[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

DukeBox schreef op dinsdag 23 september 2025 @ 16:00:
[...]

In welke context precies? Welke snelheid van ODIDO?
Gezien je de zyxel evt. wilt houden, alleen als AP dan?

Glasvezel 400 Mbit/s
Speedtest via Iphone 15 via wifi down 429 up 434 mbps

Zyxel houden en de express 7 in de woonkamer (bedraad) + U7 lite bedraad op zolder

of Zyxel weg en express 7 in meterkast + u7 lite op zolder bedraad

of kan ik ook met 2x een u7 lite uit de voeten?

@sander1095
In de laatste FW versie zit een fix voor PPPoE en HW offloading. Daaruit kan je opmaken dat het er beide in zit voor all drie de UCG modellen:
https://community.ui.com/...74-4f63-b878-a3b44119d589

Heb even niet paraat sinds welke versie, maar al zeker een half jaar zit het erin.

De UCG-Max is dus dezelfde SoC als de UCG-Ultra. Enige wat er meer in zit is 1GB meer RAM vanwege Protect en 2.5GbE op alle poorten.

Dus als je op 1GbE blijft zonder camera's. Voegt de Max niks toe.

Gebruik zelf de UCG-Fiber met Odido 2Gbps Fiber en 4 camera's, draait als een zonnetje.

Daarbij verwacht ik dat geen van alle modellen 10 jaar mee gaat. Dus dat kan best een streven zijn, maar ik ga er niet vanuit dat iets van netwerk hardware zo lang mee gaat, zeker niet in het prijssegment waar Unifi in zit. 5 jaar zou ik blij mee zijn.

[ Voor 6% gewijzigd door BiG-GuY op 23-09-2025 18:40 ]

BiG-GuY schreef op dinsdag 23 september 2025 @ 18:18:
Daarbij verwacht ik dat geen van alle modellen 10 jaar mee gaat. Dus dat kan best een streven zijn, maar ik ga er niet vanuit dat iets van netwerk hardware zo lang mee gaat, zeker niet in het prijssegment waar Unifi in zit. 5 jaar zou ik blij mee zijn.

Mijn UAPs (AC Lite / LR) en USWs zijn intussen de 8,5 jaar gepasseerd (en uiteraard nog supported).

De USG heb ik een jaar of 2, 2,5 terug vervangen en is daarna wel EOL gegaan.

En ook bij familie draaien al 2 NanoHDs en 2 switches 6,5 jaar naar tevredenheid. De ER4 draait er net zo lang, en supported, maar wel "iffy". Leuk die EdgeOS 3 update, maar het is gewoon 2 met een nieuwe Web UI en Wireguard. En in ieder geval de kernel, en wellicht nog meer, is nog steeds EdgeOS 1 (want Cavium SoC met closed source "drivers" voor hardware offloading en de fabrikant bestaat niet meer en (dus) geen onderhoud meer aan de SDK).

Vraagje. Ik heb een UCK-G2-PLUS met 1 TB HD en een USG-Pro-4 draaien met daarachter mijn netwerk (meerdere camera's, switches en AP's. Allemaal Unifi). Nou zit ik momenteel rechtstreeks op een Odido glasvezel verbinding van 100mbit up/down. Ik ga overstappen naar 'nieuw' Odido glazvezel met 1gig up/down. Mijn USG-Pro-4 kan in de huidige setup volgens mij zo'n 100-250 Mbit aan met Intrusion Prevention System (IPS) enabled. Dat gaat dus niet genoeg zijn.

Als oplossing zit ik te kijken naar een Cloud Gateway Fiber met 1TB opslag die volgens mij beide apparaten zou vervangen en een veel hogere troughput (5Gb/s) aankan met IPS. Een andere oplossing is de USG vervangen voor een dream router en wellicht mijn cloud key nog gebruiken voor opslag voor de camera's. Al heb ik ook een Synology DS920+ draaien en las volgens mij ergens dat het binnenkort ook mogelijk gaat zijn om daar Protect op te draaien. Wat is wijsheid in deze om de 1gbit + aan te kunnen na de overstap?

Reteip schreef op donderdag 25 september 2025 @ 14:50:
Vraagje. Ik heb een UCK-G2-PLUS met 1 TB HD en een USG-Pro-4 draaien met daarachter mijn netwerk (meerdere camera's, switches en AP's. Allemaal Unifi). Nou zit ik momenteel rechtstreeks op een Odido glasvezel verbinding van 100mbit up/down. Ik ga overstappen naar 'nieuw' Odido glazvezel met 1gig up/down. Mijn USG-Pro-4 kan in de huidige setup volgens mij zo'n 100-250 Mbit aan met Intrusion Prevention System (IPS) enabled. Dat gaat dus niet genoeg zijn.

Als oplossing zit ik te kijken naar een Cloud Gateway Fiber met 1TB opslag die volgens mij beide apparaten zou vervangen en een veel hogere troughput (5Gb/s) aankan met IPS. Een andere oplossing is de USG vervangen voor een dream router en wellicht mijn cloud key nog gebruiken voor opslag voor de camera's. Al heb ik ook een Synology DS920+ draaien en las volgens mij ergens dat het binnenkort ook mogelijk gaat zijn om daar Protect op te draaien. Wat is wijsheid in deze om de 1gbit + aan te kunnen na de overstap?

UCG-Fiber, ben er zelf zeer tevreden over met 2Gbps Odido Fiber. En heb er 4 camera's op met een 4TB SSD erin. Heb deze ter vervanging van de UDM-SE, deze unit is een stuk sneller, stiller en zuiniger. Dus keuze was snel gemaakt.

UniFi Protect Server draait enkel op (specifieke) Unifi hardware. Dit zie ik ook niet snel veranderen en is ook niks over aangekondigd. Vanuit Unifi Protect kan je wel clips exporteren naar SMB/Cloud Opslag, maar dat is niet hetzelfde als direct opnemen.

