[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

[ Voor 18% gewijzigd door Tha Render_2 op 06-10-2020 09:55 ]

Ethirty schreef op dinsdag 6 oktober 2020 @ 10:00:
Als het goed is heeft elke site sowieso al een eigen uniek subnet, dus ik zou gewoon losse sites aanmaken.
Maar goed, ik zie dan ook niet zoveel nut in 1 groot overzicht.

Maar als alle sites allemaal dezelfde wifi SSID's en passwords moeten hebben, dan snap ik 1 centrale verzameling ook nog wel.

mrc4nl schreef op dinsdag 6 oktober 2020 @ 10:05:
[...]

Ik heb privé een AP bij mijn ouders hagen en bij mij thuis. ik heb beidde "sites" aan een hosted controller hangen. Ze hebben allebij compleet andere IP ranges, maar kunnen toch met de controller communiceren, zonder dat ik vpn nodig heb.

Tha Render_2 schreef op dinsdag 6 oktober 2020 @ 10:18:
[...]


VPN is inderdaad niet persé nodig, maar jij hebt beide ap's dan gewoon in dezelfde 'site' geconfigureerd? of 2 aparte sites?

Tha Render_2 schreef op dinsdag 6 oktober 2020 @ 10:18:
[...]


VPN is inderdaad niet persé nodig, maar jij hebt beide ap's dan gewoon in dezelfde 'site' geconfigureerd? of 2 aparte sites?

mrc4nl schreef op dinsdag 6 oktober 2020 @ 10:05:
[...]

Ik heb privé een AP bij mijn ouders hagen en bij mij thuis. ik heb beidde "sites" aan een hosted controller hangen. Ze hebben allebij compleet andere IP ranges, maar kunnen toch met de controller communiceren, zonder dat ik vpn nodig heb.

mrc4nl schreef op dinsdag 6 oktober 2020 @ 10:36:
[...]

1 site, zodat ze dezelfde instellingen hebben. wel zo handig dat de apparaten van mn ouders ook automatisch bij mij verbinden

Ethirty schreef op dinsdag 6 oktober 2020 @ 10:53:
Want eenmalig een extra wifi netwerk toevoegen op het apparaat is teveel gedoe Hoe doen ze dat op vakantie dan?

mrc4nl schreef op dinsdag 6 oktober 2020 @ 10:36:
1 site, zodat ze dezelfde instellingen hebben. wel zo handig dat de apparaten van mn ouders ook automatisch bij mij verbinden

mrc4nl schreef op dinsdag 6 oktober 2020 @ 11:51:
En ik snap niet wat je bedoeld met vakantie.

Pabz schreef op maandag 5 oktober 2020 @ 21:20:
[...]


Thanks voor de reactie!

Dus als ik het goed begrijp zou je 3 groepen maken voor IoT; IN, OUT en LOCAL en dan regel 6 en 7 (60/70) uit de IDIoT_IN onder OUT zetten? Dan snap ik alleen niet helemaal hoe jij IDIoT_LOCAL zou definieren...?

[ Voor 0% gewijzigd door MdBruin op 06-10-2020 21:03 . Reden: Toevoeging regel toestaan DHCP ]

MdBruin schreef op dinsdag 6 oktober 2020 @ 20:52:
[...]

Hari-Bo schreef op woensdag 7 oktober 2020 @ 07:52:
@Djensen Misschien een extra SSID maken op de desbetreffende AP? Dan heb je een makkelijke workaround om de printer te forceren naar deze AP omdat het SSID simpelweg niet op de andere AP's aanwezig is.

Djensen schreef op woensdag 7 oktober 2020 @ 07:44:
Een relatief eenvoudige probleem wat ik maar niet opgelost krijg. Ik heb 4 AP's, elke verdieping 1 en eentje buiten. Mijn draadloze (niet bedraad aan te sluiten) printer van Canon zou logischerwijs gekoppeld moeten blijven met het AP op verdieping 1. Hier staat de printer circa 3 meter van het AP. Toch, bijvoorbeeld bij een upgrade. stroomuitval of vanwege iets anders springt hij over naar het AP op de begane grond of zelfs van de zolderverdieping. Het gevolg is slechte verbinding en printjes die er niet of half uitkomen. Op reconnect drukken in het client menu en hopen dat hij terugspringt naar de 1ste verdieping heeft meestal geen resultaat.

Soms gaat het weken goed maar zo ineens is hij weer verbonden met een AP met matig bereik.

Wat ik heb gedaan: AP's omgewisseld van plek, zonder resultaat, de printer kiest uiteindelijk weer een AP met slecht bereik. Proberen met zendvermogen te zorgen dat hij de andere AP's helemaal niet vindt, ook dit lukt uiteindelijk niet helemaal en heeft ook gevolgen voor de andere draadloze clients.

Wat ik graag zou willen: de printer een vast AP geven maar ik kan niet vinden of dit mogelijk is. Het netwerk is verder heel basic zonder vreemde opties ingericht. Iemand een goede tip?

Djensen schreef op woensdag 7 oktober 2020 @ 07:44:
Een relatief eenvoudige probleem wat ik maar niet opgelost krijg. Ik heb 4 AP's, elke verdieping 1 en eentje buiten. Mijn draadloze (niet bedraad aan te sluiten) printer van Canon zou logischerwijs gekoppeld moeten blijven met het AP op verdieping 1. Hier staat de printer circa 3 meter van het AP. Toch, bijvoorbeeld bij een upgrade. stroomuitval of vanwege iets anders springt hij over naar het AP op de begane grond of zelfs van de zolderverdieping. Het gevolg is slechte verbinding en printjes die er niet of half uitkomen. Op reconnect drukken in het client menu en hopen dat hij terugspringt naar de 1ste verdieping heeft meestal geen resultaat.

