[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

Tonne schreef op zaterdag 10 september 2022 @ 21:25:
[...]

Daar ben ik het niet mee eens. Juist stp aanzetten en juist configureren is belangrijk bij meer dan 1 bekabelde sonos.
Sonos probeert een eigen wifi netwerk te maken en dat is prima. Laat ze maar lekker met elkaar onderling communiceren. Als er maar 1 speaker of sonos boost of ander sonos apparaat bekabeld is aangesloten dan werkt het prima.
Alleen het probleem lijkt hier anders te zijn. Als je STP aan zet en igmp snooping ook aan. Wat gebeurt er dan? Want sonos maakt gebruik van multicast en dat kan ook over heel je netwerk gaan bij onjuiste instellingen

bes-r schreef op zaterdag 10 september 2022 @ 21:35:
[...]


Fair point. Ik moet alleen wel zeggen dat ik aan de instellingen rondom Sonos niet meer durf te rommelen/testen.

bes-r schreef op zaterdag 10 september 2022 @ 21:35:
[...]


Fair point. Ik moet alleen wel zeggen dat ik aan de instellingen rondom Sonos niet meer durf te rommelen/testen.

Will_M schreef op zaterdag 10 september 2022 @ 21:41:
Vanuit zakelijk perspectief: Ik laat dat soort MEUK altijd lekker in een eigen L2 vlan z'n gang gaan en bepaal op een L3 machientje én hoger wel óf ik verkeer naar andere VLAN's toe sta vanuit die apparaatjes door routes en FW Rules in te stellen.

Tha Render_2 schreef op woensdag 7 september 2022 @ 08:27:
[...]


[Afbeelding]

> 300 wireless clients en rock steady Als het goed gaat mag het soms ook eens gezegd worden Had vooraf ook mijn bedenkingen maar ik zie geen verschil in stabiliteit/performantie of er nu 10 clients of 300 verbonden zijn. Traffic in 24h is +/- 100GB. Op bepaald moment hebben de meeste users zich wat samengetroept in een grote hal en zag ik 75 clients verbonden met 1 nanoHD, geen problemen, bleef vlot gaan daar.

Heb nu wat sites in augustus gedaan met de U6 Pro i.p.v. mijn vaste waarde nanoHD en kan zeggen na een maand dat ik er nog geen enkel issue mee gehad heb dus voor mij is dat nu de nieuwe vaste waarde en is die productie ready.

Will_M schreef op zaterdag 10 september 2022 @ 21:41:
[...]


Vanuit zakelijk perspectief: Ik laat dat soort MEUK altijd lekker in een eigen L2 vlan z'n gang gaan en bepaal op een L3 machientje én hoger wel óf ik verkeer naar andere VLAN's toe sta vanuit die apparaatjes door routes en FW Rules in te stellen.

Roy Batty schreef op zondag 11 september 2022 @ 09:45:
Helemaal eens met eerdere opmerkingen tav maximaal 1 Sonos bekabeld, liefst een Boost want die heeft wat meer antenne-power. Zo niet werkt het principe met elke andere Sonos. Ik heb alle varianten met meerdere bekabelde Sonos wel gehad; RSTP, STP, uitgeschakeld, prio`s aangepast. Het is een drama zolang er ook draadloze Sonos doorheen fietsen, en niet iedereen kan alles bekabelen, dat is nl de andere oplossing (alles RSTP). Je kunt het proberen te begrijpen en op te lossen maar je blijft afhankelijk van de wisselende SonosNet STP paths. Unifi op STP zetten is een belachelijke knieval, je IP toewijzingen duren een eeuwigheid. Op RSTP laten staan is geblokkeerde poorten, heb je ook geen bal aan.

Ergo.....1 Sonos bekabelen voor internet en laat Sonos de rest lekker zelf uitzoeken met SonosNet en STP. Werkt als een tierelier.

Roy Batty schreef op zondag 11 september 2022 @ 09:45:
Helemaal eens met eerdere opmerkingen tav maximaal 1 Sonos bekabeld, liefst een Boost want die heeft wat meer antenne-power. Zo niet werkt het principe met elke andere Sonos. Ik heb alle varianten met meerdere bekabelde Sonos wel gehad; RSTP, STP, uitgeschakeld, prio`s aangepast. Het is een drama zolang er ook draadloze Sonos doorheen fietsen, en niet iedereen kan alles bekabelen, dat is nl de andere oplossing (alles RSTP). Je kunt het proberen te begrijpen en op te lossen maar je blijft afhankelijk van de wisselende SonosNet STP paths. Unifi op STP zetten is een belachelijke knieval, je IP toewijzingen duren een eeuwigheid. Op RSTP laten staan is geblokkeerde poorten, heb je ook geen bal aan.

Ergo.....1 Sonos bekabelen voor internet en laat Sonos de rest lekker zelf uitzoeken met SonosNet en STP. Werkt als een tierelier.

Roy Batty schreef op zondag 11 september 2022 @ 09:45:
Helemaal eens met eerdere opmerkingen tav maximaal 1 Sonos bekabeld, liefst een Boost want die heeft wat meer antenne-power. Zo niet werkt het principe met elke andere Sonos. Ik heb alle varianten met meerdere bekabelde Sonos wel gehad; RSTP, STP, uitgeschakeld, prio`s aangepast. Het is een drama zolang er ook draadloze Sonos doorheen fietsen, en niet iedereen kan alles bekabelen, dat is nl de andere oplossing (alles RSTP). Je kunt het proberen te begrijpen en op te lossen maar je blijft afhankelijk van de wisselende SonosNet STP paths. Unifi op STP zetten is een belachelijke knieval, je IP toewijzingen duren een eeuwigheid. Op RSTP laten staan is geblokkeerde poorten, heb je ook geen bal aan.