[ Voor 7% gewijzigd door BiG-GuY op 25-09-2025 15:00 ]

Reteip schreef op donderdag 25 september 2025 @ 14:50:
Vraagje. Ik heb een UCK-G2-PLUS met 1 TB HD en een USG-Pro-4 draaien met daarachter mijn netwerk (meerdere camera's, switches en AP's. Allemaal Unifi). Nou zit ik momenteel rechtstreeks op een Odido glasvezel verbinding van 100mbit up/down. Ik ga overstappen naar 'nieuw' Odido glazvezel met 1gig up/down. Mijn USG-Pro-4 kan in de huidige setup volgens mij zo'n 100-250 Mbit aan met Intrusion Prevention System (IPS) enabled. Dat gaat dus niet genoeg zijn.

Als oplossing zit ik te kijken naar een Cloud Gateway Fiber met 1TB opslag die volgens mij beide apparaten zou vervangen en een veel hogere troughput (5Gb/s) aankan met IPS. Een andere oplossing is de USG vervangen voor een dream router en wellicht mijn cloud key nog gebruiken voor opslag voor de camera's. Al heb ik ook een Synology DS920+ draaien en las volgens mij ergens dat het binnenkort ook mogelijk gaat zijn om daar Protect op te draaien. Wat is wijsheid in deze om de 1gbit + aan te kunnen na de overstap?

Ik heb mijn video spullen in een apart vlan en ik denk dat dat niet gaat als je Protect draait op je router.
Mocht je die wens niet hebben, dan maakt het niet uit.

Ik heb sinds kort een Unifi router in gebruik. De Unifi Cloud Gateway Fiber. Ik vraag me af of de standaardinstellingen van bijvoorbeeld de firewall veilig genoeg zijn. Of dat er best practices zijn om de boel veiliger te maken?

Ik heb IPS al ingeschakeld.

BiG-GuY schreef op donderdag 25 september 2025 @ 14:59:
[...]

UCG-Fiber, ben er zelf zeer tevreden over met 2Gbps Odido Fiber. En heb er 4 camera's op met een 4TB SSD erin. Heb deze ter vervanging van de UDM-SE, deze unit is een stuk sneller, stiller en zuiniger. Dus keuze was snel gemaakt.

UniFi Protect Server draait enkel op (specifieke) Unifi hardware. Dit zie ik ook niet snel veranderen en is ook niks over aangekondigd. Vanuit Unifi Protect kan je wel clips exporteren naar SMB/Cloud Opslag, maar dat is niet hetzelfde als direct opnemen.

Kun je aangeven wat er dan precies sneller, stiller en zuiniger is?
Doel je dan op de throughput? Die zou namelijk op een Udm SE prima te halen moeten zijn of het moet de pppoe hardware offloading zijn die niet in de UDM SE zit. En qua stilheid, udm SE heeft een fan, maar ook POE budget a 180 watt. Plus de HDD die erin zit zal wat lawaai produceren.

austin_77 schreef op donderdag 25 september 2025 @ 17:57:
[...]


Kun je aangeven wat er dan precies sneller, stiller en zuiniger is?
Doel je dan op de throughput? Die zou namelijk op een Udm SE prima te halen moeten zijn of het moet de pppoe hardware offloading zijn die niet in de UDM SE zit. En qua stilheid, udm SE heeft een fan, maar ook POE budget a 180 watt. Plus de HDD die erin zit zal wat lawaai produceren.

De Network throughput is inderdaad hoger, beiden kunnen de 2Gbps wel aan zonder PPPoE, maar de UCG-Fiber heeft meer performance, zeker met HW Offloading.

Maar ook de snelheid van Protect is hoger. Mogelijk ook door de NVMe SSD, ja je kan in de UDM-SE ook een SATA SSD doen, maar die zijn niet zo interessant meer qua prijs/performance en de UDM-SE fan gaat sowieso harder draaien zodra je het HDD slot gevuld hebt.

De UCGF is praktisch onhoorbaar qua fan, de UDM-SE in de meterkast kon ik wel horen buiten de meterkast. Zeker de HDD maar ook de fan.

Stroomgebruik van de UCGF (Max 29.4W ex PoE) is ook een stuk lager dan de UDM-SE (Max 50W ex PoE). In de praktijk was het verschil groter, omdat de ARM64 chip in de UCGF simpelweg efficiënter is, ook met HW offloading en een NVMe SSD is ook zuiniger dan een 3.5" HDD.

In beide gevallen gebruik ik een losse switch erachter, omdat de interne switch beperkter is.

GekkeRipper schreef op donderdag 25 september 2025 @ 17:53:
Ik heb sinds kort een Unifi router in gebruik. De Unifi Cloud Gateway Fiber. Ik vraag me af of de standaardinstellingen van bijvoorbeeld de firewall veilig genoeg zijn. Of dat er best practices zijn om de boel veiliger te maken?

Ik heb IPS al ingeschakeld.

Als jij zelf niets open zet is het net zo veilig als elke andere firewall.

CrankyGamerOG schreef op donderdag 25 september 2025 @ 19:25:
[...]

Als jij zelf niets open zet is het net zo veilig als elke andere firewall.

Op zich is deze vraag een stuk ingewikkelder dan een firewall beperken tot de voordelen van een NAT router.
In z’n algemeenheid is de ‘veiligheid’ van een firewall op basis van een aantal werkzame principes:
1) inkomend verkeer blokkeren. (Poorten dichtzetten) vergelijkbaar met een NAT router
2) pakket inspectie op bekende hacks (IPS)
3) DNS inspectie op verdachte domeinen
4) verdachte activiteiten in encrypted verkeer (vereist rommelen met decryptie keys)
5) oost - west segmentatie en beperkingen (dan moet je dat wel inregelen dus)
6) controle op verdacht uitgaand verkeer. Bijvoorbeeld camera’s en andere devices die naar het internet dingen doen die niet pluis zijn. Dan moet je dat wel configureren dus..

Veel van deze werkzame firewall features zijn alleen relevant als je ze ook inregelt op netwerk niveau.