Soms gaat het weken goed maar zo ineens is hij weer verbonden met een AP met matig bereik.

Wat ik heb gedaan: AP's omgewisseld van plek, zonder resultaat, de printer kiest uiteindelijk weer een AP met slecht bereik. Proberen met zendvermogen te zorgen dat hij de andere AP's helemaal niet vindt, ook dit lukt uiteindelijk niet helemaal en heeft ook gevolgen voor de andere draadloze clients.

Wat ik graag zou willen: de printer een vast AP geven maar ik kan niet vinden of dit mogelijk is. Het netwerk is verder heel basic zonder vreemde opties ingericht. Iemand een goede tip?

Djensen schreef op woensdag 7 oktober 2020 @ 11:52:
[...]


Dank voor de tip! Ik vraag met af of de pinter dan nog te bereiken is omdat deze dan in een ander netwerk zit, of maakt dat niet uit?

[ Voor 98% gewijzigd door rens-br op 07-10-2020 21:13 ]

The Eagle schreef op woensdag 7 oktober 2020 @ 15:52:
Korte vraag waarop ik het antwoord niet in dit topic terug kon vinden:
Als ik de config.properties file aanmaak met als doel de analytics te blokkeren middels onderstaande regel:

code:

1	config.system_cfg.1=system.analytics.anonymous=disabled

Wordt dat dan gepersisteerd tijdens een controller upgrade? Of moet je dat iedere keer opnieuw doen?

The Eagle schreef op woensdag 7 oktober 2020 @ 15:52:
Korte vraag waarop ik het antwoord niet in dit topic terug kon vinden:
Als ik de config.properties file aanmaak met als doel de analytics te blokkeren middels onderstaande regel:

code:

1	config.system_cfg.1=system.analytics.anonymous=disabled

Wordt dat dan gepersisteerd tijdens een controller upgrade? Of moet je dat iedere keer opnieuw doen?

The Eagle schreef op woensdag 7 oktober 2020 @ 15:52:
Korte vraag waarop ik het antwoord niet in dit topic terug kon vinden:
Als ik de config.properties file aanmaak met als doel de analytics te blokkeren middels onderstaande regel:

code:

1	config.system_cfg.1=system.analytics.anonymous=disabled

Wordt dat dan gepersisteerd tijdens een controller upgrade? Of moet je dat iedere keer opnieuw doen?

root@unipi:/home/pi# find / -name config.properties
/var/lib/unifi/sites/default/config.properties
/home/pi/BACKUP/config.properties
root@unipi:/home/pi# ls -la /var/lib/unifi/sites/default/
total 16
drwxr-x--- 3 unifi unifi 4096 mei 15 15:02 .
drwxr-x--- 3 unifi unifi 4096 dec 28  2018 ..
-rw-r--r-- 1 unifi unifi   56 mei 15 15:02 config.properties
drwxr-x--- 2 unifi unifi 4096 dec 28  2018 map
root@unipi:/home/pi# cat /var/lib/unifi/sites/default/config.properties 
config.system_cfg.1=system.analytics.anonymous=disabled
root@unipi:/home/pi#

betojuan schreef op dinsdag 6 oktober 2020 @ 22:22:
Hallo, hopelijk kan iemand mij de goede richting opsturen:

Ik heb de volgende setup Glas -> USG -> US-8 switch -> 2 AP's en nog wat switches

Daarop draaien een aantal VLAN's, want ik heb T-mobile thuis met IPTV. Nu had ik een tijdje geleden een stroomstoring en daardoor heb werd het netwerk instabiel. Ik heb alles opnieuw geinstalleerd en bedraad werkt alles prima.

Alleen, draadloos valt het DNS af en toe weg. Af en toe als in elke 5 - 10 min, en na 1 min werkt het weer. Interne IP's werken nog, maar Internet dan dus niet. Nooit last gehad hiervan, nu dus wel. Voor de zekerheid heb ik alles op auto (DHCP, DNS, etc) en WAN DSN op 1.1.1.1 en 8.8.8.8

Pingen tijdens een uitval geeft een time-out. Buiten de time-outs geen issues.

Heb ook al UBNT support gemaild, maar daar heb ik geen oplossing van gekregen. Heeft iemand een idee wat er ad hand kan zijn, of waar ik eens moet gaan kijken?

Dank!

Djensen schreef op woensdag 7 oktober 2020 @ 07:44:
Een relatief eenvoudige probleem wat ik maar niet opgelost krijg. Ik heb 4 AP's, elke verdieping 1 en eentje buiten. Mijn draadloze (niet bedraad aan te sluiten) printer van Canon zou logischerwijs gekoppeld moeten blijven met het AP op verdieping 1. Hier staat de printer circa 3 meter van het AP. Toch, bijvoorbeeld bij een upgrade. stroomuitval of vanwege iets anders springt hij over naar het AP op de begane grond of zelfs van de zolderverdieping. Het gevolg is slechte verbinding en printjes die er niet of half uitkomen. Op reconnect drukken in het client menu en hopen dat hij terugspringt naar de 1ste verdieping heeft meestal geen resultaat.

Soms gaat het weken goed maar zo ineens is hij weer verbonden met een AP met matig bereik.

Wat ik heb gedaan: AP's omgewisseld van plek, zonder resultaat, de printer kiest uiteindelijk weer een AP met slecht bereik. Proberen met zendvermogen te zorgen dat hij de andere AP's helemaal niet vindt, ook dit lukt uiteindelijk niet helemaal en heeft ook gevolgen voor de andere draadloze clients.