Ergo.....1 Sonos bekabelen voor internet en laat Sonos de rest lekker zelf uitzoeken met SonosNet en STP. Werkt als een tierelier.

[ Voor 3% gewijzigd door Tonne op 11-09-2022 11:02 ]

[ Voor 12% gewijzigd door Workaholic op 11-09-2022 11:03 ]

Workaholic schreef op zondag 11 september 2022 @ 11:02:
Het begint zo langzamerhand een sonos topic te worden.. maar gelukkig is er nog steeds sprake van de juiste unify instellingen.

Kan iemand mij nog uitleggen of de issues weg zijn als je ze alleen via de WiFi laat communiceren dus niet via een bekabelde verbinding ?

Ik maak me nu dus vooral zorgen dat door het uitschakelen van STP op de port van de sonos arc (bekabeld verbonden) er nu een loop beschikbaar is waarover het verkeer heen kan gaan (via mesh van sonos).

De boost zou ook kunnen maar deze gaat dan toch je eigen WiFi kanalen en signaal in de weg zitten?

Tonne schreef op zondag 11 september 2022 @ 10:53:
[...]

Als je alles op STP zet met gigabit verbindingen tussen de switches (vanwege de path costs) dan klopt het. Het heeft even tijd nodig om de STP in te regelen. Dan heeft de sonos een matrix (http://<sonos_ip>:1400/support/review)
waarin je kunt zien wat de stp heeft gedaan. Rondom elke vast bedrade sonos bevinden zich een aantal sonosnet speakers. Maar dit is telkens begrensd. Stel je hebt 8 speakers dan heb je bijvoorbeeld 2x 4 speakers. Waarbij er geen path is via het sonosnet tussen deze twee groepen. Dat path is via de bedrade speaker.

Sonos werkt met multicast als je meerdere speakers hetzelfde laat afspreken. Dus zet igmp snooping aan.
Soms doet een sonos box vreemd en heb je alsnog storing. Dan zou je ze allemaal even kunnen herstarten, te beginnen met de bedrade speakers.
Ik heb zo een setup gemaakt met 18 speakers en een boost. Waarbij de boost, 2 playbars en een sub bedraad zijn. Sindsdien geen haperingen meer als overal dezelfde muziek wordt afgespeeld. Zie ook mijn eerdere post, want ook in de netwerk topologie zie je deze verdeling na verloop van tijd terug (pas na 24 uur ofzo, veel verkeer blijft binnen het sonosnet)

Plug je een bedraad apparaat in, dan moet je idd 45 seconden wachten tot de stp werkt. Maar draadloos gaat gewoon prima.

rasper schreef op zondag 11 september 2022 @ 11:20:
[...]


Voor zo ver ik weet is er echter nog geen oplossing om de Sonos app te gebruiken voor de bediening in een setup met een UDMP en meerdere VLANs, waarbij het device met de app en de Sonossen zich in een ander VLAN bevinden, of heb je dat ook voor elkaar?

ASS-Ware schreef op zondag 11 september 2022 @ 10:17:
[...]

Tot je speakers gaat toevoegen die te ver van het Sonosnet staan, maar wel wifi hebben.
Dat had ik, speakers waren niet bereikbaar.
Toen alles op wifi geconfigureerd en werken.

Tonne schreef op zondag 11 september 2022 @ 12:02:
[...]

Nee dat heb ik niet voor elkaar. De sonossen zitten in hetzelfde vlan als de apparaten met de app

Tonne schreef op zondag 11 september 2022 @ 10:53:
[...]

Als je alles op STP zet met gigabit verbindingen tussen de switches (vanwege de path costs) dan klopt het.

Tonne schreef op zondag 11 september 2022 @ 11:06:
[...]

Probeer eens de sonos matrix te bestuderen.
Maar bij 1 poort kun je eigenlijk ook rstp aanzetten. Want dan blijft de stp binnen sonosnet. En werkt de rest met rstp. Probeer dat eens. Kans dat je traagheids issues weg zijn

Mode: INFRA (sonosnet)

[ Voor 11% gewijzigd door Workaholic op 11-09-2022 19:46 ]

GustavSan schreef op zondag 11 september 2022 @ 21:29:
Ik deed net een speedtest via Wifiman op mijn Android telefoon (Oneplus 9pro) via de AC PRO (bekabeld). De snelheid die ik daar haal is stukken lager dan een vergelijkbare test boven met een U6 Pro. Alles lijkt hetzelfde of in elk geval sterk vergelijkbaar (bv afstand tot AP, lengte kabel, instellingen van de controller verschillen verder ook niet zo heel veel. Er staat bij de AC PRO WIFI 4 en bij de U6 Pro WIFI 6, maar Unifi kiest zelf de versie lijkt me? Iemand suggesties waar dit zo verschilt? Snelheid is factor 10 trager via de AC Pro op dezelfde afstand gemeten.

stormfly schreef op zondag 11 september 2022 @ 21:30:
[...]


Welke snelheden resp.?

GustavSan schreef op zondag 11 september 2022 @ 21:29:
Er staat bij de AC PRO WIFI 4 en bij de U6 Pro WIFI 6, maar Unifi kiest zelf de versie lijkt me?

GustavSan schreef op zondag 11 september 2022 @ 22:19:
[...]


30mbps beneden bij de AC PRO
300mbps boven bij de U6 PRO

[ Voor 10% gewijzigd door Sp33dFr34k op 12-09-2022 11:16 ]

Sp33dFr34k schreef op maandag 12 september 2022 @ 11:14:
Bij de port forward rules heb ik logging enabled, hierbij staat: "If enabled, gateway will log traffic that matches the port forward in syslog."

Waar vind ik die? Heb in het syslog gekeken (denk ik), maar daarin zie ik niets wat ik zou verwachten. Ik heb gekeken onder System -> Support Information -> Server Logs -> Download. De interface is niet bepaald intuitief, dus misschien kijk ik verkeerd. Iemand een hint?

