[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 4

wopper schreef op vrijdag 22 mei 2020 @ 14:47:

Een FLEX niet mini? Die heeft POE uitgaand.

Prx schreef op vrijdag 22 mei 2020 @ 14:52:

Mjah, maar die is nog duurder dan een US-8 (en dus boven die 100 euro). In dit geval zou ik lekker die netgear laten liggen dan, hij gaat zich vanzelf wel genoeg ergeren om wel die 100 euro uit te geven.

Nnoitra schreef op vrijdag 22 mei 2020 @ 15:21:

[...]

Ik laat 'm dan ook lekker liggen
Echter zie ik, zolang ie doet wat ie moet doen, geen reden om me er aan te gaan ergeren

Nnoitra schreef op vrijdag 22 mei 2020 @ 15:21:
[...]

Da's 't lastige als je halverwege het verhaal mee gaat doen; je mist wat

* Gunner heeft een updaterondje gedaan de laatste dagen

Gunner schreef op vrijdag 22 mei 2020 @ 16:44:
[...]

Ik heb de laatste dagen het idee dat er mensen lang elkaar heen praten die hetzelfde bedoelen omdat Ubiquity ervoor gekozen heeft om voor verschillende producten bijna dezelfde namen te gebruiken

* Gunner heeft een updaterondje gedaan de laatste dagen

PacinoAllstars schreef op vrijdag 22 mei 2020 @ 18:47:
Ook ik overweeg om helemaal over te gaan op unifi. Ik mis net wat wifi dekking in mijn tuinhuis. Daarnaast ook niet tevreden met de combinatie firmware updates en netgear, ondanks het feit dat de r7000 me wel altijd goed heeft geholpen. Daarnaast wil ik ook mijn IOT apparatuur op een apart VLAN gaan gooien en wil ook niet gaan zitten afwachten totdat de r7000 het een keer gaat begeven.

Wat achtergrond info.

Ik gebruik momenteel al 5 jaar de nighthawk r7000, mijn Ziggo modem staat in bridge en op dit moment zitten we op zo een 25+ devices, maar dit gaat nog wel groeien.

Momenteel zit ik bij Ziggo met 250/25, maar dit gaat ook nog wel omhoog.

Wat testen gedaan met de coverage van de r7000. Als die op de begane grond staat heb ik vrijwel overal bereik. Zelfs achter in mijn tuin. Echter staat de router om praktische redenen op de 1e etage. Hierdoor heb ik net niet goed bereik in het achterste deel van de tuin (rest van huis wel).

Op basis hiervan verwacht ik het met 2 AP te redden, ik plaats er 1 op de BG (plafond aan kant van tuin). En op de 1e etage waar nu de r7000 staat komt ook een AP. De zolder zou dan net als nu met de r7000 ook voldoende signaal moeten hebben.

Ik heb me ingelezen in het ecosysteem van unifi en wil ook graag IPS/IDS aanzetten zonder belemmering van mijn doorvoer snelheid. Ik begrijp dat de 3p gateway een max heeft van 85 mbps als ik alle features aanzet, vandaar viel me oog op me de UDM, tot aan grosso modo 800 mbps zit je hiermee goed.

Zoals eerder vermeld verwacht ik dat ik met 2 AP's de volledige dekking kan bereiken in mijn huis. Aangezien de AP in de UDM een nano HD (wave2) is, zat ik te denken aan het volgende.

1e etage UDM
Begane grond AP NANO HD

Dan kom ik uit op 550 euro en heb ik gelijk het gehele ecosysteem.

Is dit the way to go? Goedkoper mag altijd

RobertMe schreef op vrijdag 22 mei 2020 @ 19:22:
[...]

In principe zal dat natuurlijk werken. Maar verder heb je dan geen extra switches nodig bv? En uiteraard zul je in dit geval de bijgeleverde PoE injector gebruiken voor de NanoHD?

Maar uhm, waarom de NanoHD? Ja, zelfde wifi hardware (denk ik) als de UDM. Maar als je momenteel binnen goed bereik hebt maar buiten niet zou ik buiten een AP ophangen. Dus een AC Mesh, of als je perse zelfde hardware wilt hebben, een FlexHD. Beiden zijn geschikt om buiten in weer en wind op te hangen.

Overigens zou ik om de reden van "matige software support van de Netgear" ook niet voor de USG gaan. Security fixes zullen er nog wel een tijdje komen, maar verder verwacht ik geen ontwikkeling meer in die hoek. Alles wordt nu ingezet op Ubi OS / UniFi OS zoals het op de UDM (/Pro) draait en op de UXG komt.

[Voor 3% gewijzigd door PacinoAllstars op 22-05-2020 19:52]

nero355 schreef op vrijdag 22 mei 2020 @ 14:56:
[...]
DE REDEN dat ik ze gekocht heb is omdat ze makkelijk geplaatst kunnen worden achter meubels en dergelijke inderdaad!

Maar wat ook erg handig is :
De meesten van ons zullen tegenwoordig nog weinig doen met hun telefoonaansluitingen door het huis heen, want VoIP en mobiele telefoons en zo.
En laat het nou toevallig zo zijn dat men vaak achter de WCD's daarvan gewoon prachtige kwalitatieve CAT5E (of beter) heeft gebruikt!

Ik heb dus al die aansluitingen omgebouwd naar In Wall aansluitingen!


[...]

Komt omdat men vooral de UFO modellen kent en het hele In Wall idee bij de meesten nog steeds een beetje moet inburgeren

AC Lite : € 80
In Wall "Lite/Basic" : € 90

[Voor 3% gewijzigd door Thalaron op 22-05-2020 20:04]

[Voor 30% gewijzigd door servies op 22-05-2020 20:48]

servies schreef op vrijdag 22 mei 2020 @ 20:29:
Ik heb het volgende probleem:
Vandaag 3 Unifi switches binnen gekregen. 2x USW Flex mini 5 poorts: geen problemen mee, adopten in de controller, provisioning en klaar.
De US-8-60W daarentegen is een ander probleem:
Mijn situatie thuis: ik maak thuis gebruik van de 192.168.3 range voor m'n IP adressen.
Op het ogenblik dat ik deze aanzet krijgt de switch netjes een IP adres toegewezen in de goede range.
De switch wordt dan geadopt door de controller. Nog steeds alles goed.
Volgende stap: provisioning. En hier gaat het ergens fout. Ik kan niet achterhalen wat het is maar de switch raakt z'n IP adres kwijt en accepteert ook niet (hetzelfde) IP adres wat hij opnieuw krijgt toegewezen van m'n dhpc server...
De switch is daarna niet meer bereikbaar want deze heeft ip adres 192.168.1.20...

Controller is versie unifi-5.12.35-1.el8.x86_64.rpm
De switch is up-to-date vziw... (dat heeft deze nog wel eerst gedaan voordat de geadopt kon worden...)
Er draait geen firewall op de controller

wopper schreef op vrijdag 22 mei 2020 @ 20:44:
[...]


Staat de poort naar deze “probleem switch” op vlan all?

[Voor 57% gewijzigd door servies op 22-05-2020 21:05]

PacinoAllstars schreef op vrijdag 22 mei 2020 @ 19:50:
Natuurlijk zou ik ook een goedkopere ac lite kunnen nemen????