Hopelijk helpt dit in een keuze maken waar je mee wil beginnen (en waar je nog even van weg blijft)

BiG-GuY schreef op donderdag 25 september 2025 @ 14:59:
[...]

UCG-Fiber, ben er zelf zeer tevreden over met 2Gbps Odido Fiber. En heb er 4 camera's op met een 4TB SSD erin. Heb deze ter vervanging van de UDM-SE, deze unit is een stuk sneller, stiller en zuiniger. Dus keuze was snel gemaakt.

UniFi Protect Server draait enkel op (specifieke) Unifi hardware. Dit zie ik ook niet snel veranderen en is ook niks over aangekondigd. Vanuit Unifi Protect kan je wel clips exporteren naar SMB/Cloud Opslag, maar dat is niet hetzelfde als direct opnemen.

Welke Ssd gebruik je? (4tb) in de fiber

hgwj1983 schreef op vrijdag 26 september 2025 @ 08:58:
[...]
Welke Ssd gebruik je? (4tb) in de fiber

uitvoering: Lexar NM790 (zonder heatsink) 4TB

De originele SSD tray wel los besteld, aangezien ik de UCGF zonder SSD had gekocht.

Ik heb nog een oude USG 3-p draaien en die is wel aan vervanging toe. Nu twijfel ik over de MAX en de Fiber, ik heb een ziggo verbinding (dus geen glas) maar neig naar de FIBER met het oog op de toekomst (sneller internet, misschien (ooit) overstap naar glas).

Is de Fiber ook voor nu een prima apparaat als je geen glasvezel hebt? Wat ik bijna vergeet, ik wil t.z.t. ook over met de deurbel en mogelijk 1 of 2 camera's toevoegen.

ASS-Ware schreef op donderdag 25 september 2025 @ 17:45:
Ik heb mijn video spullen in een apart vlan en ik denk dat dat niet gaat als je Protect draait op je router.
Mocht je die wens niet hebben, dan maakt het niet uit.

Werkt goed op m'n UCG Fiber, heb gewoon een apart VLAN voor m'n G5 Flex en Protect vindt dat prima.

Overspark schreef op vrijdag 26 september 2025 @ 16:49:
[...]

Werkt goed op m'n UCG Fiber, heb gewoon een apart VLAN voor m'n G5 Flex en Protect vindt dat prima.

Ja, maar je hebt protect nog steeds in hetzelfde vlan als de rest van je netwerkapparatuur.
Ik heb een UNVR en die zit ook in een apart vlan.

ASS-Ware schreef op vrijdag 26 september 2025 @ 17:39:
[...]

Ja, maar je hebt protect nog steeds in hetzelfde vlan als de rest van je netwerkapparatuur.
Ik heb een UNVR en die zit ook in een apart vlan.

zou alsnog moeten kunnen, mits je de juiste rules e.d. hebt om verkeer toe te staan tussen de vlans

CrankyGamerOG schreef op zaterdag 27 september 2025 @ 11:42:
[...]

zou alsnog moeten kunnen, mits je de juiste rules e.d. hebt om verkeer toe te staan tussen de vlans

Hoe wil je protect in een ander vlan laten werken dan, als dat op je router draait?
Vlans aanmaken en je router alleen laten benaderen via vlan 1 en protect op vlan 2?

[ Voor 11% gewijzigd door ASS-Ware op 27-09-2025 12:24 ]

Beer070 schreef op donderdag 25 september 2025 @ 20:45:
[...]

Op zich is deze vraag een stuk ingewikkelder dan een firewall beperken tot de voordelen van een NAT router.
In z’n algemeenheid is de ‘veiligheid’ van een firewall op basis van een aantal werkzame principes:
1) inkomend verkeer blokkeren. (Poorten dichtzetten) vergelijkbaar met een NAT router
2) pakket inspectie op bekende hacks (IPS)
3) DNS inspectie op verdachte domeinen
4) verdachte activiteiten in encrypted verkeer (vereist rommelen met decryptie keys)
5) oost - west segmentatie en beperkingen (dan moet je dat wel inregelen dus)
6) controle op verdacht uitgaand verkeer. Bijvoorbeeld camera’s en andere devices die naar het internet dingen doen die niet pluis zijn. Dan moet je dat wel configureren dus..

Veel van deze werkzame firewall features zijn alleen relevant als je ze ook inregelt op netwerk niveau.

Hopelijk helpt dit in een keuze maken waar je mee wil beginnen (en waar je nog even van weg blijft)

Voer om te Googelen, dank u.

GekkeRipper schreef op zaterdag 27 september 2025 @ 14:25:
[...]

Voer om te Googelen, dank u.

in de basis kun je uitgaan van 3 onderdelen waar je iets mee kan, en waar je over kan nadenken:
1) toegang naar binnen vanuit het internet: alleen noodzakelijk als je een dienst draait. hier kan je allerlei fancy controles op doen, maar voor de gemiddelde thuisgebruiker is dit vaak nauwelijks noodzakelijk. (met uitzondering van inbound VPN, en mensen die hun eigen email thuis draaien)
2) toegang naar buiten voor IOT/printers/hardware/stofzuigers etc etc etc etc: dit zou je relatief eenvoudig moeten kunnen beperken tot hetgeen echt nodig is.Meeste printers hoeven alleen naar het internet te verbinden om aan te geven dat je een dure toner kunt kopen, dus dat afsluiten is een soort van extra kostenbesparing
3) toegang naar buiten voor menselijke gebruikers: kinderen zijn een groter risico dan katten. hoever wil je gaan...? waar kom je mee weg als BOFH? Zijn er WAF (Wife Acceptance Factor) beperkingen? Bij mij thuis wordt tiktok geblokkeerd. Maar ik ken veel huishoudens waar dat niet werkt.
Als je op je firewall alle verdachte url's uitschakelt voor gebruikers, dan is de kans dat er via een linkje malware binnenkomt veel kleiner, maar de kans dat de KLM website 3x per week geblokkeerd wordt is veel groter.

Bovenstaande is vooral om over na te denken of je op een firewall 'meer' wil doen dan standaard features aanzetten en zorgen dat er geen inkomend verkeer is.
sterkte!

