[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

Will_M schreef op woensdag 4 mei 2022 @ 21:50:
@laurens0619 Probleem van/met AP's welke middels MESH (met elkaar) verbinden is dat ze dat doen door een extra >>Hidden SSID<< op te zetten en vervolgens met elkaar te gaan delen óver de 2,4Ghz. band.... En die zat al niet vol genoeg, ......toch?

laurens0619 schreef op woensdag 4 mei 2022 @ 21:54:
[...]

een beetje mesh zet een dedicated 5ghz kanaal op en gebruikt alleen 2.4 als het echt niet anders kan.
Hierdoor heb je wel meer nodes nodig dan bedrade accesspoints omdat je voor meer overlap moet zorgen.
Mesh node in gemiddeld huishouden
- meterkast
- gang Bij trap
- zolder bij trap

Geeft dankzij de trap wel overal 5ghz links

Ga je ze kris kras plaatsen dan krijg je 2.4 ghz links die idd brak zijn

[ Voor 80% gewijzigd door laurens0619 op 04-05-2022 22:57 ]

laurens0619 schreef op woensdag 4 mei 2022 @ 22:16:
- straalverbinding van camping naar vuurtoren (unifi ac mesh apparatuur dacht ik)

RobertMe schreef op woensdag 4 mei 2022 @ 22:27:
[...]

Straalverbinding met een AC Mesh lijkt mij wel sterk. Lijkt mij toch eerder dat daarvoor iets uit de AirMax lineup gebruikt wordt?

[ Voor 35% gewijzigd door laurens0619 op 04-05-2022 22:55 ]

laurens0619 schreef op woensdag 4 mei 2022 @ 21:39:
Sorry ik ben niet zo anti “mesh”

Feit is gewoon dat de gemiddelde consument een betere internet ervaring krijgt na het naar binnen flikkeren van een mesh.

Want:
- provider modem staat in meterkast waarmee je slechts 2.4ghz dekking krijgt (als je geluk hebt)
- 2.4 zit zo vol troep dat geeft een hakkelende ervaring
- 2 mesh repeaters nodes kunnen op dezelfe locatie een betere verbinding tot stand krijgen dan een wifi client op
ap
- ja bandbreedte daalt maar dat boeit voor de gemiddelde consument niet. Stabiliteit is veel belangrijker en die mesh setjes weten wel stabiel 5ghz 50mbit in het hele huis te krijgen

- bandbreedte daalt veeel minder bij tri-band. Kpn superwifi is ook tri band

- fool proof (dubbel nat/roaming)! Zelf meerdere accesspoints inrichten schijnt complex te zijn.
Sorry to say maar 1 van de redenen dat unifi zo populair is omdat het fantastisch roamde.

Meeste mensen dachten dat unifi iets magisch deed. Zat niets magisch in kwam puur door fool proof stuk.

(Verwarring komt ook door zero handoff wat ze in beta hebben gehad)

- via provider goedkoop. gemiddeld betaal je 30-40 euro per node met best prima hardware (en klaaglijn provider)

De oude repeaters van vroeger waren ruk want:
- single band
- ouwe spec die sowieso traag was (802.11n)
- vaak andere chipset provider wifi en repeater wat gedonder gaf. 2 mesh nodes zij op elkaar ontworpen

Verder helemaal eens dat de term mega kut is. Ik noem het “multi ap”

[ Voor 14% gewijzigd door laurens0619 op 05-05-2022 08:15 ]

laurens0619 schreef op donderdag 5 mei 2022 @ 07:54:


- de perceptie is vaak dat unifi/mesh iets magisch doen met roaming wat idd niet klopt. Dat dit dankzij 802.11krv is klopt ook niet, die rol is marginaal en komt meer door betere client roaming support.

[ Voor 19% gewijzigd door laurens0619 op 05-05-2022 08:33 ]

[b]laurens0619 schreef op donderdag 5 mei 2022 @ 08:24:@zeroday unifi setjes roamen al jaaaren heel goed terwijl 802.11krv er voorheen nooit in zat (behalve de afheleide fast roaming wat roaming tijd verkortte maar vaak uit stond)

Hoe zou je dat dan verklaren? Zet anders 802.11krv een keer uit en test het verschil (als het erin zit nu en of het uit kan)

[ Voor 49% gewijzigd door zeroday op 05-05-2022 09:45 ]

[ Voor 26% gewijzigd door laurens0619 op 05-05-2022 10:08 ]

laurens0619 schreef op donderdag 5 mei 2022 @ 08:24:
@zeroday unifi setjes roamen al jaaaren heel goed terwijl 802.11krv er voorheen nooit in zat (behalve de afheleide fast roaming wat roaming tijd verkortte maar vaak uit stond)

Hoe zou je dat dan verklaren? Zet anders 802.11krv een keer uit en test het verschil (als het erin zit nu en of het uit kan)

laurens0619 schreef op donderdag 5 mei 2022 @ 07:54:
@xbeam
Met wireless mesh refereer ik naar 802.11s. Nodes hoeven niet met alle paden draadloos verbonden te zijn en meestal is er maar 1 link omhoog (naar het beste pad)
https://www.cwnp.com/uplo..._mesh_networking_v1-0.pdf

Wikipedia: IEEE 802.11s

Bij 2 nodes js het discutabel ja maar ik had het niet perse over 2 nodes? Sowieso zijn de meeste setjes helaas niet 802.11s compliant maar het conceptuele komt overeen. Het blijft beetje vaag en daarom stond het ook tussen quotes

- waarom zou met een dedicated 5ghz backhaul (op dedicated channel) je bandbreedte net zo hard dalen?

- heb je ooit zero handoff gedraaid? Ik wel en dat was zelfs voor voip telefoons niet productiewaardig. Ik vond de techniek wel cool en daarom heb ik toen ook unifi gekocht. Afaik is het nooit uit beta gekomen maar daar kan ik naast zitten.

- de perceptie is vaak dat unifi/mesh iets magisch doen met roaming wat idd niet klopt. Dat dit dankzij 802.11krv is klopt ook niet, die rol is marginaal en komt meer door betere client roaming support.

- dat de repeaters nu beter zijn heeft niet alleen met 802.11ac te maken. De andere eigenschappen tellen ook zeker mee

Maar laten we het hierbij houden idd
Het zou wel mooi zijn als unifi enkele stappen zou maken op het gebied van 802.11s omdat dat nu een beetje mist

The IEEE 802.11s standard was issued in 2011 and was superseded in 2012

[ Voor 27% gewijzigd door laurens0619 op 05-05-2022 14:41 ]

laurens0619 schreef op donderdag 5 mei 2022 @ 14:39:
@xbeam ik weet niet of he zit te trollen of het echt niet snapt maar ik vind het best zo
Begint beetje semantisch te worden zo en daar heeft niemand wat aan

~xbeam]
Met wireless mesh refereer ik naar 802.11s. Nodes hoeven niet met alle paden draadloos verbonden te zijn en meestal is er maar 1 link omhoog (naar het beste pad)
https://www.cwnp.com/uplo..._mesh_networking_v1-0.pdf

[ Voor 63% gewijzigd door xbeam op 05-05-2022 15:43 ]

The IEEE 802.11s standard was issued in 2011 and was superseded in 2012 when it became part of the IEEE 802.11 standard that was issued in 2012

It was published on July 15, 2008. IEEE 802.11r-2008 was rolled up into 802.11-2012.

[ Voor 6% gewijzigd door laurens0619 op 05-05-2022 15:06 ]

laurens0619 schreef op donderdag 5 mei 2022 @ 15:03:
@xbeam
Waar lees jij dat die afgewezen is?

[...]

Verworpen? Hij is opgenomen. Net zo goed als 802.11krv trouwens,

[UAP] KRACK AP mode patches for 802.11r.