Sp33dFr34k schreef op maandag 12 september 2022 @ 11:14:
Bij de port forward rules heb ik logging enabled, hierbij staat: "If enabled, gateway will log traffic that matches the port forward in syslog."

Waar vind ik die? Heb in het syslog gekeken (denk ik), maar daarin zie ik niets wat ik zou verwachten. Ik heb gekeken onder System -> Support Information -> Server Logs -> Download. De interface is niet bepaald intuitief, dus misschien kijk ik verkeerd. Iemand een hint?

m3gA schreef op maandag 12 september 2022 @ 11:30:
[...]

Volgens mij moet je voor syslog naar een externe server loggen.

[ Voor 14% gewijzigd door mrdemc op 12-09-2022 11:33 ]

mrdemc schreef op maandag 12 september 2022 @ 11:32:
[...]


in de /var/log van de gateway zelf
In het geval van de USG3 wordt dit gelogd in /var/log/messages.

Tonne schreef op zondag 11 september 2022 @ 11:06:
[...]

Probeer eens de sonos matrix te bestuderen.
Maar bij 1 poort kun je eigenlijk ook rstp aanzetten. Want dan blijft de stp binnen sonosnet. En werkt de rest met rstp. Probeer dat eens. Kans dat je traagheids issues weg zijn

GustavSan schreef op zondag 11 september 2022 @ 22:19:
[...]


30mbps beneden bij de AC PRO
300mbps boven bij de U6 PRO

[ Voor 42% gewijzigd door Workaholic op 12-09-2022 13:04 ]

Workaholic schreef op zondag 11 september 2022 @ 19:43:
STP instellen lijkt me niet mogelijk omdat ik ook switches op mijn in Walls gebruik. Zie topology hieronder.

[Afbeelding]

GustavSan schreef op zondag 11 september 2022 @ 21:29:
Ik deed net een speedtest via Wifiman op mijn Android telefoon (Oneplus 9pro) via de AC PRO (bekabeld). De snelheid die ik daar haal is stukken lager dan een vergelijkbare test boven met een U6 Pro. Alles lijkt hetzelfde of in elk geval sterk vergelijkbaar (bv afstand tot AP, lengte kabel, instellingen van de controller verschillen verder ook niet zo heel veel.

Er staat bij de AC PRO WIFI 4 en bij de U6 Pro WIFI 6, maar Unifi kiest zelf de versie lijkt me?
Iemand suggesties waar dit zo verschilt? Snelheid is factor 10 trager via de AC Pro op dezelfde afstand gemeten.

Sp33dFr34k schreef op maandag 12 september 2022 @ 11:14:
Bij de port forward rules heb ik logging enabled, hierbij staat: "If enabled, gateway will log traffic that matches the port forward in syslog."

Waar vind ik die? Heb in het syslog gekeken (denk ik), maar daarin zie ik niets wat ik zou verwachten. Ik heb gekeken onder System -> Support Information -> Server Logs -> Download. De interface is niet bepaald intuitief, dus misschien kijk ik verkeerd.

Iemand een hint?

Sp33dFr34k schreef op maandag 12 september 2022 @ 11:55:
Dankje, gevonden in var/log/messages idd. Helaas geen entry betreft portforwarding, terwijl het vinkje wel aan staat.

Hmmm...

Sp33dFr34k schreef op maandag 12 september 2022 @ 11:14:
Bij de port forward rules heb ik logging enabled, hierbij staat: "If enabled, gateway will log traffic that matches the port forward in syslog."

Waar vind ik die? Heb in het syslog gekeken (denk ik), maar daarin zie ik niets wat ik zou verwachten. Ik heb gekeken onder System -> Support Information -> Server Logs -> Download. De interface is niet bepaald intuitief, dus misschien kijk ik verkeerd. Iemand een hint?

stormfly schreef op maandag 12 september 2022 @ 14:41:
[...]


Je bent toe aan een OPNsense of pfSense GUI ;-) wat jij wilt kan alleen op CLI bij UniFi, zie de andere posts.

Sp33dFr34k schreef op maandag 12 september 2022 @ 14:51:
Word een beetje moedeloos van de simpele dingen die niet kunnen bij Ubiquiti.

Sp33dFr34k schreef op maandag 12 september 2022 @ 14:51:
[...]


Ik zit idd serieus te twijfelen om over te stappen.. word een beetje moedeloos van de simpele dingen die niet kunnen bij Ubiquiti.

Sp33dFr34k schreef op maandag 12 september 2022 @ 14:51:
[...]


Ik zit idd serieus te twijfelen om over te stappen.. word een beetje moedeloos van de simpele dingen die niet kunnen bij Ubiquiti.

nero355 schreef op maandag 12 september 2022 @ 14:53:
[...]

Dat roep ik al jarenlang!

nero355 schreef op maandag 12 september 2022 @ 14:53:
[...]

Dat roep ik al jarenlang!

stormfly schreef op maandag 12 september 2022 @ 15:02:
Ik heb een zelfbouw IntelNUC router met pfSense, NUC is natuurlijk een compleet werkend systeem.
Ik zou bij mijn volgende versie wel kijken naar meerdere NIC's.

Qua router heb ik mij (net als jij?) verwonderd over de simpele dingen die ontbreken.
Hoezo is het niet mogelijk die logfile in een GUI af te beelden met zoekvelden...die tijd stoppen ze liever in hardware van een; Dream Machine, Dream Machine PRO, Dream Machine SE, Next-Generation Gateway Pro, Dream Router. Allemaal routers die hetzelfde kunnen, routeren met een complexe FW implementatie.

Als ik een DreamMachine SE (591euro) naast een pfSense/netgate 4100 (639euro) zet dan weet ik wel waar ik meer hobby plezier aan beleef, de pfSense met packages en alle 100e mogelijkheden.

stormfly schreef op maandag 12 september 2022 @ 15:03:
Switching + WiFi separaat in een cloudkey werken prima, en dan alles naar een externe router met VLAN's.

