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;IPTV_RG&quot;;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server no-update
            }
            ip {
                source-validation loose
            }
            mac xx:xx:xx:xx:xx:xx
            mtu 1512
        }
        vif 34 {
            address dhcp
            description "eth0.34 - Internet"
            dhcpv6-pd {
                no-dns
                pd 0 {
                    interface eth1 {
                        prefix-id :1
                        service slaac
                    }
                    prefix-length /48
                }
                rapid-commit disable
            }
            firewall {
                in {
                    ipv6-name WANv6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WANv6_LOCAL
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
            mtu 1500
        }
    }
    ethernet eth1 {
        address 192.168.0.1/24
        description Local
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2001:4860:4860::8888
                name-server 2001:4860:4860::8844
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
    ethernet eth2 {
        address 192.168.1.1/24
        description "Local 2"
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
protocols {
    igmp-proxy {
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0.34 {
            role disabled
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface eth0.34 {
            }
        }
        route 213.75.112.0/21 {
            next-hop <router ip van IPTV netwerk hier - zie script> {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option vendor-class-identifier code 60 = string;"
        global-parameters "option broadcast-address code 28 = ip-address;"
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative enable
            subnet 192.168.0.0/24 {
                default-router 192.168.0.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                start 192.168.0.50 {
                    stop 192.168.0.200
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log enable
            outbound-interface eth0.4
            protocol all
            type masquerade
        }
        rule 5010 {
            description "Telfort Internet"
            log disable
            outbound-interface eth0.34
            protocol all
            source {
                address 192.168.0.0/24
            }
            type masquerade
        }
        rule 5011 {
            description IPTV
            destination {
                address 217.166.0.0/16
            }
            log enable
            outbound-interface eth0.4
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp {
        listen-on eth1 {
            outbound-interface eth0.34
        }
    }
}
system {
    host-name ubnt
    login {
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 2001:4860:4860::8888
    name-server 2001:4860:4860::8844
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone UTC
    traffic-analysis {
        dpi disable
        export disable
    }
}
traffic-control {
}



Om het juiste IP op te halen en een static route te zetten, heb ik volgende script die ik handmatig uitvoer als ik de router heb gereboot en zie dat het IP is verandert:


Bash:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#!/bin/vbash

run=/opt/vyatta/bin/vyatta-op-cmd-wrapper
cfg=/opt/vyatta/sbin/vyatta-cfg-cmd-wrapper

r_ip=$($run show dhcp client leases | grep router | awk 'NR==2{ print $3 }')

echo $r_ip

$cfg begin
$cfg delete protocols static route 213.75.112.0/21
$cfg set protocols static route 213.75.112.0/21 next-hop $r_ip
$cfg commit
$cfg save
$cfg end



Config is origineel overgenomen van de "kerkhovenautomatisering" config, maar heb hem zelf hier en daar aangepast (heb ook een VPN server draaien).

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Changes since v4.4.36 as follows.

-Speed test back end replaced
Old speed test using speedtest.net as back end has been replaced with new Ubiquiti speed test service and rewritten client. Using servers we control eliminates many variables that were the cause of bugs in the past, and will enable us to add features like server selection in the future.

Initially, this works identically to the previous speed test client from a user perspective. You should not see any difference in functionality. Manually run speed tests from the controller, and scheduled speed tests, are exactly the same as before. USG just uses a different client to perform the tests.

-Feedback requested
What performance numbers are you getting, and what would be expected for your connection speed? Note this is still limited by the inherent performance limitations of the MIPS CPU in USG hardware - it can route traffic far faster than it can generate it itself. You can also utilize this speed test from a browser at speed.ubnt.com for additional comparison. Please note your USG model when reporting results.

How do those results compare to the old USG speed test client?

-IDS/IPS bug fix - in circumstances where multiple alerts are generated in a short period of time, the utmdaemon process may not de-allocate the memory allocated to handling those alerts, leading to memory utilization increasing for each alert handled and only decreasing upon rebooting.

-GeoIP DHCP WAN bug fix - In some configurations, GeoIP Filtering could block DHCP requests from USG, leaving it unable to obtain an IP from the ISP. This DHCP traffic is now always permitted regardless of GeoIP configuratie

USG:
https://dl.ubnt-ut.com/usg/UGW3.v4.4.37dev.5149238.tar

USG pro:
https://dl.ubnt-ut.com/usg/UGW4.v4.4.37dev.5149248.tar

[Voor 6% gewijzigd door xbeam op 17-01-2019 22:56]


  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Ewin schreef op vrijdag 18 januari 2019 @ 15:19:
[...]


Ik heb nog even Google geraadpleegd en ook op het forum van Ubiquiti gezocht. Ik kom echter niet verder. Is er hier iemand die me hiermee op weg kan helpen?
Welke usg heb je?
Je moet eth0 of eth2 verwijderen.

En je moet wel eerst een l2tp netwerk aanmaken in de controller. Ander is er inderdaad niets om te verwijderen ;-)

  • Ewin
  • Registratie: mei 2010
  • Laatst online: 19:08
xbeam schreef op zaterdag 19 januari 2019 @ 09:53:
[...]


Welke usg heb je ?
Je moet eth0 of eth2 verwijderen.

En je moet wel eerst een l2tp netwerk aan maken in de controller. Ander is inderdaad niets om te verwijderen ;-)
Bedankt voor je bericht xbeam. Ik heb een USG Pro. Ik heb in der daad alles reeds aangemaakt in de Controller. Ik had een werkende VPN voordat ik overstapte op Routed IPTV.
Ik heb het zojuist geprobeerd met eth2 ipv eth0. Nu werkt alles als een zonnetje en kan ik weer gebruik maken van VPN. Nogmaals bedankt!

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
dappertje25 schreef op maandag 21 januari 2019 @ 22:21:
[...]


Bedankt voor je berichtje. Wbt security begrijp.
Omdat ik niet weet hoe je die config maakt, dacht ik los het op deze manier op. Ik ga morgen op Google zoeken hoe ik dit voor elkaar krijg. Ik begrijp dat hulp geven op deze manier zeer lastig is. Ik kom hier terug. Bedankt alvast voor je hulp.
Ah, zeg dat dan :)
Als je in de webinterface zit van je Edgerouter, druk je onderop op de knop system. Dan vouwt het scherm naar boven en vind je een knopje export. Dan download je browser een tar.gz file. Pak deze uit met bijvoorbeeld 7zip. In die uitgepakte folder zit een config.boot file. Dit is je config. Open deze met bijvoorbeeld Notepad++. Haal even je wachtwoorden eruit en plaats de rest hier tussen code tags.