[ Voor 97% gewijzigd door xbeam op 05-05-2022 16:36 ]

[ Voor 7% gewijzigd door laurens0619 op 05-05-2022 16:17 ]

laurens0619 schreef op donderdag 5 mei 2022 @ 16:07:
@xbeam
Fijn
Niet zoveel? Geen fluit zal Je bedoelen.
Roaming staat los van mesh

Roaming krijg je primair door correct ingestelde ssid/encr/passw. Bijkomstigheid van die multi ap setjes is dat je dit niet kunt verprutsen aangezien dat centraal ingesteld staat. Dat heeft nogmaals niets met meshing te maken. Als ik dat eerder impliceerde dat was niet de bedoeling

Secundair is 802.11krv. Het is echt secundair. Het ironische aan deze discussie is dat ubiquiti juist een van de vendors is (geweest) die het jaren heeft laten weten 802.krv te implementeren. Ze zijn er nog steeds vaag over dus geen id wat er bij welk product wel of niet in zit. De meeste setjes als deco/velop hebben dit wel

[ Voor 64% gewijzigd door xbeam op 05-05-2022 18:50 ]

[ Voor 17% gewijzigd door Stefke op 05-05-2022 17:13 ]

Stefke schreef op donderdag 5 mei 2022 @ 17:08:


Ik zou ook 2x Ubiquiti UniFi Switch Flex Mini (per stuk) kunnen nemen, ook niet duur en die kan ik voeden met POE vanuit het huis (daar heb ik een Unify lite 16p switch) dan heb ik geen poe in het tuinhuis beschikbaar

jurroen schreef op donderdag 5 mei 2022 @ 19:33:
[...]


De standaard Flex heeft PoE passthrough - misschien interessant om eens te bekijken?

[ Voor 25% gewijzigd door Stefke op 05-05-2022 21:57 ]

Stefke schreef op donderdag 5 mei 2022 @ 21:41:
@To_Tall die is ook nergens op voorraad

[...]

Bedoel je deze?
Daar heb ik te weinig poorten mee, ik zou er nog wel zo'n flex mini naast kunnen zetten.
edit: en ik heb 802.3at PoE+ nodig volgens mij (camera's)
edit2: en ook nergens te krijgen (niet via tweakers shops iig)


edit: op de site van Ubiquiti staat expliciet "sold out". Zijn die dingen EOL of gewoon niet te krijgen agv chiptekorten etc?

nero355 schreef op dinsdag 3 mei 2022 @ 23:49:
[...]

Vergeet de 2.4 GHZ IoT Clients niet!


[...]


[...]

Mensen leren ook maar niet dat het grote bedrijf waar ze zo fantastisch fanboy/fangirl van zijn eigenlijk geen fuck om hen geeft als het eenmaal zover komt dat ze serieuze problemen ervaren met het produkt/de produkten van dat bedrijf!

Tonne schreef op donderdag 5 mei 2022 @ 23:04:
[...]

Chip tekorten. Zeker voor die lijn. Hopelijk verbetert dat snel

Stefke schreef op vrijdag 6 mei 2022 @ 08:55:
[...]

Wat is dan slim om te doen, want ik moet toch wel dringend een aantal (3 minimaal) POE poorten hebben in het tuinhuis ivm beveiligingscamera's (in de afgelopen weken is hier in de buurt enkele keren ingebroken).

Ik heb een
- USG-3p
- USW-Lite-16-PoE
- 2x UAP-AC-Lite
- 1x UAP-AC-LR

De 16p switch doet alle vaste bekabeling in huis. Maar ik moet nu dus een oude 8p switch vervangen in onze tuinhuis/garage omdat ik daar POE moet hebben.
Tuinhuis/garage is nog in aanbouw, daar komt een thuiskantoor in.

Mijn voorkeur heeft om er niet een apparaat náást te zetten (dubbel stroomverbruik) als ik met een kleine investering 1 apparaatje nodig heb, vandaar dat ik een Unify 8p Poe lite switch wilde halen; niet verkrijgbaar.

Ik kan wachten tot ze er weer zijn, maar tot die tijd kan ik mijn camera's niet laten werken.

Ik kan een ander merk nemen, een unmanaged switch (1/3 van de prijs van een Unify 8p lite), maar dat integreert verder niet in mijn Unify netwerk.

Nu moet ik zeggen; ik heb me nog te weinig kunnen verdiepen in de optimalisatie van mijn netwerk. Waarom zou ik een Unify switch moeten hebben?

Ik wil op termijn - als ik meer tijd heb - wel bepaalde scheiding aanbrengen in mijn netwerk (domotica, camera's, internet), kan ik dan nog wel die opzet doorvoeren in de verdeling van de 8 poorten in het thuiskantoor als ik daar een unmanaged switch tussen zet?

Kan iemand me daar in helpen?

Stefke schreef op vrijdag 6 mei 2022 @ 08:55:
[...]

Wat is dan slim om te doen, want ik moet toch wel dringend een aantal (3 minimaal) POE poorten hebben in het tuinhuis ivm beveiligingscamera's (in de afgelopen weken is hier in de buurt enkele keren ingebroken).

Ik heb een
- USG-3p
- USW-Lite-16-PoE
- 2x UAP-AC-Lite
- 1x UAP-AC-LR

De 16p switch doet alle vaste bekabeling in huis. Maar ik moet nu dus een oude 8p switch vervangen in onze tuinhuis/garage omdat ik daar POE moet hebben.
Tuinhuis/garage is nog in aanbouw, daar komt een thuiskantoor in.

Mijn voorkeur heeft om er niet een apparaat náást te zetten (dubbel stroomverbruik) als ik met een kleine investering 1 apparaatje nodig heb, vandaar dat ik een Unify 8p Poe lite switch wilde halen; niet verkrijgbaar.

Ik kan wachten tot ze er weer zijn, maar tot die tijd kan ik mijn camera's niet laten werken.

Ik kan een ander merk nemen, een unmanaged switch (1/3 van de prijs van een Unify 8p lite), maar dat integreert verder niet in mijn Unify netwerk.

Nu moet ik zeggen; ik heb me nog te weinig kunnen verdiepen in de optimalisatie van mijn netwerk. Waarom zou ik een Unify switch moeten hebben?

Ik wil op termijn - als ik meer tijd heb - wel bepaalde scheiding aanbrengen in mijn netwerk (domotica, camera's, internet), kan ik dan nog wel die opzet doorvoeren in de verdeling van de 8 poorten in het thuiskantoor als ik daar een unmanaged switch tussen zet?

Kan iemand me daar in helpen?

ApC_IcE schreef op vrijdag 6 mei 2022 @ 09:00:
[...]


Tijdelijk een poeinjector?

Tonne schreef op donderdag 5 mei 2022 @ 23:04:
[...]

Chip tekorten. Zeker voor die lijn. Hopelijk verbetert dat snel

Stefke schreef op vrijdag 6 mei 2022 @ 09:04:
[...]

Die heb ik als het goed is een paar liggen ergens (geleverd bij die APs, 1 is nu in gebruik voor de AP LR in de garage)...misschien eens goed zoeken

Stefke schreef op vrijdag 6 mei 2022 @ 08:55:
[...]

Wat is dan slim om te doen, want ik moet toch wel dringend een aantal (3 minimaal) POE poorten hebben in het tuinhuis ivm beveiligingscamera's (in de afgelopen weken is hier in de buurt enkele keren ingebroken).

Ik heb een
- USG-3p
- USW-Lite-16-PoE
- 2x UAP-AC-Lite
- 1x UAP-AC-LR

De 16p switch doet alle vaste bekabeling in huis. Maar ik moet nu dus een oude 8p switch vervangen in onze tuinhuis/garage omdat ik daar POE moet hebben.
Tuinhuis/garage is nog in aanbouw, daar komt een thuiskantoor in.

Mijn voorkeur heeft om er niet een apparaat náást te zetten (dubbel stroomverbruik) als ik met een kleine investering 1 apparaatje nodig heb, vandaar dat ik een Unify 8p Poe lite switch wilde halen; niet verkrijgbaar.

Ik kan wachten tot ze er weer zijn, maar tot die tijd kan ik mijn camera's niet laten werken.

Ik kan een ander merk nemen, een unmanaged switch (1/3 van de prijs van een Unify 8p lite), maar dat integreert verder niet in mijn Unify netwerk.

Nu moet ik zeggen; ik heb me nog te weinig kunnen verdiepen in de optimalisatie van mijn netwerk. Waarom zou ik een Unify switch moeten hebben?

