[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

boomer21 schreef op donderdag 12 augustus 2021 @ 09:40:
Kan je geen vpn met alleen webserver op de usg maken weet niet als het kan maar dat hoor je dan wel van experts,bij ons werk vpn perfect maar ik heb voor het hele interne netwerk moet toch ook kunnen op 1 appperaat?

Peutpeut schreef op donderdag 12 augustus 2021 @ 11:30:
Afgelopen weekend de buitenmuur van de garage geboord om 2x UTP op de buitenmuur van de garage te krijgen. Voor een UAP-AC-M en een G3 camera.

Nog tips voor het installeren hiervan? Ik heb keuze tussen een muur op het zuiden of op het oosten. Dit in verband met het verkleuren door de zon, al zal dat toch wel gebeuren op termijn. De camera en AP komen naast elkaar te hangen.

Polyphemus schreef op vrijdag 13 augustus 2021 @ 16:28:
Nou, de UDMPSE staat ook in de EA-store...

xbeam schreef op donderdag 12 augustus 2021 @ 23:10:
[...]

De cpu zo min mogelijk belasten dus zorgen dat je zo min mogelijk aan login en firewall filtering doet
┐('～`;)┌ Klagen bij ubnt

Paprika schreef op vrijdag 13 augustus 2021 @ 13:54:
Inmiddels weet ik dat ook EagleTitan wel hetzelfde issue heeft, dus dan voel ik me toch al iets minder dom .

xbeam schreef op vrijdag 13 augustus 2021 @ 23:56:
[...]


Ik ben ook niet de enige
https://community.ui.com/...91-4abf-9f95-3a7c50d8b957

https://community.ui.com/...22-46df-a3d4-7458c1df31a1

https://community.ui.com/...2f-41c7-9188-a30036c2e4c2

Topics hier over genoeg

Sebazzz schreef op zaterdag 14 augustus 2021 @ 09:20:
Mijn UDM (de cylinder) is gigantisch aan het blazen de laatste tijd. Hij staat in de woonkamer dus het geluid van de fan is zeer irritant - nog even los van het extra energieverbruik.

Heeft iemand dit ook meegemaakt? Ik heb threat protection en traffic identification uitgeschakeld maar dit helpt niet echt. Draait gewoon een standaard wifi netwerk en route mijn thuisverkeer naar buiten.

Polyphemus schreef op zaterdag 14 augustus 2021 @ 09:38:
[...]

Misschien stof? Dat ging mijn playstation 4 ook doen op een gegeven moment

Sebazzz schreef op zaterdag 14 augustus 2021 @ 10:50:
[...]

Die hele ventilator hoort niet aan te staan. Systeembelasting is vaak ook rond de 56%

1

sensors

[ Voor 7% gewijzigd door Hulliee op 14-08-2021 11:49 ]

Pepppie schreef op zaterdag 14 augustus 2021 @ 13:27:
W.b.t. de Dream Machine Pro SE; zou voor mij perfect zijn om zonder switch verder te gaan. Echter; ik heb 9x RJ45 LAN nodig.

Is poort 11 (SFP+) als 1gbit RJ45 LAN te gebruiken als ik deze module gebruik?

RobertMe schreef op zaterdag 14 augustus 2021 @ 13:31:
[...]

Een antwoord op je vraag heb ik niet. Maar ik heb wel ander afschrikkend nieuws. De switch kan maar met 1Gbit/s met de CPU communiceren, en in ieder geval alle verkeer tussen VLANs en internet verkeer moet dus via deze 1Gbit/s verbinding. Oftewel: grote kans dat je hier een bottleneck gaat creëren.

Pepppie schreef op zaterdag 14 augustus 2021 @ 13:27:
W.b.t. de Dream Machine Pro SE; zou voor mij perfect zijn om zonder switch verder te gaan. Echter; ik heb 9x RJ45 LAN nodig.

Is poort 11 (SFP+) als 1gbit RJ45 LAN te gebruiken als ik deze module gebruik?

RobertMe schreef op zaterdag 14 augustus 2021 @ 13:31:
[...]

Een antwoord op je vraag heb ik niet. Maar ik heb wel ander afschrikkend nieuws. De switch kan maar met 1Gbit/s met de CPU communiceren, en in ieder geval alle verkeer tussen VLANs en internet verkeer moet dus via deze 1Gbit/s verbinding. Oftewel: grote kans dat je hier een bottleneck gaat creëren.

Will_M schreef op zaterdag 14 augustus 2021 @ 13:58:
[...]


Da's lekker als je er acht 4K PoE camera's op hangt

Pepppie schreef op zaterdag 14 augustus 2021 @ 13:27:

Is poort 11 (SFP+) als 1gbit RJ45 LAN te gebruiken als ik deze module gebruik?

Tylen schreef op zaterdag 14 augustus 2021 @ 14:04:
[...]


Dat valt wel mee. Mijn 4K camera filmt continue op de hoogste stand en dat is rond de 7Mpbs.

• Device Password van de CKG2+ tijdelijk resetten naar iets 'SIMPELS'.
• Tijdelijk even een WiFI netwerk met haar SSID/WPA2-PSK/AES gegevens op DHCP hosten waarop het ding te koppelen is met mijn Unifi Protect installatie op de CKG2+ middels Bluetooth /de Unifi Protect App op m'n telefoon.
• Kijken of de interne WebServer van de G3-Instant ná een powercycle blijft draaien zónder regelmatig contact met de Unifi Protect installatie (SSID / Netwerk dus afzonderen van de rest van m'n netwerk).
• Device Password van de CKG2+ terug zetten naar iets 'minder simpels'
• Umanage Camera in MIJN Unifi Protect omgeving.
• Camera bij haar droppen en.... Succes er mee

[ Voor 14% gewijzigd door Will_M op 14-08-2021 15:18 ]

Polster schreef op zaterdag 14 augustus 2021 @ 14:11:
[...]


Ja dat werkt prima. Ik gebruik 2 van deze modules, 1 voor de SFP WAN2 poort en de andere als LAN naar mijn switch toe.

Pepppie schreef op zaterdag 14 augustus 2021 @ 14:28:
[...]

Oké, dus als ik de SFP+ LAN (poort 11) naar een smart tv laat gaan, dan gaat dat dus gewoon werken? Even de check omdat jij hem als uplink gebruikt.

WAN2 is evt ook nog om te bouwen of gebruik je die als WAN, maar dan met een RJ45-kabel?

Tomatoman schreef op zaterdag 14 augustus 2021 @ 14:27:
Ik heb een UniFi 6 Long-Range access point, maar geen Cloud Key (Pro) of UDM (Pro). Via de UniFi Network App op iOS/iPadOS en via de Java app voor Windows lukt het mij niet om een gastennetwerk (of een tweede netwerk met eigen SSID) in te richten. Dat is nogal waardeloos, want nu moet ik alsnog het gastennetwerk op mijn Fritz!Box in de lucht houden. En laat de wispelturigheid daarvan nou net de reden zijn geweest dat ik een Ubiquiti access point heb gekocht

Zie ik iets over het hoofd, of is dit zonder aanvullende Ubiquiti apparatuur echt niet mogelijk?