U+


  • chickpoint
  • Registratie: oktober 2009
  • Laatst online: 22:48
Camiel schreef op dinsdag 22 januari 2019 @ 15:50:
[...]


Heb jij al IPv6 voor elkaar gekregen? Ik draai nu al een paar maanden de config van xbeam en dat werkt erg goed! (USG 3P) alleen nog geen IPv6 verbinding naar buiten toe helaas..
Nee nog niet, ben er eerlijk gezegd ook nog niet aan toegekomen. Vrouwlief moet natuurlijk eerst van huis zijn voordat heel de reutemeteut uitvalt. Maar als het mij lukt laat ik het zeker even hier weten!

Ik heb echt geen 9 tot 5 mentaliteit! Eerder 10 tot 3...


  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Camiel schreef op dinsdag 22 januari 2019 @ 15:50:
[...]


Heb jij al IPv6 voor elkaar gekregen? Ik draai nu al een paar maanden de config van xbeam en dat werkt erg goed! (USG 3P) alleen nog geen IPv6 verbinding naar buiten toe helaas..
Maar houd er rekening mee dat IPv6 momenteel niet veel extra bied behalve een complexere omgeving om te beheren. Zoals een dubbele firewall. Terwijl je met alleem IPv4 momenteel precies het zelfde internet hebt.

Het is een kip ei verhaal met IPv6 maar ik ben van mening dat zolang IPv6 nog niet gemeen goed bij de experts, lees aanbieders, website’s en alle ander diensten op het internet. Het voor de gewone gebruiker niet nodig is om over te stappen naar IPv6 en eerder een risco vormt vanwege de onbekendheid er van bij thuis gebruikers.

[Voor 81% gewijzigd door xbeam op 22-01-2019 22:54]


  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Eigenlijk is een vlan altijd taged en doe je hem untaged maken om het poortje van de switch te koppelen aan de juiste vlan.

Een apparaat die je in het poortje van switch stopt komt dus op de vlan te zitten die untaged is.

Wil je meerder vlans over de utp kabel naar andere switch sturen dan deze dus tagged zijn en switch aan de andere kant moet het poortje dus ook tagged zijn ingesteld om de vlans te kunnen ontvangen.

[Voor 57% gewijzigd door xbeam op 25-01-2019 18:43]


  • nero355
  • Registratie: februari 2002
  • Laatst online: 16:26

nero355

ph34r my [WCG] Cows :P

xbeam schreef op vrijdag 25 januari 2019 @ 18:28:
Eigenlijk is een vlan altijd taged en doe je hem untaged maken om het poortje van de switch te koppelen aan de juiste vlan.

Een apparaat die je in het poortje van switch stopt komt dus op de vlan te zitten die untaged is.
Untagged : Op het moment dat je een PC aansluit op een poort of een Switch die niet snapt wat een VLAN is :)
Tagged : Voor al het andere zoals routers, switches, accesspoints, voip telefoons die snappen wat een VLAN is!

En :
Wil je meerder vlans over de utp kabel naar andere switch sturen dan deze dus tagged zijn en switch aan de andere kant moet het poortje dus ook tagged zijn ingesteld om de vlans te kunnen ontvangen.
Ook wel VLAN Trunk genoemd :Y)

Tenzij het een Cisco switch is :+
Die praten dan over een poort in Access Mode als het Untagged poort betreft.
En Trunk Mode als het een Tagged poort is.

Leuk joh al die verschillende standaarden/benamingen... :X :D

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • nero355
  • Registratie: februari 2002
  • Laatst online: 16:26

nero355

ph34r my [WCG] Cows :P

d:)b
Nu rest mij de vraag nog: hoe stel ik dit op mijn Unify Switches? Net zoals het voorbeeld op de TP-link switches heeft gedaan... want tagged/untagged/trunk kom ik nergens tegen in de interface.
Native VLAN=untagged?
Heb effe gekeken en daar lijkt het wel op inderdaad : Native VLAN is Untagged en daarbij kan je nog meerdere VLANs als Tagged toevoegen :)

Moet er zelf ook nog een beetje aan wennen en het een en ander testen... :$ :+

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Ik las een een paar weken geleden een post van iemand die voor XS4all telefonie aan de praat heeft gekregen. Het bleek dat XS inmiddels niet meer een extra VLAN gebruikt voor SIP verkeer, maar het vlan voor internet.
Het was voldoende om de Fritz op het interne netwerk aan te sluiten en alleen als telefoon station te gebruiken.

  • Jeroen_ae92
  • Registratie: april 2012
  • Laatst online: 19-02 19:06
djrednas schreef op woensdag 30 januari 2019 @ 13:44:
[...]


Als je dit doet gaat al het verkeer over de CPU, en loopt je USG vast. Dit is dus niet mogelijk ;)
Ik ga zelf een kleine switch voor de USG plaatsen die VLAN 7 loshaalt van 4 en 6 |:(
Let op, dit is maar ten dele waar. Ja, bridged interfaces zijn niet hardware offloaded. Maar als je een bridge maakt tussen eth0.7 en eth2.7 is enkel vlan7 niet offloaded. Dus vlan4 en 6 weer wel want die maken geen deel uit van de bridge dus wel offloaded.

U+


  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Ach ben bij Tweak niets anders gewend. Daar loopt het SIP verkeer 'gewoon' over het Internet VLAN. Fijne is wel dat je zonder al teveel gedoe gewoon een Siemens N300A in je netwerk kunt pluggen.
Ik heb ook geen specifieke rules in mijn Edgerouter hoeven opnemen.

Qua QOS loopt het ook wel los, nooit problemen mee gehad.

[Voor 7% gewijzigd door hermanh op 31-01-2019 11:18]


  • Froos
  • Registratie: oktober 2003
  • Laatst online: 08-04 21:05
xbeam schreef op donderdag 31 januari 2019 @ 09:38:
[...]