Ik wil op termijn - als ik meer tijd heb - wel bepaalde scheiding aanbrengen in mijn netwerk (domotica, camera's, internet), kan ik dan nog wel die opzet doorvoeren in de verdeling van de 8 poorten in het thuiskantoor als ik daar een unmanaged switch tussen zet?

Kan iemand me daar in helpen?

RobertMe schreef op vrijdag 6 mei 2022 @ 09:11:
[...]

Wel even goed opletten. De AC-LR en AC-Lite werkten vroeger op "passive 24V", een custom PoE variant van Ubiquiti. Later zijn ze ook 802.3af gaan ondersteunen, maar ik meen begrepen te hebben dat ze ook toen nog geleverd werden met passive 24V (wellicht tijdelijk om de oude voorraad weg te werken?). En zo'n passive 24V injector is mogelijk niet compatible met de camera's. Wat zal leiden tot wat magische zwarte rook uit de camera's. Controleer dus goed welke injectors je hebt en/of de camera's ook overweg kunnen met passive 24V.

To_Tall schreef op vrijdag 6 mei 2022 @ 09:03:
[...]

Je zou een poe injector tijdelijk kunnen gebruiken. Blijft alles toch werken.

Een unmanaged switch is veelal niet VLAN aware. Daarmee kan je dus geen apparaten aansluiten die op een ander VLAN moeten komen.

[ Voor 19% gewijzigd door Stefke op 06-05-2022 10:01 ]

Stefke schreef op vrijdag 6 mei 2022 @ 08:55:
[...]

Wat is dan slim om te doen, want ik moet toch wel dringend een aantal (3 minimaal) POE poorten hebben in het tuinhuis ivm beveiligingscamera's (in de afgelopen weken is hier in de buurt enkele keren ingebroken).

Roy Batty schreef op vrijdag 6 mei 2022 @ 11:06:
[...]


Je zou tijdelijk deze kunnen inzetten; die heb ik ook een hele tijd voor mijn camera`s gebruikt icm Unifi, werkt prima. Later heb ik die vervangen idd door een USW-Flex en nu liggen ze in de kast als reserve voor het geval een switch uitvalt en ik toch PoE nodig heb om bv AP`s actief te houden.

Stefke schreef op vrijdag 6 mei 2022 @ 09:58:
@Tonne welke bedoel je daar precies mee? werd hierboven al genoemd, maar de flex die ik kon vinden weet ik niet of dat dezelfde is, en die was ook niet verkrijgbaar

[...]

Roy Batty schreef op vrijdag 6 mei 2022 @ 11:06:
[...]


Je zou tijdelijk deze kunnen

Goof2000 schreef op vrijdag 6 mei 2022 @ 09:08:
[...]

Ik zou een monitoring tool (zijn diverse voor)…

carlob schreef op vrijdag 6 mei 2022 @ 13:23:
[...]


Interessant en nuttig. Maar voordat ik tien verkeerde tools ga testen, heeft iemand ervaring met een goede (gratis) tool?

[ Voor 16% gewijzigd door Airw0lf op 06-05-2022 13:38 ]

Airw0lf schreef op vrijdag 6 mei 2022 @ 13:35:
[...]


Mijn € 0,50:
Onder Windows is PRTG wel een goede. En onder Linux is Nagios een meer dan prima oplossing. Beiden zijn gratis voor hetgeen je ermee wil: een webpagina opvragen en te controleren op zijn inhoud.

Omdat dit topic over UB-netwerk apparatuur gaat (en niet over monitoring tools): graag een DM als je hier meer over wil weten.

Will_M schreef op vrijdag 6 mei 2022 @ 13:41:
[...]


PRTG is inderdaad een briljante SNMP Trap Tool welke je tot 100 'nodes' gratis kunt gebruiken, maar......

Volgens mij zoekt @carlob een 'tool' welke de voorraad status bij / van Ubiquiti apparatuur kan checken bij diverse leveranciers

Will_M schreef op vrijdag 6 mei 2022 @ 13:41:
[...]


PRTG is inderdaad een briljante SNMP Trap Tool welke je tot 100 'nodes' gratis kunt gebruiken, maar......

Volgens mij zoekt @carlob een 'tool' welke de voorraad status bij / van Ubiquiti apparatuur kan checken bij diverse leveranciers

Will_M schreef op vrijdag 6 mei 2022 @ 13:41:
[...]

Volgens mij zoekt @carlob een 'tool' welke de actuele voorraad status bij / van Ubiquiti apparatuur kan checken bij diverse leveranciers

carlob schreef op vrijdag 6 mei 2022 @ 14:49:
[...]


Klopt. Ik had iets meer tekst in de quote moeten laten staan…

Eigenlijk zoek ik dus een tool die ziet of een product in de Ubiquiti store weer beschikbaar is. De notificatie-mail van Ubiquiti zelf komt soms net te laat.

[ Voor 3% gewijzigd door JB op 06-05-2022 15:26 ]

JB schreef op vrijdag 6 mei 2022 @ 15:26:
Kan iemand me op weg helpen met het volgende;

VLAN opzetten om domotica/smart spullen te isoleren van het normale LAN? Ik had nu een guest WiFi aangemaakt voor al deze spullen zodat ze alleen "naar buiten konden" maar ik loop nu tegen wat uitdagingen aan icm een Philips Hue Bridge. Deze gaat op LAN ipv WiFi en lokale discovery in het WiFi netwerk doet het niet obv guest spelregels. Dus isoleren is nu beter denk ik.

De Hue Bridge zit op een Unifi Switch-8. De overige spullen dus op WiFi. Ik heb geen USG maar een ERX als router.

Will_M schreef op vrijdag 6 mei 2022 @ 15:43:
[...]


Wie of wat is de 'Gateway' van je netwerk / VLAN? Die Gateway bepaalt wie er met welke devices mag babbelen waarbij de 'gasten' niet en liefst ook nooit (direct) met elkaar mogen babbelen op een gasten netwerk.

[ Voor 8% gewijzigd door JB op 06-05-2022 15:48 ]

Skynett schreef op vrijdag 6 mei 2022 @ 16:00:
Kijk nou:
[YouTube: UInnovations: UniFi Dream Wall [Early Access]]

Dit is wel weer iets heel nieuws!

Skynett schreef op vrijdag 6 mei 2022 @ 16:00:
Kijk nou:
[YouTube: UInnovations: UniFi Dream Wall [Early Access]]

Dit is wel weer iets heel nieuws!

Skynett schreef op vrijdag 6 mei 2022 @ 16:00:
Kijk nou:
[YouTube: UInnovations: UniFi Dream Wall [Early Access]]

Dit is wel weer iets heel nieuws!

[ Voor 16% gewijzigd door Ethirty op 06-05-2022 16:34 ]

Skynett schreef op vrijdag 6 mei 2022 @ 16:00:
Kijk nou:
[YouTube: UInnovations: UniFi Dream Wall [Early Access]]

Dit is wel weer iets heel nieuws!

RobertMe schreef op vrijdag 6 mei 2022 @ 16:09:
[...]

De hoeveelste iteratie is dit? Volgens mij heeft @xbeam meer dan een jaar terug hier al eens gepost over zo'n type apparaat. Als in: een wall mounted gateway. Deze lijkt dan wel (veel) meer features te hebben (grotere switch denk ik, de HDD, meer software features met Protect en Talk etc), maar het idee is hetzelfde.

Het enige wat ik verwacht zijn wat (hotel) deursloten en sensoren voor acces en protect en nieuwe wall mounted CloudKey/solaraccupack.

[ Voor 4% gewijzigd door xbeam op 07-05-2022 10:19 ]

Slonzo schreef op vrijdag 6 mei 2022 @ 19:54:
[...]

Wat is de doelgroep van dit product tegen die prijzen?
Veel te duur voor consumenten, veel te beperkt voor KMO.

[ Voor 57% gewijzigd door xbeam op 06-05-2022 21:11 ]

MAdD schreef op woensdag 4 mei 2022 @ 12:43:
misschien een domme vraag... maar ik merk dat er vanuit USA heel veel pogingen zijn die door de UDMB worden geblokkeerd.