Paprika schreef op zaterdag 14 augustus 2021 @ 00:29:
[...]

Die had ik ook al gezien, maar de afwijkende reacties hier op Tweakers hadden mij aan het denken gezet. Het werd helemaal gek toen een vriend zei dat het voor hem prima werkt. Hij gebruikt overigens niet eens de NTU en doet alles rechtstreeks op de SFP ingang van de UDM Pro, maar in zijn KPN tijd had ie nog 500mbit (nu Tweak, met DHCP) en dus was mijn verbazing dat ie claimde dat het 100% heeft gewerkt al snel verdwenen toen ie zelf besefte dat ie 500mbit had in die tijd en niet 1gbit.

xbeam schreef op zaterdag 14 augustus 2021 @ 14:40:
[...]


Kan jij als je tijd en zin hebt iets proberen?
Je kan bij je wan een QOS tag mee geven kan hier 3 en 5 proberen?

Paprika schreef op zaterdag 14 augustus 2021 @ 14:44:
[...]

USG Pro eruit en de UDM Pro configureren zoals voorheen en dan die tag toepassen?

[ Voor 71% gewijzigd door xbeam op 14-08-2021 21:21 ]

xbeam schreef op zaterdag 14 augustus 2021 @ 15:31:
[...]

Yes, Het is een probeersel om KPN helemaal uit te sluiten.
Ik kwam wat documentatie tegen dat KPN in overvolle in wba gebieden met congestie vekeer met een hogere tag voorrang geeft en op eigen(kpn) router kan doen door met de prio en voice tag’

Standaard wordt al het verkeer getaged als 0 ( best effort) Tag 3 is high en tag 5 voice
[Afbeelding]

[Afbeelding]

[Afbeelding]

Pepppie schreef op zaterdag 14 augustus 2021 @ 14:28:
[...]

Oké, dus als ik de SFP+ LAN (poort 11) naar een smart tv laat gaan, dan gaat dat dus gewoon werken? Even de check omdat jij hem als uplink gebruikt.

WAN2 is evt ook nog om te bouwen of gebruik je die als WAN, maar dan met een RJ45-kabel?

SkyFlyer schreef op zaterdag 14 augustus 2021 @ 16:24:
De UDM Pro SE is nu ok in EU te krijgen. Ik heb hem zojuist besteld, en ga beginnen aan mijn Unifi netwerk !

[ Voor 10% gewijzigd door Kek op 14-08-2021 16:43 ]

Paprika schreef op zaterdag 14 augustus 2021 @ 15:35:
[...]

Ik kan hier een andere dag wel naar kijken, maar heeft dit veel zin als ik consistent mijn snelheid haal nu de USG Pro dit werk op zich neemt?

Kek schreef op zaterdag 14 augustus 2021 @ 16:40:
[...]


faaack, al niet meer, ik was em aan het bestellen, rakel mijn CC van ergesn vandaan, voer alles in en bam.. sold out..

[ Voor 29% gewijzigd door xbeam op 14-08-2021 21:24 ]

Paprika schreef op vrijdag 13 augustus 2021 @ 22:15:
NTU -> USG Pro (geen IDS/IPS) -> UDM Pro (wel IDS/IPS) -> reeks aan Ubiquiti meuk

Tevreden? Nee, maar nu haal ik wel de 930/930.

Tag me maar als er een keer een fix zit in de release notes (oftewel je hoeft me nooit te taggen ).

QempZoR schreef op zaterdag 14 augustus 2021 @ 20:26:
Wat is jullie advies? Qua WiFi6 apparaten bezitten we nu (nog) alleen 2 iPhones (12)
Is het uberhaupt een meerwaarde om te upgraden?
Die U6 Pro's zien er op papier wel erg goed uit..

QempZoR schreef op zaterdag 14 augustus 2021 @ 20:26:
Vorig jaar 2 AP AC Pro's gekocht, (boven en beneden)
Nu zit ik de laatste tijd te twijfelen om ze te vervangen voor een u6 lite of de upcoming u6 pro (de u6 LR is denk ik wat te overkill, + dat deze ook weer groter is.

Aan de andere kant heb ik nog wel wat IoT in huis die afhankelijk zijn van 2,4G.

Wat is jullie advies? Qua WiFi6 apparaten bezitten we nu (nog) alleen 2 iPhones (12)
Is het uberhaupt een meerwaarde om te upgraden?
Die U6 Pro's zien er op papier wel erg goed uit..

Fireball86 schreef op zaterdag 14 augustus 2021 @ 20:54:
Heeft het daarnaast nog nadelen om een Early Access model te kopen?

nero355 schreef op zaterdag 14 augustus 2021 @ 20:12:
[...]

Ik vraag me af hoeveel nut dat heeft : De WAN zit tenslotte aan de WAN poort van de USG Pro en niet de UDM Pro

Hoe regel je het verkeer eigenlijk :
- NAT achter NAT.
- Subnet laten NATten en Routeren vanaf de USG Pro naar de UDM Pro en aan de LAN kant daarvan gebruiken.

De laatste optie zou dan mijn voorkeur hebben!
_{Ondanks de lichte onzinnigheid...}


[...]




[...]

Wie weet doen ze wel wat met de input van @xbeam en fixen de Suricata meuk

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

client
dev tun
proto udp
remote 194.110.112.147 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
comp-lzo no

remote-cert-tls server

auth-user-pass /config/user-data/nordvpnauth.txt
route-nopull
verb 3
pull
fast-io
cipher AES-256-CBC
auth SHA512
<ca>
[certificaat data]
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
</tls-auth>
[meer certificaat data]

1
2
3
4
5
6
7

admin@USG:/config/user-data$ ls -al
total 20
drwxrwsr-x    2 root     vyattacf      4096 Jul 30 14:23 .
drwxrwsr-x   13 root     vyattacf      4096 Aug 15 06:17 ..
-rw-r--r--    1 admin    vyattacf      2856 Jul 30 14:24 nordvpn.ovpn
-rw-r--r--    1 admin    vyattacf        50 Jul 30 14:14 nordvpnauth.txt
-rw-r--r--    1 root     vyattacf        37 Jul 16  2018 uuid