Die zit niet in json,
Omdat het no go is. Wanneer je een Bridge maakt in de usg schakelt de offloading uit en dan is de maximale snelheid van usg rond de 100mbits. Beter en een eenvoudiger plaats je een switch voor de usg waar vlan7 er uit filtert en de usg bypassed.
Alternatief: neem gewoon geen telefonie af maar koop ergens een SIP trunkje. Bij 12Connect of andere providers ben je voor een paar euro per maand aangesloten en vaak zijn de tikken ook nog goedkoper.

Ik gebruik 3CX als telefooncentrale en 12Connect als SIP Trunk provider. De telefonie van XS4All heb ik opgezegd.

En stop het VOIP verkeer in een apart VLAN, dat werkt nog het beste. :)

  • xbeam
  • Registratie: maart 2002
  • Laatst online: 19:53
Ja is routed
En ja alles werkt alleen voor vpn moet je handmatig 3 cli regels draaien.

  • Eddo-79
  • Registratie: april 2009
  • Laatst online: 15-03 08:39
hermanh schreef op woensdag 30 januari 2019 @ 13:54:
Ik las een een paar weken geleden een post van iemand die voor XS4all telefonie aan de praat heeft gekregen. Het bleek dat XS inmiddels niet meer een extra VLAN gebruikt voor SIP verkeer, maar het vlan voor internet.
Het was voldoende om de Fritz op het interne netwerk aan te sluiten en alleen als telefoon station te gebruiken.
Klopt, XS4All biedt dus nog maar 2 Vlans aan, 4 (routed IPTV) en 6 (INT en dus VOIP)

Je kan m aan LAN1 hangen en volledig in je netwerk opnemen.
Je kan ook op LAN2 een nieuw Corporate Lan instellen met een eigen range,zodat je de FritzBox VOIP base kan laten spelen. Je kan ook een Gigaset 300N of zoiets kopen voor 5 tientjes, dan ben je volledig van de Fritz af. Of een VOIP app op je telefoon zetten en via wifi bellen met een vast nummer...alles kan.

In de Json hoeft alleen maar de free2wifi (of kriegsman.io zonder bridge) config geladen te worden voor Vlan 4 en 6, met het next hop script en classless routes.

  • nero355
  • Registratie: februari 2002
  • Laatst online: 16:26

nero355

ph34r my [WCG] Cows :P

Froos schreef op zondag 3 februari 2019 @ 20:38:
Ik heb 2 VPN's draaien. Een IPSec Site2Site VPN en een GebruikersVPN op basis van L2TP. Gaat dat werken? Welke regels moet ik draaien?
xbeam in "[Ubiquiti & IPTV] Ervaringen & Discussie"
GAEvakYD in "[Ubiquiti & IPTV] Ervaringen & Discussie"

"Use The Search Luke!" ;)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • To_Tall
  • Registratie: september 2004
  • Laatst online: 21:08
CKg2+ draaid hier zonder problemen al sinds december.

Op de telefoon krijg ik wel een kiestoon te horen maar bij het kiezen zelf een ingesprektoon.

Al moet ik wel zeggen bij de experiabox direct op het glas. Zelfde probleem.
Vreemde was ook ik heb een v10a binnen gekregen voor de reguliere v10.

Deze vandaag nieuw aangesloten nieuw uit de doos en mijn oude config van de v10 was aanwezig op de 10a ???

A Soldiers manual and a pair of boots.


  • To_Tall
  • Registratie: september 2004
  • Laatst online: 21:08
Telefonie is nu ook operationeel :)

Probleem..
op de USG is eth2 standaard Admin Down.

Nadat deze online is gebracht werkt telefonie..
Misschien dat dit ook bij XBEAM als alternatieve config opgenomen kan worden voor mensen die wel telefonie willen hebben??

up en download snelheid is nu 200 up/down op de USG.. ik kan niet sneller testen ik heb een 200/200 lijntje liggen.

A Soldiers manual and a pair of boots.


  • Dutchess_Nicole
  • Registratie: augustus 2001
  • Laatst online: 08-04 13:48

Dutchess_Nicole

Out & Proud Trans Girl

Hierbij de informatie voor Fiber.nl klanten (Caiway netwerk):

Internet VLAN: 141
IPTV VLAN: 148
VOIP VLAN: 149

Alleen routed IPTV werkt, bridged werkt helaas niet.

IGMP proxy is nodig, de volgende settings kun je als voorbeeld gebruiken (vervang interfaces waar nodig)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
            whitelist 239.0.3.0/16
            whitelist 225.0.71.0/24
            whitelist 224.0.0.0/16
        }
        interface eth1 {
            role disabled
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
        interface eth3 {
            role disabled
            threshold 1
        }
        interface eth4 {
            role disabled
            threshold 1
        }
        interface eth4.141 {
            role disabled
            threshold 1
        }
        interface eth4.148 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface switch0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }



Vanwege de vereiste dat de STB zowel het IPTV VLAN als het Internet VLAN nodig heeft, zul je deze bij de rest van de switch moeten voegen.
Daardoor moet je er even aan denken dat je de downstream role van de IGMP proxy op de switch zet, niet op de interface zelf!

En de routing voor IPTV


code:
1
2
3
4
5
6
7
8
static {
        route 217.166.226.0/24 {
            next-hop <Your IPTV Gateway> {
                description "IPTV Gateway"
                distance 1
            }
        }
    }



Volledige config en meer informatie staat in Nisengo in "[fiber] - eigen router / bridged IPTV"

Mijn transitie timeline!
mijn transitie fonds!


  • To_Tall
  • Registratie: september 2004
  • Laatst online: 21:08
@harvz71 welke FTTH provider heb je?
over het algemeen zullen zij 1 of meerdere VLAN's versturen.

Je zult dan op de port van de SFP deze VLAN's moeten aanmaken waarbij het internet VLAN tagged is.
De andere VLAN's untaged.

Deze VLAN's koppel je ook aan por1 waar je de USG op wan port koppel. de LAN port op de USG koppel je aan port 2 met gewenste VLAN setup.

Zorg wel dat je niet op je LAN port dezelfde VLAN's aanmaakt als die je via de SFP naar port 1 stuur. Deze VLANS mag je nooit gebruiken op het LAN.