Nu wil ik voor deze ip reeks een firewall rule maken (192.241.220.0 /24-192.241.221.0/24)
Alleen wordt 192.241.2200/24 niet geaccepteerd in port profile page.

Iemand een idee hoe ik deze 2 reeksen (192.241.220.0 /24-192.241.221.0/24) direct in de firewall kan blokkeren?

abusimbal schreef op woensdag 4 mei 2022 @ 12:55:
De reeks van 192.241.220 zijjn van cloudinfrastructuurprovider DigitalOcean.

laurens0619 schreef op donderdag 5 mei 2022 @ 09:55:
Maar zijn die problemen op die clients dan nu opgelost omdat er krv is?
Uit mijn testen kwam (helaas) iets anders. Benieuwd naar jouw testresultaten

Neemt niet weg dat standaarden goed zijn maar het nare is dat
1. krv kan tegenwerken als je client het niet goed kan

Daarbij blijft het super vaag of unifi uberhaupt wel krv doen. Zover ik weet blijft dat onbekend/nee (op eigen varianten/workarounds na)

laurens0619 schreef op donderdag 5 mei 2022 @ 16:07:
Het ironische aan deze discussie is dat ubiquiti juist een van de vendors is (geweest) die het jaren heeft laten weten 802.krv te implementeren.
Ze zijn er nog steeds vaag over dus geen id wat er bij welk product wel of niet in zit.

xbeam schreef op donderdag 5 mei 2022 @ 12:28:
Wat denk je dat 802.11krv zijn?

Roaming protocollen en wat is volgens jouw client roaming support als 802.11krv dat niet is?

Stefke schreef op donderdag 5 mei 2022 @ 17:08:
De US-8-60W lijkt nog wel te krijgen maar vanwege de warmteontwikkeling die liever niet.

Ik kan natuurlijk een ander merk kijken, maar dan is er geen integratie (vraag is of ik dat voor dit geval nodig heb, switch in onze tuinhuis garage waarvan ik verwacht dat 8 genoeg is (4 poe nodig). Er ligt nu een oude 8p switch zonder poe, vandaar de vervanging

Bijv. pricewatch: Linksys LGS108P
Stuk goedkoper ook, maar toch. Is er vanuit Ubi niks hiervoor?

Stefke schreef op vrijdag 6 mei 2022 @ 08:55:
Waarom zou ik een Unify switch moeten hebben?

Ik wil op termijn - als ik meer tijd heb - wel bepaalde scheiding aanbrengen in mijn netwerk (domotica, camera's, internet), kan ik dan nog wel die opzet doorvoeren in de verdeling van de 8 poorten in het thuiskantoor als ik daar een unmanaged switch tussen zet?

Goof2000 schreef op vrijdag 6 mei 2022 @ 09:08:
Nu volg ik het topic al een tijdje en twijfelde of ik nog naar een Dream Machine zou overstappen om all the way te gaan met Ubiquiti, maar dat gaat nog even in de ijskast. (vind het sowieso heel veel geld en de laatste discussie kan ik het mezelf niet rechtvaardigen)

Ik heb nu een MikroTik RB750Gr3 icm een 1gb glasvezellijn (rekam) met Netrebel.

Nu wil ik in de toekomst aan de slag gaan met Vlan's en ik heb me ingelezen en dat zou kunnen met die Mikrotik icm Ubiquiti netwerk apparatuur. Alleen vraag ik me af of die het nog gaat trekken of dat ik moet overstappen op de RB5009UG+S+IN of dat ik toch voor iets zelfbouw ga voor de firewall, dns afhandeling, etc.

bauk schreef op vrijdag 6 mei 2022 @ 15:26:
Zo, voor diegenen die mijn rant nog kunnen herinneren aangaande de upgrade naar 7.x.x, het is mij deze week gelukt hoor.

Helemaal vanaf scratch, usg resetten, firmware, VLAN op internet, gelijk set-inform (2 keer)

en dan handmatig de DNS servers naar 1.1.1.1 en 9.9.9.9 (denk dat die wel ok zijn...).

Reden was dat m'n 16-POE raar gedrag vertoonde en ik toch daar iets mee moest (kijken of nieuwe firmware werkt)... Toch blijf ik met de volgende fout zitten en misschien hebben jullie hier een Tweakers-waardige oplossing voor:

code:

1 2 3 4

May 5 11:11:01 CoreSwitch daemon.info switch: BOXSERV: Error 17 occurred reading thermal sensor 5 data May 5 11:11:03 CoreSwitch daemon.info switch: BOXSERV: Error 17 occurred reading thermal sensor 2 data May 5 11:11:03 CoreSwitch daemon.info switch: BOXSERV: Error 17 occurred reading thermal sensor 3 data May 5 11:11:03 CoreSwitch daemon.info switch: BOXSERV: Error 17 occurred reading thermal sensor 4 data

En dan reset de switch de POE op de poorten en heb ik een klein minuutje geen internet via de access points en de flex mini op zolder. Frequentie is eens per dag, soms twee keer.

Irritant, maar snel vervangen zit er niet in (levertijden...), nieuwe kopen zit er niet in en garantie waarschijnlijk ook niet (net over de 2 jaar uit bij eerste voorkomen van issue).

Tips?

Slonzo schreef op vrijdag 6 mei 2022 @ 19:52:
[...]

Je blokkeert geen verkeer tussen VLAN's maar tussen subnets. Dus zorgen dat verkeer niet meer routed wordt tussen RFC-1918 ranges door ze in je firewall te blokkeren:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

JB schreef op zaterdag 7 mei 2022 @ 09:06:
[...]

Oké daar moet ik ook weer even induiken omdat mijn kennis niet dermate is dat ik alles zo volg.

Heb ik dan een onhandige inrichting gekozen qua subnets? Ik heb nu 192.168.1.0/24 en 192.168.2.0/24 om zaken te kunnen scheiden. Deze kun je ook blokkeren van elkaar lijkt me, want 2 verschillende ranges?

Nu gebruik ik ook nog een Pihole voor DNS, dus die wordt dan ook geblocked cq geen verkeer meer mogelijk voor IoT daarna?

JB schreef op zaterdag 7 mei 2022 @ 09:06:
Heb ik dan een onhandige inrichting gekozen qua subnets? Ik heb nu 192.168.1.0/24 en 192.168.2.0/24 om zaken te kunnen scheiden. Deze kun je ook blokkeren van elkaar lijkt me, want 2 verschillende ranges?

JB schreef op zaterdag 7 mei 2022 @ 09:06:
Nu gebruik ik ook nog een Pihole voor DNS, dus die wordt dan ook geblocked cq geen verkeer meer mogelijk voor IoT daarna?

[ Voor 6% gewijzigd door Slonzo op 07-05-2022 10:50 ]

JB schreef op zaterdag 7 mei 2022 @ 10:51:
Dank voor meedenken allemaal!

Vind niet zo erg als die IoT hun eigen DNS gebruiken, is meer dat er iets niet meer werkt als ik dat segment ga buiten sluiten. PiHole doet alleen DNS.

[ Voor 14% gewijzigd door Airw0lf op 07-05-2022 11:10 ]

pinda powerrr schreef op zaterdag 7 mei 2022 @ 12:54:
Overigens best lastig uit te leggen waarom eea gescheiden moet worden, de eigenaren boeit het niet. Hoezo? Als de gasten maar internet hebben

RobertMe schreef op zaterdag 7 mei 2022 @ 13:02:
[...]

Vind je het oke als de gasten ook zo nu en dan wat afdrukken op de printer op kantoor?
Vind je het oke als de gasten aan de gedeelde documenten op de administratie computer kunnen?
Vind je het oke als de gasten in de kassa kunnen kijken?

Of vraag gewoon waarom er bv een slot op de deuren zit die alleen voor het personeel toegankelijk zijn. "De gasten moeten toch kunnen slapen en eten? Daarvoor hoeft ook geen slot op kantoor te zitten".

[ Voor 8% gewijzigd door JeroenVerweij op 07-05-2022 14:45 ]

JB schreef op zaterdag 7 mei 2022 @ 09:06:
Nu gebruik ik ook nog een Pihole voor DNS, dus die wordt dan ook geblocked cq geen verkeer meer mogelijk voor IoT daarna?