Wat ik graag zou willen: de printer een vast AP geven maar ik kan niet vinden of dit mogelijk is. Het netwerk is verder heel basic zonder vreemde opties ingericht. Iemand een goede tip?

RobertMe schreef op woensdag 7 oktober 2020 @ 22:03:
I'll just leave this here:
Chris over de Lite switches:
[YouTube: UniFi Lite Switches - 8 & 16 Port]

ed1703 schreef op woensdag 7 oktober 2020 @ 22:28:
[...]

De lite is dus een prima switch voor thuis en een klein bedrijf, waar het ook op mikt neem ik zo aan.

RobertMe schreef op woensdag 7 oktober 2020 @ 22:30:
[...]

Intussen de video "half" gezien (aangekomen bij vergelijking van de USW Lite 16). Maar hij slaat volgens mij wel de plank mis bij de USW 8-60W? Daarvan zegt die dat die 802.3at heeft, maar AFAIK heeft die toch maar af? Vervolgens noemt die de USW 8-60W en Lite 8 POE dan ook identieke switches, voor dezelfde prijs. Maar dat zijn ze volgens mij dus niet? Vraag is dan ook of er meer foutjes in zitten.

Peutpeut schreef op woensdag 7 oktober 2020 @ 23:01:
[...]

Beide hebben PoE+, dus 802.3at volgens de website van Ubiquiti.

The UniFi Switch 8 60W is a compact, fully managed 802.3af PoE Gigabit switch

Wat me opvalt is dat het budget van de 8 hoger is dan van de 16, afgaande op de beschrijving.

The Eagle schreef op woensdag 7 oktober 2020 @ 15:52:
Korte vraag waarop ik het antwoord niet in dit topic terug kon vinden:
Als ik de config.properties file aanmaak met als doel de analytics te blokkeren middels onderstaande regel:

code:

1	config.system_cfg.1=system.analytics.anonymous=disabled

Wordt dat dan gepersisteerd tijdens een controller upgrade? Of moet je dat iedere keer opnieuw doen?

mindwarper schreef op donderdag 8 oktober 2020 @ 02:56:
[...]

Kan iemand wellicht mij in een stappenplannetje uitleggen hoe en waar ik dat kan aanmaken.?
Ik heb een UCK G2 in het netwerk zitten en 2 APs - nanoHD en een flexHD...
En ik kan makkelijk met SSH en GUI overal bij...

Weet alleen niet hoe en waar ik zo een bestand op de controller zou moeten aanmaken...
Floor Map heb ik niet... Maar ik had begrepen dat ik ook handmatig map structuur kan maken...
Kan iemand mij een stukje op weg helpen hoe dat aan te pakken ???
kan je in CLI bijvoorbeeld de file aanmaken ???

Onderstaande URLS zijn zeker nuttig, maar mis net dat kleine extra stukje info, om zo een config file te maken op de controller.

---

https://community.ui.com/...c0-4d1d-a09c-5c75ee8e15dc
https://help.ui.com/hc/en...he-config-properties-File
https://help.ui.com/hc/en-us/articles/115004872967

[ Voor 6% gewijzigd door Chris.nl op 08-10-2020 03:25 ]

RobertMe schreef op woensdag 7 oktober 2020 @ 23:10:
[...]

Nope?

[...]

De oude 8-60W is dus maar af, terwijl de nieuwe Lite 8 POE at is.


[...]

Volgens Chris hebben zowel de Lite 8 POE als Lite 16 POE een 60W power supply. Alleen zal het (maximale) verbruik van de Lite 16 POE hoger zijn? Immers heeft die meer poorten.

Overigens ook wel grappig dat de 8-150W en Lite 16 POE net zo duur zijn. Je zou zeggen dat de keuze dan snel gemaakt is. Een kleiner apparaat met 6 / 8 poorten extra. Enige USP van de 8-150W is dan dat je via SFP glasvezel (of DAC) kunt gebruiken. Inderdaad, passive PoE support vind ik geen voordeel/USP, ondanks dat ik het zelf wel gebruikt want oude(re) UAP AC Lite en LR

Four ports also offer auto-sensing 802.3at PoE+ that provide up to a total PoE wattage of 52W for UniFi Access Points or other PoE devices.

Eight ports also offer auto-sensing 802.3at PoE+ that provide up to a total PoE wattage of 45W for UniFi Access Points or other PoE devices.

RobertMe schreef op woensdag 7 oktober 2020 @ 23:10:
[...]

Nope?

[...]

De oude 8-60W is dus maar af, terwijl de nieuwe Lite 8 POE at is.

Overigens ook wel grappig dat de 8-150W en Lite 16 POE net zo duur zijn. Je zou zeggen dat de keuze dan snel gemaakt is. Een kleiner apparaat met 6 / 8 poorten extra. Enige USP van de 8-150W is dan dat je via SFP glasvezel (of DAC) kunt gebruiken.

ed1703 schreef op donderdag 8 oktober 2020 @ 05:01:
Over de SFP’s: Wie heeft er thuis glas liggen?

RobertMe schreef op donderdag 8 oktober 2020 @ 06:46:
[...]

Ik heb er wel vaak genoeg over gedacht Hier hangt ook een 8-150W in de kelder (bij USG, modem etc) en een 16-150W op zolder. Vaak genoeg erover gedacht om daar glas tussen te leggen. Zijn ze ook mooi elektrisch gescheiden (ok, qua stroom dan niet, maar niet nog eens via andere geleidende kabels verbonden).

zeroday schreef op donderdag 8 oktober 2020 @ 07:40:
[...]


Dat wil(de) ik ook wel, maar hoe trek je dan zo'n kabel en nog meer, hoe maak je er dan een connector aan vast? Zijn daar speciale connectoren voor?