De support op de dream machine gaat nog wel even door neem ik aan?

arjan445 schreef op vrijdag 22 mei 2020 @ 21:12:
ik heb een switch (8 poorts 60 watt poe) van ubiquiti die blijft op adopten hangen, dit is gekomen nadat ik een unifi cloud key G2 heb toegevoegd. hierbij heb ik alle ap's gereset en de switch ook.

iemand die hier raad mee weet ?

servies schreef op vrijdag 22 mei 2020 @ 21:15:
[...]

Lijkt erg veel op mijn probleem 2 posts hierboven...

RobertMe schreef op vrijdag 22 mei 2020 @ 21:20:
[...]

En @arjan445. Wat zeggen de controller logs? IIRC in het hoofdmenu onder Insights en dan bovenin Controller logs selecteren. En daarnaast spuwt de switch misschien ook nog iets van info uit. Je kunt via SSH inloggen en dan info gebruiken. Dan krijg je ook de controller status te zien met potentieel nog wat info erbij wat er aan de hand is.

servies schreef op vrijdag 22 mei 2020 @ 20:49:
Alle 3 de switches hangen achter de TP-Link TL-SG3216 in m'n 'meterkast'
Ik heb momenteel geen VLANs meer in gebruik.

Zojuist eerst de switch verwijdert uit de controller.
factory reset
na een korte tijd verschijnt de switch in de controller: adopten ok, provisioning (wat lang duurt naar mijn idee) en tadaa resultaat adoption failed en weer dat default 192.168.1.20 ip adres....

Nadat ik de dhcp voor dat ding heb uitgeschakeld en 'm gewoon vast dat IP-adres heb toegewezen gaat het ineens wel goed....
Nu kan ik eindelijk die Netgear vervangen... en het scheelt weer 1 voeding (naar m'n accesspoint...

Thalaron schreef op vrijdag 22 mei 2020 @ 19:52:
Ik heb thuis een AC UAP-AC Pro en een NanoHD hangen. Los van dat ik, indien ze er destijds überhaupt al waren, niet wist dat Ubiquiti IW modellen had, heeft mijn voorkeur alsnog het plafondmodel.

Hét voordeel is dat er niets in de weg zit. Set ik wil een metalen kast neerzetten dan zou dat bij een IW uiteraard vrij kansloos zijn...

Daarnaast stoort het uiterlijk van de NanoHD in de woonkamer mij niet en ik heb nu op de gehele begane grond (incl. Achtertuin) goede dekking

abusimbal schreef op vrijdag 22 mei 2020 @ 22:15:
Vandaag gezien dat mijn UDM Pro een update heeft gehad 1.6.6 naar 1.7.0 (released 18/5)
Zie u eindelijk een shutdown optie voor de UDM Pro. Mooi.

[Voor 22% gewijzigd door nero355 op 23-05-2020 00:42]

nero355 schreef op zaterdag 23 mei 2020 @ 00:39:
[...]

Dat is toch deze firmware : xbeam in "[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 4"

Laat vooral na een tijdje weten hoe die bevalt, want de ervaringen blijven best wel een beetje wisselend hier in het topic

[Voor 12% gewijzigd door xbeam op 23-05-2020 09:34]

nero355 schreef op zaterdag 23 mei 2020 @ 00:39:
[...]

De switch probeert je te vertellen dat een apart Management VLAN best wel verdomd handig is!

[Voor 10% gewijzigd door wopper op 23-05-2020 10:24]

wopper schreef op zaterdag 23 mei 2020 @ 10:19:
[...]


Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

RobertMe schreef op zaterdag 23 mei 2020 @ 10:30:
[...]

Volgens mij heeft @nero355 het omgedraaid. Ik heb dat in ieder geval. Het default LAN network gebruik ik voor infrastructuur / server / .... En dan een apart "prive" network waarop de PCs, telefoons, ... zitten.

LAN blijft dan dus het management VLAN, i p.v. een nieuw management VLAN, maar dan wel alle overige apparaten in een nieuw VLAN.

haakjesluiten schreef op zaterdag 23 mei 2020 @ 10:37:
mijn Ubiquiti nanoHD doet moeilijk. Ik kreeg hem niet op een nieuwe controller die ik had opgezet, toen maar een factory reset uitgevoerd (5sec reset knop ingedrukt) maar in de controller blijft hij hangen in een soort adopting/disconnected loop. Iemand een idee hoe verder?

[Voor 22% gewijzigd door wopper op 23-05-2020 10:51]

wopper schreef op zaterdag 23 mei 2020 @ 10:19:
[...]


Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

[Voor 8% gewijzigd door xbeam op 23-05-2020 12:09]

wopper schreef op zaterdag 23 mei 2020 @ 10:40:
[...]


[...]


Als je met SSH in het AP kijkt met het commando " info" wat zie je dan? Naar welke controller point hij?

[Voor 13% gewijzigd door haakjesluiten op 23-05-2020 12:35]

haakjesluiten schreef op zaterdag 23 mei 2020 @ 12:08:
[...]


UBNT-BZ.v4.0.80# info

Model: UAP-nanoHD
Version: 4.0.80.10875
MAC Address: 18:e8:29:41:5f:be
IP Address: 192.168.1.155
Hostname: UBNT
Uptime: 317 seconds

Status: Unknown[11] (http://172.17.0.6:8080/inform)

AP heeft nu een witte led die continue brand, volgens de Ubiquiti website is dat waiting for adoption maar mijn controller blijft kansloos hangen...

xbeam schreef op zaterdag 23 mei 2020 @ 11:48:
[...]


Ik zal het dit weekend voor je testen.
Dus de Flex mini moet vlan6 door geven als management vlan op de Nano HD, volgens mij het Poort profiel instelling. Waar bij je aan moet geven welke vlan je nativ (management) vlan is.

Alleen waarom 5.15.0 (beta) en niet gewoon 4.13 als je problemen hebt?

[Voor 34% gewijzigd door wopper op 23-05-2020 13:21]

haakjesluiten schreef op zaterdag 23 mei 2020 @ 12:08:
[...]


UBNT-BZ.v4.0.80# info

Model: UAP-nanoHD
Version: 4.0.80.10875
MAC Address: 18:e8:29:41:5f:be
IP Address: 192.168.1.155
Hostname: UBNT
Uptime: 317 seconds

Status: Unknown[11] (http://172.17.0.6:8080/inform)

AP heeft nu een witte led die continue brand, volgens de Ubiquiti website is dat waiting for adoption maar mijn controller blijft kansloos hangen...

haakjesluiten schreef op zaterdag 23 mei 2020 @ 12:51:
Draai hem inderdaad in Docker.

wopper schreef op zaterdag 23 mei 2020 @ 10:19:
Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

RobertMe schreef op zaterdag 23 mei 2020 @ 10:30:
Volgens mij heeft @nero355 het omgedraaid. Ik heb dat in ieder geval. Het default LAN network gebruik ik voor infrastructuur / server / .... En dan een apart "prive" network waarop de PCs, telefoons, ... zitten.

LAN blijft dan dus het management VLAN, i p.v. een nieuw management VLAN, maar dan wel alle overige apparaten in een nieuw VLAN.

wopper schreef op zaterdag 23 mei 2020 @ 10:40:
Ja dat is een afweging, bedankt voor de toelichting. Ik zou graag tagged een mgmt vlan opzetten. Ik heb een stuk of 8-10 unifi devices en anders moet ik ruim 50 clients omnummeren.Gaat mijn brein niet trekken als ik na 5 jaar home datacenter ineens een andere IP reeks krijg voor de servers.