Will_M schreef op maandag 12 september 2022 @ 15:03:
Ubiquiti probeert met de hele UNIFI lijn volgens mij steeds meer een soort van 'Set and Forget' netwerk neer te willen zetten bij zogenaamde 'Pro'-sumers en het kleinschalige MKB (de kapper op de hoek).

Het valt me eigenlijk nog mee dat je veel basis zaken tegenwoordig nog steeds wel middels een Web-Interface kunt instellen en dat ze je inmiddels niet verplichten om een (duffe) APP op een smartphone te gebruiken.

stormfly schreef op maandag 12 september 2022 @ 15:03:
[...]


Switching + WiFi separaat in een cloudkey werken prima, en dan alles naar een externe router met VLAN's.

stormfly schreef op maandag 12 september 2022 @ 15:02:
[...]


Ik heb een zelfbouw IntelNUC router met pfSense, NUC is natuurlijk een compleet werkend systeem. Ik zou bij mijn volgende versie wel kijken naar meerdere NIC's. Ik liep toen met KPN multicast TV tegen wat bugs/belemmeringen aan dat hij dat wel kan over multiple NIC's, maar niet over een single NIC.

Qua WiFi en switching ben ik groot fan, qua router heb ik mij (net als jij?) verwonderd over de simpele dingen die ontbreken. Hoezo is het niet mogelijk die logfile in een GUI af te beelden met zoekvelden...die tijd stoppen ze liever in hardware van een; Dream Machine, Dream Machine PRO, Dream Machine SE, Next-Generation Gateway Pro, Dream Router. Allemaal routers die hetzelfde kunnen, routeren met een complexe FW implementatie.

Als ik een DreamMachine SE (591euro) naast een pfSense/netgate 4100 (639euro) zet dan weet ik wel waar ik meer hobby plezier aan beleef, de pfSense met packages en alle 100e mogelijkheden.

Workaholic schreef op maandag 12 september 2022 @ 12:43:
[...]


Vandaag alles overgezet naar WIFI only. Even kijken hoe dit werkt de komende weken.
Heb alleen IGMP snooping aan laten staan met het idee dat dit minder multicast traffic zou moeten geven? Klopt dit?

[ Voor 11% gewijzigd door Koffie op 13-09-2022 10:34 ]

Koffie schreef op dinsdag 13 september 2022 @ 10:31:
Na lang wachten eindelijk mijn in-wall's ontvangen. De 5-pack is simpelweg nergens te krijgen dus dan maar geannuleerd en 5 losse besteld.

Ten tijde van bestellen was de gedachte dat ik op een hoop plekken bestaande coax of telefoonkabel zou vervangen voor UTP, waardoor het netjes in een WCD uit kwam.
In de praktijk bleken deze kabels muur en muurvast te zitten en met geen mogelijkheid te vervangen. Uiteindelijk besloten (het plafond lag toch open) om nieuwe leidingen te leggen en dan vanaf de kamer erboven nét boven de plint schuin naar beneden te boren in de gipsen wand.
Op dit manier kon er vanaf de beneden verdieping UTP door het gat gestoken worden.

Nadeel hiervan blijkt nu dat ik de in-wall niet netjes zoals bedoeld kon monteren, omdat hij dan veel te laag komt te hangen (geen extra UTP kabel erin kunnen prikken van onderen) en er een plint in de weg zit.
Het was een optie geweest om ~40 cm erboven een 40mm gat te boren en dan de netwerkkabel proberen op te vissen, maar dan had ik in the end 2 gaten in de muur gehad.

Ik heb er dus voor gekozen om een opbouw bracket te printen.
Helaas tot 2 keer toe erin getrapt dat ik de netwerkkabel er doorheen wil halen wanneer het bracket al op de muur geschroefd zit

[Afbeelding]	[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]	[Afbeelding]

Waar ik helaas pas achteraf achter kwam, is dat van de 2 netwerkporten die zo'n in-wall heeft er eigenlijk slechts 1 bruikbaar is. De andere (de linker) is alleen bruikbaar als het een PoE device betreft. De HD versie (met 4 porten) schijnt wel de mogelijkheid te hebben om PoE op de pass-through port uit te zetten.

Ander klein minpuntje: voor een apparaat wat bedoeld is om relatief laag boven de vloer aan de muur geschroefd te worden (mogelijk in een wat moeilijk toegankelijke situatie) is het niet echt handig om een schroefje aan de onderkant in het kapje te moeten schroeven.

Koffie schreef op dinsdag 13 september 2022 @ 10:44:
[...]

Ik heb toch echt die AP uit zien gaan op het moment dat ik er een PC op prik?
Korte zoektocht op internet bevestigd dit ook:

[...]


edit: heb jij de in-wall soms aan een Unifi PoE switch hangen?
https://community.ui.com/...65-48f9-a1c4-9fa7424d769c

Koffie schreef op dinsdag 13 september 2022 @ 10:31:
Na lang wachten eindelijk mijn in-wall's ontvangen. De 5-pack is simpelweg nergens te krijgen dus dan maar geannuleerd en 5 losse besteld.

[ Voor 9% gewijzigd door Workaholic op 13-09-2022 11:22 ]

Workaholic schreef op dinsdag 13 september 2022 @ 11:20:
Oh ja en voor de POE 24 enterprise switch -> er zouden 2.5gb porten op zitten, maar ik zie nergens welke porten dit specifiek zijn? Kon het ook niet in de datasheet vinden.. iemand een idee? Of is dit dynamisch en krijg je max 12 porten op 2.5gb?

SlinkingAnt schreef op dinsdag 13 september 2022 @ 11:29:
[...]