Ik heb sinds pakweg een jaar nu het nodige Ubiquiti/UniFi spul draaien, erg tevreden over. Oa een UDM SE, Switch Pro Max 16 PoE en 3 U7 Pro AP's.

Sinds een tijdje hoor ik de kinderen klagen dat ze op Roblox random disconnected worden en ik kan dat inmiddels rijmen met Intrusion Prevention meldingen. Daarin wordt ook aangegeven "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments."

Nu is mijn vraag: hoe kan ik deze het beste excluden, want nu wordt dit actief geblocked omdat ik Intrusion Prevention aan heb staan. De standaard keuzes die ik voorgeschoteld krijg zijn: Exclude Source IP, Exclude Destination IP, Suppress Signature, Suppress Signature for Source IP en Suppress Signature for Destination IP.

De log is:


De view advanced information geeft nog aan dat het om een IPS Alert 1 gaat.

Dit komt voor op zowel een Android tablet als een iPad. Destination IP is elke keer anders, dit keer Ierland, vorige week VS, etc. Wel is het elke keer een ET P2P eDonkey Connect Request. Signature ID is wel altijd 2003312.

Nu heb ik voor deze devices geen fixed IP, maar veelal zitten ze wel op dezelfde interne IP-adressen. Daarom zit ik te denken wat ik het beste kan doen:
1. De hele Signature suppressen voor al het verkeer.
2. De 2 tablets een fixed IP geven vanuit UniFi en dan Suppress Signature for Source IP (2x).

Is dit veilig genoeg om de gehele signature te suppressen? Dat heeft namelijk mijn voorkeur uit gemak.

MooDyBLueS schreef op zondag 28 september 2025 @ 11:23:
Ik heb sinds pakweg een jaar nu het nodige Ubiquiti/UniFi spul draaien, erg tevreden over. Oa een UDM SE, Switch Pro Max 16 PoE en 3 U7 Pro AP's.

Sinds een tijdje hoor ik de kinderen klagen dat ze op Roblox random disconnected worden en ik kan dat inmiddels rijmen met Intrusion Prevention meldingen. Daarin wordt ook aangegeven "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments."

Nu is mijn vraag: hoe kan ik deze het beste excluden, want nu wordt dit actief geblocked omdat ik Intrusion Prevention aan heb staan. De standaard keuzes die ik voorgeschoteld krijg zijn: Exclude Source IP, Exclude Destination IP, Suppress Signature, Suppress Signature for Source IP en Suppress Signature for Destination IP.

De log is:

code:

1 2 3 4 5 6 7 8 9

CEF:0|Ubiquiti|UniFi Network|9.4.19|201|Threat Detected and Blocked|9| proto=UDP src=10.0.0.188 spt=40283 dst=108.130.44.55 dpt=64792 UNIFIcategory=Security UNIFIsubCategory=Intrusion Prevention UNIFIhost=Dream Machine Special Edition UNIFIdeviceMac=<verwijderd> UNIFIdeviceName=Dream Machine Special Edition UNIFIdeviceModel=UniFi Dream Machine PRO SE UNIFIdeviceIp=10.0.0.1 UNIFIdeviceVersion=4.3.6 UNIFIrisk=high UNIFIipsSessionId=1672390275603002 UNIFIipsSignature=ET P2P Edonkey Connect Request UNIFIipsSignatureId=2003312 UNIFIutcTime=2025-09-27T19:09:22.963Z msg=A network intrusion attempt from 10.0.0.188 to 108.130.44.55 has been detected and blocked.

De view advanced information geeft nog aan dat het om een IPS Alert 1 gaat.

Dit komt voor op zowel een Android tablet als een iPad. Destination IP is elke keer anders, dit keer Ierland, vorige week VS, etc. Wel is het elke keer een ET P2P eDonkey Connect Request. Signature ID is wel altijd 2003312.

Nu heb ik voor deze devices geen fixed IP, maar veelal zitten ze wel op dezelfde interne IP-adressen. Daarom zit ik te denken wat ik het beste kan doen:
1. De hele Signature suppressen voor al het verkeer.
2. De 2 tablets een fixed IP geven vanuit UniFi en dan Suppress Signature for Source IP (2x).

Is dit veilig genoeg om de gehele signature te suppressen? Dat heeft namelijk mijn voorkeur uit gemak.

Wat is je interne IP range? Want de melding is wel apart nml:

A network intrusion attempt from 10.0.0.188 to 108.130.44.55 has been detected and blocked.

Want 10.0.0.188 is een private IP adres en zou nooit van buiten binnen moeten kunnen komen. Welke ISP heb je? En is 108.130.44.55 je externe IP adres? (Denk het ook niet want dat is een AWS IP adres zo te zien)

ASS-Ware schreef op vrijdag 26 september 2025 @ 17:39:
[...]

Ja, maar je hebt protect nog steeds in hetzelfde vlan als de rest van je netwerkapparatuur.
Ik heb een UNVR en die zit ook in een apart vlan.

Wat wil je precies bereiken dan? Dat je niet bij de Protect webinterface kan vanaf je normale VLAN? Waarom?

Het gaat mij er om dat random onzin niet rechtstreeks m'n camera's kan benaderen (en andersom), en dat lukt prima in deze set-up.

En IoT spul zit ook in een apart VLAN en die kan niet bij de UniFi webinterface, dus ook niet bij de Protect webinterface.

duvekot schreef op zondag 28 september 2025 @ 12:09:
[...]

Wat is je interne IP range? Want de melding is wel apart nml:

[...]

Want 10.0.0.188 is een private IP adres en zou nooit van buiten binnen moeten kunnen komen. Welke ISP heb je? En is 108.130.44.55 je externe IP adres? (Denk het ook niet want dat is een AWS IP adres zo te zien)

Is de implementatie niet gewoon breder dan de naam? De "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments." is dan weer vrij duidelijk dat iets van binnen het netwerk een applicatie gebruikt die je mogelijk / waarschijnlijk niet wilt zien in een zakelijke omgeving.