RobertMe schreef op donderdag 8 oktober 2020 @ 07:54:
[...]

Dat is ook precies waarom ik het niet gedaan heb Ik denk dat als je voor een simplex fiber gaat (met bidi SFP modules) dat je aan 1 enkele vezel en dus 1 connector voldoende hebt. Een van de connectoren (ik meen LC, maar kan ook SC zijn of een ander) is vervolgens niet al te groot en zou theoretisch door een 19mm buis moeten passen. Alleen moet je hem dan nog steeds "zo" er doorheen krijgen zonder dat je bv trekveer moet gebruiken, anders heb je grote kans dat je kabel of stekker beschadigd. Zelf de kabel trekken en "stekker eraan zetten" is volgens mij sowieso onmogelijk. Tenzij je dagelijkse werk uit het lassen van glasvezel bestaat. Schijnt toch redelijk specialistisch te zijn in combinatie met (duurder) gereedschap dat je er voor nodig hebt.

Overigens zou ik in mijn geval de kabel waarschijnlijk relatief eenvoudig van de zolder naar de kelder kunnen laten zakken door een rechte buis. Vervolgens in de kelder even de flexibele bocht eraf, en dan voorzichtig met de hand doorvoeren door dat stuk flex buis en vervolgens nog door een recht stuk van ~1,5 meter duwen. Zou dus relatief eenvoudig moeten zijn. Maar als je hem echt flink door de muur moet trekken met bochten en al lijkt mij dat een semi-onmogelijke opgave.

zeroday schreef op donderdag 8 oktober 2020 @ 07:40:
[...]


Dat wil(de) ik ook wel, maar hoe trek je dan zo'n kabel en nog meer, hoe maak je er dan een connector aan vast? Zijn daar speciale connectoren voor?

mindwarper schreef op donderdag 8 oktober 2020 @ 02:56:
Kan iemand wellicht mij in een stappenplannetje uitleggen hoe en waar ik dat kan aanmaken.?
Ik heb een UCK G2 in het netwerk zitten en 2 APs - nanoHD en een flexHD...
En ik kan makkelijk met SSH en GUI overal bij...

Weet alleen niet hoe en waar ik zo een bestand op de controller zou moeten aanmaken...
Floor Map heb ik niet... Maar ik had begrepen dat ik ook handmatig map structuur kan maken...
Kan iemand mij een stukje op weg helpen hoe dat aan te pakken ???
kan je in CLI bijvoorbeeld de file aanmaken ???

Onderstaande URLS zijn zeker nuttig, maar mis net dat kleine extra stukje info, om zo een config file te maken op de controller.

---

https://community.ui.com/...c0-4d1d-a09c-5c75ee8e15dc
https://help.ui.com/hc/en...he-config-properties-File
https://help.ui.com/hc/en-us/articles/115004872967

Chris.nl schreef op donderdag 8 oktober 2020 @ 03:21:
Chris.nl in "[Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 4"
Bestandje kan je rechtermuisklik downloaden en gewoon met verkenner naar de/een map kopiëren en dan provisioneren, via ssh command kan je testen of ie um gepakt heeft.

1. Dummy plaatje als floorplan geüpload
2. SSH sessie opgestart naar UCK G2 - inloggen
3. navigeren naar onderstaande map
   
   code:
   

   1	/usr/lib/unifi/data/sites/default

4. vi editor opgestart met
   
   code:
   

   1	vi config.properties

5. Regel(s) toegevoegd
   
   code:
   

   1 2	# system.analytics.status=disabled config.system_cfg.1=system.analytics.anonymous=disabled

6. Opslaan bestand
7. Dummy floorplan weer weghalen
8. Devices (APs) opnieuw provision doen
9. op AP devices met SSH inloggen en controleren
   
   code:
   

   1	grep analytics /tmp/system.cfg

   
   Levert dit op:
   
   code:
   

   1 2	system.analytics.status=disabled system.analytics.anonymous=disabled

10. Klaar

[ Voor 42% gewijzigd door mindwarper op 08-10-2020 11:36 . Reden: EXTRA info en wat code regel(s) aanpassen ]

mits112 schreef op donderdag 8 oktober 2020 @ 10:53:
Ik heb de laatste tijd veel last van DHCP Timeouts

[Afbeelding]

Iemand een idee hoe dit te verhelpen? Las dat band-steering hier wellicht verandering kan brengen? Ik weet welke clients de issues geven

Pabz schreef op maandag 5 oktober 2020 @ 15:25:
Beste allemaal,

Ik heb afgelopen weekend (eindelijk) een IoT VLAN opgezet binnen mijn netwerk en na veel klooien en lezen ook (eindelijk) mijn chromecast in mijn IoT VLAN aan de praat gekregen. Ik ben op het gebied van netwerken zeker geen pro en probeer mezelf veel aan te leren middels fora, youtube (Chris van CrossTalk Solutions, HELD!) en vroeg me af of iemand commentaar kon geven op hetgeen ik nu ingesteld heb. Hier gaat het specifiek om de firewall rules, multicast verkeer en of ik niets raars gedaan heb. Ik heb namelijk regels zoals verkeer naar UDP port 5353 zelf toegevoegd omdat die niet in de tutorial stond die ik heb gevolgd.

Ik kan handleidingen en tutorials goed volgen, toepassen en snap vaak de logica achter zaken, maar zie mezelf wel als bewust onbekwaam in dit soort zaken .

Mijn situatie:

Hardware:
Edgerouter 4
2-tal unifi switches met controller en aantal unifi AP's.

Op de edgerouter:
eth0 is WAN
eth1 is secure LAN
eth1.107 is IoT netwerk.