Voorlopig werkt mijn tagged vlan voor mgmt nog niet lekker. Ik pruts nog even door dit weekend.

https://help.ui.com/hc/en...th-UniFi-Routing-Hardware

Begin by adopting the UniFi wireless device over the native, or untagged, VLAN. This will be the continued requirement. That being said, L3 management is supported, so the UniFi Network Controller can remote. See more about that in the UniFi - Device Adoption Methods for Remote UniFi Controllers article.

As of Controller software version 5.8, access points and switches can be set to tagged VLANs. After the device is adopted over the untagged VLAN, define a tagged management VLAN to use. This is found under the device Properties window (from the Devices page click on the device to reveal the Properties Panel). Select Config (gear icon) > Services > Management VLAN.

xbeam schreef op zaterdag 23 mei 2020 @ 11:48:
[...]


Ik zal het dit weekend voor je testen.
Dus de Flex mini moet vlan6 door geven als management vlan op de Nano HD, volgens mij het Poort profiel instelling. Waar bij je aan moet geven welke vlan je nativ (management) vlan is.

Alleen waarom 5.15.0 (beta) en niet gewoon 4.13 als je problemen hebt?

[Voor 6% gewijzigd door wopper op 23-05-2020 15:39]

wopper schreef op zaterdag 23 mei 2020 @ 15:38:
Het is gelukt, de SHD en switches gaan gewoon om zoals je zou verwachten. De AC-PRO of nanoHD daar gaat het minder makkelijk. Advies zet er 1 per stuk om, want bij twee te gelijk kreeg ik een draadloze loop tussen vlan 1 en vlan 6, en een kreet van beneden " IS HET INTERNET SOMS STUK?" Push berichten dat de DHCP server van VLAN6 gevonden was in VLAN1

@nero355 nee vlan nummer is gelijk aan het 3e octet van het IP adres omnummeren gaat dus niet

nero355 schreef op zaterdag 23 mei 2020 @ 15:54:
[...]

Dat lijkt mij een bug die je moet melden, want dat kan echt niet de bedoeling zijn of begrijp ik je verkeerd


[...]

Heb ik ook hoor, maar het was maar een idee

Ik heb wel trouwens meteen de 192.168.x.x reeks verlaten en naar 10.x.x.x gegaan, want dat werkt gewoon fijner

[Voor 4% gewijzigd door Prx op 25-05-2020 21:34]

ComTech schreef op zondag 24 mei 2020 @ 11:32:
Ik probeer een USG in mijn bestaande controller te krijgen.
Ik heb 1 UniFi AP-AC-Lite en als router nu PfSense maar ik wil daar vanaf.
Ik krijg het alleen niet voor elkaar om de USG aan mijn bestaande controller toe te voegen.

De USG wordt netjes gezien en heb hem eerst een IP adres gegeven in dezelfde range als mijn thuisnetwerk.
Daar heb ik ook de inform url ingezet van mijn controller.
Hij ziet hem daar ook en gaat hem adopteren maar op een gegeven moment gaat hij gewoon weer terug naar het standaard IP (192.168.1.1) terwijl de USG nog gewoon het ip heeft wat ik veranderd heb,

[Afbeelding]

[Afbeelding]

[Afbeelding]

Wat doe ik verkeerd?

Will_M schreef op zondag 24 mei 2020 @ 12:51:
@ComTech Je hebt een 192.168.17/24 én een 192.168.1/24 netwerk?

RobertMe schreef op vrijdag 22 mei 2020 @ 09:48:
[...]

Grote vraag is vervolgens: waar bevindt de laptop (met de controller) zich.
In een thuissituatie is het het logischte als beide apparaten zich in hetzelfde netwerk segment bevinden. En als ik het goed lees draait die Draytek dus in een compleet ander segment als de Ziggo router. Als beide apparaten zich in hetzelfde segment bevinden zou het normaliter dan ook automatisch moeten werken.
En als dat niet zo is kun je het makkelijkst het IP adres van het AP opzoeken, via SSH inloggen, en vervolgens een set inform http://<ip van de laptop>:8080/inform doen. Uiteraard wel altijd ervoor zorgen dat de laptop met controller een vast IP heeft, anders kan het AP de controller weer niet meer vinden als de laptop een ander IP heeft.

DforceNL schreef op zondag 24 mei 2020 @ 14:24:
Ik ben sinds kort overgestapt naar apparatuur van Ubiquiti. Heb sinds een week nu een UDM draaien na alle tevredenheid. Op dit moment ben ik bezig op de zolder, met het inrichten van een game/werk ruimte. Ik heb een UTP verbinding naar de zolder. Op zolder heb ik verder geen speciale zaken nodig zoals PoE. Ik heb een max van 3 vaste aansluitingen nodig en natuurlijk wifi dekking.

Wat is nu wijsheid een losse switch plaatsen en hier een AP aan toevoegen of gaan voor de UniFi HD In-Wall.
Ben erg aan het twijfel wat nu de beste keus is.

DforceNL schreef op zondag 24 mei 2020 @ 14:24:
Ik ben sinds kort overgestapt naar apparatuur van Ubiquiti. Heb sinds een week nu een UDM draaien na alle tevredenheid. Op dit moment ben ik bezig op de zolder, met het inrichten van een game/werk ruimte. Ik heb een UTP verbinding naar de zolder. Op zolder heb ik verder geen speciale zaken nodig zoals PoE. Ik heb een max van 3 vaste aansluitingen nodig en natuurlijk wifi dekking.

Wat is nu wijsheid een losse switch plaatsen en hier een AP aan toevoegen of gaan voor de UniFi HD In-Wall.
Ben erg aan het twijfel wat nu de beste keus is.

DforceNL schreef op zondag 24 mei 2020 @ 14:24:
Ik ben sinds kort overgestapt naar apparatuur van Ubiquiti. Heb sinds een week nu een UDM draaien na alle tevredenheid. Op dit moment ben ik bezig op de zolder, met het inrichten van een game/werk ruimte. Ik heb een UTP verbinding naar de zolder. Op zolder heb ik verder geen speciale zaken nodig zoals PoE. Ik heb een max van 3 vaste aansluitingen nodig en natuurlijk wifi dekking.

Wat is nu wijsheid een losse switch plaatsen en hier een AP aan toevoegen of gaan voor de UniFi HD In-Wall.
Ben erg aan het twijfel wat nu de beste keus is.

RobertMe schreef op zondag 24 mei 2020 @ 14:34:
[...]

Tsja, wat wijsheid is ligt ook aan je wensen. Als je voor een losse switch gaat, waar ga je die dan plaatsen bv? En als je eerst een switch plaatst en dan het AP heb je de PoE injector nodig (of een prijzige switch met PoE passthrough). Maar de In-Wall HD is uiteraard wel weer iets duurder.
Alternatief waar je wel nog naar kunt kijken is de gewone AC In-Wall in combinatie met een Flex Mini. Dan kom je op een E130 uit (~90 + ~35, ~40) i.p.v. de E150+ van een In-Wall HD. En de In-Wall kan dan via PoE passthrough de Flex Mini van stroom voorzien. Effectief heb je dan dus 5 poorten, van de In-Wall houd je een van de twee poorten over en van de Flex Mini houd je ook nog 4 van de 5 poorten over. Randvoorwaarde is uiteraard wel dat je de In-Wall van stroom kunt voorzien (via PoE). Want als je alleen de UDM hebt heb je (van daaruit) geen PoE voorziening voor de In-Wall, en de In-Wall wordt ook geleverd zonder injector (geldt voor alle modellen). Dus je moet dan of nog eens een injector kopen of een PoE switch plaatsen op de benedenverdieping waar je de IW op aansluit.