Ikzelf zou dan overigens verwachten dat in de controller een simpele dropdown zit waar je selecteert of het een zakelijke of prive/thuis deployment is zodat die uberhaupt dit soort meldingen niet geeft in een thuissituatie.

RobertMe schreef op zondag 28 september 2025 @ 12:46:
[...]

Is de implementatie niet gewoon breder dan de naam? De "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments." is dan weer vrij duidelijk dat iets van binnen het netwerk een applicatie gebruikt die je mogelijk / waarschijnlijk niet wilt zien in een zakelijke omgeving.

Ikzelf zou dan overigens verwachten dat in de controller een simpele dropdown zit waar je selecteert of het een zakelijke of prive/thuis deployment is zodat die uberhaupt dit soort meldingen niet geeft in een thuissituatie.

Dat zou kunnen .. maar met "Intrusion Prevention" ga ik er vanuit dat het werkt op verkeer dat binnen komt .. en dit is blijkbaar uitgaand verkeer. En een snelle"Google" laat zien dat meerdere mensen er al jaren geleden ook al tegen aan liepen (de eerste hit bij mij was zelfs ook met Roblox). Dus blijkbaar al tijden aan de gang .. en nooit aangepast of veranderd door UI.

@MooDyBLueS ik zou die signature in zijn geheel onderdrukken .. en niet verder induiken

Overspark schreef op zondag 28 september 2025 @ 12:19:
[...]

Wat wil je precies bereiken dan?

Protect is remote te benaderen.
Ik wil niet dat iemand een security flaw vindt en via Protect op de rest van mijn netwerk kan komen.

Zo ook met de controller van mijn zonnepanelen.
De fabrikant kan er op inloggen.

De Nest thermostaat, wellicht dat iemand daar in kan komen via de fabrikant.

Alles in aparte vlans.

ASS-Ware schreef op zondag 28 september 2025 @ 15:58:
Protect is remote te benaderen.
Ik wil niet dat iemand een security flaw vindt en via Protect op de rest van mijn netwerk kan komen.

Ahhh zo, die begrijp ik wel ja. Dat heeft op zich weinig met VLANs te maken, maar als je je router op afstand beheerbaar maakt dan gaat Protect daar wel in mee als ze op hetzelfde apparaat staan ja. Kan ook uit op zich, maar jij wil juist wel je camera op afstand kunnen bekijken, dus dat is niet handig nee.

Wat ik zelf doe is de PoE poort gewoon uitzetten als ik thuis ben, dan is er ook geen camera stream. Moet dat nog even automatiseren in Home Assistant trouwens, eens doen binnenkort.

[ Voor 22% gewijzigd door Overspark op 28-09-2025 16:37 ]

duvekot schreef op zondag 28 september 2025 @ 12:09:
[...]

Wat is je interne IP range? Want de melding is wel apart nml:

Voor dit netwerk is dat 10.0.0.0/24.

Want 10.0.0.188 is een private IP adres en zou nooit van buiten binnen moeten kunnen komen. Welke ISP heb je? En is 108.130.44.55 je externe IP adres? (Denk het ook niet want dat is een AWS IP adres zo te zien)

ISP is Delta Fiber, 108.130.44.55 is niet mijn externe IP-adres, die begint met 81.x.

Dat de source de tablets van mijn kinderen zijn (tijdens spelen van Roblox ben ik dus achtergekomen) is inderdaad een gekke, maar misschien dat Roblox niet geheel gebruikelijke connecties legt en het daarmee lijkt alsof van tablet naar buiten een ongewenste connectie gelegd wordt?

Ik begin in ieder geval met de optie "Suppress Signature" zonder die toe te spitsen op Destination IP (whitelisting) want dat zijn er 10+ in de afgelopen maand en inmiddels zag ik dat het niet alleen de tablets zijn, ook hun telefoons en de laptop van de oudste. Hierbij vertrouw ik maar even erop dat het voor thuisgebruik wel ok is, gezien het ook alleen met Roblox voorkomt.

Ben namelijk ook zelf even wat erin gedoken en het protocol zegt het internet het volgende over:

The ET P2P eDonkey connect request refers to network traffic associated with the eDonkey peer-to-peer (P2P) file-sharing protocol. This protocol is often flagged by intrusion detection systems (IDS) or firewalls as a potential threat due to its association with unauthorized file sharing or potential misuse.

Het is dus bekend dat deze vaak aangemerkt wordt als potentieel risico.

Doordat ik de afgelopen maand op 1 andere melding na alleen deze voorbij heb zien komen van het Roblox gebruik van de kinderen, durf ik wel te stellen dat het risico beperkt zal zijn.

Overspark schreef op zondag 28 september 2025 @ 16:34:
[...]

Ahhh zo, die begrijp ik wel ja. Dat heeft op zich weinig met VLANs te maken, maar als je je router op afstand beheerbaar maakt dan gaat Protect daar wel in mee als ze op hetzelfde apparaat staan ja. Kan ook uit op zich, maar jij wil juist wel je camera op afstand kunnen bekijken, dus dat is niet handig nee.

Wat ik zelf doe is de PoE poort gewoon uitzetten als ik thuis ben, dan is er ook geen camera stream. Moet dat nog even automatiseren in Home Assistant trouwens, eens doen binnenkort.

Security through Obsecurity

Overspark schreef op zondag 28 september 2025 @ 16:34:
[...]

Ahhh zo, die begrijp ik wel ja. Dat heeft op zich weinig met VLANs te maken

Het scheiden van delen van je netwerk heeft weinig met vlans te maken?
🤯

ASS-Ware schreef op zondag 28 september 2025 @ 22:33:
[...]

Het scheiden van delen van je netwerk heeft weinig met vlans te maken?
🤯

Uwes heeft nog nooit van L2 Vlan's gehoord zeker?

Will_M schreef op zondag 28 september 2025 @ 19:54:
[...]


Security through Obsecurity

Meer een vorm van gegarandeerde privacy?