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72

{
    "firewall":{
       "modify":{
          "PBR_VPN":{
             "rule":{
                "20":{
                   "action":"modify",
                   "description":"traffic from VLan 117 to VPN Tunnel",
                   "modify":{
                      "table":"20"
                   },
                   "source":{
                      "address":"10.250.1.0/24"
                   }
                }
             }
          }
       },
      "source-validation":"disable"
    },
    "interfaces":{
       "ethernet":{
          "eth1":{
             "vif":{
                "117":{
                   "firewall":{
                      "in":{
                         "modify":"PBR_VPN"
                      }
                   }
                }
             }
          }
       },
       "openvpn":{
          "vtun0":{
             "config-file":"/config/user-data/nordvpn.ovpn",
             "description":"OpenVPN Tunnel"
          }
       }
    },
    "protocols":{
       "static":{
          "table":{
             "20":{
                "interface-route":{
                   "0.0.0.0/0":{
                      "next-hop-interface":{
                         "vtun0":"''"
                      }
                   }
                }
             }
          }
       }
    },
    "service":{
       "nat":{
          "rule":{
             "5020":{
                "description":"OpenVPN Clients",
                "log":"disable",
                "outbound-interface":"vtun0",
                "source":{
                   "address":"10.250.1.0/24"
                },
                "type":"masquerade"
             }
          }
       }
    }
 }

• Is mijn address mask in mijn config file goed en in overeenkomst met de configuratie van mijn netwerk?
• Rechten op mijn OpenVPN configuratie files?

sorted.bits schreef op zondag 15 augustus 2021 @ 07:05:
Ik kan wel wel wat hulp gebruiken, ik ben een netwerk aan het toevoegen welke ik standaard via een VPN wil laten lopen.

Daarvoor ben ik de volgende post aan het volgen.

Mijn nordvpnauth.txt is gevuld met mijn NordVPN (advanced configuration) username en password. (op 2 regels).

Daarnaast heb ik nog een file staan, genaamd nordvpn.ovpn, welke op de volgende manier is opgebouwd:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

client dev tun proto udp remote 194.110.112.147 1194 resolv-retry infinite remote-random nobind tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 persist-key persist-tun ping 15 ping-restart 0 ping-timer-rem reneg-sec 0 comp-lzo no remote-cert-tls server auth-user-pass /config/user-data/nordvpnauth.txt route-nopull verb 3 pull fast-io cipher AES-256-CBC auth SHA512 <ca> [certificaat data] </ca> key-direction 1 <tls-auth> # # 2048 bit OpenVPN static key # </tls-auth> [meer certificaat data]

Deze file is rechtstreeks van NordVPN gedownload, behalve dat ik dus 2 regels heb toegevoegd, 'route-nopull' en 'auth-user-pass /config/user-data/nordvpnauth.txt'.

Daarna heb ik de files op mijn USG gezet.

code:

1 2 3 4 5 6 7

admin@USG:/config/user-data$ ls -al total 20 drwxrwsr-x 2 root vyattacf 4096 Jul 30 14:23 . drwxrwsr-x 13 root vyattacf 4096 Aug 15 06:17 .. -rw-r--r-- 1 admin vyattacf 2856 Jul 30 14:24 nordvpn.ovpn -rw-r--r-- 1 admin vyattacf 50 Jul 30 14:14 nordvpnauth.txt -rw-r--r-- 1 root vyattacf 37 Jul 16 2018 uuid

Toen heb ik een netwerk toegevoegd aan mijn USG, welke ik wil gaan gebruiken met mijn NordVPN configuratie:

[Afbeelding]

Maar nu komt het tricky deel, je moet daarna een config.gateway.json aanmaken, met wat extra dingen er in, zodat de USG weet dat je via dat netwerk een VPN wilt gebruiken, op basis van de tutorial heb ik het volgende gemaakt:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72

{ "firewall":{ "modify":{ "PBR_VPN":{ "rule":{ "20":{ "action":"modify", "description":"traffic from VLan 117 to VPN Tunnel", "modify":{ "table":"20" }, "source":{ "address":"10.250.1.0/24" } } } } }, "source-validation":"disable" }, "interfaces":{ "ethernet":{ "eth1":{ "vif":{ "117":{ "firewall":{ "in":{ "modify":"PBR_VPN" } } } } } }, "openvpn":{ "vtun0":{ "config-file":"/config/user-data/nordvpn.ovpn", "description":"OpenVPN Tunnel" } } }, "protocols":{ "static":{ "table":{ "20":{ "interface-route":{ "0.0.0.0/0":{ "next-hop-interface":{ "vtun0":"''" } } } } } } }, "service":{ "nat":{ "rule":{ "5020":{ "description":"OpenVPN Clients", "log":"disable", "outbound-interface":"vtun0", "source":{ "address":"10.250.1.0/24" }, "type":"masquerade" } } } } }

Echter, zodra ik deze configuratie 'force provision' raakt mijn USG in een provision loop en krijg ik hem niet meer online. Ik heb een paar verdachten op het oog, maar dat lijkt het niet op te lossen:

• Is mijn address mask in mijn config file goed en in overeenkomst met de configuratie van mijn netwerk?
• Rechten op mijn OpenVPN configuratie files?

RobertMe schreef op zaterdag 14 augustus 2021 @ 21:53:
[...]

Je koopt in principe een product zonder enige garantie op support, vind je dat een nadeel? Als in: UI is niet verplicht om een EA product daadwerkelijk uit te brengen, of de GA versie exact zo te houden als de EA versie. Het zou dus net zo goed kunnen dat de Pro-SE nooit uit komt en UI voor het eind van het jaar stopt met het uitbrengen van firmwares voor het apparaat. Is dat een risico dat je bereid bent te lopen?
Zie bv ook die Unifi server appliance die ze ooit hebben gemaakt, die heeft het levenslicht nooit gezien buiten EA. Of de U6 LR waar de GA versie volgens mij wel VHT160 ondersteund en de EA versie niet. De USW Flex Mini waarvan de eerste revisie in EA alleen via USB-C gevoed kon worden en er vervolgens een nieuwe EA batch kwam met PoE-in support en de GA versie dat ook heeft. En zo zou het me ook niks verbazen als de GA UDM Pro-SE ineens wel 802.3at ondersteund

Fireball86 schreef op zondag 15 augustus 2021 @ 09:47:
[...]


Bedankt voor je snelle reactie. Dan ga ik wel even afwachten wat de status is tegen het einde van het jaar. Als ik het zo bekijk is de pro SE volgens mij niet beter wat performance betreft dan de gewone pro toch?

stormfly schreef op zondag 15 augustus 2021 @ 07:46:
[...]


Een VPN vanaf de USG is CPU based en niet hardware offloaded. Voordat je er nog vele avonden in stopt; je haalt max 8-10Mbit.

stormfly schreef op zondag 15 augustus 2021 @ 07:46:
[...]


Een VPN vanaf de USG is CPU based en niet hardware offloaded. Voordat je er nog vele avonden in stopt; je haalt max 8-10Mbit.

sorted.bits schreef op zondag 15 augustus 2021 @ 10:03:
[...]


Ok, maar een upgrade naar een UDM zit wel een beetje in de planning, maar wil eigenlijk wel weten of dit dan gaat werken. Anders ga ik naar een andere oplossing zoeken.