Poort 13 t/m 24, met de grijze balk eronder zijn de 2.5gb poorten. Je kunt het terugvinden in de 'port profile override' onder 'port configuration', waar je de link-speed kunt vastzetten op 100/1000/2500.

[ Voor 32% gewijzigd door Workaholic op 13-09-2022 13:45 ]

Workaholic schreef op dinsdag 13 september 2022 @ 13:32:
Dank heren!

Nu alleen nog begrijpen hoe ik logging kan zien in de GUI. Of dat ik hier een externe syslog server moet gebruiken of via SSH moet inloggen. Heb het bijvoorbeeld nu nodig om te debuggen waarom ik het niet voor elkaar krijg om lokale DNS lookups te blokkeren:

[Afbeelding]

Je zou hier een timeout verwachten bij het gebruiken van een andere dns server.

Het idee is dat het via de pihole gaat (deze heb ik als dhcp optie meegegeven) wat prima werkt, maar je wilt eigenlijk ook devices blokkeren die deze dhcp optie negeren.

[Afbeelding]

Iemand enige idee wat hier misgaat? Werkt deze rule niet omdat de traffic niet tussen verschillende netwerken gaat en daarmee de firewall rules niet werken?

edit: het werkt wel als ik 1.1.1.1 als externe DNS server pak. Het lijkt dus alleen niet te werken voor het gebruiken van mijn firewall als nameserver.

1
2
3
4
5
6
7
8

Type: Internet Out
Action: Drop / Reject
Protocol: TCP and UDP

### Destination ###
Destination Type: Port/IP Group
IPv4 Address Group: Any
Port Group: DNS

[ Voor 29% gewijzigd door mrdemc op 13-09-2022 13:52 ]

Workaholic schreef op dinsdag 13 september 2022 @ 14:09:
Waarschijnlijk heb je mijn last minute edit gemist. Het blokkeren werkt dus wel naar een remote adres met LAN in. Het werkt alleen niet met een lokale nameserver die anders is dan de pihole. In dit geval kan de client dus wel een nslookup doen naar 172.16.108.1 (de UDM SE ipv de pihole). De vraag is of ik dat kan voorkomen (ik vrees van niet - ook geen ramp)

[ Voor 6% gewijzigd door mrdemc op 13-09-2022 14:48 ]

[ Voor 50% gewijzigd door Workaholic op 13-09-2022 14:54 ]

Workaholic schreef op dinsdag 13 september 2022 @ 14:50:
Dit is hoe ik nu heb ingesteld:

[Afbeelding]

Met pfsense kon ik alle traffic naar 53 - rerouten naar pihole. Maar deze optie lijkt de UDM SE niet te hebben dus ik moet de block DNS uitzetten (en accepteren dat het gros van mijn clients toch dhcp dns gebruiken) OF ik moet een exception lijst maken.

Workaholic schreef op dinsdag 13 september 2022 @ 14:50:
Dit is hoe ik nu heb ingesteld:

[Afbeelding]

Dus ik heb 3 groups gemaakt met daarin de lokale subnets, de dns porten (53 + 853) en het pihole DNS ip in een group.

Vervolgens sta ik toe dat traffic naar pihole mag, dns resolve naar buiten mag vanaf pihole en als laatste blokeer ik alle lookups naar port 53/853 voor de rest.

Wat nu werkt is:

- Pihole kan DNS lookup doen via forward naar UDM SE ip ( 172.16.108.4 -> 172.16.108.1)
- Lokale clients kunnen geen DNS lookup doen naar externe nameservers (bijv 1.1.1.1)
- Lokale clients kunnen wel dns lookup doen via pihole (krijgen pihole als dns optie via DHCP)

Wat (nog) niet goed werkt is:
- lokale client doet nslookup direct via UDM SE (dit werkt - terwijl je wilt forceren dat het naar pihole gaat)
- lokale clients die hardcoded dns setup hebben (bijv google nest hub -> 8.8.8.8) werken niet meer omdat ze niet de DHCP optie / pihole gebruiken.

Met pfsense kon ik alle traffic naar 53 - rerouten naar pihole. Maar deze optie lijkt de UDM SE niet te hebben dus ik moet de block DNS uitzetten (en accepteren dat het gros van mijn clients toch dhcp dns gebruiken) OF ik moet een exception lijst maken.

[ Voor 8% gewijzigd door mrdemc op 13-09-2022 15:44 ]

mrdemc schreef op dinsdag 13 september 2022 @ 15:32:
[...]


Zoals jij het wilt, zo heb ik het werkend. Alleen de Pi Hole kan requests uitvoeren naar de router en externe dns servers op poorten 53 en 853. Alle andere clients kunnen alleen naar de Pi Hole een DNS request doen.

- Raspberry Pi > DNS Poort: Accept op Internet Out
- Raspberry Pi > DNS Poort: Accept op LAN Local
- Alles > DNS Poort: Reject op Internet Out
- Alles > Raspberry Pi: Accept op LAN Local
- Alles > DNS Poort: Reject op LAN Local

Volgorde van de toegepaste regels is hier wel belangrijk. Een onjuiste volgorde kan namelijk een ander effect geven.

M.b.t. het forwarden van al het DNS verkeer naar de Pi Hole zoals je in PfSense deed: Dat kan, maar volgens mij is dit alleen mogelijk via de configuratie-json en niet via de GUI/webinterface.

[ Voor 7% gewijzigd door Workaholic op 13-09-2022 16:35 ]

Koffie schreef op dinsdag 13 september 2022 @ 10:31:
Waar ik helaas pas achteraf achter kwam, is dat van de 2 netwerkporten die zo'n in-wall heeft er eigenlijk slechts 1 bruikbaar is.
De andere (de linker) is alleen bruikbaar als het een PoE device betreft. De HD versie (met 4 porten) schijnt wel de mogelijkheid te hebben om PoE op de pass-through port uit te zetten.