@xbeam en @Hindelaufen
Ik merk wel als ik nu de static route script of de exit-hooks script draai ik problemen heb.
Na een reboot van de USG werkt het wel weer. Echter na 8 uur lijken de problemen terug. mogelijk DHCP renew die vast loopt misschien?

[Voor 10% gewijzigd door To_Tall op 13-02-2019 18:04]

A Soldiers manual and a pair of boots.


  • Hindelaufen
  • Registratie: november 2013
  • Laatst online: 12:52
@To_Tall hmm, bij mij werkt het nog niet.
Zag net wel dat het "Next_Hop" IP adres is veranderd, dus die heb ik aangepast in de JSON. De STB is nu aan het opstarten en -uiteraard uitgerekend nu- ook nieuwe software aan het downloaden...

Vraagje: kan ik naast deze JSON file van @xbeam ook het scriptje van Kriegsman.io draaien (Tvroute.sh) die de Next-Hop blijft updaten? En werkt dat dan ook direct zonder aanpassingen?

Edit: Het werkt weer!. Ik heb het script van Kriegsman.io laten draaien en dat gaf een foutmelding. Na een aanpassing werkte de STB meteen.

Aanpassing:In het tvroute.sh script wijzig dhclient_eth0.4_lease naar dhclient_eth2.4_lease en draai tvroute.sh eenmaal handmatig.

NEW_IP=$(cat /var/run/dhclient_eth2.4_lease | grep new_routers | awk -F= '{print $2}' | tr -d \');

[Voor 30% gewijzigd door Hindelaufen op 13-02-2019 19:59]


  • Hindelaufen
  • Registratie: november 2013
  • Laatst online: 12:52
Dank je wel @xbeam voor het schrijven van deze JSON file! Iedereen is happy in huize Hindelaufen.

  • Cartman!
  • Registratie: april 2000
  • Niet online
Quaros schreef op zaterdag 16 februari 2019 @ 14:53:
Hoe wordt de performance van de USG-3P beïnvloed door de routed IPTV JSON oplossing? Op dit moment kan ik mijn volledige 500/500 glasvezel verbinding benutten, maar ik ben bang dat dit door de IPTV oplossing negatief wordt beïnvloed of zijn mijn zorgen ongegrond?
Plaatjes zeggen meer dan woorden:

https://www.speedtest.net/result/8045811554.png

Terwijl de vrouw ondertussen TV aan t kijken is.

[Voor 4% gewijzigd door Cartman! op 16-02-2019 19:46]


  • job
  • Registratie: februari 2002
  • Laatst online: 23:11
Een exit hook is nieuw voor mij, heb ik weer wat te lezen. Thanks. :)

Ik heb de json uit de TS aangepast voor telfort. Zou fijn als iemand die kan controleren.
Heb de json zelf nog niet nodig, maar misschien later of voor een ander.
https://jsoneditoronline....6f06240249087c1f29a98ec33

[Voor 13% gewijzigd door job op 17-02-2019 20:23]


  • To_Tall
  • Registratie: september 2004
  • Laatst online: 21:08
Via de CLI
delete interfaces interface eth2 disable

Hierna is de port enabeld en zit er geen adress gebonden op de port.

A Soldiers manual and a pair of boots.


  • gday
  • Registratie: oktober 2000
  • Laatst online: 07-04 19:20

gday

TENACIOUS D TIME!!!

nero355 schreef op donderdag 21 februari 2019 @ 15:10:
Oww... crap... daar hadden we het inderdaad eerder over : nero355 in "[Ubiquiti & IPTV] Ervaringen & Discussie" :$ :X My bad... 8)7
Lol, dat had ik ook niet door. |:( Op advies van jou heb ik dus nu de Zyxel SBG3500 besteld. Straks even uitproberen. :)

ingen vill veta var du köpt din tröja


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 21:34
harrytasker schreef op donderdag 21 februari 2019 @ 21:05:
Iemand een idee waarom in Unifi Network in het Home scherm bij Internet Capacity altijd N/A staat?
Die moet je invullen onder settings ->Site info -> PROVIDER CAPABILITIES

PVOutput


  • LightStar
  • Registratie: juli 2003
  • Laatst online: 21:34
Apart, enige is dat ik een 4P heb maar dat zou niet uit mogen maken.

https://tweakers.net/ext/f/RYD7MEIKJjlVbQiuwaiE2Oaq/medium.png

Edit even de 2e site bekeken met een 3p en die laat het ook gewoon zien:

https://tweakers.net/ext/f/u7mqqi1zXimjyRLpPTlwEncp/medium.png

[Voor 34% gewijzigd door LightStar op 21-02-2019 21:20]

PVOutput


  • Greebs
  • Registratie: november 2006
  • Laatst online: 18:12

Greebs

inert

Als je via een (json) config je WAN uitgesplitst hebt in VLAN's, bijvoorbeeld dus voor Internet en IPTV, dan staat er volgens mij altijd N/A bij deze statistiek.

  • Hindelaufen
  • Registratie: november 2013
  • Laatst online: 12:52
@Froos

Wellicht een lousy tip, maar bij mij werkte het wel. Zorg dat je internet kabel in WAN1 zit en reprovision de USG Pro.

  • rjhilbrink
  • Registratie: oktober 2007
  • Laatst online: 05-03 22:32
Hindelaufen schreef op dinsdag 26 februari 2019 @ 09:09:
@job Bedoel je de json van https://free2wifi.nl/2018/09/25/ubnt-usg-iptv/ ? Ik heb ze naast elkaar staan maar ze zien er -op het script gedeelte na- hetzelfde uit. Of kijk ik ergens vreselijk langs?
Volgens mij staat jou script stukje op het verkeerde nivo. Volgens mij is deze niet beschikbaar onder de NAT module. en moet deze dus paar haakjes lager staan. Zeg op hetzelfde nivo als de Service of valt de taskscheduler daar ook onder dan moet deze op het zelfde nivo als de NAT. Je kunt dit uit proberen door te kijken hoe je het commando op de USG op de command prompt moet uitvoeren.