[ Voor 32% gewijzigd door xbeam op 15-08-2021 10:30 ]

sorted.bits schreef op zondag 15 augustus 2021 @ 10:03:
[...]


Ok, maar een upgrade naar een UDM zit wel een beetje in de planning, maar wil eigenlijk wel weten of dit dan gaat werken. Anders ga ik naar een andere oplossing zoeken.

sorted.bits schreef op zondag 15 augustus 2021 @ 10:03:
[...]


Ok, maar een upgrade naar een UDM zit wel een beetje in de planning, maar wil eigenlijk wel weten of dit dan gaat werken. Anders ga ik naar een andere oplossing zoeken.

[ Voor 25% gewijzigd door stormfly op 15-08-2021 10:40 ]

stormfly schreef op zondag 15 augustus 2021 @ 10:38:
[...]

Bij een UDM kan je VPN en json toch helemaal vergeten @xbeam ?

1

mca-ctrl -t dump-cfg > config.txt

WARNING:Some users may find they can get away with using the full config, but this is not recommended as it will most likely cause issues down the road. A provisioning loop might take place when a setting is changed in the Network application that conflicts with a setting in the config.gateway.json file.

After adding the config.gateway.json to the UniFi Network site of your choosing, you can test it by running a "force provision" to the USG in UniFi Devices > select the USG > Config > Manage Device > Force provision. This will take a while to provision (30 seconds to 3 minutes), and if it stays in provisioning longer than that, there may be a formatting error in the config.gateway.json, and you are experiencing the provisioning loop that was mentioned earlier. You can check server.log in the application and search for commit error. You can usually find what went wrong with the provisioning of the newly customized configuration in the log files. Find information about that here.

[ Voor 118% gewijzigd door xbeam op 15-08-2021 14:07 ]

RobertMe schreef op zondag 15 augustus 2021 @ 10:29:
Daarnaast zou je hetzelfde ook met bv een RPi kunnen doen (PiVPN is volgens mij project daarin?) en zul je waarschijnlijk ook nog een betere performance hebben dan op de USG.

xbeam schreef op zondag 15 augustus 2021 @ 10:47:
[...]

Klopt json kan je vergeten, Site to site IPSec kan wel, alleen geen source based destination en wat @RobertMe zegt er staan voor von genoeg hacks online om verschillende soorten vpn protocollen werkende te krijgen. Maar of ubnt daar heel blij van wordt? ik denk het niet :-)

stormfly schreef op zondag 15 augustus 2021 @ 18:57:
[...]


Nee man je koopt toch geen Porsche (UDM) om daarna zelf aan het motorblok te gaan sleutelen. Zou ik nooit doen, al die niet native zaken. Dan zou ik een ander product kiezen.

RobertMe schreef op zondag 15 augustus 2021 @ 10:29:
[...]

Maar VPN op de router draaien is eigenlijk ook helemaal niet nodig. Ik heb zelf een zelfbouw thuisserver met een VM waarin een VPN client draait en als "router" draait (verkeer forward over de VPN tunnel met NAT). In UniFi heb ik vervolgens ook gewoon een nieuw netwerk aangemaakt, alleen dan het IP-adres van de default gateway aangepast naar dat van de VM. En dat werkt al jaren als een zonnetje.

sorted.bits schreef op maandag 16 augustus 2021 @ 08:15:
[...]


Hmm, dit ga ik eens proberen. Ik heb gewoon een server staan die allerlei dockers draait. Waarom ik hier niet aan gedacht heb, weet ik eigenlijk niet.

stormfly schreef op maandag 16 augustus 2021 @ 08:53:
[...]


https://github.com/DyonR/docker-nzbgetvpn
https://github.com/DyonR/docker-qbittorrentvpn

zoiets kan ook

sorted.bits schreef op maandag 16 augustus 2021 @ 09:56:
[...]


Ik wil een verbinding via VPN laten lopen omdat ik mijn TV via de US wil laten verbinden (Paramount+, Netflix, etc), niet perse omdat ik anoniem iets wil downloaden .

stormfly schreef op maandag 16 augustus 2021 @ 10:15:
[...]


Owh maakt mij niet uit hoor, beide is illegaal

consono_md110 schreef op maandag 16 augustus 2021 @ 11:45:
Met veel belangstelling volg ik hier de discussies over Ubiquity-apparatuur. Erg interressant! Zo interessant dat ik aan de vooravond sta om de overstap te maken. :-)

Ik ben van plan een UDM Pro (UDM-Pro-EU) aan te schaffen icm met een 8-poorts switch (USW-Lite-8-PoE-EU) en om te beginnen één AccessPoint (U6-Lite)

De UDM Pro zal achter een glasvezelverbinding van Caiway aangesloten worden, op dit moment 400Mbit up/down. Volgende maand schijnt Delta een leuke aanbieding te hebben, de bedoeling is dan over te stappen naar een 1Gbit up/down-verbinding.

Gaat de config zoals ik hierboven beschreven heb zonder problemen met elkaar werken of kijk ik ergens overheen/heb ik wat gemist?

Eventuele tips v.w.b. configuratie zijn natuurlijk van harte welkom!

MAdD schreef op maandag 16 augustus 2021 @ 11:55:
Op dit moment heb ik op mijn synology machine (offsite) een L2TP vpn openstaan naar mijn UDMB.
Dit werkt perfect, alleen wil ik nu ook vanuit mijn netwerk deze NAS kunnen bereiken op het ipadres welke hij krijgt van de L2TP.
Dat is op dit moment 192.168.5.2
Alleen wat ik ook probeer ik kan deze niet pingen of benaderen.

Heeft iemand voor mij de gouden tip?

stormfly schreef op maandag 16 augustus 2021 @ 12:19:
[...]


Ik schat in dat we iets meer info nodig hebben, wat is het echte IP en wat is het L2TP IP? Is dat gelijk aan elkaar, dan is het slechts routing en FW rule. Anders komt NAT er mogelijk ook nog bij.

[ Voor 6% gewijzigd door MAdD op 16-08-2021 12:35 ]

MAdD schreef op maandag 16 augustus 2021 @ 12:35:
[...]

Het ip adres remote is in de 192.168.50.1/24 range (wat de L2TP verbinding opzet)(alleen zie ik het publieke ip adres terug in de connection list van de UDMB)
De L2TP Range is 192.168.5.0/28
de range die ik gebruik is 192.168.2.1/24

is dit voldoende of heb je nog meer informatie nodig?

stormfly schreef op maandag 16 augustus 2021 @ 12:56:
[...]


De L2TP range is dus het koppelsubnet?

MAdD schreef op maandag 16 augustus 2021 @ 12:58:
[...]

voglens mij wel... ik zie dat de synology nas het ip adres 192.168.5.2 krijgt (alleen in de UI staat het externe ip adres)

m3gA schreef op vrijdag 6 augustus 2021 @ 11:20:
[...]

Inderdaad. De gen1 maakt aardige herrie.