Workaholic schreef op dinsdag 13 september 2022 @ 14:50:
Wat (nog) niet goed werkt is:
- lokale client doet nslookup direct via UDM SE (dit werkt - terwijl je wilt forceren dat het naar pihole gaat)
- lokale clients die hardcoded dns setup hebben (bijv google nest hub -> 8.8.8.8) werken niet meer omdat ze niet de DHCP optie / pihole gebruiken.

Met pfsense kon ik alle traffic naar 53 - rerouten naar pihole.
Maar deze optie lijkt de UDM SE niet te hebben dus ik moet de block DNS uitzetten (en accepteren dat het gros van mijn clients toch dhcp dns gebruiken) OF ik moet een exception lijst maken.

saturn21 schreef op woensdag 7 september 2022 @ 13:30:
De Switch Lite 16 is eindelijk weer op voorraad in de Europese UI store (al is de vraag hoe lang dat zal duren...)

https://eu.store.ui.com/c.../products/usw-lite-16-poe

mr.DJ95 schreef op woensdag 14 september 2022 @ 08:39:
Wat is jullie best practice als het gaat om het gebruik van Country restriction? Ik heb nu een aantal landen waar 1 toch nooit heen zal gaan opgegeven in de Country restriction blocklist en ik blokkeer IP's die ik voorbij zie komen in de threatlogging. Dit lijkt me echter dweilen met de kraan open.

Ik heb een UDM met poort 443 geforward naar mijn reverse proxy. Hier zit wel netjes een certificaat op.

[Afbeelding]

[Afbeelding]

[ Voor 10% gewijzigd door tcviper op 14-09-2022 09:22 ]

mr.DJ95 schreef op woensdag 14 september 2022 @ 08:39:
Wat is jullie best practice als het gaat om het gebruik van Country restriction? Ik heb nu een aantal landen waar 1 toch nooit heen zal gaan opgegeven in de Country restriction blocklist en ik blokkeer IP's die ik voorbij zie komen in de threatlogging. Dit lijkt me echter dweilen met de kraan open.

Ik heb een UDM met poort 443 geforward naar mijn reverse proxy. Hier zit wel netjes een certificaat op.

[Afbeelding]

[Afbeelding]

stormfly schreef op woensdag 14 september 2022 @ 09:24:
[...]


Ik blokkeer alles behalve Nederland, want mijn websites draai ik voor mijzelf en collega's. Dat is het meest schaalbaar in UniFi.

Voor de uptimerobot http check ik via pfSense op een url waar uptimerobot de server IP list, zo komen hun uptime checks wel door van arround the world. En het is fijn dat je altijd de meest recente server lijst hebt omdat hij dynamisch geladen wordt.

mr.DJ95 schreef op woensdag 14 september 2022 @ 09:27:
[...]


Heb je dan een ALLOW op alleen Nederland of alle landen geblokkeerd? Dat laatste lukte niet omdat die stopt bij 150 landen o.i.d.

[ Voor 11% gewijzigd door stormfly op 14-09-2022 09:31 ]

nero355 schreef op dinsdag 13 september 2022 @ 18:29:
[...]

Heb je dan geen optie om aan de Passthrough PoE poort een Switch Port Profile te assignen die geen PoE toelaat

mr.DJ95 schreef op woensdag 14 september 2022 @ 09:27:
[...]


Heb je dan een ALLOW op alleen Nederland of alle landen geblokkeerd? Dat laatste lukte niet omdat die stopt bij 150 landen o.i.d.

deepbass909 schreef op woensdag 14 september 2022 @ 14:25:
Ik wil tijdelijk een FTP-servertje openzetten naar buiten om wat grote videobestanden te kunnen delen.

Ik heb daarvoor in de controller een port forwarding ingesteld voor poort 1021 richting de interne IP van de server.
Op het poortnummer na is identiek aan een aantal andere forward regels die ik al heb staan voor een VPN en Plex. De software maakt zelf een firewall regel aan die verkeer door moet laten.

Om de één of andere reden krijg ik het niet voor voor elkaar om de FTP werkend te krijgen.

M'n dreigingsbeheer staat op IPS, maar bij de categorieën staat FTP uit.

Als ik buiten de VPN probeer in te loggen, krijg ik de melding dat het adres onbereikbaar is. Blijkbaar is er dus iets wat het tegenhoudt, maar ik kom er niet achter of dit in mijn router (USG-pro) of internet provider (KPN) zit...

nero355 schreef op woensdag 14 september 2022 @ 15:45:
[...]

Heb je zowel de Server als de Client wel goed ingesteld voor connecties i.c.m. een NAT verbinding

Lees anders dit effe door : https://www.jscape.com/bl...-s-passive-ftp-simplified
Legt het waarschijnlijk beter uit dan ik het kan na 10+ jaar lang niks met FTP i.c.m. NAT te hebben gedaan!

nero355 schreef op dinsdag 13 september 2022 @ 18:29:
[...]

Heb je dan geen optie om aan de Passthrough PoE poort een Switch Port Profile te assignen die geen PoE toelaat

Kan namelijk gewoon i.c.m. de oudere In Wall 2x2 AC modellen met maar 2 poortjes eronder!

TiMMieJ schreef op woensdag 14 september 2022 @ 20:09:
Ik heb een mooie nieuwe setup gekocht in mijn nieuwe huis en deze werkt goed. Echter blijf ik problemen houden dat Netflix, Disney+ en HBO max blijven terug schalen in kwaliteit via de apps op mijn nieuwe lg c2 tv. Als ik de experiabox van youphone aansluit is het geen enkel probleem en werkt alles kakstrak op 4k. Echter via mijn gesegmenteerde lan op de dream machine pro niet helaas. Ik heb al de dns servers terug gezet naar de auto variant omdat dat mogelijk issues kon geven. Maar helaas zie ik het nog steeds. Is er hier iemand bekend mee? Ik heb een dream machine pro en daar aan een wifi 6 pro ap. Ik heb de instellingen voor de lan configuraties van crosstalk media (YouTube) ingesteld. Ik heb de tv al van het IoT 2.4ghz netwerk omgezet naar het gasten lan op 5ghz. Ik ben een beetje radeloos aan het worden.