Airw0lf schreef op zaterdag 7 mei 2022 @ 09:42:
Ook is het zaak dat je routing op je pihole-server uitgeschakeld is. Anders schiet het niet echt op...

Pihole (het dnsmasq-deel) laat zich in een vlan met zijn vlan-specifieke dhcp-range, dns-server en default gateway. Alleen zul je daarvoor in de cli moeten klimmen in de vorm van een aanvullend dhcp-config-bestand. Dit is weer afhankelijk van het type en versie van het OS.

Eenmaal gedaan zal het dnsmasq-deel dhcp verzorgen voor het vlan. En zal je in de pihole gui kunnen zien welke ip's er uitgedeeld zijn. Ook eventuele logging en zo blijft allemaal werken.

Maar dit pihole-config-stuk is redelijk off-topic => graag een dm als je hier meer over wil weten. Afhankelijk van je omgeving heb ik eventueel ook een voorbeeld-config voor je.

Airw0lf schreef op zaterdag 7 mei 2022 @ 11:05:
Veel IoT-devices gebruiken inderdaad hun eigen DNS => het "gewone" DNS (via UDP-53) i.c.m. mDNS (via UDP-5353). Dat laatste ga je niet met pihole/dnsmasq kunnen doen => moet anders geregeld worden.

Om die reden gebruik ik pihole ook voor DHCP.

In het dashboard kan ik dan zien waar welke IP-adressen zijn uitgedeeld. En wat de actuele DNS-naam is (dynamisch en statisch). Idem voor het onderliggende mDNS-deel (eindigt allemaal op .local) - in mijn geval via avahi omdat ik pihole op Ubuntu 20.04-LTS heb draaien => avahi is daar een onderdeel van.

Ik maak bij mDNS geen gebruik van de mDNS-reflector. Maar heb avahi een "pootje" gegeven in elk relevant vlan. En wel op dezelfde manier als ik dat met pihole heb gedaan.

JeroenVerweij schreef op zaterdag 7 mei 2022 @ 14:44:
Daarvoor is uiteraard een goed WiFi signaal nodig. Ik wil daarom het WiFi 6 Lite AP van achter in de woonkamer (13m lang) naar voren in de woonkamer bij de voordeur verplaatsen, achter het tv meubel. Binnen heb ik namelijk volle snelheid (nu nog 300mbit, binnenkort 1Gbit) maar als ik een speedtest run op de plek waar de deurbel komt, kakt dit in tot 15-20mbit.

Op de Flex Mini zit de Apple TV, Tado bridge, Ziggo Next box & Samsung TV aangesloten. Mijn idee is om de Tado bridge een verdieping naar boven te plaatsen zodat ik het vrijgekomen punt op de Flex Mini kan gebruiken voor mijn WiFi 6 Lite AP.

Nu mijn vraag. De Flex Mini heeft geen PoE (out) poorten. Ik moet het WiFi 6 Lite AP dus op een andere manier voeden. Kan dat zo simpel als een PoE injector er tussen zetten? Of gaat dat niet werken in mijn setup?

RobertMe schreef op zaterdag 7 mei 2022 @ 15:03:
Waarschijnlijk zou @nero355 je dan een In-Wall access point aanbevelen.

U6 IW

offtopic:
Verder is dit geen Aankoopadvies Topic en IMHO vraagt hij allemaal dingen die je makkelijk kan opzoeken dus ik vind het wel prima verder...

Good luck!

RobertMe schreef op zaterdag 7 mei 2022 @ 15:03:
[...]

Ik zou ook even testen met het AP aan de voorkant van de woning. Door muren en zo heen is altijd lastig voor wifi. Als je het AP voor in de woning plaatst heb je voor hetzelfde geldt een nog net zo slechte verbinding naar buiten toe.

[…]

Waarschijnlijk zou @nero355 je dan een In-Wall access point aanbevelen. Of de AC IW, met 2 LAN aansluitingen waarvan één PoE passthrough doet waar je de Flex Mini op aan kunt sluiten, of de AC IW HD of U6 IW, die 4 LAN poorten hebben en dan heb je de Flex Mini niet meer nodig. Voordeel is dan sowieso ook dat je een extra AP hebt i.p.v. een bestaande verplaatst. Want je beredeneerd nu alleen uit het oogpunt van de deurbel "die zal dan beter signaal hebben" (hoop je, zie ook hierboven m.b.t. dat het geen garantie is omdat isolatie in muren en glas gewoon altijd heel hard het signaal dempt). Maar als je dat AP verplaatst, op welke plekken in huis krijg je dan mogelijk een veel slechter signaal?

[...]

Ja, dit kan. De Flex Mini merkt niks er van en de injector zorgt ervoor dat er PoE wordt geleverd aan het AP.

Airw0lf schreef op zondag 8 mei 2022 @ 12:50:
We zeggen allebei hetzelfde

vlans toevoegen aan pihole?!

Wat maakt dat je jouw post ziet als "is relevant"? En de mijne afserveert als "klopt niet of is niet relevant"?

En ook: in een eerdere post van @JB werd er gesproken over een "Hue Bridge". De preciese scope kon ik er niet uit afleiden. Maar mijn inschatting was dat IoT juist wel nodig is => dat was in ieder geval wel het vertrekpunt van mijn reactie.

Het stukje over avahi en mDNS borduurt hierop door: als je een Heu Bridge gebruikt in combinatie met Apple devices heb je mDNS nodig. Idem voor vormen van home automation via zoiets als Home Assistant. Zo heb ik in mijn IoT-vlan twee ESPHome devices draaien die alleen aangesproken kunnen worden via hun IP-adres en hun mDNS-naam => domweg mDNS blokkeren met een firewall rule lijkt me dan geen optie.

Technieken als DoH en DoT zijn hier niet relevant.

Met in het verlengde: om op het geheel wat meer zicht/grip te krijgen heb ik het DHCP-deel van pihole/dnsmasq ingezet. Op basis van het MAC-adres krijgen de IoT-devices een vast IP-adres en een "normale" DNS-naam. Dat alles is weer terug te vinden in de pihole dashboards. Om vervolgens op basis van die gegevens de firewall rules te verbijzonderen naar een specifieke toepassing.

Daarmee ligt ook de mDNS-naam vast binnen een bepaald vlan.

Door vlan gerichte instellingen in avahi kun je alles toch met elkaar laten babbelen - mocht dat nodig zijn. Door de reflector functie van avahi uitgeschakeld te laten voorkom ik dat er via mDNS een achterdeurtje ontstaat waarlangs die devices alsnog met elkaar gaan babbelen. En daarmee de eerder ingevoerde firewall rules (min-of-meer) omzeilen.

Ook is er op een eerder moment gesteld dat de mDNS invulling binnen Ubiquiti niet goed (of onvolledig) is. De precieze details zou ik op moeten zoeken.

Mij lijkt dat deze combinatie maakt dat de bijdrage op alle punten relevant (en on-topic!) te noemen is:
(1) - het zou een workaround kunnen zijn voor de onvolledige Ubiquiti-invulling rondom mDNS.
(2) - het gebruik van een Hue Bridge en home automation binnen vlans.

Misschien allemaal wat ver gezocht? Zeker als je langs een ander kanaal meer details hebt ontvangen over de omgeving van @JB ? Maar daar heb ik dan weer geen zicht op => ik hoor graag hoe of wat.

[ Voor 76% gewijzigd door Will_M op 08-05-2022 15:51 ]

nero355 schreef op zondag 8 mei 2022 @ 14:59:

Nee, absoluut niet!

- Jij wil AVAHI in meerdere VLANs...
- Ik wil FTLDNS in meerdere VLANs !!

[...]

nero355 schreef op zondag 8 mei 2022 @ 14:59:
Op het moment dat je al het DNS verkeer binnen je netwerk wilt houden : Zeer zeker wel!

nero355 schreef op zondag 8 mei 2022 @ 14:59:
Het punt is dus dat je oplossingen voor niet bestaande problemen noemt of niet de juiste oplossingen voor bepaalde problemen

Will_M schreef op zondag 8 mei 2022 @ 15:31:
Zélfs op de USG-3P kun je mDNS tegenwoordig ook gewoon pér VLAN middels de GUI inschakelen / beheren (Unifi Network Controller V7.x.x).