Hulliee schreef op zaterdag 14 augustus 2021 @ 11:48:
[...]


Die hele ventilator staat gewoon aan hoor. Zo niet, dan is ie stuk. Maar natuurlijk niet voluit. Bij mij draait hij op min 2000rpm. Check met commando:

code:

1

sensors

Dan kun je gelijk zien wat er allemaal in alarm staat.

MAdD schreef op maandag 16 augustus 2021 @ 12:35:
[...]

Het ip adres remote is in de 192.168.50.1/24 range (wat de L2TP verbinding opzet)(alleen zie ik het publieke ip adres terug in de connection list van de UDMB)
De L2TP Range is 192.168.5.0/28
de range die ik gebruik is 192.168.2.1/24

is dit voldoende of heb je nog meer informatie nodig?

stormfly schreef op zondag 15 augustus 2021 @ 18:57:
Nee man je koopt toch geen Porsche (UDM) om daarna zelf aan het motorblok te gaan sleutelen. Zou ik nooit doen, al die niet native zaken. Dan zou ik een ander product kiezen.

RobertMe schreef op zondag 15 augustus 2021 @ 19:44:
Het ligt natuurlijk ook er aan waarom je die UDM, of die Porsche, koopt. Ik zou geen UDM kopen wetende dat ik een VPN client er op wil draaien maar dat dat alleen via een omweg kan, evenmin zou ik een Porsche kopen met 500PK terwijl ik 600PK wil hebben om meteen naar "een mannetje" te gaan om de motor te kietelen buiten de garantie om. Maar als ik een UDM heb en denk "ik wil Pi-Hole draaien, en dat zou wellicht via een omweg kunnen op de UDM dan is dat het proberen eventueel waard. Hetzelfde als dat je onder een Porsche ook andere velgen kunt leggen. Of bij een normale auto kunt overwegen de radio te vervangen.

Het is natuurlijk aan ieder voor zich om een afweging te maken in de compromissen die gesloten moeten worden. En tsja, bij een UDM zijn er nogal wat compromissen, en om die reden zou ik hem links laten liggen en waarschijnlijk voor zelfbouw gaan (/Pfsense/...)

xbeam schreef op maandag 16 augustus 2021 @ 15:56:
Wat voor type vpn gebruik je nu ?
Zoals je omschrijft lijkt het een inbel / user vpn hierbij is wat je wil niet mogelijk.

Waneer een site to site configuratie gebruikt moet het subnet van de Nas aan de UDMB kant routable maken door aan de UDMB kant de adressen aan de vpn te koppelen, aan NAS kan doe je precies het zelfde met jou locale sub voor het return verkeer naar computer

MAdD schreef op maandag 16 augustus 2021 @ 11:55:
Op dit moment heb ik op mijn synology machine (offsite) een L2TP vpn openstaan naar mijn UDMB.
Dit werkt perfect, alleen wil ik nu ook vanuit mijn netwerk deze NAS kunnen bereiken op het ipadres welke hij krijgt van de L2TP.
Dat is op dit moment 192.168.5.2
Alleen wat ik ook probeer ik kan deze niet pingen of benaderen.

Heeft iemand voor mij de gouden tip?

MAdD schreef op maandag 16 augustus 2021 @ 12:35:
Het ip adres remote is in de 192.168.50.1/24 range (wat de L2TP verbinding opzet)(alleen zie ik het publieke ip adres terug in de connection list van de UDMB)
De L2TP Range is 192.168.5.0/28
de range die ik gebruik is 192.168.2.1/24

is dit voldoende of heb je nog meer informatie nodig?

1

LAN 192.168.2.0/24 -> UDMP -> L2TP 192.168.50.0/24 <- NAS 192.168.5.0/24

Nog nooit mee gewerkt dus mogelijk stem ik een hele domme vraag...

nero355 schreef op maandag 16 augustus 2021 @ 16:56:

code:

1	LAN 192.168.2.0/24 -> UDMP -> L2TP 192.168.50.0/24 <- NAS 192.168.5.0/24

Kan je dan niet met wat Static Routes en desnoods de hulp van wat geNAT de boel werkend krijgen

_{Nog nooit mee gewerkt dus mogelijk stem ik een hele domme vraag...}

1
2
3
4
5
6

10.4.0.1/30 dev vtun0  proto kernel  scope link  src 10.4.0.1
10.4.0.5/30 dev vtun1  proto kernel  scope link  src 10.4.0.5
10.4.1.0/29 via 10.4.0.2 dev vtun0
10.4.1.8/29 via 10.4.0.6 dev vtun1 
POSTROUTING -d 10.4.1.0/29 -o vtun0 -m comment --comment NAT-7002 -j MASQUERADE
POSTROUTING -d 10.4.1.8/29 -o vtun1 -m comment --comment NAT-7003 -j MASQUERADE

Tortelli schreef op maandag 16 augustus 2021 @ 21:31:
Misschien niet helemaal de plek om deze vraag te stellen, maar ik wil een Link Aggregation instellen tussen pricewatch: Ubiquiti UniFi Switch Gen 2 (24-poorts 95W PoE+) en pricewatch: ZyXEL XS1930-10 (via de SFP poorten).

Heb dit momenteel al draaien tussen 2 Ubiquiti switches maar wil mijn SFP+ switch vervangen door de Zyxel switch (bij gebrek aan fatsoenlijke Ubiquiti alternatieven.

Op de 24 poorts PoE switch heb ik het volgende ingesteld:
[Afbeelding]

Bij de Zyxel heb ik een waslijst aan keuzes:
[Afbeelding]
Welke moet ik hebben?

RobertMe schreef op zaterdag 14 augustus 2021 @ 14:31:
[...]

In de controller kun je gewoon een nieuw Wireless network aanmaken. Apply guest policies aanvinken en gaan met die banaan. Of het ook via de app kan weet ik niet, want die bevat een "mini controller" die beperkter is. Maar ik zou überhaupt niet weten waarom je een app als enige manier zou willen hebben om je netwerk te beheren.

nero355 schreef op maandag 16 augustus 2021 @ 16:56:
[...]al routeren of desnoods NATten dan

code:

1	LAN 192.168.2.0/24 -> UDMP -> L2TP 192.168.50.0/24 <- NAS 192.168.5.0/24

Kan je dan niet met wat Static Routes en desnoods de hulp van wat geNAT de boel werkend krijgen

_{Nog nooit mee gewerkt dus mogelijk stem ik een hele domme vraag...}

[ Voor 23% gewijzigd door xbeam op 17-08-2021 08:24 ]

Tomatoman schreef op maandag 16 augustus 2021 @ 21:57:
[...]
Ik vind wel dat ze dit ongelofelijk knullig geregeld hebben bij Ubiquiti. Hoe komen ze nou op het idee om twee modes voor een access point te maken, met twee verschillende interfaces in dezelfde app en geen enkele hint dat het AP niet in de standaardmodus in geconfigureerd, laat staan dat er een mogelijkheid wordt geboden om van standalone mode naar de standaardmodus om te schakelen?