Security through obscurity komt normaliter toch neer op dat een (/de primaire?) manier van beveiligen is "dat niemand het weet". Bv een URL die alleen jij kent maar de hele wereld toegang toe heeft. Of "de sleutel onder de mat leggen", dat werkt, zolang niemand anders weet dat die sleutel er ligt.

Het uitschakelen van camera's als je thuis bent heeft dan weer niks met beveiliging te maken, maar puur privacy / dat je jezelf niet wilt opnemen.

MooDyBLueS schreef op zondag 28 september 2025 @ 11:23:
Ik heb sinds pakweg een jaar nu het nodige Ubiquiti/UniFi spul draaien, erg tevreden over. Oa een UDM SE, Switch Pro Max 16 PoE en 3 U7 Pro AP's.

Sinds een tijdje hoor ik de kinderen klagen dat ze op Roblox random disconnected worden en ik kan dat inmiddels rijmen met Intrusion Prevention meldingen. Daarin wordt ook aangegeven "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments."

Nu is mijn vraag: hoe kan ik deze het beste excluden, want nu wordt dit actief geblocked omdat ik Intrusion Prevention aan heb staan. De standaard keuzes die ik voorgeschoteld krijg zijn: Exclude Source IP, Exclude Destination IP, Suppress Signature, Suppress Signature for Source IP en Suppress Signature for Destination IP.

Kun je voor je kids geen apart VLAN aanmaken en die excluden van Intrusion Prevention?

ASS-Ware schreef op maandag 29 september 2025 @ 09:59:
[...]

Kun je voor je kids geen apart VLAN aanmaken en die excluden van Intrusion Prevention?

Ik heb ooit eens ergens voor mijn zoon een ip block allowed gebruikt door roblox geloof ik.

ASS-Ware schreef op maandag 29 september 2025 @ 09:59:
[...]

Kun je voor je kids geen apart VLAN aanmaken en die excluden van Intrusion Prevention?

Dat is het overwegen waard, maar ik heb ook gasten (lees: vrienden van mijn kinderen) die ook over de vloer komen en die verbinden middels de QR code in de hal van de guest wifi (apart vlan) en zo krijg je mogelijk best veel uitsluitingen.

Ook merk ik volgens mij een bug in de Intrusion Prevention, wellicht alleen in de UI? Als ik nu namelijk de Suppress Signature knop klik dan wordt die lichter van kleur maar gebeurt er verder niks, blader ik vervolgens naar de settings en Intrusion Prevention dan lijkt die uit te staan, maar geef ik de UDM SE een herstart dan staat het wel gewoon weer aan, heel gek. En vanuit daar een exclusion aanmaken kan niet op signature, alleen op incoming/outgoing/both en IP/netwerk/subnet die je uitsluit van checks, maar dat zijn ook gelijk alle checks.

Overigens is het geen ramp dit, kleine disconnect die 3/4x per week lijkt voor te komen en binnen 15 sec zijn ze weer in het spel, dus ik blijf wel even zoeken/uitvogelen.

ASS-Ware schreef op maandag 29 september 2025 @ 09:59:
[...]

Kun je voor je kids geen apart VLAN aanmaken en die excluden van Intrusion Prevention?

dat heet toch een 'gasten' netwerk? voor die gasten die de hele tijd zitten te gamen?

Beer070 schreef op maandag 29 september 2025 @ 13:50:
[...]

dat heet toch een 'gasten' netwerk? voor die gasten die de hele tijd zitten te gamen?

Niet persé.
Je kan het voor het KIDS netwerk uitzetten en voor GUEST aan laten staan.
Tenzij je gasten ook zitten te gamen.

Will_M schreef op zondag 28 september 2025 @ 19:54:
[...]
Security through Obsecurity

Uh, nee hoor, dat is compleet iets anders. Security through obscurity komt neer op dingen verstoppen en hopen dat ze niet gevonden worden. De stroom van een camera af halen onder bepaalde omstandigheden zorgt er voor dat het ding niet eens gehackt kan worden al zou het je lukken om in dat VLAN terecht te komen. Wat sowieso al niet erg waarschijnlijk is. Maar zelfs als ie gehackt is terwijl hij aan staat (of al gehackt uit de doos kwam) dan nog kan ie geen opnames van mij naar buiten sturen, want hij staat gewoon niet aan als ik er ben.

Overspark schreef op maandag 29 september 2025 @ 15:35:
[...]

Uh, nee hoor, dat is compleet iets anders. Security through obscurity komt neer op dingen verstoppen en hopen dat ze niet gevonden worden. De stroom van een camera af halen onder bepaalde omstandigheden zorgt er voor dat het ding niet eens gehackt kan worden al zou het je lukken om in dat VLAN terecht te komen. Wat sowieso al niet erg waarschijnlijk is. Maar zelfs als ie gehackt is terwijl hij aan staat (of al gehackt uit de doos kwam) dan nog kan ie geen opnames van mij naar buiten sturen, want hij staat gewoon niet aan als ik er ben.

Dan kan ie toch opnames naar buiten sturen bij jouw afwezigheid?

ASS-Ware schreef op maandag 29 september 2025 @ 15:37:
Dan kan ie toch opnames naar buiten sturen bij jouw afwezigheid?

Klopt, maar dat vind ik niet zo'n probleem. Mijn threat model is anders dan dat van jou, dus zien onze oplossingen er ook anders uit.

Overspark schreef op maandag 29 september 2025 @ 15:35:
[...]

Uh, nee hoor, dat is compleet iets anders. Security through obscurity komt neer op dingen verstoppen en hopen dat ze niet gevonden worden. De stroom van een camera af halen onder bepaalde omstandigheden zorgt er voor dat het ding niet eens gehackt kan worden al zou het je lukken om in dat VLAN terecht te komen. Wat sowieso al niet erg waarschijnlijk is. Maar zelfs als ie gehackt is terwijl hij aan staat (of al gehackt uit de doos kwam) dan nog kan ie geen opnames van mij naar buiten sturen, want hij staat gewoon niet aan als ik er ben.