Het USG-3P apparaatje kan genoeg, het is vaak de management implementatie middels de 'Unifi Controller' welke een eigen willetje heeft

Airw0lf schreef op zondag 8 mei 2022 @ 17:06:
Omdat pihole niet met mDNS overweg kan was (en is) het idee om avahi op hetzelfde systeem te zetten - mocht er om wat voor reden dan ook mDNS nodig zijn. Met voorbeelden van situaties waarbij dit inderdaad nodig is.

Maar als je je DNS-records met pihole op orde wil krijgen lijkt het me wel handig als je die ook DHCP laat afhandelen i.v.m. de lokale DNS-updates.

Oftewel met pihole (DHCP en DNS) en avahi (mDNS) op één systeem heb je alles rondom adres beheer en name resolving op een plek liggen.

Lijkt me handiger dan verdeelt over twee apparaten.

Of zie je dat anders?

DoH en DoT onderscheppen de initiële DNS-aanvraag en sturen die in een tunnel/versleuteld het Internet op.

Ergens eindigt die tunnel - bijvoorbeeld bij Google, Cloudflare of Nextdns. Op dat punt wordt je oorspronkelijke DNS-aanvraag alsnog zichtbaar. Alleen is dat "beperkt" tot (in dit voorbeeld) Google, Cloudflare of Nextdns (en alles wat daar nog achteraan komt). Maar of je er verder veel mee op schiet...

Mja - blijkbaar maakt mijn manier van schrijven dat dingen "vatbaar" zijn voor meerdere interpretaties. Maar meer dan dat is het niet...

Nee, absoluut niet!

- Jij wil AVAHI in meerdere VLANs...
- Ik wil FTLDNS in meerdere VLANs !!

Airw0lf schreef op zondag 8 mei 2022 @ 17:06:
[...]
Ik kan me wel enigszins voorstellen dat je dat erin leest. Maar das was zeker niet de intentie!
Het doel was (en is) juist om met pihole de DNS-records op orde te krijgen voor alle in gebruik zijnde IP's - ongeacht hoe ze uitgedeeld en gebruikt zijn.

Omdat pihole niet met mDNS overweg kan was (en is) het idee om avahi op hetzelfde systeem te zetten - mocht er om wat voor reden dan ook mDNS nodig zijn. Met voorbeelden van situaties waarbij dit inderdaad nodig is.

Dat je DHCP via een router (Unify of iets anders) niet perse hoeft te vervangen weet ik. Maar als je je DNS-records met pihole op orde wil krijgen lijkt het me wel handig als je die ook DHCP laat afhandelen i.v.m. de lokale DNS-updates.

Oftewel met pihole (DHCP en DNS) en avahi (mDNS) op één systeem heb je alles rondom adres beheer en name resolving op een plek liggen. Lijkt me handiger dan verdeelt over twee apparaten. Of zie je dat anders?

Mwah - ik weet het niet - DoH en DoT onderscheppen de initiële DNS-aanvraag en sturen die in een tunnel/versleuteld het Internet op. Ergens eindigt die tunnel - bijvoorbeeld bij Google, Cloudflare of Nextdns. Op dat punt wordt je oorspronkelijke DNS-aanvraag alsnog zichtbaar. Alleen is dat "beperkt" tot (in dit voorbeeld) Google, Cloudflare of Nextdns (en alles wat daar nog achteraan komt). Maar of je er verder veel mee op schiet...

Mja - blijkbaar maakt mijn manier van schrijven dat dingen "vatbaar" zijn voor meerdere interpretaties. Maar meer dan dat is het niet...

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

version: "3"

services:
  jwilder-proxy:
    image: budry/jwilder-nginx-proxy-arm
    ports:
      - '80:80'
      - '443:443'
    environment:
      DEFAULT_HOST: pihole.domain.tld
    volumes:
      - '/var/run/docker.sock:/tmp/docker.sock'
    restart: always

  pihole:
  # https://github.com/pi-hole/docker-pi-hole/blob/master/README.md
    image: pihole/pihole:latest
    container_name: pihole
    # For DHCP there is some advanced router configuration. Do not use host mode networking or it will conflict with nginx and the unifi-controller
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "67:67/udp"
      - "8053:80/tcp"
      - "9443:443/tcp"
    environment:
      ServerIP: ###.###.###.###
      TZ: 'America/New_York' #Adjust for your timezone
      PROXY_LOCATION: pihole
      VIRTUAL_HOST: pihole.domain.tld
      VIRTUAL_PORT: 80
      # WEBPASSWORD: 'enter a password and uncomment, otherwise random'
    # Volumes store your data between container upgrades
    volumes:
      - './pihole/etc-pihole/:/etc/pihole/'
      - './pihole/etc-dnsmasq.d/:/etc/dnsmasq.d/'
      # run `touch ./var-log/pihole.log` first unless you like errors
      - './var-log/pihole.log:/var/log/pihole.log'
    # Recommended but not required (DHCP needs NET_ADMIN)
    # https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN
    extra_hosts:
      - 'domain.tld:###.###.###.###'
      - 'pihole pihole.domain.tld:###.###.###.###'
      - 'unifi unifi.domain.tld:###.###.###.###'
    restart: unless-stopped

  unifi-controller:
    image: ghcr.io/linuxserver/unifi-controller
    container_name: unifi-controller
    ports:
      - "3478:3478/udp"
      - "10001:10001/udp"
      - "8080:8080"
      - "8443:8443"
      - "1900:1900/udp"
      - "8843:8843"
      - "8880:8880"
      - "6789:6789"
      - "5541:5541"
    environment:
      PROXY_LOCATION: unifi
      VIRTUAL_HOST: unifi.domain.tld
      VIRTUAL_PORT: 8443
      VIRTUAL_PROTO: https
    volumes:
      - './unifi/config:/config'
    restart: unless-stopped

> set service dhcp-relay interface ethX.x
> set service dhcp-relay server ###.###.###.###
> commit ; save

[ Voor 41% gewijzigd door xbeam op 09-05-2022 12:20 ]

nero355 schreef op vrijdag 6 mei 2022 @ 20:28:
[...]


Welk model is het PRECIES

[...]

Voor de pricewatch: Ubiquiti UniFi Switch (16-poorts, 150W PoE+) zijn er losse voedingen tekoop, maar ik zou eerst gewoon bij Ubiquiti zeuren, want bekend probleem bij bepaalde revisies!

Airw0lf schreef op maandag 9 mei 2022 @ 08:44:
@xbeam en @nero355: inmiddels zijn we behoorlijk afgedwaald van het topic. Mochten jullie hier verder over willen bomen, dan graag een dm zodat we langs een ander kanaal de draad weer op kunnen pakken.

Voor de time being blijf ik doorgaan op de ingeslagen weg met een stabiele, lean-en-mean ingerichte VM (geen containers) die alles wat nodig is aan boord heeft; aangevuld met de nodige monitoring/auditing en pentesten. En met een minimale beheer(s)last.

Maar voor nu laat ik het hierbij.