*EDIT*
Net even snel gekeken. de task scheduler staat onder system.
Dus op hetzelfde nivo als service een system aanmaken en daaronder de taskscheduler.
https://community.ubnt.co...gateway-json/td-p/2281851

[Voor 30% gewijzigd door rjhilbrink op 26-02-2019 13:40]

PV: Panasonic HIT Kuro/SolarEdge HD Wave 4.225 kWp verdeeld over 2600 Zuid Oost en 1625 Noord West


  • gday
  • Registratie: oktober 2000
  • Laatst online: 07-04 19:20

gday

TENACIOUS D TIME!!!

nero355 schreef op vrijdag 22 februari 2019 @ 14:51:
@gday Dat is mooi klote... :/

Heb je nog naar de ZyXEL 3600 gekeken ?
De ZyXEL 3600 werkt op dat punt voor zover ik weet niet anders helaas. ZyXEL doet geen moeite om triple play-diensten te ondersteunen vanwege het zakelijke karakter van de hardware.
Zou opzich wel het mooist zijn als de DrayTek 2862B gewoon zou werken, want dat is toch wel een beetje mijn "Go to merk" voor xDSL verbindingen :)
Met de DrayTek 2862B heb ik zowel bonding als bridged IPTV aan het werk gekregen. Routed nog niet, maar dat is dan een kwestie van settings neem ik aan.

Alleen ga ik de DrayTek alsnog terugsturen want ik heb met die modem een 3x zo hoge latency en maar de helft van de snelheid, vergeleken met wanneer ik de Fritzbox in full bridge zet. Dan maar geen IPTV en verder met NLZIET. Ben inmiddels wel klaar met al dat geklooi. Kost me alleen maar geld en werkt allemaal van geen kanten. Het liefst zou ik het gewoon met de Fritzbox zelf doen ...

Is er überhaupt iemand die IPTV over een VDSL-verbinding werkend heeft gekregen met een Fritzbox in full bridge?!

[Voor 28% gewijzigd door gday op 26-02-2019 17:48]

ingen vill veta var du köpt din tröja


  • Froos
  • Registratie: oktober 2003
  • Laatst online: 08-04 21:05
Kan 't zijn dat omdat ik al een IPTV VLAN 4 gedefinieerd heb, dat ie daarom internet eruit gooit? Ik roep maar wat, heh. Ik probeer te troubleshooten waarom dat ie geen DHCP op het PPPoE interface wil doen.

Acties:
  • +1Henk 'm!

  • ph4nt0m
  • Registratie: juni 2005
  • Laatst online: 21:40
Cartman! schreef op zaterdag 16 februari 2019 @ 19:45:
[...]

Plaatjes zeggen meer dan woorden:

[Afbeelding]

Terwijl de vrouw ondertussen TV aan t kijken is.
Wat is jouw exacte config.json?

Is dat die van Xbeam? :)

Edit:
@Cartman! dank!

[Voor 4% gewijzigd door ph4nt0m op 01-03-2019 13:48]


Acties:
  • +1Henk 'm!

  • nero355
  • Registratie: februari 2002
  • Laatst online: 16:26

nero355

ph34r my [WCG] Cows :P

ph4nt0m schreef op zondag 3 maart 2019 @ 01:18:
Heb jij een mogelijkheid om jouw netwerk te tekenen met de tagging/untagging op je switches?
Over Tagged/Untagged in het algemeen : nero355 in "[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 3" ;)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +1Henk 'm!

  • ph4nt0m
  • Registratie: juni 2005
  • Laatst online: 21:40
Thanks!

Uiteindelijk heb ik 1 vlan :') op 1 allemaal untagged op m'n switches... Alles doet t , telefonie / internet /wifi+internet. Snooping aan en alles werkt perfect :)

Acties:
  • +2Henk 'm!

  • gday
  • Registratie: oktober 2000
  • Laatst online: 07-04 19:20

gday

TENACIOUS D TIME!!!

ph4nt0m schreef op maandag 4 maart 2019 @ 09:07:
[...]


Thanks!

Uiteindelijk heb ik 1 vlan :') op 1 allemaal untagged op m'n switches... Alles doet t , telefonie / internet /wifi+internet. Snooping aan en alles werkt perfect :)
Dan heb je dus géén VLAN ;)

ingen vill veta var du köpt din tröja


  • bento1
  • Registratie: maart 2010
  • Laatst online: 08-01 20:17
Voor de zekerheid hier m'n huidige config:


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 50 {
            action accept
            description OpenVPN
            destination {
                port 443
            }
            log disable
            protocol tcp
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name LAN_WAN {
        default-action accept
        description "LAN naar Internet"
    }
    name WAN_IN {
        default-action drop
        description "WAN to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log enable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to Edgerouter"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 21 {
            action accept
            description ICMP
            destination {
                group {
                    address-group ADDRv4_pppoe0
                }
            }
            log disable
            protocol icmp
        }
        rule 50 {
            action accept
            description OpenVPN
            destination {
                port 443
            }
            log enable
            protocol tcp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 - FTTH"
        duplex auto
        mtu 1512
        poe {
            output off
        }
        speed auto
        vif 4 {
            address dhcp
            description "eth0.4 - IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;IPTV_RG&quot;;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
        }
        vif 6 {
            description "eth0.6 - Internet"
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface switch0 {
                            prefix-id :1
                            service slaac
                        }
                        prefix-length /48
                    }
                    rapid-commit disable
                }
                firewall {
                    in {
                        ipv6-name WANv6_IN
                        name WAN_IN
                    }
                    local {
                        ipv6-name WANv6_LOCAL
                        name WAN_LOCAL
                    }
                }
                idle-timeout 180
                ipv6 {
                    address {
                        autoconf
                    }
                    dup-addr-detect-transmits 1
                    enable {
                    }
                }
                mtu 1500
                name-server auto
                password ****************
                user-id REMOVED@internet
            }
        }
        vif 7 {
            bridge-group {
                bridge br0
            }
            description "eth0.7 - VOIP"
            mtu 1500
        }
    }
    ethernet eth1 {
        description "eth1 - ExperiaBox"
        duplex auto
        poe {
            output off
        }
        speed auto
        vif 7 {
            bridge-group {
                bridge br0
            }
            description "eth1.7 - ExperiaBox VOIP"
            mtu 1500
        }
    }
    ethernet eth2 {
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    openvpn vtun0 {
        local-port 443
        mode server
        protocol tcp6-passive
        server {
            push-route 10.20.30.0/24
            subnet 10.100.100.0/24
        }
        tls {
            ca-cert-file /config/auth/cacert.pem
            cert-file /config/auth/server.pem
            dh-file /config/auth/dhp.pem
            key-file /config/auth/server.key
        }
    }
    switch switch0 {
        address 10.20.30.254/24
        description "switch0 - LAN"
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2001:4860:4860::8888
                name-server 2001:4860:4860::8844
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description "Reverse Proxy"
        forward-to {
            address 10.20.30.30
            port 80
        }
        original-port 80
        protocol tcp
    }
    rule 2 {
        description Mumble
        forward-to {
            address 10.20.30.30
            port 64738
        }
        original-port 64738
        protocol tcp_udp
    }
    rule 3 {
        description Plex
        forward-to {
            address 10.20.30.30
            port 32400
        }
        original-port 32400
        protocol tcp
    }
    wan-interface pppoe0
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0.4 {
            alt-subnet 10.16.12.0/16
            alt-subnet 213.75.0.0/16
            role upstream
            threshold 1
        }
        interface switch0 {
            role downstream
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
        route 213.75.112.0/21 {
            next-hop 10.84.192.1 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option vendor-class-identifier code 60 = string;"
        global-parameters "option broadcast-address code 28 = ip-address;"
        hostfile-update enable
        shared-network-name LAN {
            authoritative enable
            subnet 10.20.30.0/24 {
                default-router 10.20.30.254
                dns-server 10.20.30.254
                dns-server 208.67.222.222
                dns-server 8.8.8.8
                domain-name REMOVED.lan
                lease 86400
                start 10.20.30.100 {
                    stop 10.20.30.200
                }
                static-mapping BenedenUniFi {
                    ip-address 10.20.30.50
                    mac-address 44:d9:e7:f2:25:68
                }
                static-mapping BovenUniFi {
                    ip-address 10.20.30.51
                    mac-address 04:18:d6:c0:c2:c7
                }
                static-mapping KODI {
                    ip-address 10.20.30.7
                    mac-address 94:c6:91:10:5e:d4
                }
                static-mapping Playstation4 {
                    ip-address 10.20.30.90
                    mac-address 00:d9:d1:f0:35:64
                }
                static-mapping Printer {
                    ip-address 10.20.30.105
                    mac-address e4:11:5b:77:91:a9
                }
                unifi-controller 10.20.30.30
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface pppoe0 {
                service dyndns {
                    host-name REMOVED.ddns.net
                    login REMOVED
                    password ****************
                    server dynupdate.no-ip.com
                }
            }
        }
        forwarding {
            cache-size 150
            listen-on vtun0
            listen-on switch0
            name-server 208.67.222.222
            name-server 208.67.220.220
            name-server 8.8.8.8
            name-server 8.8.4.4
        }
    }
    gui {
        http-port 80
        https-port 8443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log disable
            outbound-interface eth0.4
            protocol all
            type masquerade
        }
        rule 5001 {
            description IPTV
            destination {
                address 10.16.0.0/16
            }
            log disable
            outbound-interface eth0.4
            protocol all
            type masquerade
        }
        rule 5010 {
            description "KPN Internet"
            log disable
            outbound-interface pppoe0
            protocol all
            source {
                address 10.20.30.0/24
            }
            type masquerade
        }
        rule 5020 {
            description "OpenVPN to Internet"
            log disable
            outbound-interface pppoe0
            protocol all
            source {
                address 10.100.100.0/24
            }
            type masquerade
        }
    }
    snmp {
        community public {
            authorization ro
        }
        location Thuis
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        connection wss://10.20.30.30:443+REMOVED
    }
    upnp2 {
        listen-on switch0
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    domain-name REMOVED.lan
    flow-accounting {
        disable-memory-table
        ingress-capture post-dnat
        interface eth0
        interface switch0
        interface eth1
        netflow {
            enable-egress {
                engine-id 1
            }
            engine-id 0
            server 10.20.30.30 {
                port 2055
            }
            timeout {
                expiry-interval 60
                flow-generic 60
                icmp 60
                max-active-life 60
                tcp-fin 10
                tcp-generic 60
                tcp-rst 10
                udp 60
            }
            version 9
        }
    }
    host-name router
    login {
        user REMOVED {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
                public-keys REMOVED {
                    key ****************
                    type ssh-rsa
                }
                public-keys root@server {
                    key ****************
                    type ssh-rsa
                }
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 208.67.222.222
    name-server 208.67.220.220
    name-server 2001:4860:4860::8888
    name-server 2001:4860:4860::8844
    name-server 2620:0:ccc::2
    name-server 2620:0:ccd::2
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            pppoe enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ****************
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ****************
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi enable
        export enable
    }
}



Als ik dit doe zie ik ook amper multicast verkeer?


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
user@router:~$ show ip multicast mfc
Group           Origin           In          Out                Pkts         Bytes  Wrong
224.3.2.6       213.75.167.58    eth0.4      switch0           26489        9.28MB      0
239.255.255.250 10.20.30.110     --
224.0.251.113   217.166.225.113  --
239.255.255.250 10.20.30.30      --
224.0.252.135   217.166.226.135  --
user@router:~$ show ip multicast interfaces
Intf             BytesIn        PktsIn      BytesOut       PktsOut            Local
switch0            0.00b             0       14.74MB         31102     10.20.30.254
eth0.4           14.74MB         31103         0.00b             0     10.84.197.30
pppoe0             0.00b             0         0.00b             0   77.163.xxx.xxx (Mijn WAN IP)
vtun0              0.00b             0         0.00b             0     10.100.100.1



[EDIT]
Heb nu ineens af en toe 3 seconden beeld en geluid... IGMP issue?

[EDIT 2]
Opgelost... denk ik. Ben gaan sniffen en kwam wat IP reeksen tegen. Die in Google gegooid en kwam een post tegen van iemand die KPN IPTV met PfSense draait en die moest aan de igmp proxy nog dit subnet toevoegen: 217.166.0.0/16

Commit gedaan en in de andere kamer hoorde ik direct de TV weer aanspringen _/-\o_

Toen haalde ik m'n test firewall regels weer weg en pleurde het weer in elkaar. Moet dus even spelen met welke firewall regels en tussen welke interfaces er nou nodig zijn... Had nu alles allowed. Apart want vroeger had ik hier helemaal geen firewall regels voor nodig.