TiMMieJ schreef op woensdag 14 september 2022 @ 20:09:
Ik heb een mooie nieuwe setup gekocht in mijn nieuwe huis en deze werkt goed. Echter blijf ik problemen houden dat Netflix, Disney+ en HBO max blijven terug schalen in kwaliteit via de apps op mijn nieuwe lg c2 tv. Als ik de experiabox van youphone aansluit is het geen enkel probleem en werkt alles kakstrak op 4k. Echter via mijn gesegmenteerde lan op de dream machine pro niet helaas. Ik heb al de dns servers terug gezet naar de auto variant omdat dat mogelijk issues kon geven. Maar helaas zie ik het nog steeds. Is er hier iemand bekend mee? Ik heb een dream machine pro en daar aan een wifi 6 pro ap. Ik heb de instellingen voor de lan configuraties van crosstalk media (YouTube) ingesteld. Ik heb de tv al van het IoT 2.4ghz netwerk omgezet naar het gasten lan op 5ghz. Ik ben een beetje radeloos aan het worden.

Tonne schreef op woensdag 14 september 2022 @ 20:17:
[...]

Wat heb je voor igmp snooping ingesteld?

deepbass909 schreef op woensdag 14 september 2022 @ 16:28:
Dat zou eigenlijk niet uit mogen maken. Vanaf buiten wordt de server aangesproken via poort 1021 (de server zelf draait ook op die poort), en bij active ftp "prikt" de server een uitgaande poort richting cliënt. De NAT/firewall zou daar transparant voor moeten zijn, want uitgaand gezien vanuit de NAT/Firewall.

Maar zover kom ik niet eens, er komt überhaupt geen respons terug vanuit de server. Dus tenzij er ergens tussen m'n servertje thuis en bijv. m'n mobiel op 4G iets zit wat het tegen kan houden, snap ik de blokkade niet...

Maar ik zal eens met een passive config gaan spelen en 10 poortjes beschikbaar stellen daarvoor (ruim voldoende voor deze toepassing).

TiMMieJ schreef op woensdag 14 september 2022 @ 20:09:
Echter blijf ik problemen houden dat Netflix, Disney+ en HBO max blijven terug schalen in kwaliteit via de apps op mijn nieuwe lg c2 tv.

Als ik de experiabox van youphone aansluit is het geen enkel probleem en werkt alles kakstrak op 4k. Echter via mijn gesegmenteerde lan op de dream machine pro niet helaas.

Ik heb de instellingen voor de lan configuraties van crosstalk media (YouTube) ingesteld.

nero355 schreef op woensdag 14 september 2022 @ 23:29:
[...]

Mobiele ISP's doen CG-NAT heel vaak dus misschien gaat er daar ook nog wat mis
Daarnaast zou ik eens 10021 of zo proberen om buiten de eerste 1024 poorten te blijven

Welke FTP Client gebruik je eigenlijk ?!


[...]

nero355 schreef op woensdag 14 september 2022 @ 23:29:
[...]

En als je een andere Client gebruikt

Is de ExperiaBox dan ook actief in hetzelfde VLAN of anders aangesloten ?!

Anders ben je appels met peren aan het vergelijken...

[ Voor 14% gewijzigd door TiMMieJ op 15-09-2022 18:24 ]

TiMMieJ schreef op donderdag 15 september 2022 @ 19:26:
Net ook getest met de experiabox voor de dream machine ipv direct en ook dan heb ik het probleem. Zit dus echt aan de dream machine kant.

pinda powerrr schreef op donderdag 15 september 2022 @ 19:47:
[...]


Staat de Dream Machine in DMZ? Of gewoon dubbel NAT?

[ Voor 34% gewijzigd door TiMMieJ op 15-09-2022 20:43 ]

deepbass909 schreef op woensdag 14 september 2022 @ 23:40:
[...]


Terwijl ik het vanmiddag schreef, was ik vanaf m'n werk aan het testen, waar, voor zover ik weet, geen beperkingen op het internet zitten (dit zou de eerste zijn), maar werkte het ook niet.

De cliënt is filezilla.

TiMMieJ schreef op donderdag 15 september 2022 @ 20:30:
[...]


Dream machine is direct gekoppeld aan de WAN interface van de glasvezel box. De experiabox heb ik er standaard niet tussen staan. De WAN interface van de dreammachine verbind direct naar youfone met pppoe ipv4.

Edit:

Ik ben verder aan het kijken en ik zie nu ook dat de verbinding vreemd doet via de dream machine. Als ik een ping -t laat lopen naar nu.nl is deze na het opnieuw starten even strak tussen de 5/20 ms net als op de experiabox. Echter als ik deze na de eerste issues met streamen doe dan zie ik 5/20 ms en dan vaak een tussenligger van 1000/2000 ms. Er is dus wel iets aan het klapperen dan via de wifi.

laurens0619 schreef op donderdag 15 september 2022 @ 20:54:
[...]

Ik vind ftp met nat maar een onding maar als het goed is zat het zo:

in active mode connect de server terug naar de client.
Ik neem aan dat je op je werk je client geen wan ip heeft maar je achter nat zit, je server connect dus op de router van je werk die hem dropt

Als je client achter nat zit dan heb je bijna altijd passive ftp nodig.

pinda powerrr schreef op donderdag 15 september 2022 @ 21:49:
[...]


Zet de Experiabox er aan, een poort DMZ, daar je Dream Machine op en wat gebeurt er dan?