[ Voor 14% gewijzigd door xbeam op 09-05-2022 15:10 ]

xbeam schreef op maandag 9 mei 2022 @ 10:28:
Dit topic is gebouwd op het plaatsen van code en json’s Het is jammer dat we dit al tijden niet meer zien.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

#!/bin/bash

## voorbeeld ./poe-control.sh sw01 1 off

username=deviceusername


case "$1" in
 sw01)
switch=sw01.mgmt.lan
;;


 sw02)
switch=sw02.mgmt.lan
;;

esac

case "$2" in

 1)
port=1
;;

 2)
port=2
;;

 3)
port=3
;;

 4)
port=4
;;

 5)
port=5
;;

 6)
port=6
;;

 7)
port=7
;;

 8)
port=8
;;

esac


case "$3" in

 on)
status=auto
;;

 off)
status=off
;;

esac

ssh $username@$switch swctrl poe set $status id $port

exit 0

1
2
3
4
5
6

# POE
0 7 * * * /path/./poe-control.sh sw01 6 on >/dev/null 2>&1
0 7 * * * /path/./poe-control.sh sw02 6 on >/dev/null 2>&1

0 22 * * * /path/./poe-control.sh sw01 6 off >/dev/null 2>&1
0 22 * * * /path/./poe-control.sh sw02 6 off >/dev/null 2>&1

JB schreef op maandag 9 mei 2022 @ 10:53:
Ik ben in ieder geval heel blij met al deze inhoudelijke kennis van jullie! Ik ga dit weer proberen eigen te maken. Het hoeft voor mij niet complex en ik moet het kunnen snappen want ben ik geen netwerk specialist. Vooralsnog heb ik bereikt;

- IoT VLAN voor alle WiFi IoT meuk incl port tagged voor de Hue Bridge op de Unifi-8

To do;

- IoT niet meer laten praten met "normale netwerk doormiddel van subnet verkeer blocken
- IoT DNS bieden al dan niet via de PiHole want dat gaat stuk bij blocken subnet

Wellicht verwoord ik het niet geheel juist, maar ik ben niet helemaal thuis in het vakjargon

- IoT DNS bieden al dan niet via de PiHole want dat gaat stuk bij blocken subnet

configure
set system name-server 192.168.pi.hole
commit
save
exit

IoT niet meer laten praten met "normale netwerk doormiddel van subnet verkeer blocken

configure
set firewall name LAN_IN default-action drop
set firewall name LAN_IN description "Intervlan block"
set firewall name LAN_IN enable-default-log
set firewall name LAN_IN rule 10 action accept
set firewall name LAN_IN rule 10 description "Allow established/related"
set firewall name LAN_IN rule 10 log enable
set firewall name LAN_IN rule 10 protocol all
set firewall name LAN_IN rule 10 state established enable
set firewall name LAN_IN rule 10 state invalid disable
set firewall name LAN_IN rule 10 state new disable
set firewall name LAN_IN rule 10 state related enable
Commit
Save

[ Voor 69% gewijzigd door xbeam op 09-05-2022 15:11 ]

[ Voor 77% gewijzigd door laurens0619 op 09-05-2022 13:12 ]

xbeam schreef op maandag 9 mei 2022 @ 10:28:
[...]


Dit is juist on topic we alleen gaan nu eindelijk weer een keer de Unifi diepte met verschillende configuratie opties voor een oplossing in en plaats van dat oppervlakkig herhaling van van het reilen en zeilen van unifi.
Dit topic is gebouwd op het plaatsen van code en delen van json’s, Het is jammer dat we dit al tijden niet meer zien. Het is toch de bedoeling dat we gezamenlijk tot een werkende oplossing voor het gestelde unifi probleem komen? Dat is waar iedereen van leert

ubuntu: /etc/network/interfaces

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

# The 1-st network interface
auto eth0
iface eth0 inet static
    address 192.168.139.235
    netmask 255.255.255.0
    gateway 192.168.139.240
    dns-nameserver 192.168.139.235

# Other v-lan configs
#
# Pre-prod en test (via Sophos XGS)
auto eth0.100
iface eth0.100 inet static
        address 192.168.100.235
        netmask 255.255.255.0
        gateway 192.168.100.234
        dns-nameserver 192.168.100.234

# Prod - Datacenter
auto eth0.200
iface eth0.200 inet static
        address 192.168.200.235
        netmask 255.255.255.0
        gateway 192.168.200.240
        dns-nameserver 192.168.200.235

# Prod - Office - Wired
auto eth0.210
iface eth0.210 inet static
        address 192.168.210.235
        netmask 255.255.255.0
        gateway 192.168.210.240
        dns-nameserver 192.168.210.235

# Prod - Office - Wifi
auto eth0.220
iface eth0.220 inet static
        address 192.168.220.235
        netmask 255.255.255.0
        gateway 192.168.220.240
        dns-nameserver 192.168.220.235

# Prod - Domotica & IoT
auto eth0.230
iface eth0.230 inet static
        address 192.168.230.235
        netmask 255.255.255.0
        gateway 192.168.230.240
        dns-nameserver 192.168.230.235

# Prod - Guest wifi (via Sophos XGS)
auto eth0.240
iface eth0.240 inet static
        address 192.168.240.235
        netmask 255.255.255.0
        gateway 192.168.240.234
        dns-nameserver 192.168.240.234

de 3 pihole configs zoals aangemaakt door de gui

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

addn-hosts=/etc/pihole/local.list
addn-hosts=/etc/pihole/custom.list
localise-queries
no-resolv
cache-size=10000
log-queries
log-facility=/var/log/pihole.log
log-async
server=45.90.28.138
server=45.90.30.138
domain-needed
expand-hosts
bogus-priv
local-service
dhcp-name-match=set:hostname-ignore,wpad
dhcp-name-match=set:hostname-ignore,localhost
dhcp-ignore-names=tag:hostname-ignore

1
2
3
4
5
6
7
8

dhcp-authoritative
dhcp-range=192.168.139.11,192.168.139.60,24h
dhcp-option=option:router,192.168.139.240
dhcp-leasefile=/etc/pihole/dhcp.leases
#quiet-dhcp

domain=itv.lan
local=/itv.lan/

1
2
3
4
5
6
7
8
9
10

dhcp-host=00:04:20:23:22:15,192.168.139.61,sb-1
dhcp-host=00:04:20:12:93:16,192.168.139.62,sb-2
dhcp-host=00:04:20:12:A3:7B,192.168.139.63,sb-3
dhcp-host=88:A9:A7:93:60:3F,192.168.139.146,3d-printer-if0
dhcp-host=68:B9:D3:D2:AD:74,192.168.139.145,3d-printer-if1
dhcp-host=B8:D7:AF:54:3E:C9,192.168.230.225,inv-1
dhcp-host=CC:C0:79:39:6B:65,192.168.230.226,inv-2
dhcp-host=DC:F5:05:25:34:21,192.168.230.201,roomba
dhcp-host=C8:C9:A3:6C:7D:D9,192.168.230.227,smartreader
dhcp-host=94:B9:7E:17:97:EC,192.168.230.228,smartdoorbell

aanvullingen op pihole (lees: instellingen voor dnsmasq)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#####
addn-hosts=/etc/95-static-hosts
dhcp-client-update
dhcp-fqdn
domain=dmz.itv.lan,192.168.2.0/24
server=//
server=/lan/
stop-dns-rebind
dns-loop-detect
edns-packet-max=1232
dhcp-option=43,01:04:00:00:00:02 # Disable Netbios

# NextDNS specifics | WMO 2020jul4
add-cpe-id=<code>

# Nessus scannner specifics | WMO 2022apr23
rebind-domain-ok=/msftncsi.com/officeapps.live.com/nessus.org/fixed.kpn.net/

# Misc
filterwin2k
localise-queries
dns-forward-max=300
all-servers
no-negcache

pihole/dnsmasq vlan-config

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

# Pre-prod and test - 100 (traffic is processed via Sophos XGS)
domain=preprod.itv.lan,192.168.100.0/24
dhcp-range=eth0.100,192.168.100.11,192.168.100.60,24h
dhcp-option=eth0.100,option:router,192.168.100.234
dhcp-option=eth0.100,option:dns-server,192.168.100.234

# Prod - Datacenter - 200
domain=dc.itv.lan,192.168.200.0/24
dhcp-range=eth0.200,192.168.200.11,192.168.200.60,24h
dhcp-option=eth0.200,option:router,192.168.200.240
dhcp-option=eth0.200,option:dns-server,192.168.200.235

# Prod - Office - Wired - 210
domain=wired.itv.lan,192.168.210.0/24
dhcp-range=eth0.210,192.168.210.11,192.168.210.60,24h
dhcp-option=eth0.210,option:router,192.168.210.240
dhcp-option=eth0.210,option:dns-server,192.168.210.235

# Prod - Office - Wifi - 220
domain=wifi.itv.lan,192.168.220.0/24
dhcp-range=eth0.220,192.168.220.11,192.168.220.60,24h
dhcp-option=eth0.220,option:router,192.168.220.240
dhcp-option=eth0.220,option:dns-server,192.168.220.235