Tortelli schreef op maandag 16 augustus 2021 @ 21:31:
Misschien niet helemaal de plek om deze vraag te stellen, maar ik wil een Link Aggregation instellen tussen pricewatch: Ubiquiti UniFi Switch Gen 2 (24-poorts 95W PoE+) en pricewatch: ZyXEL XS1930-10 (via de SFP poorten).

Heb dit momenteel al draaien tussen 2 Ubiquiti switches maar wil mijn SFP+ switch vervangen door de Zyxel switch (bij gebrek aan fatsoenlijke Ubiquiti alternatieven.

Op de 24 poorts PoE switch heb ik het volgende ingesteld:
[Afbeelding]

Bij de Zyxel heb ik een waslijst aan keuzes:
[Afbeelding]
Welke moet ik hebben?

1

xmit_hash_policy

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

layer3+4 This policy uses upper layer protocol information, when available, to generate the hash. This allows for traffic to a particular network peer to span multiple slaves, although a single connection will not span multiple slaves. The formula for unfragmented TCP and UDP packets is hash = source port, destination port (as in the header) hash = hash XOR source IP XOR destination IP hash = hash XOR (hash RSHIFT 16) hash = hash XOR (hash RSHIFT 8) And then hash is reduced modulo slave count. If the protocol is IPv6 then the source and destination addresses are first hashed using ipv6_addr_hash. For fragmented TCP or UDP packets and all other IPv4 and IPv6 protocol traffic, the source and destination port information is omitted. For non-IP traffic, the formula is the same as for the layer2 transmit hash policy. This algorithm is not fully 802.3ad compliant. A single TCP or UDP conversation containing both fragmented and unfragmented packets will see packets striped across two interfaces. This may result in out of order delivery. Most traffic types will not meet this criteria, as TCP rarely fragments traffic, and most UDP traffic is not involved in extended conversations. Other implementations of 802.3ad may or may not tolerate this noncompliance.

Tomatoman schreef op maandag 16 augustus 2021 @ 21:57:
Het is gelukt . Via die screenshot die @Cyberpope mij stuurde, vond ik waar ik een tweede netwerk kon instellen. Die optie zat niet in de iOS app, maar wel in de Windows Controller app (benaderbaar via webbrowser). Toen ik daar keek, zag ik een oude netwerknaam staan die allang niet meer van toepassing was. Dat bracht me op het idee dat het probleem elders zat. Het was me nooit gelukt om het access point zichtbaar te maken in de Windows Controller app (zie screenshot hieronder) en daarom gebruikte ik maar de iOS app.

[Afbeelding]

Na anderhalf uur zoeken begon het me te dagen dat het AP in standalone mode geconfigureerd was. In standalone mode valt er in de iOS app vrijwel niets te configureren (bijvoorbeeld geen gastennetwerk) en kun je via de Controller überhaupt niets doen . Na nog eens een half uur proberen heb ik het access point maar van het plafond gehaald en een factory reset gegeven. Zodra ik dat had gedaan, ging er een wereld voor me open: het toevoegen van het AP ging moeiteloos en er draait nu netjes een gastennetwerk. Op mijn fritz!box heb ik WiFi meteen uitgezet.

Ik vind wel dat ze dit ongelofelijk knullig geregeld hebben bij Ubiquiti. Hoe komen ze nou op het idee om twee modes voor een access point te maken, met twee verschillende interfaces in dezelfde app en geen enkele hint dat het AP niet in de standaardmodus in geconfigureerd, laat staan dat er een mogelijkheid wordt geboden om van standalone mode naar de standaardmodus om te schakelen?

Behoorlijk Leek schreef op maandag 16 augustus 2021 @ 22:58:
Een vaker voorkomend probleem helaas, maar er wordt gewoon overeen gelezen. In de quick start guide's van ap's staat het wel dat eigenlijk de app voor basis instellingen is.

Ubiquiti Networks also offers the UniFi mobile app, which is available from the App Store (iOS) or Google Play™ Store (Android).
You can use it to provision a UniFi AP for basic functionality without configuring a UniFi Controller.

nero355 schreef op dinsdag 17 augustus 2021 @ 00:35:
[...]

Dat zou soort fratsen zouden echt verboden moeten worden!


Echt...


VERSCHRIKKELIJK!!!

[b]nero355 schreef op dinsdag 17 augustus 2021 @ 00:35:\

Prachtig voorbeeld van miscommunicatie en de puinhoop die apps veroorzaken :

- Men is zowel applicaties als apps gewoon apps gaan noemen...
- Bedrijven gebruiken apps op telefoons en tablets om elke scheet te kunnen configureren, terwijl dat verre van optimaal of handig is in veel gevallen!


Dat zou soort fratsen zouden echt verboden moeten worden!

[ Voor 6% gewijzigd door zeroday op 17-08-2021 07:54 ]

zeroday schreef op dinsdag 17 augustus 2021 @ 07:54:
[...]


Het is me nog even onduidelijk wat je bedoelt met ' Bedrijven ' of dit nu de Leverancier is of de klant
Want als ik kijk als leverancier .. Dant is niet helemaal toe te wijten aan bedrijven. Uit eigen ervaring weet ik dat als je NIET all functionaliteiten in een ' app ' stopt dat men dan de kop in de wind gooit en roeptoetert: jullie software en app zuigt .. want ik kan dit en dat niet ..
Dus het is vaak ook: de klant moeten we tevreden houden want anders ..
Want wat is nu makkelijker om met je telefoon of tablet op de bank even wat te doen als men een mailtje heeft binnen gekregen ..

[ Voor 3% gewijzigd door ed1703 op 17-08-2021 08:19 ]

Tortelli schreef op maandag 16 augustus 2021 @ 21:31:

Heb dit momenteel al draaien tussen 2 Ubiquiti switches maar wil mijn SFP+ switch vervangen door de Zyxel switch (bij gebrek aan fatsoenlijke Ubiquiti alternatieven.

[ Voor 49% gewijzigd door xbeam op 17-08-2021 10:55 ]

Blyzka schreef op dinsdag 17 augustus 2021 @ 08:53:
Is het bekend dat Ubiquiti accespoints problemen opleveren met de Sonos speakers?

Sinds wij Ubiquiti hebben in huis werkt Sonos namelijk niet meer, en zodra het losgekoppeld is werkt Sonos wel weer. Ervaren meer mensen deze problemen, zo ja wat valt er aan te doen.

Blyzka schreef op dinsdag 17 augustus 2021 @ 08:53:
Is het bekend dat Ubiquiti accespoints problemen opleveren met de Sonos speakers?

Sinds wij Ubiquiti hebben in huis werkt Sonos namelijk niet meer, en zodra het losgekoppeld is werkt Sonos wel weer. Ervaren meer mensen deze problemen, zo ja wat valt er aan te doen.