Firewall:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167

firewall { all-ping enable broadcast-ping disable group { network-group LAN_NETWORKS { description "RFC1918 ranges" network 192.168.0.0/16 network 172.16.0.0/12 network 10.0.0.0/8 } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name IDIoT_IN { default-action accept description "IOT Network In" enable-default-log rule 10 { action accept description "Allow Established Related" destination { group { network-group LAN_NETWORKS } } log disable protocol all state { established enable invalid disable new disable related enable } } rule 20 { action accept description "Allow PiHole DNS" destination { address 192.168.100.25 port 53 } log enable protocol tcp_udp } rule 30 { action accept description "Allow DNS" destination { address 192.168.107.1 port 53 } log disable protocol tcp_udp } rule 40 { action accept description "Allow DNS 1.1.1.1" destination { address 1.1.1.1 port 53 } log disable protocol tcp_udp } rule 50 { action accept description "Allow mDNS" destination { port 5353 } log disable protocol udp } rule 60 { action drop description "Block other DNS" destination { port 53 } log disable protocol tcp_udp } rule 70 { action drop description "Drop IoT to LAN networks" destination { group { network-group LAN_NETWORKS } } log disable protocol all } } name IDIoT_LOCAL { default-action drop description "IoT to local network" enable-default-log rule 1 { action accept description "Allow IoT DNS" destination { address 192.168.107.1 port 53 } log disable protocol tcp_udp } rule 2 { action accept description "Allow IoT DHCP" destination { port 67 } log disable protocol udp } rule 3 { action accept description "Allow mDNS" destination { port 5353 } log disable protocol udp } } name WAN_IN { default-action drop description "WAN to internal" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN to router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } }

MDNS in edgerouter:

code:

1 2	set service mdns repeater interface eth1 set service mdns repeater interface eth1.107

IGMP in egderouter (stond ook niet in de tutorial dat deze geactiveerd moest worden):

code:

1 2 3 4 5 6 7

set protocols igmp-proxy interface eth1 role upstream set protocols igmp-proxy interface eth1 threshold 1 set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0 set protocols igmp-proxy interface eth1.107 role downstream set protocols igmp-proxy interface eth1.107 threshold 1 set protocols igmp-proxy interface eth1.107 alt-subnet 0.0.0.0/0

Tot slot heb ik in unifi in beide netwerken (LAN en VLAN 107) IGMP snooping en multicast enhancement aangezet.

Is dit voldoende? Of heb ik nu een massale broadcast/multicast opengezet die al mijn poorten kan overstromen . Verder vroeg ik me af wat voor regels ik nog toe kan voegen als ik niet wil dat een apparaat in het IoT VLAN verbinding met internet kan maken (bijvoorbeeld mijn printer).

Volgende stap gaat denk ik worden mezelf leren hoe ik broadcast/multicast verkeer gerichter kan managen, tips zijn welkom!

Thanks voor de input!

ps: ik realiseer me nu dat mijn firewall groepen voor IoT eigenlijk idiot (IDIoT) heten hahaha

BushWhacker schreef op donderdag 8 oktober 2020 @ 11:11:
[...]

Je zou ipv drop beter reject kunnen gebruiken bij de niet-wan rules. Voor WAN wel drop gebruiken.
Dan krijgt het device een reactie dat het niet is toegestaan en gaat niet wachten.
Als je drop gebruikt, komt er geen reactie en gaat het device wachten tot een timeout.

nielsn schreef op donderdag 8 oktober 2020 @ 13:47:
Vandaag thuiswerken maar "helaas" had ik de eerder bestelde voeding nog op tafel liggen, het begon dus te kriebelen tijdens mij pauze.

De voeding is groter dan ik dacht waardoor ik wat anders te werk moest gaan dan ik voor ogen had. Uiteindelijk hier het resultaat:

[Afbeelding]
Heb met een nijptang wat van de aluminium behuizing moeten knippen, anders past de voeding niet.

[Afbeelding]
Het metaal heb ik zo ver mogelijk weggeknipt bij de bovenste pijl, de behuizing kreeg je anders niet dicht.

[Afbeelding]
Dit is de enige manier om de voeding in de behuizing te krijgen. Er worden geen metalen geraakt.

[Afbeelding]
Voeding vastgeplakt met een Tesa Powerstrip. Deze kan nergens meer heen.

[Afbeelding]
Kabels vastgeschroefd en een kroonsteen om de voedingskabel te verlengen.

Voor nog geen vijftig Euro een gekregen switch weer aan de praat gekregen. Nu nog wat fatsoeneren zodat het wat veiliger is.

ed1703 schreef op donderdag 8 oktober 2020 @ 05:01:
Behalve dat neemt de 8-150 een aardige positie in op de jaarlijkse energierekening; hij lust nogal wat. Ook erg warm, die dingen worden 65-70 graden, al is het apparaat er geschikt voor. Over de SFP’s: Wie heeft er thuis glas liggen? Dan is er altijd nog de 16 gen 2 Poe beschikbaar.

mindwarper schreef op donderdag 8 oktober 2020 @ 11:04:
Komt overeen met @nero355 zijn config maar dan nu in een UCK G2 - effect is hetzelfde

1. Dummy plaatje als floorplan geüpload

Robin1992 schreef op donderdag 8 oktober 2020 @ 16:08:
netjes ik zou alleen zelf het kroonsteentje verwijderen (om te testen zijn die dingen handig en leuk)
ik zelf zou de kabels aan elkaar solderen met een stukje krimpkous.

nero355 schreef op donderdag 8 oktober 2020 @ 17:25:
[...]

Iedereen met Glasvezel Internet
Scheelt weer klooien met een mediaconverter voor je USG

[b]nero355 schreef op donderdag 8 oktober 2020 @ 17:25:
[...]