Maar om het weer naar netwerken te trekken..., als ze vervolgens toegang krijgen tot de switch (of network controller) kunnen ze PoE wel weer aan zetten. Echt veilig is het dus pas als je fysiek de kabel uit trekt (of op een andere offline manier de stroom er af haalt. Een PoE injector op een domme schakelklok zou bv ook kunnen).

Oops ... https://unifi.ui.com/ ligt er uit momenteel.
Toch handig als je er lokaal ook bij kunt ... wat om de 1 of andere reden ook niet werkt.
Hmm.

Unifi UCG Ultra gereboot, alles werkt, behalve https://unifi.ui.com/ en lokale toegang tot Network.
Heel vreemd.

Een half uur later deed de website https://unifi.ui.com/ het weer en kon ik er lokaal ook weer bij.
Verontrustend.

[ Voor 67% gewijzigd door ASS-Ware op 30-09-2025 00:54 ]

@ASS-Ware en weet je zeker dat het aan Unifi ligt en niet aan (DNS?) van je provider?

Ronwiel schreef op dinsdag 30 september 2025 @ 08:42:
@ASS-Ware en weet je zeker dat het aan Unifi ligt en niet aan (DNS?) van je provider?

Nee, die gebruik ik niet en verder werkte alles prima.

Ik had gisteren dat de poort op mijn USW EnterpriseXG 24 die de link verzorgt naar de switch in mijn huiskamer opeens stopte met functioneren. Ik kreeg aan de kant van de huiskamer geen link indicatie, maar aan de kant van de USW EnterpriseXG 24 wel. Opnieuw inpluggen (aan beide kanten) werkte niet, hoewel de USW EnterpriseXG 24 na het opnieuw inpluggen wel aangaf dat er een link zou moeten zijn. Na het inpluggen in een andere poort werkte het verder weer. Na het opnieuw opstarten van de switch werkte de originele poort ook weer zoals het hoort.

Hebben mensen hier wel eens last van poorten die lijken te crashen? Weet iemand wat hier een mogelijke oorzaak van is en wat dan wellicht een herhaling kan voorkomen?

[ Voor 3% gewijzigd door ocf81 op 30-09-2025 09:55 ]

ocf81 schreef op dinsdag 30 september 2025 @ 09:30:
Ik had gisteren dat de poort op mijn USW EnterpriseXG 24 die de link verzorgt naar de switch in mijn huiskamer opeens stopte met functioneren. Ik kreeg aan de kant van de huiskamer geen link indicatie, maar aan de kant van de USW EnterpriseXG 24 wel. Opnieuw inpluggen (aan beide kanten) werkte niet, hoewel de USW EnterpriseXG 24 na het opnieuw inpluggen wel aangaf dat er een link zou moeten zijn. Na het inpluggen in een andere poort werkte het verder weer. Na het opnieuw opstarten van de switch werkte de originele poort ook weer zoals het hoort.

Hebben mensen hier wel eens last van poorten die lijken te crashen? Weet iemand wat hier een mogelijke oorzaak van is en wat dan wellicht een herhaling kan voorkomen?

ik heb een vergelijkbaar probleem af en toe met een SFP+ verbinding tussen een USW XG10POE en een Aruba 1930 switch. daarbij geeft Aruba aan dat de link door spanning-tree of loop-detection disabled staat, en die gaat dan niet meer op enabled. (auto expire staat daar aan). Het lijkt er dan op of de poort lijkt te crashen maar als ik naar de management console ga en de error clear dan doet ie het gewoon weer. (wel jammer dat ik daarvoor dan een ander draadje moet inpluggen)

ASS-Ware schreef op maandag 29 september 2025 @ 23:49:
Oops ... https://unifi.ui.com/ ligt er uit momenteel.
Toch handig als je er lokaal ook bij kunt ... wat om de 1 of andere reden ook niet werkt.
Hmm.

Unifi UCG Ultra gereboot, alles werkt, behalve https://unifi.ui.com/ en lokale toegang tot Network.
Heel vreemd.

Een half uur later deed de website https://unifi.ui.com/ het weer en kon ik er lokaal ook weer bij.
Verontrustend.

Werd de Site Manager niet geupdate toevallig?
Ik zag ineens een linkermenu erbij.

Fox-Racing schreef op dinsdag 30 september 2025 @ 15:03:
[...]


Werd de Site Manager niet geupdate toevallig?
Ik zag ineens een linkermenu erbij.

Nope, ik update alles met de hand.

Hmmm hier ook wat vreemd (iig voor mij).

USW Flex mini van iemand overgenomen, aangesloten en is nog in een andere console in beheer. Gebeurd vaker, even resetten, adopten en klaar. Even later stond in de app opeens 'tap to resolve' en de melding dat het apparaat niet beheerd word in deze console Weer even gereset en melding weg maar lijkt de Flex mini niet goed te zijn. Als ik er in de app op klik krijg ik alleen te zien 'no clients found' en verder een zwart scherm

Meerdere keren gereset, FW update via recovery gedaan maar blijft de 'tap to resolve' geven.

Kijk ik op de PC dan staat de Flex mini er netjes bij en kan ik alles aanpassen wat ik bij mijn andere Flex mini ook kan doen dus lijkt prima adopted te zijn

Bugje in de app of is er wat niet goed aan de Flex mini?

Ik heb jarenlang een setup gedraaid met een EdgeRouter Lite en twee Ubiquiti access points, achter een Ziggo-modem in bridge modus. Werkte 10 jaar lang probleemloos, dus complimenten voor die hardware.

Nu ben ik overgestapt op Odido glasvezel met een Zyxel T-56 modem. Sindsdien krijg ik mijn eigen router en access points niet meer aan de praat. Vermoedelijk omdat de Zyxel T-56 niet in bridge modus staat (volgens mij kan dat ook niet), en zelf IP-adressen uitdeelt (192.168.1.1). Mijn EdgeRouter wil ook 192.168.1.1 gebruiken en dat botst natuurlijk.