[Voor 34% gewijzigd door CyBeRSPiN op 24-05-2020 18:14]

mujentas schreef op zondag 24 mei 2020 @ 17:34:
[...]


Welke model injector is geschikt voor de In-Wall?

mujentas schreef op zondag 24 mei 2020 @ 17:34:
[...]


Welke model injector is geschikt voor de In-Wall?

ComTech schreef op zondag 24 mei 2020 @ 18:24:
Ik zou graag een USG willen maar als ik hem echt niet goed aan de gang krijg dan houdt het natuurlijk op.

Ik heb hem op LAN1 aangesloten, klopt het duurt altijd even voordat hij volledig is opgestart.
Na een hard reset nog langer.
Heb net een half uur onder het eten hem aangesloten gelaten met de configuratie wat lukte in de controller maar hij blijft op adopting staan.
Ik heb wel een controller in een donker container (Ubuntu VM in esxi) zou dat wat uit kunnen maken ?
Mijn APlite accespoint doet het wel gewoon daarin dus het lijkt mij stug.

Fonta schreef op zondag 24 mei 2020 @ 18:39:
Gebruikt hier iemand een Edgerouter icm T-Mobile thuis? Ben op zoek naar config aangezien ik 3-6 overstap vanaf KPN.

ComTech schreef op zondag 24 mei 2020 @ 18:24:
Ik heb wel een controller in een donker container (Ubuntu VM in esxi) zou dat wat uit kunnen maken ?
Mijn APlite accespoint doet het wel gewoon daarin dus het lijkt mij stug.

[Voor 8% gewijzigd door Prx op 24-05-2020 19:31]

Prx schreef op zondag 24 mei 2020 @ 19:30:
[...]


Hoe adopt je op dit moment? Gelijk in de GUI, of heb je het ook al eens via SSH geprobeerd?

[Voor 18% gewijzigd door ComTech op 24-05-2020 20:18]

ComTech schreef op zondag 24 mei 2020 @ 20:46:
Nou ik was bezig om het weer opnieuw te proberen aangezien het niet helemaal goed ging achteraf.
Ik heb het commando wel 2x uitgevoerd maar hij deed het de 2e keer al niet meer, putty verloor de verbinding.

Nu kan ik er alleen niet meer bij via SSH want hij pakt die standaard inloggegevens niet, logisch natuurlijk.

User Tip: If you experience an issue where the status of the device loops from trying to adopt > disconnected > trying to adopt, it may be an issue with the firewall of the machine hosting the UniFi Network Controller. Port 8080 must be open for inbound traffic. Either open up that port or turn off the firewall if that’s a possibility.

[Voor 31% gewijzigd door Prx op 24-05-2020 20:55]

MisteRMeesteR schreef op zondag 24 mei 2020 @ 14:28:
[...]

Welkom op GoT

Ik persoonlijk zou kiezen voor een losse switch i.c.m. een AP-AC-Lite, hou je denk ik ook nog wat knaken over .

Al is dit natuurlijk ook afhankelijk van waar je het AP wilt plaatsen, aan het plafond? Of idd op een inbouwdoos aan de muur..

RobertMe schreef op zondag 24 mei 2020 @ 14:34:
[...]

Tsja, wat wijsheid is ligt ook aan je wensen. Als je voor een losse switch gaat, waar ga je die dan plaatsen bv? En als je eerst een switch plaatst en dan het AP heb je de PoE injector nodig (of een prijzige switch met PoE passthrough). Maar de In-Wall HD is uiteraard wel weer iets duurder.
Alternatief waar je wel nog naar kunt kijken is de gewone AC In-Wall in combinatie met een Flex Mini. Dan kom je op een E130 uit (~90 + ~35, ~40) i.p.v. de E150+ van een In-Wall HD. En de In-Wall kan dan via PoE passthrough de Flex Mini van stroom voorzien. Effectief heb je dan dus 5 poorten, van de In-Wall houd je een van de twee poorten over en van de Flex Mini houd je ook nog 4 van de 5 poorten over. Randvoorwaarde is uiteraard wel dat je de In-Wall van stroom kunt voorzien (via PoE). Want als je alleen de UDM hebt heb je (van daaruit) geen PoE voorziening voor de In-Wall, en de In-Wall wordt ook geleverd zonder injector (geldt voor alle modellen). Dus je moet dan of nog eens een injector kopen of een PoE switch plaatsen op de benedenverdieping waar je de IW op aansluit.

rfickert schreef op zondag 24 mei 2020 @ 15:37:
[...]


Is inplaats van 1 kabel, er drie leggen ook een optie? een hoop kabel, maar goedkoper dan een switch? De UDM zit dan wel vol, maar liever 1 grote switch dan alles achter elkaar.

Voor de AP is PoE wel nodig inderdaad, maar een injector op zolder/ meterkast is ook nog een optie.

Greetoz schreef op woensdag 20 mei 2020 @ 11:30:
Ik post hier even voor mijn vader. Hij heeft ook een UDM-Pro staan. Aangesloten op KPN fiber. anderhalf dag geleden is deze automatisch naar 1.7.0 geupdate en daarna niet meer bereikbaar. Internet routing werkte nog wel en het schermpje op de UDM zei online etc. Maar via de app geen verbinding en via browser naar het IP gaf welliswaar het inlog scherm maar inloggen werkte niet (gebeurde niks)..

Aantal keer herstart en uiteindelijk bootte hij niet meer en kwam met de recovery link op het scherm. Via de recovery wel weer verbinding. Dan boot hij weer na het opnieuw installeren van de firmware. Maar zodra hij Vlan34 invult het internet verbinding online maakt duurt het ongeveer 10 minuten en daarna is de UDM-Pro weer onbereikbaar. Als hij geen internet aansluit blijft de UDM bereikbaar. Zowel via de RJ45 WAN port als via een SFP RJ45 module in de Fiber WAN port...

Iemand een idee?

ComTech schreef op zondag 24 mei 2020 @ 23:39:
Nou hij draait hier inmiddels een kleine 2 uur met internet en alles werkt zoals het moet.
Ik denk dat wat @Prx opperde om het via SSH te doen werkte.
In 1e instantie niet maar heb nogmaals (dus toch echt die 2x) het adopt commando gegeven en sindsdien werkt het goed.

Nu nog kijken als de stroom er een keer afgeweest is of het blijft werken, wil hem nog verplaatsen wat is de beste manier?

En ik heb een raspberry pi ingericht als controller dus moet nog alles verplaatsen maar dat moet nu een koud kunstje zijn

[Voor 5% gewijzigd door rinkel op 24-05-2020 23:56]

Prx schreef op zondag 24 mei 2020 @ 20:44:
[...]


Bij de device instellingen van de USG kan ik inderdaad de Echo Server aanpassen (niet uitschakelen). Maar doet hij een latency check dan ook zonder USG?

Overigens vind ik een ping van mijn netwerk naar een server weinig telemetry bevatten. Er zit (zover ik weet) 0 data in van mijn omgeving, Mijn omgeving gebruikt de data alleen om te kijken of er een verbinding is met het internet en of hier noemenswaardige vertragingen mee zijn.