[Voor 7% gewijzigd door bento1 op 07-03-2019 22:18]


  • bento1
  • Registratie: maart 2010
  • Laatst online: 08-01 20:17
Oke, ik had dus een firewall regel aangemaakt:

Interfaces: eth0.4/in
Action: Accept
Protocol: UDP

Dan heb ik TV.

Dus ik heb een address-group gemaakt, en deze in de firewall rule gezet als source addr.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 address-group IPTV {
     address 217.166.0.0/16
     address 10.16.0.0/16
     address 213.75.0.0/16
 }

 name IPTV_IN {
     default-action drop
     description "Dit is nodig om IPTV werkend te krijgen"
     rule 1 {
         action accept
         log disable
         protocol udp
         source {
             group {
                 address-group IPTV
             }
         }
     }
 }



Hierna leken de TVs te werken voor een tijdje. Toen ik echter naar een ander kanaal switchte had ik weer het zelfde probleem. Zapte ik dan terug naar het eerdere kanaal bleef het wel werken 8)7

De router werd ineens over web en ssh enorm traag dus die een trap gegeven, nu LIJKT het we blijven werken. Zal zsm een update geven hier.

[Voor 51% gewijzigd door bento1 op 07-03-2019 23:22]


Acties:
  • +1Henk 'm!

  • meek
  • Registratie: augustus 2013
  • Laatst online: 20:48
sinovenator schreef op zaterdag 9 maart 2019 @ 10:33:
Allen, ik zit met het volgende;
Allereerst mijn situatie.
XS4all fritzbox met daar achter 3x een switch-8 en meerdere Ap's van ubiquiti. Dit in combinatie met de Gen2 controller.
Ik draai nu nog op de laatste 3.9 firmware op de switches.. Als ik upgrade naar firmware 4.x (maakt niet uit welke) dan loopt mijn itv box vast. en krijg ik na een paar keer stotteren de bekende zap naar andere kanaal melding.
Moet ik nog iets meer doen als ik upgrade ? Ik heb hem nu terug gezet naar de laatste 3.9 firmware maar nu mislukt de adaptatie elke keer in de controller.
Ik gebruik routed tv
Ik heb hetzelfde probleem ondervonden met ongeveer dezelfde opstelling (fritzbox/switch-8). Op het moment dat ik mijn switch adopt dan kreeg ik bovenstaande melding. Ik heb dit nu opgelost door heel vreemd de IGMP snooping uit te zetten, wanneer ik dit uitzet kan ik normaal tv kijken.

Acties:
  • +2Henk 'm!

  • nero355
  • Registratie: februari 2002
  • Laatst online: 16:26

nero355

ph34r my [WCG] Cows :P

meek schreef op maandag 11 maart 2019 @ 11:52:
Het nadeel is wel dat nu als je tv aan het kijken bent, dat alle poorten netwerkverkeer krijgen, ipv alleen de IPTV poort (tenminste mijn switch begint te knipperen als een kerstboom).

Wellicht dat een van de experts hier iets over kan zeggen, doen we iets verkeerd? 8)7
En daar is dus IGMP voor bedoeld! :+

Je kan de hele zooi ook in een aparte VLAN proppen, maar of dat handig is in jouw situatie durf ik niet te zeggen :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • rens-br
  • Registratie: december 2009
  • Laatst online: 22:42

rens-br

Moderator Mobile & IN
Modbreak:Aankoopadvies hoort niet thuis in ervaringen topics, de berichten daarover zijn dus verdwenen naar de prullenbak.

Acties:
  • +1Henk 'm!

  • Kecin
  • Registratie: juli 2004
  • Laatst online: 16:32

Kecin

Je keek.

Ik ga morgen proberen om Caiway te gebruiken op een USG.
De decoder zelf download netjes via de reguliere internetpoort zijn pakketjes, maar zappen is er niet bij. Nu zijn er ook poort 2 en 3 op de modem (beide voor decoders). Gigabit aansluiting, internetverbinding is tussen de 85~115 mbit met een PC. Ik krijg dus een DHCP lease uit een compleet andere range uit die poortjes, mooi!

Vervolgens heb ik nu een kabel van het Caiway modem poort 3 naar poort 2 (WAN2/LAN2) op de USG geconnect. Deze krijgt ook netjes via DHCP een ip e.d.

Vervolgstap is nu om te kijken als ik deze connectie in een ander VLAN gooi of de decoder werkt binnenshuis op een andere switch. Dat zou prettig zijn want anders ben je dus verplicht voor elke decoder in huis een andere kabel rechtstreeks naar het Caiway modem te verbinden.
Nu lijkt me dat dit over een VLAN gewoon gaat werken, in theorie in iedergeval, morgen de praktijk nog eventjes testen.

Maar dan zou het natuurlijk fijn wezen om de IP-TV stream van Caiway te kunnen gebruiken op elk device in huis dat streaming mogelijkheden heeft (bijvoorbeeld de nVidia Shield of een PC/Tablet etc). Nu heb ik een "flinke" ESXI server staan die Synology DSM heeft geinstalleerd. Ik heb daar Plex opstaan, en binnen DSM een Docker met Telly (https://github.com/tellytv/telly) . Telly doet zich voor als een decoder op basis van een M3u8 lijst. Dit werkt dus met een IP-TV provider die zo'n lijst aanlevert. Plex ziet Telly als een bestaande decoder en zodoende kan ik M3U8 playlists opnemen, mooi, dat werkt! Maarrrr...

Mijn doel is om uiteindelijk ergens de Caiway stream om te kunnen zetten naar Telly om zo Plex als decoder en opname apparaat te gebruiken zonder tussenkoms van een Dreambox om van CAI zaken over te zetten naar een streamable format. Maar het liefst hiervoor die server gebruiken (of wellicht zelfs USG, of misschien heeft Caiway wel een "geheime" lijst met streams ergens staan). Dingen te doen zijn dus ook nog het wiresharken van het verkeer. Meer mensen hier al met Caiway bezig?