Waarschijnlijk moet ik iets in de EdgeRouter aanpassen, maar het is alweer even geleden dat ik daar in gedoken ben. Heeft iemand ervaring met deze combinatie of een tip hoe dit het beste op te lossen?

Royalpieter schreef op dinsdag 30 september 2025 @ 22:44:
Ik heb jarenlang een setup gedraaid met een EdgeRouter Lite en twee Ubiquiti access points, achter een Ziggo-modem in bridge modus. Werkte 10 jaar lang probleemloos, dus complimenten voor die hardware.

Nu ben ik overgestapt op Odido glasvezel met een Zyxel T-56 modem. Sindsdien krijg ik mijn eigen router en access points niet meer aan de praat. Vermoedelijk omdat de Zyxel T-56 niet in bridge modus staat (volgens mij kan dat ook niet), en zelf IP-adressen uitdeelt (192.168.1.1). Mijn EdgeRouter wil ook 192.168.1.1 gebruiken en dat botst natuurlijk.

Waarschijnlijk moet ik iets in de EdgeRouter aanpassen, maar het is alweer even geleden dat ik daar in gedoken ben. Heeft iemand ervaring met deze combinatie of een tip hoe dit het beste op te lossen?

Als je Odido direct wil draaien (zonder T-56) moet je wan naar vlan 300 zetten. Als je de zyxel T-56 wil blijven gebruiken kan je het LAN adres en de dhcp setting op de zyxel omzetten naar 192.168.2.1/24 en dan werkt de edge router weer gewoon als nat router.
Ik heb net vandaag het ene scenario naar het andere gemigreerd bij mijn ouders, dus zit nog vers in het geheugen

martin484 schreef op vrijdag 26 september 2025 @ 12:52:
Ik heb nog een oude USG 3-p draaien en die is wel aan vervanging toe. Nu twijfel ik over de MAX en de Fiber, ik heb een ziggo verbinding (dus geen glas) maar neig naar de FIBER met het oog op de toekomst (sneller internet, misschien (ooit) overstap naar glas).

Is de Fiber ook voor nu een prima apparaat als je geen glasvezel hebt? Wat ik bijna vergeet, ik wil t.z.t. ook over met de deurbel en mogelijk 1 of 2 camera's toevoegen.

Ik stond voor dezelfde keuze; de vele ervaringen/klachten over de Max die erg warm wordt warenvoor mij de reden om de Fiber te nemen. Ook met het oog op de toekomst. Die heeft hier prima nog even op Ziggo gedraaid. Inmiddels over naar glas; die nu ingesteld als primaire WAN en Ziggo als secundaire (failover) WAN. Dat blijft zo totdat het Ziggo contract over een maand uitloopt.

Royalpieter schreef op dinsdag 30 september 2025 @ 22:44:
Ik heb jarenlang een setup gedraaid met een EdgeRouter Lite en twee Ubiquiti access points, achter een Ziggo-modem in bridge modus. Werkte 10 jaar lang probleemloos, dus complimenten voor die hardware.

Nu ben ik overgestapt op Odido glasvezel met een Zyxel T-56 modem. Sindsdien krijg ik mijn eigen router en access points niet meer aan de praat. Vermoedelijk omdat de Zyxel T-56 niet in bridge modus staat (volgens mij kan dat ook niet), en zelf IP-adressen uitdeelt (192.168.1.1). Mijn EdgeRouter wil ook 192.168.1.1 gebruiken en dat botst natuurlijk.

Waarschijnlijk moet ik iets in de EdgeRouter aanpassen, maar het is alweer even geleden dat ik daar in gedoken ben. Heeft iemand ervaring met deze combinatie of een tip hoe dit het beste op te lossen?

Je hebt de Zyxel toch niet nodig? Gewoon vanuit het glasvezelpunt direct in de Edge router.

Royalpieter schreef op dinsdag 30 september 2025 @ 22:44:
Ik heb jarenlang een setup gedraaid met een EdgeRouter Lite en twee Ubiquiti access points, achter een Ziggo-modem in bridge modus. Werkte 10 jaar lang probleemloos, dus complimenten voor die hardware.

Nu ben ik overgestapt op Odido glasvezel met een Zyxel T-56 modem. Sindsdien krijg ik mijn eigen router en access points niet meer aan de praat. Vermoedelijk omdat de Zyxel T-56 niet in bridge modus staat (volgens mij kan dat ook niet), en zelf IP-adressen uitdeelt (192.168.1.1). Mijn EdgeRouter wil ook 192.168.1.1 gebruiken en dat botst natuurlijk.

Waarschijnlijk moet ik iets in de EdgeRouter aanpassen, maar het is alweer even geleden dat ik daar in gedoken ben. Heeft iemand ervaring met deze combinatie of een tip hoe dit het beste op te lossen?

Kun je niet in de Zyxel het subnet aanpassen?

Als je het subnet in de ER aanpast veranderen immers de alle interne IP addressen.

Maar als ik het goed zie heeft die Zyxel helemaal geen glasvezelaansluiting? Dus is het alleen een router? En heb je daarvoor nog een losse ONT die glasvezel => ethernet doet?
In dat geval heb je die hele Zyxel toch niet nodig? De ONT is dan je "bridge" die puur van glasvezel naar ethernet gaat. Enige dat je dan denk ik moet doen is gebruik maken van het juiste VLAN voor de WAN? En als je vaste telefonie afneemt overstappen op CheapConnect. Dan heb je gewoon een "vrije" VOIP oplossing die je op eigen (VOIP) hardware kunt instellen i.p.v. verplicht hardware van de provider gebruiken die alleen met hun eigen VOIP werkt en vervolgens weer naar een analoge lijn gaat zodat jouw telefoon er weer iets digitaals van kan maken. En telefonie bij ISPs is daarnaast ook duuur en CheapConnect is veel goedkoper (€9 per jaar i.p.v. paar euro per maand, geen starttarief, en bellen naar mobiel (duurst) voor 5,x cent per minuut, naar vast "ds helft". Bij ISPs betaal je denk ik altijd ruim meer dan 10 cent (intussen misschien soms al 20 cent?) per minuut.