Al die andere meuk moet inderdaad gewoon weg. (YouTube: Theo Maassen - Met Alle Respect! - Mensen weg 3 seconden )

[Voor 4% gewijzigd door kelly.hipolito op 25-05-2020 06:32]

kelly.hipolito schreef op maandag 25 mei 2020 @ 06:04:
[...]


Eens.
Idialiter (zover ik ook weet) gebruik je dit om te kijken of er een correcte verbinding is.
Maar gebruikt Ubiquiti deze ping server en haar andere telemetry servers ook voor dit doel en enkel alleen voor dit doel?

Zowel de privacy policy alsmede de Analytics Data Collection FAQ van Ubiquiti geven hierover geen antwoord.
Zonder specifiek feitelijk antwoord kan Ubiquiti collecteren wat het wil en het gebruiken voor wat het wil.
Hoe kom je er immers achter wat men specifiek verzameld?

De Ubiquiti documentatie beschrijft erg summier en alleen wat persoonlijke gegevens zijn (copy paste vanuit de AVG) en geeft een enkel kort voorbeeld over een MAC adres.
Het geeft geen invulling aan de AVG. Niet wat men specifiek verzameld. Niet het uitdrukkelijk omschreven doel. Etc Etc.

Daarnaast ook AVG onderhevig is er nog de veelbesproken Unifi opt-out optie (bij de eerste keer dat je de controller met telemetry update bezoekt).
Los van het feit dat een opt-out melding feitelijk niet is toegestaan/niet bestaat in AVG land, stuurt de router ook na opt-out keuze in de GUI, 'other' telemetry naar haar Ubiquiti servers.

Dit lijkt mij beide niet toegestaan.

Het feit dat Ubiquiti het labelt onder de noemer: 'personal data' en 'other' geeft mij sterk het vermoeden dat Ubiquiti meer verzamelt dan enkel een MAC adres.
Een veel voorkomend voorbeeld bij router telemetry is het verzamelen van de websites die er worden bezocht.

'U mag op grond van de Verordening persoonsgegevens slechts verwerken voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doelen.'

'The key point is that all consent must be opt-in consent – there is no such
thing as ‘opt-out consent’'.

https://help.ui.com/hc/en-us/articles/360042384093
https://autoriteitpersoon...nggegevensbescherming.pdf
https://community.ui.com/...81-4d69-a3b3-45640aba1c8b
https://ico.org.uk/media/...r-consultation-201703.pdf

rinkel schreef op zondag 24 mei 2020 @ 23:55:
[...]

Wat bedoel je met verplaatsen?
De controller? Bij het wijzigen van IPadres begonnen bij mij de problemen. Ik heb het 2x gedaan, 2x een drama. Er zijn hier echter mensen die dit zonder problemen hebben kunnen doen, maar denk er over na.
Er is ook een officiële site export/move methode. Die kwam ik later pas tegen, dus nooit geprobeerd.

[Voor 0% gewijzigd door HarmoniousVibe op 25-05-2020 11:15. Reden: typo]

svenvg93 schreef op maandag 25 mei 2020 @ 11:30:
@HarmoniousVibe Kan de Edgerouter 12 dat niet allemaal? Dacht van wel namelijk.

The EdgeRouter 12P supports 24V PoE output on ten RJ45 ports.

[Voor 17% gewijzigd door HarmoniousVibe op 25-05-2020 12:28]

Die 1 poort in de tabel zal dan gaan over PoE passthrough neem ik dan aan? Sowieso wordt 20W krap voor 2 switches en 2 APs lijkt me. Of gaat dat ook alleen over die eth9 / PoE passthrough?

Daarnaast is een ER Lite 3 met een US-8-60W goedkoper (en misschien biedt het hebben van een UniFi switch nog wel voordelen in de UniFi interface?).

Darker schreef op maandag 25 mei 2020 @ 12:46:
Wat zouden jullie aanraden? Aan het huis op de hoek (ronde blauwe cirkel) OF aan de garage (zie andere blauwe cirkel). Afstand tussen woonhuis en garage is zo'n 14 meter. Rood omlijnd zijn de terrassen.

Belangrijkste overweging; gaat de AC Mesh mijn indoor devices wellicht 'storen' / overpakken van mijn AP op de begane grond?

theduke1989 schreef op maandag 25 mei 2020 @ 18:32:
Beste alle,

Ik wil een AP Pro aanschaffen. Maar wil nu dus een simpele PoE switch met 4 ports aanschaffen.
Want het wordt alleen bedoeld voor 1 AP. ik wil de Injector vermijden, want die blok komt dan dicht tegen de AP aan neem ik aan.?

Maar nu zie ik bij de goedkopere switches PoE-in staan, op internet kan ik niet echt veel info vinden.
Is dit voldoende voor een AP.

Tylen schreef op maandag 25 mei 2020 @ 18:38:
[...]
Dat blok ligt waar jij wilt

theduke1989 schreef op maandag 25 mei 2020 @ 18:32:
Ik wil een AP Pro aanschaffen.

ik wil de Injector vermijden, want die blok komt dan dicht tegen de AP aan neem ik aan.?

Maar nu zie ik bij de goedkopere switches PoE-in staan, op internet kan ik niet echt veel info vinden.

Is dit voldoende voor een AP.

HarmoniousVibe schreef op maandag 25 mei 2020 @ 11:09:
Ik ben aan het kijken om mijn LAN ivm de komende aanleg van glas opnieuw in te richten en een Edgerouter te gebruiken om de Experiabox te vervangen. Nu heb ik het echter niet helemaal helder wat de impact van de keuze van het type Edgerouter zal zijn van een gigabitverbinding die meteen na aansluiten dan wel in de nabije toekomst in gebruik zal worden genomen.

Ik heb uiteraard op de model comparison page gekeken, dus laten we daar beginnen. Wat ik het liefst zou willen is een ER die in beide richtingen simultaan Gigabit kan routeren met een ingebouwde level 2 PoE-switch met minstens 6 poorten. Wat ik heb begrepen is dat de routing throughput dan dus eigenlijk minimaal 2Gb/s zou moeten zijn. Nu zie ik daar throughput staan voor zowel 64 als 1518 byte packets. 1518 is de max MTU voor standaard ethernet, dat is me wel duidelijk. Maar wanneer moet je rekening houden met packets van 64 bytes?

Eveneens hebben veel edgerouters wel meerdere RJ-45, maar zijn deze niet geswitcht. Nu kun je deze poorten soft-bridgen, maar dat gaat ten koste van de performance omdat het via de CPU moet worden gerouteerd. Hoe groot is deze impact? Valt hij dan terug naar de eerdergenoemde maximum throughput voor routing performance? De benchmarks en vragen op het forum van ubnt zelf suggereren dat de impact veel groter is dan dat. Wat is de reden dat je wel die routingcapaciteit hebt met het routeren van bijvoorbeeld eth3 naar eth0 (wan), maar niet van eth3 naar eth2 middels een softbridge?

Wat is in een SoHo-situatie een use-case om toch meer dan 2 poorten (1 WAN, 1 LAN) te gebruiken in een niet gebridgde situatie? Als je je bekabeling zo zou kunnen trekken dat je je VLANs zou kunnen omzetten naar min of meer fysiek gescheiden LANs die dan samen op één poort van de router worden aangesloten?