Moest dat echt

Ik heb op mijn "DIY UniFi Controller" nooit een floorplan aangemaakt en alleen de bestanden aangepast

ed1703 schreef op donderdag 8 oktober 2020 @ 17:32:
Die hoort rechtstreeks aan je Gateway te hangen.

Daarom hebben we ook een USG Pro en UDM Pro.

Maar ik bedoelde natuurlijk inpandig door kamers in je huis. Die personen zijn er niet veel gok ik.
Niet op basis waar UI winsten van kan afromen

[ Voor 8% gewijzigd door mindwarper op 08-10-2020 17:44 ]

nero355 schreef op donderdag 8 oktober 2020 @ 17:41:
[...]


Ach... UI... gelukkig hebben we MikroTik nog voor onze "10 Gbps fetishisten" :
- pricewatch: MikroTik CRS309-1G-8S+IN
- pricewatch: MikroTik Cloud Router Switch 305-1G-4S+IN

Jeroen-B schreef op donderdag 8 oktober 2020 @ 17:53:
Kan iemand mij vertellen wat de primaire meerwaarde is van de er-4 t.o.v. de er-x?

Ik ben van plan een simpel netwerk op te zetten i.c.m pi-hole. Abbo is 250/25. VPN, VLAN etc.. ben ik niet van plan te gebruiken en DPI lijkt me vrij gimmicky (en semi nutteloos door tls). Daarbuiten laat pi-hole ook stats zien. Primair dus set and forget.

Enige 'advanced' feature wat dan nog overblijft is QOS. Met een thuis server die nog wel eens wat wil downloaden lijkt me dat mss wel handig. Verder ben ik de enige gebruiker. Ik kan die server ook limitten in transmission dus zo is het wellicht ook al opgelost. Is 130 euro extra dat dan nog waard?

Also, hoe zit het met de algemene gemoederen rondom Ubiquity. Ik lees veel commentaar vanuit de community vanwege het Phone-Home deblacle en crappy software patches/ delayed features etc.. Veel mensen raden de AP's en switchen nog wel aan maar zijn niet lovend over de routers.

[ Voor 10% gewijzigd door Will_M op 08-10-2020 18:16 ]

Will_M schreef op donderdag 8 oktober 2020 @ 18:14:
QoS wordt / is IMHO pas interessant als je veel gebruikers op je netwerk hebt welke middels VOIP aan het bellen gaan óf bijvoorbeeld via MS-Teams aan videoconferencing doen.... Alles wat écht belangrijk is en middels UDP werkt, dus.

[ Voor 24% gewijzigd door MJV op 08-10-2020 19:12 ]

MJV schreef op donderdag 8 oktober 2020 @ 19:06:
Ik wil op mijn Edgerouter X een simpele VLAN configuratie aan de praat krijgen.

Op eth1, eth2, en eth3, heb ik middels een aantal domme switches mijn 'main'-netwerk aangesloten.
Op eth4 wil ik en apart VLAN draaien waar ik mijn IoT devices aan kan sluiten, ook middels een domme switch.

Ik heb dus een untagged VLAN nodig, maar hoe maak ik het onderscheid tussen tagged/untagged? Wat ik tot nu toe heb gedaan is:
eth4 uit de switch0 lijst gehaald.


[Afbeelding]

Een VLAN toegevoegd, gegevens als volgt:
[Afbeelding]
[Afbeelding]

Ook heb ik voor het 192.168.10.0/24 een DHCP server aangemaakt:
[Afbeelding]

Echter, de devices aan de IoT-poort krijgen maar geen IP-adres van die DHCP server. Met of zonder domme switch ertussen maakt niet uit.

Wat doe ik verkeerd?

[ Voor 9% gewijzigd door ed1703 op 08-10-2020 19:34 ]

ed1703 schreef op donderdag 8 oktober 2020 @ 19:19:
[...]

IP adres rechtstreeks op ETH4 zetten, DHCP erop en klaar. Tags met een domme switch werken alleen als je zelf ook het VLAN op je end-device meegeeft omdat je domme switch verder niets met het pakket doet.
Overigens kun je dan nog steeds VLANS maken op je edgerouter, alleen kan je domme switch daar niets mee en zet alles gewoon 1 op 1 door op alle poorten. Eigenlijk heb je een "trunk" op alle poorten.
Of een profile "all" voor de unifi' ers

MJV schreef op donderdag 8 oktober 2020 @ 19:32:
[...]

Dus als volgt?
[Afbeelding]
Nog steeds geen soelaas, helaas.

ed1703 schreef op donderdag 8 oktober 2020 @ 19:36:
[...]

Zeker weten dat je er ook DHCP aan hebt gehangen?

[ Voor 32% gewijzigd door MJV op 08-10-2020 19:46 ]

MJV schreef op donderdag 8 oktober 2020 @ 19:39:
[...]

Ik heb een DHCP server aangemaakt in hetzelfde subnet. Of moet ik nog iets anders aanpassen?
[Afbeelding]

[ Voor 4% gewijzigd door ed1703 op 08-10-2020 19:44 ]

nero355 schreef op donderdag 8 oktober 2020 @ 18:04:
[...]

Er waren wel wat verschillen tussen de ER-X en de ER-Lite en hoger (dus ook de ER-4) maar er is zoveel veranderd in de tussentijd dat je dat het beste effe via de Search van de afgelopen 4 delen terug kan zoeken


[...]

Dan zou ik zeggen : Koop iets simpels als een ASUS/TP-Link/Netgear/AVM Router en ga daarmee aan de slag, want vaak hebben die ook simpele accesspoints uit dezelfde serie


[...]