# Prod - Domotica & IoT - 230
domain=iot.itv.lan,192.168.230.0/24
dhcp-range=eth0.230,192.168.230.11,192.168.230.60,24h
dhcp-option=eth0.230,option:router,192.168.230.240
dhcp-option=eth0.230,option:dns-server,192.168.230.235

# Prod - Gasten wifi - 240 (traffic is processed via Sophos XGS)
domain=gasten.itv.lan,192.168.240.0/24
dhcp-range=eth0.240,192.168.240.11,192.168.240.60,24h
dhcp-option=eth0.240,option:router,192.168.240.234
dhcp-option=eth0.240,option:dns-server,192.168.240.234

avahi-config (lees: mDNS) en de uitkomst van avahi-browse -a

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

[server]
host-name=sdn
domain-name=local
use-ipv4=yes
use-ipv6=no
allow-interfaces=eth0,eth0.210,eth0.220,eth0.230
enable-dbus=yes
disallow-other-stacks=yes
ratelimit-interval-usec=1000000
ratelimit-burst=1000

[wide-area]
enable-wide-area=no

[publish]
publish-addresses=yes
publish-hinfo=no
publish-workstation=no

[reflector]
enable-reflector=no
reflect-ipv=no

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

+ eth0.230 IPv4 hass [6df5181aa0754c5a8bb50e4f1a154fe9]       Workstation          local
+ eth0.220 IPv4 hass [6df5181aa0754c5a8bb50e4f1a154fe9]       Workstation          local
+ eth0.210 IPv4 hass [6df5181aa0754c5a8bb50e4f1a154fe9]       Workstation          local
+   eth0 IPv4 hass [6df5181aa0754c5a8bb50e4f1a154fe9]       Workstation          local
+   eth0 IPv4 mtk8530 [98:93:cc:cf:4b:c3]                   Workstation          local
+   eth0 IPv4 C4A-8b84440d7539e95aa218317c548d1881          _googlecast._tcp     local
+   eth0 IPv4 8b84440d-7539-e95a-a218-317c548d1881          _googlezone._tcp     local
+   eth0 IPv4 mouse                                         Web Site             local
+   eth0 IPv4 mouse                                         Microsoft Windows Network local
+   eth0 IPv4 mouse                                         _device-info._tcp    local
+   eth0 IPv4 mouse                                         Apple File Sharing   local
+ eth0.220 IPv4 morpheus                                      Apple File Sharing   local
+ eth0.220 IPv4 MORPHEUS                                      Microsoft Windows Network local
+ eth0.220 IPv4 MORPHEUS                                      _device-info._tcp    local
+   eth0 IPv4 morpheus                                      Apple File Sharing   local
+   eth0 IPv4 MORPHEUS                                      Microsoft Windows Network local
+   eth0 IPv4 MORPHEUS                                      _device-info._tcp    local
+   eth0 IPv4 HASS Bridge 5587F7                            _hap._tcp            local
+   eth0 IPv4 ITV-HQ                                        _home-assistant._tcp local
+   eth0 IPv4 OfficeJet                                     UNIX Printer         local
+   eth0 IPv4 OfficeJet                                     PDL Printer          local
+   eth0 IPv4 OfficeJet                                     Internet Printer     local
+   eth0 IPv4 OfficeJet                                     Web Site             local
+   eth0 IPv4 OfficeJet                                     _scanner._tcp        local
+   eth0 IPv4 OfficeJet                                     _http-alt._tcp       local
+   eth0 IPv4 OfficeJet                                     _uscan._tcp          local
+   eth0 IPv4 OfficeJet                                     _privet._tcp         local
+   eth0 IPv4 OfficeJet                                     _uscans._tcp         local
+   eth0 IPv4 mtk8530                                       SFTP File Transfer   local
+   eth0 IPv4 LG_SMART_AUDIO-9b3a45b7-cf17-4d45-815b-e66cb80d5224 _lg-smart-device._tcp local
+   eth0 IPv4 mtk8530                                       SSH Remote Terminal  local
+ eth0.220 IPv4 Bitdefender for Android                       _bitdefender-app._tcp local

laurens0619 schreef op maandag 9 mei 2022 @ 11:26:
@JB
had je deze pagina al gevonden?
https://help.ui.com/hc/en...Disable-InterVLAN-Routing

Om apparaten uit je iot vlan toegang geven tot je pihole dns kun je:
- pihole lid maken van beide vlans (dus 2 netwerk interfaces activeren, 1x in iot vlan en 1x in je lan vlan))
Meer info: https://mroach.com/2019/11/using-pi-hole-on-multiple-vlans/
- een exceptie in de "block inter vlan" firewall rule maken dat verkeer wel richting pihole mag
- dns via usg laten lopen

Eeerst dit maar opzetten

edit:
ah lees ik nu dat je een edgerouter X hebt ipv een usg?
Dan is deze tutorial handiger om verkeer tussen vlans te blokkeren
https://help.ui.com/hc/en...a-Guest-LAN-Firewall-Rule
-------------------------------------------------------------------
Daarna wel nadenken hoe internet te filteren.
Vanuit het scenario dat je IoT apparaat gehackt is heb je grofweg de volgende risicos:
risico 1. Het IoT apparaat gaat andere devices in je netwerk infecteren
risico 2. Het IoT apparaat wordt ingezet voor internet aanvallen

Wat ik vaak zie is dat mensen vooral bezig zijn om apparaten in aparte vlans te stoppen maar geen internet filtering toepassen.
Dat apparaten niet meer met elkaar kunnen praten is goed maar vergeet niet om internet verkeer te filteren. Dan ga je pas echt toegevoegde waarde hebben (security technisch gezien dan)

[ Voor 10% gewijzigd door laurens0619 op 09-05-2022 13:27 ]

laurens0619 schreef op maandag 9 mei 2022 @ 13:27:
@JB
Niets mis hoor met de ER-X en goede eigenschap om niet commandos/input over te nemen zonder dat je het snapt.
Gewoon stap voor stap doen, firewalls rules lezen kan wat overzichtelijk worden en complex worden.
Ik kwam deze site nog tegen, die leggen het wel aardig stap voor stap uit

https://www.geekbitzone.c...-groups-on-the-edgerouter

laurens0619 schreef op maandag 9 mei 2022 @ 13:27:
@JB
Niets mis hoor met de ER-X en goede eigenschap om niet commandos/input over te nemen zonder dat je het snapt.
Gewoon stap voor stap doen, firewalls rules lezen kan wat overzichtelijk worden en complex worden.
Ik kwam deze site nog tegen, die leggen het wel aardig stap voor stap uit

https://www.geekbitzone.c...-groups-on-the-edgerouter

Enabling VLAN on the switch0 interface

We will now make the switch0 interface VLAN-aware by tagging VLAN ID 10 to port eth1.

JB schreef op maandag 9 mei 2022 @ 13:32:
[...]

Ja dit helpt zeker! Meteen een vraagje mbt switch0;

[...]


Waarom doen ze dit alleen op eth1? Ik gebruik 1t/m4 (3 en 4 hebben ook PoE voor de APs). Tag je dan alle 4 met ID10?

In this simple network diagram we have assumed that the Internet (WAN) is connected to port eth0 on the EdgeRouter. On the LAN side, eth1 is connected to port 1 on the MikroTik switch. Finally, on port 2, we have connected an insecure Internet of Things (IOT) device which we will isolate into its own VLAN.

[ Voor 8% gewijzigd door laurens0619 op 09-05-2022 13:39 ]

laurens0619 schreef op maandag 9 mei 2022 @ 13:35:
[...]

Omdat

[...]

Ze hebben dus maar achter 1 poort het iot vlan
Zie ook plaatje

[Afbeelding]

Als jij hem overal hebt, dan moet je hem overal aanzetten.
Maar ik denk dat je dit VLAN stukje veilig kunt overslaan aangezien je dat al aan de praat had toch?
Aparte vlans met subnets en aparte dhcp servers etc

JB schreef op maandag 9 mei 2022 @ 13:40:
[...]

Ja klopt, het werkt prima nu. Ik heb alleen de Hue Bridge getagged, maar die zit op de Unifi-8 en krijgt mooi een DHCP in de 5 reeks

[ Voor 20% gewijzigd door laurens0619 op 09-05-2022 13:47 ]