Prx schreef op zondag 24 mei 2020 @ 00:45:
Afgelopen paar dagen lopen spelen met RADIUS assigned VLAN. Liep tegen het issue aan dat je moet werken met het self-signed certificaat dat aangeboden wordt als je de USG gebruikt als RADIUS server. Ja, dat gaan we dus even niet accepteren.

Heb het nu helemaal werkend. Via mijn Synology NAS heb ik een Let's Encrypt certificaat aangevraagd voor radius.example.com en die wordt dus netjes ververst door de NAS. Een scheduled task duwt dat ding nu periodiek naar de USG 3P toe en daar draaien wat scripts die hem dan installeren en de RADIUS service herstarten.

Heb een volledige write-up op de UI community neergegooid, aangezien ik daar aan het graven was voor inzichten en achtergrondinformatie.

https://community.ui.com/...1d-4abb-98d8-b9f9003e2b09

Ik wil het best hier ook nog wel plaatsen, maar het is een lap tekst van heb ik me jou daar, dus geen idee of jullie daar wel op zitten wachten. Kan hem ook nog in een tweakblog gooien.

Soit, mocht hier iemand nog een opmerking of goed idee hebben over hoe het nog beter kan, let me know!

bandy schreef op zondag 24 mei 2020 @ 10:38:
Heb sinds kort een USG achter mijn Ziggo connectbox (bridge modus) . Als ik het goed begrijp heeft de USG nu de functie van IP adressen uitdelen (WAN1) over genomen (of zou dit moeten doen) Als ik de DHCP functie in de USG aan vink en bevestig, vervolgens het instellingen menu uit ga en vervolgens weer in ga is de DHCP functie weer uitgeschakeld.

Mijn access points (AC-lites) staan alle op DHCP.
Helaas is mijn kennis nog te laag om de static-ip in te vullen, ook kan ik geen volledige informatie hierover vinden( wel wat het doet en betekent, maar niet hoe het in mijn situatie zou moeten zijn)

ComTech schreef op zondag 24 mei 2020 @ 11:32:
Ik heb 1 UniFi AP-AC-Lite en als router nu PfSense maar ik wil daar vanaf.

De USG wordt netjes gezien en heb hem eerst een IP adres gegeven in dezelfde range als mijn thuisnetwerk.
Daar heb ik ook de inform url ingezet van mijn controller.
Hij ziet hem daar ook en gaat hem adopteren maar op een gegeven moment gaat hij gewoon weer terug naar het standaard IP (192.168.1.1) terwijl de USG nog gewoon het ip heeft wat ik veranderd heb,

ComTech schreef op zondag 24 mei 2020 @ 13:05:
Ik heb alleen een 192.168.178/24 netwerk.
De USG gaat elke keer weer terug naar 192.168.1.1 terwijl ik die voor het adopteren alvast een 192.168.178.x ip-adres geef.

Jieve schreef op zondag 24 mei 2020 @ 13:06:
De desktop en de controller zitten beide in het zelfde netwerk.
Ik kan de AP ook zien zodra ik deze aansluit via de netwerkkabel.
De desktop en AP hebben beide een 162.168.5.x IP.
Ik zie hem dus ook in de conrtoller en ook via de discover tool van chrome, alleen adopten en updaten lukt dus niet.
Zou dit te maken kunnen hebben dat er een poort dicht zit op de Drytek bijvoorbeeld?

DforceNL schreef op zondag 24 mei 2020 @ 14:24:
Ik ben sinds kort overgestapt naar apparatuur van Ubiquiti. Heb sinds een week nu een UDM draaien na alle tevredenheid. Op dit moment ben ik bezig op de zolder, met het inrichten van een game/werk ruimte. Ik heb een UTP verbinding naar de zolder. Op zolder heb ik verder geen speciale zaken nodig zoals PoE. Ik heb een max van 3 vaste aansluitingen nodig en natuurlijk wifi dekking.

Wat is nu wijsheid een losse switch plaatsen en hier een AP aan toevoegen of gaan voor de UniFi HD In-Wall.
Ben erg aan het twijfel wat nu de beste keus is.

CyBeRSPiN schreef op zondag 24 mei 2020 @ 18:10:
Ik heb het ook zwaar gehad om die USG goed te krijgen in het standaard Ziggo subnet.

kelly.hipolito schreef op zondag 24 mei 2020 @ 20:27:
Het begint vervelend te worden dat je bij haast elke smartphone, APP, router, OS tegenwoordig langer bezig bent met alle telemetry uitschakelen dan het daadwerkelijke configureren. Maar dat is een andere discussie

rinkel schreef op zondag 24 mei 2020 @ 23:55:
Wat bedoel je met verplaatsen?
De controller? Bij het wijzigen van IPadres begonnen bij mij de problemen. Ik heb het 2x gedaan, 2x een drama. Er zijn hier echter mensen die dit zonder problemen hebben kunnen doen, maar denk er over na.
Er is ook een officiële site export/move methode. Die kwam ik later pas tegen, dus nooit geprobeerd.

[Voor 198% gewijzigd door nero355 op 25-05-2020 19:45]

nero355 schreef op maandag 25 mei 2020 @ 19:34:
[...]

Als je de hele Tutorial tussen Quote tags doet dan neemt het niet een hele pagina in beslag dus copy paste de hele tutorial gewoon hier op GoT

Introductie

Na heel wat doorgelezen te hebben op de verschillende fora op het internet was ik zelf ook wel op zoek naar een goede oplossing voor het gebruik van certificaten op de ingebouwde RADIUS server van de USG (3P). Standaard wordt er gebruik gemaakt van een self-signed certificaat met de naam 'ubnt', wat ervoor zorgt dat je eigenlijk alle apparaten zo in moet stellen dat zij het certificaat niet gaan valideren, of je moet iedereen dat certificaat los laten importeren zodat er geen foutmelding komt. Al met al geen prettige situatie.

Tijdens deze zoektocht kwam ik veel informatie tegen, maar niemand die het nu echt goed had opgelost. Voornamelijk mensen die maar blijven hameren op UI dat het belachelijk is dat dit niet goed geïntegreerd zit in het product. Soit, dat gaat me niet helpen, dus het dan maar zelf uitvogelen.

Standaard configuratie

Als eerste ben ik ingelogd via SSH op mijn USG 3P om eens rond te snuffelen en te kijken wat ik kan vinden. Ik wist al dat freeradius gebruikt werd als product, dus het was een kwestie van even de standaard paden afzoeken. Het configuratiebestand wat gebruikt wordt door freeradius voor zijn EAP configuratie is te vinden op:

/etc/freeradius/eap.conf

In deze configuratie wordt een verwijzing gemaakt naar een server.key en een server.pem die opgeslagen worden in de directory:

/etc/freeradius/certs/

Aldaar vinden we de twee 'bestanden', die onder de motorkap eigenlijk gewoon een symbolic link zijn naar het self-signed certificaat op een andere lokatie, te weten:

server.key -> /etc/ssl/private/ssl-cert-snakeoil.key
server.pem -> /etc/ssl/certs/ssl-cert-snakeoil.pem

Het idee

Om zo min mogelijk aanpassingen te hoeven maken aan de configuratie van de USG is het idee om de twee symoblic links te redirecten naar een eigen certificaat, in mijn geval dus van Let's Encrypt.