QoS moet je helemaal vergeten en lekker laten voor wat het is IMHO


[...]

Mijn volgende Router wordt een pfSense DIY bakkie in ieder geval!

ed1703 schreef op donderdag 8 oktober 2020 @ 19:42:
[...]

Nee: https://help.ui.com/hc/en...54-EdgeRouter-DHCP-Server
Weet 100% zeker dat het zo werkt
Check met een static adres of het wel werkt.

[ Voor 10% gewijzigd door MJV op 08-10-2020 19:57 ]

mits112 schreef op donderdag 8 oktober 2020 @ 10:53:
Ik heb de laatste tijd veel last van DHCP Timeouts

[Afbeelding]

Iemand een idee hoe dit te verhelpen? Las dat band-steering hier wellicht verandering kan brengen? Ik weet welke clients de issues geven

So we are having some luck by changing settings->wireless networks->affected network (edit)->802.11 rate and beacon -> uncheck "DTIM use default values" and setting it from 1 to 3. We are investigating now WHY this is fixing the problem, but some people are claiming that this was modified a few versions back from 3 to 1 and it has to do with the network card going to sleep even when in us

mits112 schreef op donderdag 8 oktober 2020 @ 10:53:
Ik heb de laatste tijd veel last van DHCP Timeouts

[Afbeelding]

Iemand een idee hoe dit te verhelpen? Las dat band-steering hier wellicht verandering kan brengen? Ik weet welke clients de issues geven

USW] Improve 3rd-party DHCP server compatibility.

[ Voor 9% gewijzigd door xbeam op 08-10-2020 23:21 ]

xbeam schreef op donderdag 8 oktober 2020 @ 23:08:
[...]


Firmware 5.25 & firmware 5.28 heb je daar al naar gekeken ?

[...]

nero355 schreef op woensdag 7 oktober 2020 @ 18:22:

[...]

Kan je een BSSID invoeren voor die Printer

Dat is namelijk het MAC adres van de accesspoint die jij dan graag wilt gebruiken voor die printer.

En indien mogelijk : Sluit het gekke ding gewoon bekabeld aan!
Die van mij hangt aan de non-PoE poort van een In Wall en dat werkt gewoon ALTIJD

[ Voor 11% gewijzigd door rookie no. 1 op 09-10-2020 18:01 ]

Valkyre schreef op vrijdag 9 oktober 2020 @ 19:38:
Woensdagavond deed mijn chromecast op de BG het niet, na zoeken en uitsluiten het AP op de BG een reboot gegeven en vervolgens kon ik deze niet meer adopteren.

ergo native vlan is 99 (hier doe ik alleen maar provisioning in)
tagged vlan 10 = LAN
tagged vlan 20 = infra/management
en nog 2 vlans die niet relevant zijn.

[ Voor 29% gewijzigd door mits112 op 10-10-2020 16:21 ]

mits112 schreef op zaterdag 10 oktober 2020 @ 16:10:
Hebben mensen misschien een idee hoe ik de speedtest zoveel mogelijk kan laten lijken op het abbo wat ik van Ziggo afneem (250mbps/25mbps)? Of is dit een leuke gimmick van Unifi die eigenlijk niet zo heel veel zegt?

[Afbeelding]

In iets andere woorden. Toen ik nog de ConnectBox als AP gebruikte kreeg ik dit (zelfde client, zelfde 5ghz netwerk).

[Afbeelding]

[ Voor 4% gewijzigd door HKLM_ op 10-10-2020 16:55 ]

mits112 schreef op zaterdag 10 oktober 2020 @ 16:10:
Hebben mensen misschien een idee hoe ik de speedtest zoveel mogelijk kan laten lijken op het abbo wat ik van Ziggo afneem (250mbps/25mbps)? Of is dit een leuke gimmick van Unifi die eigenlijk niet zo heel veel zegt?

[Afbeelding]

In iets andere woorden. Toen ik nog de ConnectBox als AP gebruikte kreeg ik dit (zelfde client, zelfde 5ghz netwerk).

[Afbeelding]

RobertMe schreef op zaterdag 10 oktober 2020 @ 17:36:
[...]

Dit is dus de speedtest uit de controller? En welke gateway/router heb je dan? Een USG (3P) is te langzaam, qua CPU, om hoge snelheden te halen. Als in: hij kan wel gewoon 1Gbit/s NATen, maar als die vanuit software op bezig is dan is de snelheid lager, doordat de CPU te traag is. Oftewel: draai gewoon een test op speedtest.net vanaf een / laptop / ... en kijk wat je dan haalt. Dat is betrouwbaarder dan de speedtest die op de gateway wordt gedraaid.

HKLM_ schreef op zaterdag 10 oktober 2020 @ 16:53:
[...]


Heb je de ISP Capabilities aangepast naar je de snelheid van je eigen abonnement? Daarnaast kan je de echo server nog aanpassen deze staat standaard ip ping.ubnt.com.

Mijn periodieke speedtest op de udm-pro is i.i.g gelijk aan wat ik geleverd krijg door ziggo.

RobertMe schreef op zaterdag 10 oktober 2020 @ 17:36:
[...]

Dit is dus de speedtest uit de controller? En welke gateway/router heb je dan? Een USG (3P) is te langzaam, qua CPU, om hoge snelheden te halen. Als in: hij kan wel gewoon 1Gbit/s NATen, maar als die vanuit software bezig is dan is de snelheid lager, doordat de CPU te traag is. Oftewel: draai gewoon een test op speedtest.net vanaf een PC / laptop / ... en kijk wat je dan haalt. Dat is betrouwbaarder dan de speedtest die op de gateway wordt gedraaid.

nero355 schreef op vrijdag 9 oktober 2020 @ 19:50:
[...]