Unifi networking gear is currently some of the best Prosumer and SMB network gear around. However, if you own any Sonos equipment in your home, you’ll potentially have trouble setting up your system in a way that both isolates the Sonos equipment the way you want it to and allows for continued control/communication with it through the Sonos app on a different network within your home. There are many posts detailing various configuration settings, some of which I’ve found work while others do not, and this post attempts to detail the architecture and corresponding configuration settings that work for the setup I currently have.

Further to getting my Unifi gear last year, I've started to organise the virtual local area networks (VLANs) to increase security. I've created a separate guest wifi network and a separate internet of things (IoT) network. One issue you'll run in to is that a lot of modern devices work by broadcasting their presence on the network and that doesn't work well normally across VLANs. None more so than Sonos, the home wireless speaker solution. Fortunately through trial and error with the help of Ubiquiti Forums - I've found a way to make it work.

[ Voor 60% gewijzigd door xbeam op 17-08-2021 09:04 ]

Blyzka schreef op dinsdag 17 augustus 2021 @ 08:53:
Is het bekend dat Ubiquiti accespoints problemen opleveren met de Sonos speakers?

Sinds wij Ubiquiti hebben in huis werkt Sonos namelijk niet meer, en zodra het losgekoppeld is werkt Sonos wel weer. Ervaren meer mensen deze problemen, zo ja wat valt er aan te doen.

Blyzka schreef op dinsdag 17 augustus 2021 @ 08:53:
Is het bekend dat Ubiquiti accespoints problemen opleveren met de Sonos speakers?

Sinds wij Ubiquiti hebben in huis werkt Sonos namelijk niet meer, en zodra het losgekoppeld is werkt Sonos wel weer. Ervaren meer mensen deze problemen, zo ja wat valt er aan te doen.

TKroon schreef op dinsdag 17 augustus 2021 @ 09:04:
[...]


Ik heb juist alle Sonos'en op mijn eigen WiFi gehangen. Werkt feilloos.

[ Voor 15% gewijzigd door xbeam op 17-08-2021 09:25 ]

stormfly schreef op dinsdag 17 augustus 2021 @ 09:02:
Wat je het beste kunt doen: 1 sonos node bedraad en dan alle sonos apparatuur rebooten. Dan vormen ze het sonosnetwerk buiten je UI netwerk om.

[ Voor 13% gewijzigd door yzf1kr op 17-08-2021 09:25 ]

nero355 schreef op dinsdag 17 augustus 2021 @ 00:35:
[...]

Terwijl je dus gewoon de Ubiquiti UniFi Controller als applicatie op je PC hebt geïnstalleerd!


[...]

Dat zou soort fratsen zouden echt verboden moeten worden!


Echt...


VERSCHRIKKELIJK!!!

Cartman! schreef op dinsdag 17 augustus 2021 @ 09:14:
[...]

Moet je daar nog naar migreren oid? Ik heb nu alle speakers op WiFi gehangen en ervaar regelmatig problemen. Als ik er 1 gewoon nu swap naar een draadje...dan is alles OK?

stormfly schreef op dinsdag 17 augustus 2021 @ 10:53:
[...]
Jeps 1 stuks naar een draadje en dan alle units rebooten, beginnen met degene die het draadje heeft voor de reboots.

https://support.sonos.com/s/article/3237?language=nl_NL je kunt de status ook uitlezen, zonder reboot duurt het langer voor hij over springt.

yzf1kr schreef op dinsdag 17 augustus 2021 @ 09:21:
Heeft iemand hier al de Unifi UBB (Building to Building Bridge) in gebruik?
Hoe zijn de ervaringen? Is het stabiel, en hoe is de snelheid?


Ik verhuur vakantiewoningen, en ik ga het huis van de buren mee verhuren. De te overbruggen afstand is ca 20 meter, van daaruit naar de meterkast waar het signaal met een PEO switch naar verschillende AP's zal gaan.

Een los internet abonnement voor dat huis kost me 3 tientjes per maand en ik moet een extra router kopen.

Bij een UBB kan ik alles via mijn eigen Edgerouter en Cloudkey laten lopen, en heb ik de inveseringskosten er binnen een jaar uit.

nero355 schreef op dinsdag 17 augustus 2021 @ 00:35:
[...]

Ik ga effe Linux taal tegen je praten :

Je moet Layer 3+4 LACP hebben zoals hier omschreven : https://www.kernel.org/do...on/networking/bonding.txt
Dus :

code:

1	xmit_hash_policy

en dan :

[...]

Als je dat kan nabouwen met die twee Switches dan komt het wel goed


...

xbeam schreef op dinsdag 17 augustus 2021 @ 08:42:
[...]

[ Voor 64% gewijzigd door Tortelli op 17-08-2021 13:16 ]

gastje01 schreef op dinsdag 17 augustus 2021 @ 11:04:
[...]


Kabeltje trekken dan niet makkelijker?

Geen ervaring met de UBB, maar afhankelijk van je bandbreedte wensen kun je een NanoStation5/NanoBeam ook nog overwegen, stuk goedkoper en gezien de afstand prima toereikend.

yzf1kr schreef op dinsdag 17 augustus 2021 @ 14:01:
[...]


Nee, een kabel is meer werk. Dan moet de hele oprit open en ik moet een ingang het huis in vinden.
Terwijl ik bij de buren onder het dak makkelijk naar buiten kom (lege leiding voor PV).
En bij mij ook vrij makkelijk onder het dak naar buiten kan.

NanoBeam is inderdaad ook een optie waar ik naar zat te kijken. Probleem is dat die allemaal 24V Passive POE hebben, en dus niet werken met mijn huidige switches en ik weer een losse injector nodig heb.

[ Voor 5% gewijzigd door gastje01 op 17-08-2021 14:28 ]