In eerste instantie was het idee zelfs om het nieuwe certificaat en de sleutel hier gewoon in de directory te plaatsen, maar deze zit aardig weggestopt in de configuratie van de USG. Ook heb ik begrepen dat deze configuratie bij elke firmware upgrade weer wordt overschreven. Aangezien we wel een oplossing willen hebben die uiteindelijk stand houdt, was een slimmere plek nodig om die bestanden te gaan plaatsen.

In mijn geval heb ik er dan ook voor gekozen om een directory 'radius' aan te maken op de volgende lokatie:

/config/scripts/

Zelf heb ik nooit hoeven werken met custom scripts op mijn USG, maar naar wat ik begrijp wordt alles op deze plek wel gewoon met rust gelaten tijdens een firmware upgrade. Ik heb mijn eigen bestanden hier dan ook geplaatst en daarna even een chmod gegeven naar de juiste waardes, zodat freeradius er ook netjes bij kan.

mkdir /config/scripts/radius/

chown freerad:freerad /config/scripts/radius/certificate.pem
chown freerad:freerad /config/scripts/radius/privkey.pem

chmod 400 /config/scripts/radius/certificate.pem
chmod 400 /config/scripts/radius/privkey.pem

Daarna was het alleen nog een kwestie van het omgooien van die symoblic links om ze naar deze lokatie te laten wijzen.

ln -sfn /config/scripts/radius/certificate.pem /etc/freeradius/certs/server.pem
ln -sfn /config/scripts/radius/privkey.pem /etc/freeradius/certs/server.key

chown -h freerad:freerad /etc/freeradius/certs/server.pem
chown -h freerad:freerad /etc/freeradius/certs/server.key

service freeradius restart

De service moet echt herstart worden kwam ik achter. Het was niet voldoende om alleen een reload van de freeradius configuratie uit te voeren.

Automatiseren van de symbolic links

Nu werkt dit wel voor nu, maar het idee was iets te maken wat ook in de toekomst nog gewoon blijft werken. Om dit te bewerkstelligen kwam ik een directory tegen met wat extra waarde.

/config/scripts/post-config.d/

Alles scripts in die directory worden automatisch uitgevoerd na een firmware upgrade of een reboot, zover ik begrijp. Een ideale plek om iets neer te zetten om die symbolic links weer opnieuw te maken.

Bash: /config/scripts/post-config.d/update-radius-symlink.sh

1 2 3 4 5 6 7 8 9 10 11 12

#!/bin/bash # This script is responsible for re-creating the symbolic links which are accessed by FreeRADIUS for the USG # built-in RADIUS services. ln -sfn /config/scripts/radius/certificate.pem /etc/freeradius/certs/server.pem; ln -sfn /config/scripts/radius/privkey.pem /etc/freeradius/certs/server.key; chown -h freerad:freerad /etc/freeradius/certs/server.pem; chown -h freerad:freerad /etc/freeradius/certs/server.key; service freeradius restart;

Daarna nog even de verplichte chmod om hem executable te maken.

chmod 755 /config/scripts/post-config.d/update-radius-symlink.sh

Als het goed is heeft de USG dan nu dus zijn certificaat en worden de symbolic links netjes ververst bij de reboot en/of een upgrade. Dat is dus al een heel stuk beter dan de out-of-the-box situatie.

Automatiseren installatie certificaat

De volgende stap die ik wilde bereiken is het vernieuwen van het Let's Encrypt certificaat, maar dan specifiek de installatie op de USG. Ik wil het lean & mean houden, dus geen installaties van de ACME client op de USG of ander spul om het te automatiseren. In mijn geval maak ik gebruik van mijn Synology NAS om het certificaat aan te vragen. Deze moet uiteindelijk op de USG terecht komen (kom ik nog op terug), maar dat kan natuurlijk niet direct als root. Dus ik heb ervoor gekozen om er maar vanuit te gaan dat het certificaat klaar wordt gezet in de /tmp directory, specifiek onder de volgende paden:

/tmp/radius_certificate.pem
/tmp/radius_privkey.pem

Deze bestanden moeten dus verplaatst worden naar de aangemaakte radius directory, dus daar heb ik wederom een script voor in het leven geroepen.

Bash: /config/scripts/upate-radius-certificate.sh

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

#!/bin/bash # This script is responsible for checking if there is a new certificate and private key available for the USG # RADIUS service. If this is the case, the script will move the files and replace the symlinks which are # currently in place for either the default self-signed certificate, or for the certificate which needs to be # renewed. The files and symlinks are all assigned to the freeradius user. if [ -f /tmp/radius_certificate.pem ] && [ -f /tmp/radius_privkey.pem ]; then echo "A new certificate & key was found in /tmp for RADIUS services."; mkdir -p /config/scripts/radius; mv -f /tmp/radius_certificate.pem /config/scripts/radius/certificate.pem; mv -f /tmp/radius_privkey.pem /config/scripts/radius/privkey.pem; chown freerad:freerad /config/scripts/radius/certificate.pem; chown freerad:freerad /config/scripts/radius/privkey.pem; chmod 400 /config/scripts/radius/certificate.pem; chmod 400 /config/scripts/radius/privkey.pem; /bin/bash /config/scripts/post-config.d/update-radius-symlink.sh fi

Wanneer het script wordt uitgevoerd gaat hij dus controleren of er een nieuw certificaat en sleutel klaar staat. Wanneer dit het geval is verplaatst hij die bestanden, past eigenaarschap en rechten aan en roept daarna het eerder aangemaakte script aan om de service te herstarten. Dat is nodig om het nieuwe certificaat in te laden, zoals eerder aangegeven. Natuurlijk moet het script nog wel even executable gemaakt worden.

chmod 755 /config/scripts/update-radius-certificate.sh

Het uitvoeren van dit script dient te gebeuren als root, maar ik kan niet zomaar als root inloggen en extern het signaal afgeven. Het idee is dus om het script te schedulen, en laten ze daar nu een mooie functionaliteit voor hebben ingebouwd met behulp van de custom JSON.

JSON: config.gateway.json

1 2 3 4 5 6 7 8 9 10 11 12 13 14

{ "system": { "task-scheduler": { "task": { "radius-certificate-update": { "executable": { "path": "/config/scripts/update-radius-certificate.sh" }, "interval": "15m" } } } } }

Deze dient dan op je controller geplaatst te worden in de correcte directory voor de site waar de USG voor actief is. Daarna is het een kwestie van een Force Provision van de USG in de controller en vanaf nu gaat hij netjes elke 15 minuten kijken of er werk te doen is.

Automatiseren vernieuwing certificaat (via Synology NAS)

Ik maak al veelvuldig gebruik van Let's Encrypt certificaten op mijn NAS voor zowel hosted websites (hobby projectjes) als voor mijn reverse proxy. Na eerdere pogingen hier op Tweakers om wat zaken uit te vinden wist ik al dat alle certificaten op een Synology primair onder één directory worden opgeslagen:

/usr/syno/etc/certificate/_archive/

Of een certificaat nu gebruikt wordt voor iets of niet, daar staat hij. Hij wordt door de NAS ook netjes vernieuwd, dus dat is dan ook direct geregeld. Er zit bij elk certificaat een 'renew.json' bestand en dat is maar goed ook, want elk certificaat staat in een directory met een naam opgebouwd uit random karakters. Maar in dit json bestand staat de naam zoals ik hem zelf kan herkennen.