Volgens mij gaat het daar ergens stuk, want je UAP krijgt het verkeerde IP toegewezen voor zover ik kan zien

De hele UniFi meuk is nogal gehecht aan VLAN 1 als Untagged Management VLAN dus als je dat verandert dan kan je dit soort problemen verwachten denk ik...

Kan je erop komen via SSH en dan de juiste kant op schoppen via het Inform commando

[ Voor 21% gewijzigd door Valkyre op 11-10-2020 01:25 ]

Valkyre schreef op zondag 11 oktober 2020 @ 01:11:
[...]


hmm jah maar das nog steeds vaag waarom mijn anders AP's zonder problemen werken met deze setup.
als ik untagged mijn management vlan aan bied dan gaat dit foutieve UAP gewoon goed, maar ja dan heb ik de andere VLANs niet.

ik kom er gewoon niet achter of het nu misgaat in mijn switch of in het AP.

[ Voor 23% gewijzigd door xbeam op 11-10-2020 01:30 ]

xbeam schreef op zondag 11 oktober 2020 @ 01:26:
[...]


Heb je op de AP zelf wel het juiste management vlan geselecteerd?
[Afbeelding]

[Afbeelding]

[Afbeelding]

Valkyre schreef op zondag 11 oktober 2020 @ 01:29:
[...]


yes zie de screenshots in mijn eerst post, op 3 van de 4 AP's kan ik zonder problemen het juist management VLAN selecteren, icm met een bepaalde switch port profile.
echter op de AC-Pro ben ik dan mijn verbinding kwijt.

[ Voor 13% gewijzigd door xbeam op 11-10-2020 01:40 ]

xbeam schreef op zondag 11 oktober 2020 @ 01:36:
[...]


Dit zijn geen switch poort profielen. Maar taggin van je management vlan in het accespoint zelf.

Je geeft er mee op welke vlan het ap moet luisteren, oftewel de ssh connectie van de controller moet accepteren. Standaart/native is dat vlan1 oftewel de basis verbinding als je verder geen vlans gebruik.

Valkyre schreef op zondag 11 oktober 2020 @ 01:40:
[...]


Dat werkt toch alsvolgt;
Op de switch stel ik dit in:
[Afbeelding]

ergo tagged vlan 20

en als ik dan op het AP dit instel:
[Afbeelding]

dan gaat het mis.

maar theoretisch zou het volgens mij moeten kloppen?

pandit schreef op zondag 11 oktober 2020 @ 21:40:
Goedenavond allemaal.

Ik zit midden in een transitie tussen twee woningen en heb me helaas onvoldoende kunnen oriënteren op het (WiFi) netwerk. In mijn huidige huis heb ik een houtje touwtje oplossing met de Wifi router van de provider beneden en een standalone router boven met een andere ssid. Ik wil in het andere huis een modernere oplossing met één ssid en was van plan om dit met ubiquiti te doen. Ik heb de startpost en flink wat reacties gelezen. Afgelopen week in de slaapkamers en huiskamer CAT6 getrokken die ik van de week ga afmonteren.

Ik wil simpel beginnen en later uitbouwen en denk voor WiFi aan:

Switch: Ubiquiti US-8-60W UniFi
2 stuks: UAP-AC-LITE WLAN voor Begane grond en eerste etage, (later een derde voor de zolder indien nodig)

Ik had al begrepen dat de cloudkey niet noodzakelijk is.

Is dit voldoende voor een begin of moet ik nog wat aanschaffen?

zeroday schreef op zondag 11 oktober 2020 @ 21:46:
[...]
Een controller opzetten zou wel handig zijn .. en dat gaat het makkelijkst met een cloudkey
En als je nu eenmaal even die investering doet dan heb je daar later wat plezier van.
Ik heb in al die jaren (zo lang ik mijn vingers er maar vanaf hou) nog nooit zo'n stabiel netwerk (draadloos en bedraad) ..

pandit schreef op zondag 11 oktober 2020 @ 22:05:
[...]

Dan bestel ik die cloudkey er ook bij :-). Zou dit een goede basis zijn om later uit te bouwen Zeroday?

Quad schreef op zondag 11 oktober 2020 @ 22:08:
[...]

Wanneer je niet 24/7 over stats wilt beschikken kan je de Unifi software ook op een Windows OS kunnen plaatsen.

Quad schreef op zondag 11 oktober 2020 @ 22:08:
[...]

Wanneer je niet 24/7 over stats wilt beschikken kan je de Unifi software ook op een Windows OS kunnen plaatsen.

mister_S schreef op zondag 11 oktober 2020 @ 21:22:
[...]
Verder snap ik niet helemaal hoe PoE switches werken omdat er groot verschil is in prijs. Er komt 500Mbit glasvezel, ik denk dat een 8 poorts switch genoeg zal zijn. Kan ik elke el cheapo switch, bijvoorbeeld de TP-Link TL-SG108PE, hiervoor gebruiken?

mister_S schreef op zondag 11 oktober 2020 @ 21:22:
Ik moet voor mijn toekomstige huis een mooi dekkend wifi netwerk hebben, gezien ik weinig verstand heb van netwerken wil ik graag jullie opmerkingen over een redelijk simpele opstelling horen.

Verder snap ik niet helemaal hoe PoE switches werken omdat er groot verschil is in prijs.

[ Voor 86% gewijzigd door rens-br op 12-10-2020 08:25 ]

pandit schreef op zondag 11 oktober 2020 @ 22:05:
[...]

Dan bestel ik die cloudkey er ook bij :-). Zou dit een goede basis zijn om later uit te bouwen Zeroday?