I am not a number, I am a free man! Kecin's tweakblog! - Kecin.com!


Acties:
  • +1Henk 'm!

  • hermanh
  • Registratie: oktober 2005
  • Laatst online: 17:25
Kecin schreef op vrijdag 15 maart 2019 @ 02:56:
Mijn doel is om uiteindelijk ergens de Caiway stream om te kunnen zetten naar Telly om zo Plex als decoder en opname apparaat te gebruiken zonder tussenkoms van een Dreambox om van CAI zaken over te zetten naar een streamable format. Maar het liefst hiervoor die server gebruiken (of wellicht zelfs USG, of misschien heeft Caiway wel een "geheime" lijst met streams ergens staan). Dingen te doen zijn dus ook nog het wiresharken van het verkeer. Meer mensen hier al met Caiway bezig?
Ik geef je weinig kans. Elke IP-TV provider dient het signaal te encrypten. (contractuele verplichting)
het wat oudere DVB-C (wat CAI ook gebruikt) is grotendeels encrypted, maar een paar zenders (NL1..3) zullen open staan. Kortom zoek naar een oplossing waarbij je ook een smartcard decoding kunt toepassen.

Acties:
  • +1Henk 'm!

  • RnB
  • Registratie: september 2005
  • Laatst online: 22:47
Dat klopt inderdaad. Er staat overigens wel bij dat igmpv3 op de switch backwards compatible is met v2 en v1, in de zin van wanneer de switch igmpv1/v2 messages krijgt te verwerken, deze ook kan verwerken.

Om er zeker van te zijn, heb ik de switch wel beperkt tot versie 2, maar ik heb nog steeds het probleem.

Ik zal nog wat pielen met de instellingen.


Top, ik heb het voor elkaar gekregen. :)

Ik heb multicast-routing enabled op de switch, de USG gereboot en de nieuwe config geladen et voila. De eerste paar seconden tv kijken, waren spannend (hokken en stoten en gids werd niet geladen), maar nu werkt het zoals het moet.

[Voor 28% gewijzigd door RnB op 15-03-2019 17:19]


Acties:
  • +1Henk 'm!

  • shaft8472
  • Registratie: januari 2002
  • Laatst online: 20-03 11:05
hermanh schreef op vrijdag 22 maart 2019 @ 13:37:
ik heb op het KPN forum al een aantal keren gelezen dat een bridge niet meer nodig is en dat het VLAN voor telefonie niet meer wordt gebruikt. De EXperia box moet in iedergeval een keer aan het internet hebben gehangen om zijn (sip) config op te halen en daarna koppel je het (on)ding gewoon aan je interne lan voor telefonie.

Verschillende mensen hebben hier al goede ervaringen mee. (ben geen praktijkbewijs aangezien ik op het tweak netwerk zit)
Ik heb dit gedaan. Heel even de Experiabox op de NTU aangesloten. Gekeken of ik kon bellen en daarna de wanpoort van de EB aangesloten op het interne netwerk. Al een aantal maanden geen probleem. (Ook niet na het offline gaan van mijn eigen netwerk of reboots van de USG/switches.)

Acties:
  • +1Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Laatst online: 22:35

Tylen

ONK SuperCup 1000 #6

USG aangesloten en alles werk zoals ik het wilt.

Iemand hier die toevallig ook nog de json config heeft om het ipv4 subnet van XS4ALL toe te voegen?

A wise man once said: 'Work is not a place."


Acties:
  • +1Henk 'm!

  • djrednas
  • Registratie: juli 2013
  • Laatst online: 06-04 22:26
stapperstapper schreef op vrijdag 5 april 2019 @ 19:24:
[...]

Vanuit de USG heb ik 1 kabel (uit LAN1) naar de Unifi Switch (poort 1). Daar komen dus beide VLANS mee binnen. Maar vervolgens wil ik op de Switch kunnen aangeven dat op poort 2 (Synology), 3 (Hue bridge) en 7 (CloudKey) alleen VLAN6 hoeft worden doorgegeven, en op poort 8 (kabel naar Homeplug) zowel VLAN4 als VLAN6. Maar dat krijg ik dus niet werkend met de VLANS die ik heb ingesteld in de controller :?
De USG zet niet de VLAN's door van buiten naar binnen. de USG "verwerkt" deze tot 1 netwerk. dit komt uit je LAN port. Hier kan je nu zowel tv kastjes als netwerk devices op prikken. Je hoeft dus geen VLAN's meer toe te kennen.

Acties:
  • +1Henk 'm!

  • The-Priest-NL
  • Registratie: maart 2006
  • Laatst online: 12:29
kevinl schreef op maandag 15 april 2019 @ 02:37:
[...]


Ik weet niet of ik het zelfde setup heb als jij. Maar ik krijg het in de gui niet werkend. Alle guides spreken van de fiber rechtstreeks in de switch en dan middels twee trunks IPTV en internet werkend krijgen.

Maar ik wil:
fiber -> wan port USG pro 4
USG pro 4 lan port -> lan port switch 16-150w.
vlans 100, 300 en 640 aangemaakt.
Port 16 toegewezen aan 640. Geen verbinding.

Wat ik heb begrepen is dat de wan van de USG pro 4 geen vlan accepteert meer dan 1.

Heeft iemand een oplossing om fiber van tmobile rechtstreeks op de USG pro 4 aan te sluiten?
Ola,
Wat ik heb begrepen is dat de wan van de USG pro 4 geen vlan accepteert meer dan 1.
Klopt, tenminste niet middels de GUI, ik heb inmiddels een config json gevonden die zou moeten werken.

svenvang93 in "[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 2"

Echter komt dan eigenlijk de aap uit de mouw.

Om het werkend te krijgen voor T-Mobile zal je een bridge moeten gebruiken (zie json) maar als je dat doet wordt hardware offloading uitgeschakeld en zakt je max troughput in naar 250mbit.

Enige oplossing die ik zie (om 750mbit te behouden) is om nog een managed switch tussen de mediaconverter en de USG te zetten waarin je het vlan gedeelte regelt.

Mocht ik het fout hebben wordt ik graag gecorrigeerd overigens.

•Geocaching•Security, Media & OSINT Junkie•Opinions are my own and not those of my employer.

Pagina: 1 2 3


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True