Om het certificaat over te zetten vond ik het voor de hand liggen om de NAS toe te voegen aan de trusted keys van de USG. Standaard heeft de root user geen key, dus die heb ik even aangemaakt als root via:

ssh-keygen -t rsa

Na het beantwoorden van elke vraag met een Enter (en niets anders dan die Enter) heb ik de inhoud van de public key, zonder het commentaar aan het einde, geïmporteerd als sleutel in de controller via de GUI. Deze public key staat standaard dus opgeslagen onder:

/root/.ssh/id_rsa.pub

Om het certificaat over te zetten heb ik gebruik gemaakt van de Task Scheduler in Synology DSM, te bereiken via de Control Panel in de GUI van de Synology NAS. Ik heb daar een Scheduled Task > User-defined script taak toegevoegd. Als naam iets leuks gegeven en eenmaal per week gescheduled met het volgende Run command (User-defined script):

scp /usr/syno/etc/certificate/_archive/XXXXXX/fullchain.pem youruser@192.168.1.1:/tmp/radius_certificate.pem;
scp /usr/syno/etc/certificate/_archive/XXXXXX/privkey.pem youruser@192.168.1.1:/tmp/radius_privkey.pem

Vanzelfsprekend nog even de youruser vervangen door de gebruiker die in de controller is gekozen voor SSH toegang, alsmede het IP adres van de USG zelf. De XXXXXX moet natuurlijk ook even vervangen worden zodat het pad wijst naar het goede certificaat op de Synology NAS.

Eindresultaat

Met dit allemaal ingericht op de bovenstaande wijze heb ik volgens mij iets wat niet alleen werkt, maar ook blijft werken in de toekomst bij een upgrade. De NAS vernieuwt het certificaat en pompt het eens per week naar de USG. Die draait elke 15 minuten een snelle controle of er een certificaat & key klaar staat, waarna hij die installeert en de freeradius dienst herstart.

Na het aanmaken van het draadloze netwerk met WPA2 Enterprise, gebruik makende van de RADIUS van de USG, konden alle clients verbinden met de volgende instellingen:

code:

1 2 3 4 5 6

EAP Method: PEAP Phase-2 authentication: MSCHAPv2 CA certificate: Use system certificates Domain: <overgenomen uit Let's Encrypt certificaat> Identity: <Radius User: Username> Password: <Radius User: Password>

Het maakte voor mij niet uit of ik een certificaat had aangevraagd voor radius.example.com en in Domain dan gewoon example.com configureerde, dat werkte gewoon. Een ander domain werkte natuurlijk dan weer niet (gelukkig maar). Het instellen van het CA certificate naar Use system certificates is natuurlijk het hele idee, zodat je niet zelf hoeft te importeren op apparaten, noch dat mensen het self-signed certificaat moeten vertrouwen.

Naast EAP-PEAP werkt EAP-TTLS overigens ook met deze set-up, maar zelf heb ik daar geen behoefte aan om dat te gebruiken. Maar als jij dat prettiger vindt, dan werkt het wel.

Ps. Als je gebruik maakt van de USG RADIUS voor het toewijzen van een VLAN op basis van de gebruiker die dus inlogt via 802.1x (WPA2 Enterprise), dan mag het VLAN waar die gebruiker op uitkomt geen dedicated SSID toegewezen hebben. Je zult dus een Dummy/Default VLAN moeten toewijzen aan je WPA2 Enterprise SSID wat niet overeen komt met één van de VLANs die je wilt toewijzen aan gebruikers. Als het VLAN wel in gebruik is door een dedicated SSID dan blijft het proces van verbinden netjes hangen...

Mocht iemand hier nog aanvullingen en/of opmerkingen over hebben, gooi het dan vooral in het topic. Ik ben erg benieuwd naar de inzichten van mensen en de manieren waarop het misschien nog beter kan, want dit was mijn eerste poging voor 'customisation' van de USG.

ComTech schreef op maandag 25 mei 2020 @ 22:32:
Kan je trouwens nog ergens de temperatuur uitlezen van de USG?

ComTech schreef op maandag 25 mei 2020 @ 22:32:
Hij draait nog steeds prima.
Nu vind ik het ding best erg warm worden (had ik overal al gelezen).
En hij staat op zolder waar het ook niet koud is met zonnige dagen dus heb maar even wat geknutseld
Had nog een oude 140mm fan liggen het helpt echt veel wordt niet meer warm.
Nuttig nee maar wel leuk.
Kan je trouwens nog ergens de temperatuur uitlezen van de USG?

[Voor 20% gewijzigd door xbeam op 26-05-2020 10:26]

xbeam schreef op maandag 25 mei 2020 @ 23:31:
[...]


Dat warm wordt is normaal en kan hij wel tegen.
Zomers in de gemiddelde stranden worden ze nog warmer en dat overleven ze allemaal.

En ja de temperatuur kan Je gewoon USG info teug zien
[Afbeelding]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Will_M@HOME-GW-01:~$ show 
arp              dhcpv6-pd        interfaces       ntp              snmp             version
bridge           dns              ip               openvpn          system           vpn
configuration    firewall         ipv6             pppoe-client     table            vrrp
conntrack        flow-accounting  lldp             pppoe-server     tech-support     webproxy
date             hardware         load-balance     queueing         ubnt             zebra
debugging        history          log              reboot           update           
dhcp             host             login            route-map        upnp2            
dhcpv6           incoming         nat              shutdown         users            
Will_M@HOME-GW-01:~$ show hardware 
cpu          fan          mem          power        temperature  
Will_M@HOME-GW-01:~$ show hardware temperature 
Temperature not supported on this platform

Will_M@HOME-GW-01:~$

[Voor 36% gewijzigd door Will_M op 26-05-2020 04:01]

xbeam schreef op maandag 25 mei 2020 @ 23:31:
[...]


Dat warm wordt is normaal en kan hij wel tegen.
Zomers in de gemiddelde stranden worden ze nog warmer en dat overleven ze allemaal.

En ja de temperatuur kan Je gewoon USG info teug zien
[Afbeelding]

ComTech schreef op maandag 25 mei 2020 @ 22:32:
Hij draait nog steeds prima.
Nu vind ik het ding best erg warm worden (had ik overal al gelezen).
En hij staat op zolder waar het ook niet koud is met zonnige dagen dus heb maar even wat geknutseld
Had nog een oude 140mm fan liggen het helpt echt veel wordt niet meer warm.
Nuttig nee maar wel leuk.
Kan je trouwens nog ergens de temperatuur uitlezen van de USG?

[Afbeelding]

RobertMe schreef op maandag 25 mei 2020 @ 18:55:
[...]

Waarom een AC Pro, als ik vragen mag? Een AC Lite is een stuk goedkoper, en waarschijnlijk voldoende, een NanoHD is maar een beetje duurder en veel beter. Sinds de introductie van de NanoHD is de AC Pro dan ook een "net niet" apparaat. Gaat het je om bereik, geef dan twee tientjes extra uit en koop twee AC Lites met gegarandeerd een beter bereik. Gaat het je om snelheid, geef dan twee tientjes extra uit en koop een nog snellere NanoHD.


[...]

Zoals anderen al aangaven komt de injector waar jij hem wilt plaatsen. Dat kan aan de AP kant zijn, maar ook aan de andere kant van de kabel.


[...]

PoE in zal betekenen dat de switch zelf via PoE werkt. Oftewel: je hoeft de switch niet op de netstroom aan te sluiten maar levert de stroom via PoE, net zoals de APs de stroom via PoE ontvangen.


[...]

Neen dus. Je moet een switch hebben met PoE out.