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375

firewall { all-ping enable broadcast-ping disable ipv6-name WANv6_IN { default-action drop description "WAN IPv6 naar LAN" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" icmpv6 { type echo-request } protocol ipv6-icmp } } ipv6-name WANv6_LOCAL { default-action drop description "WAN IPv6 naar Router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "Allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "WAN naar LAN" rule 10 { action accept description "Allow established/related" log disable state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN naar Router" rule 10 { action accept description "Allow established/related" log disable state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" state { established disable invalid enable new disable related disable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { description FTTH duplex auto mtu 1512 speed auto vif 4 { address dhcp description "KPN IPTV" dhcp-options { client-option "send vendor-class-identifier "IPTV_RG";" client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 210 name-server update } mtu 1500 } vif 6 { description "KPN Internet" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 { host-address ::1 prefix-id :1 service slaac } prefix-length /48 } rapid-commit enable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password ppp user-id XX-XX-XX-XX-XX-XX@internet } } } ethernet eth1 { description "Thuis netwerk poort 1" duplex auto mtu 1500 speed auto } ethernet eth2 { description "Thuis netwerk poort 2" duplex auto mtu 1500 speed auto } ethernet eth3 { description "Thuis netwerk poort 3" duplex auto mtu 1500 speed auto } ethernet eth4 { description "Thuis netwerk poort 4" duplex auto mtu 1500 speed auto } loopback lo { } switch switch0 { address 192.168.2.254/24 description "Thuis netwerk" ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true valid-lifetime 2592000 } radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};" reachable-time 0 retrans-timer 0 send-advert true } } mtu 1500 switch-port { interface eth1 { } interface eth2 { } interface eth3 { } interface eth4 { } vlan-aware disable } } } protocols { igmp-proxy { interface eth0.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface switch0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } } } service { dhcp-server { disabled false global-parameters "option vendor-class-identifier code 60 = string;" global-parameters "option broadcast-address code 28 = ip-address;" hostfile-update disable shared-network-name Thuis { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.254 dns-server 192.168.2.254 lease 86400 start 192.168.2.1 { stop 192.168.2.200 } } } static-arp disable use-dnsmasq enable } dns { forwarding { cache-size 4000 listen-on switch0 name-server 195.121.1.34 name-server 195.121.1.66 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 options listen-address=192.168.2.254 } } gui { http-port 80 https-port 443 older-ciphers enable } nat { rule 5000 { description IPTV destination { address 213.75.112.0/21 } log disable outbound-interface eth0.4 protocol all source { } type masquerade } rule 5010 { description Internet log disable outbound-interface pppoe0 protocol all type masquerade } } ssh { port 22 protocol-version v2 } telnet { port 23 } unms { disable } } system { domain-name thuis.local host-name Thuis login { user ubnt { authentication { plaintext-password "ubnt" } level admin } } name-server 127.0.0.1 ntp { server 0.nl.pool.ntp.org { } server 1.nl.pool.ntp.org { } server ntp0.nl.net { } server ntp1.nl.net { } server time.kpn.net { } } offload { hwnat enable } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Amsterdam traffic-analysis { dpi disable export disable } }

Miki schreef op dinsdag 17 augustus 2021 @ 14:57:
Sinds vandaag trotste eigenaar van een EdgeRouter X en alles draait naar behoren behalve dat ik met PiHole nog steeds clients heb die buiten om de ingestelde ip-adres van de PiHole server gaan.

Ik heb alleen wijzigingen aangebracht in de system nameserver > 127.0.0.1 naar ip-adres pihole server en onder DHCP server de eerste verwijzing van de DNS aangepast. De clients lijken mijn ingestelde pihole DNS wel te zien maar gaan er vrolijk omheen. Kan iemand meekijken waar ik de plank mis sla? Ik zie het even niet al vermoed ik iets met IPv6.

config

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375

firewall { all-ping enable broadcast-ping disable ipv6-name WANv6_IN { default-action drop description "WAN IPv6 naar LAN" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" icmpv6 { type echo-request } protocol ipv6-icmp } } ipv6-name WANv6_LOCAL { default-action drop description "WAN IPv6 naar Router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "Allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action drop description "WAN naar LAN" rule 10 { action accept description "Allow established/related" log disable state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN naar Router" rule 10 { action accept description "Allow established/related" log disable state { established enable invalid disable new disable related enable } } rule 20 { action drop description "Drop invalid state" state { established disable invalid enable new disable related disable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { description FTTH duplex auto mtu 1512 speed auto vif 4 { address dhcp description "KPN IPTV" dhcp-options { client-option "send vendor-class-identifier "IPTV_RG";" client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 210 name-server update } mtu 1500 } vif 6 { description "KPN Internet" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 { host-address ::1 prefix-id :1 service slaac } prefix-length /48 } rapid-commit enable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password ppp user-id XX-XX-XX-XX-XX-XX@internet } } } ethernet eth1 { description "Thuis netwerk poort 1" duplex auto mtu 1500 speed auto } ethernet eth2 { description "Thuis netwerk poort 2" duplex auto mtu 1500 speed auto } ethernet eth3 { description "Thuis netwerk poort 3" duplex auto mtu 1500 speed auto } ethernet eth4 { description "Thuis netwerk poort 4" duplex auto mtu 1500 speed auto } loopback lo { } switch switch0 { address 192.168.2.254/24 description "Thuis netwerk" ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true valid-lifetime 2592000 } radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};" reachable-time 0 retrans-timer 0 send-advert true } } mtu 1500 switch-port { interface eth1 { } interface eth2 { } interface eth3 { } interface eth4 { } vlan-aware disable } } } protocols { igmp-proxy { interface eth0.4 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface switch0 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } } } service { dhcp-server { disabled false global-parameters "option vendor-class-identifier code 60 = string;" global-parameters "option broadcast-address code 28 = ip-address;" hostfile-update disable shared-network-name Thuis { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.254 dns-server 192.168.2.254 lease 86400 start 192.168.2.1 { stop 192.168.2.200 } } } static-arp disable use-dnsmasq enable } dns { forwarding { cache-size 4000 listen-on switch0 name-server 195.121.1.34 name-server 195.121.1.66 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 options listen-address=192.168.2.254 } } gui { http-port 80 https-port 443 older-ciphers enable } nat { rule 5000 { description IPTV destination { address 213.75.112.0/21 } log disable outbound-interface eth0.4 protocol all source { } type masquerade } rule 5010 { description Internet log disable outbound-interface pppoe0 protocol all type masquerade } } ssh { port 22 protocol-version v2 } telnet { port 23 } unms { disable } } system { domain-name thuis.local host-name Thuis login { user ubnt { authentication { plaintext-password "ubnt" } level admin } } name-server 127.0.0.1 ntp { server 0.nl.pool.ntp.org { } server 1.nl.pool.ntp.org { } server ntp0.nl.net { } server ntp1.nl.net { } server time.kpn.net { } } offload { hwnat enable } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Amsterdam traffic-analysis { dpi disable export disable } }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

service {
    dhcp-server {
        disabled false
        global-parameters "option vendor-class-identifier code 60 = string;"
        global-parameters "option broadcast-address code 28 = ip-address;"
        hostfile-update disable
        shared-network-name Thuis {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.254
                dns-server 192.168.2.254
                lease 86400
                start 192.168.2.1 {
                    stop 192.168.2.200
                }
            }
        }

stormfly schreef op dinsdag 17 augustus 2021 @ 15:03:
[...]

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

service { dhcp-server { disabled false global-parameters "option vendor-class-identifier code 60 = string;" global-parameters "option broadcast-address code 28 = ip-address;" hostfile-update disable shared-network-name Thuis { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.254 dns-server 192.168.2.254 lease 86400 start 192.168.2.1 { stop 192.168.2.200 } } }

dns-server 192.168.2.254 -> moet het IP van je pihole worden. En dan op elk apparaat even WiFi toggelen.

[ Voor 13% gewijzigd door Miki op 17-08-2021 15:20 ]