En nogmaals, begin niet met een hele berg instellingen, dan blijf je zoeken, soms ligt de oplossing voor de hand (ervaringsdeskundige )

deepbass909 schreef op donderdag 15 september 2022 @ 23:17:
[...]


Inmiddels hebben we het langs een andere weg opgelost, dus de haast is er bij mij vanaf. En aangezien iedere wijziging in de NAT van een USG Pro betekent dat het internet een minuut of 2 eraf gaat (incl. tv) parkeer ik het even tot ik weer een dag alleen thuis ben.

Maar bedankt alvast voor het meedenken.

laurens0619 schreef op vrijdag 16 september 2022 @ 07:45:
[...]

Wtf 2 minuten eraf bij nat wijziging?
wat een kreupele apparaten zijn die unifi routers toch, wat dat betreft jammer dat ze lijken te stoppen met de edgerouters want die waren een stuk beter

deepbass909 schreef op vrijdag 16 september 2022 @ 11:30:
[...]


Ik weet niet wat het precies is, maar volgens mij hangt het samen met de specifieke config van KPN/IPtv. Die werkt goed, maar ik zie in UniFi bijv. ook geen verbindingsgegevens (geen extern IP, geen trafic). Dat schijnt, maar ik ben absoluut geen expert hierin, samen te hangen met de specifieke config.

Bij iedere wijziging gaat de verbinding in ieder geval voor iets van 2 minuten even helemaal plat.

Overigens deed mijn Edgerouter dat ook, alleen was die wat sneller met het weer online brengen.

Heel gek is het trouwens ook niet, want ik verander iets in de firewall/NAT en die moet dan herstart worden. Dat hij op dat moment de verbinding tijdelijk dichtgooit is in het kader van veiligheid wel zo prettig.
Persoonlijk vind ik dat ook geen probleem, het is alleen voor de andere mensen in huis vrij vervelend als om de zoveel minuten de tv ineens stopt. En IPtv is extra vervelend, omdat de ontvangers zelf ook nog eens aanvullend tijd nodig hebben om weer tv weer te geven na herstel van de verbinding.

• KPN vDSL2 komt binnen op m'n eigen Fritzbox 7590 (maar dat kan en mag technisch ook een ExperiaBox en/of glasvezel zijn).
• Tussen m'n Fritbox en de USG3P leeft een /29 netwerk mét DHCP (6 IPv4 adressen).
• Er gaat één kabel van de Fritbox náár de USG3P WAN1 aansluiting welke de L3 VLAN's vervolgens in m'n huis regelt
• Er leeft tevens een L2 VLAN mét IGMP Snooping op de USG3P (en dus ook op al m'n UNIFI Switches).
• Er loopt een extra kabel ván m'n Fritbox náár een poortje direct op een managed UNIFI switch waarbij dat poortje alléén dat L2 VLAN kent.
• Alle IPTV ontvangers van KPN (3 stuks in mijn geval ) zitten op meerdere managed UNIFI switches welke ook alléén dat L2 VLAN kennen op de poortjes waar de IPTV ontvangers op zitten gekoppeld.

En Ja, ik draai dus "NAT áchter NAT" maar als ik daar niet mee overweg zou kunnen qua Firewalling en/of interne L3 Routeringen / Port-Forwarders dan kan ik eigenlijk ook maar beter meteen ánder werk gaan zoeken...

[ Voor 5% gewijzigd door Will_M op 16-09-2022 22:19 ]

[ Voor 10% gewijzigd door laurens0619 op 16-09-2022 13:30 ]

rimave schreef op zaterdag 17 september 2022 @ 12:23:
De Unifi Protect app onder ios geeft bij mij sinds kort geen audio meer weer bij de camera’s. Ik gebruik de cloud key gen 2+. Ik heb verschillende modellen camera’s: g4 en g3. Ga ik echter naar de webpagina van de ck dan krijg ik wel audio. Ook een 3rd party app, zoals Home+ geeft gewoon audio.

Het lijkt dus in de Unifi protect app te zitten. Ik heb deze al eens opnieuw geïnstalleerd, helaas zonder succes. Ook qua settings lijkt alles gewoon goed te staan. Hebben meer mensen hier last van?

rasper schreef op zaterdag 17 september 2022 @ 18:27:
[...]


Just in case Je weet dat je als je 1x op het beeld vd camera klikt je oa een icon krijgt waarmee je de audio aan of uit kan zetten? Ben er zelf ook eens ingetrapt!

GustavSan schreef op zondag 11 september 2022 @ 21:29:
Ik deed net een speedtest via Wifiman op mijn Android telefoon (Oneplus 9pro) via de AC PRO (bekabeld). De snelheid die ik daar haal is stukken lager dan een vergelijkbare test boven met een U6 Pro. Alles lijkt hetzelfde of in elk geval sterk vergelijkbaar (bv afstand tot AP, lengte kabel, instellingen van de controller verschillen verder ook niet zo heel veel. Er staat bij de AC PRO WIFI 4 en bij de U6 Pro WIFI 6, maar Unifi kiest zelf de versie lijkt me? Iemand suggesties waar dit zo verschilt? Snelheid is factor 10 trager via de AC Pro op dezelfde afstand gemeten.

GustavSan schreef op zondag 18 september 2022 @ 13:37:
[...]


Een update: Na het vervangen van mijn wifi adapter is de snelheid nu maximaal op mijn desktop. Ik heb nu dichtbij de U6 Pro 300mbps max, maar via mijn desktop na het vervangen van de adapter (van een ASUS PCE-AC68 naar een ASUS USB-AX56) ook 300mbps (op 6 meter afstand met 2 muurtjes ertussen).

Bekabeld haal ik 498mbps op een 500mbps lijn via Ziggo, dus 300mbps via wifi lijkt zo'n beetje de max hier. Kan ik wel mee leven. Dank voor jullie input.