[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

[Voor 4% gewijzigd door lolgast op 15-04-2020 09:05]

Crowns schreef op woensdag 15 april 2020 @ 08:22:
Bedankt voor de reactie. Dan ga ik die aanschaffen.

Heb jij binnen nog een surge staan voor moest de bliksem er in slaan?

MadDog2K schreef op woensdag 15 april 2020 @ 08:31:
Elders las ik dat je een kant-en-klare kabel hebt aangesloten.
Hoe heb je die connector door dat ‘afsluit ringetje’ (cable grommet) gekregen, die ziet er nl. zo smal uit dat het lijkt alsof er alleen een kabel zonder connector door past.

lolgast schreef op woensdag 15 april 2020 @ 09:04:
Vraagje voor mijn geweten:

Ik heb een AP-M Mesh buiten hangen, tegen de carport aan. Die is vrij eenvoudig benaderbaar vanaf de andere kant.
[Afbeelding]
^{Oude foto, inmiddels gebruik ik een kabel met PE-mantel voor buiten}

De switchpoort waar deze AP aan hangt heb ik op basis van MAC-filtering enkel toegang tot deze AP gegeven en het VLAN waar het management op gebeurd heeft geen DHCP. Ik zou me nu veilig genoeg moeten voelen voor het bijzondere geval dat iemand besluit de kabel eruit te halen toch?

lolgast schreef op woensdag 15 april 2020 @ 09:04:
Vraagje voor mijn geweten:

Ik heb een AP-M Mesh buiten hangen, tegen de carport aan. Die is vrij eenvoudig benaderbaar vanaf de andere kant.
[Afbeelding]
^{Oude foto, inmiddels gebruik ik een kabel met PE-mantel voor buiten}

De switchpoort waar deze AP aan hangt heb ik op basis van MAC-filtering enkel toegang tot deze AP gegeven en het VLAN waar het management op gebeurd heeft geen DHCP. Ik zou me nu veilig genoeg moeten voelen voor het bijzondere geval dat iemand besluit de kabel eruit te halen toch?

lolgast schreef op woensdag 15 april 2020 @ 09:04:
Vraagje voor mijn geweten:

Ik heb een AP-M Mesh buiten hangen, tegen de carport aan. Die is vrij eenvoudig benaderbaar vanaf de andere kant.
[Afbeelding]
^{Oude foto, inmiddels gebruik ik een kabel met PE-mantel voor buiten}

De switchpoort waar deze AP aan hangt heb ik op basis van MAC-filtering enkel toegang tot deze AP gegeven en het VLAN waar het management op gebeurd heeft geen DHCP. Ik zou me nu veilig genoeg moeten voelen voor het bijzondere geval dat iemand besluit de kabel eruit te halen toch?

Ferrox1 schreef op maandag 11 mei 2020 @ 14:10:
Wellicht dat iemand hier een idee heeft. Ik zit met het probleem dat ik mijn pihole in een ander VLAN wel kan pingen, maar als DNS werkt hij niet. Verder geen firewall ingesteld tussen de vlans (vooralsnog, moet nog gebeuren)

Ik zie de DNS request in de pi-hole ook niet voorbij komen.

Iemand een idee waar ik zou kunnen beginnen met mijn analyse?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74

SH into your Pi-hole. First, edit /etc/network/interfaces with sudo

For each VLAN, add a section like the following. In this example, the VLAN ID is 10 and I’m assigning the Pi-hole to 172.16.10.3

auto eth0.10
iface eth0.10 inet static
  address 172.16.10.3/24
Then run sudo ifup eth0.10 and then running ip addr you should see this interface up and running with the given IP. That’s it!

You can add as many of these as you like. Here’s my full interfaces config. The first entry is the main/primary IP and I give it the gateway so when it goes to access the internet, it’s doing it via the main/private LAN.

auto eth0
iface eth0 inet static
  address 10.65.0.3/24
  gateway 10.65.0.1

auto eth0.2
iface eth0.2 inet static
  address 10.65.2.3/24

auto eth0.5
iface eth0.5 inet static
  address 10.65.5.3/24

auto eth0.7
iface eth0.7 inet static
  address 10.65.7.3/24

auto eth0.10
iface eth0.10 inet static
  address 172.16.10.3/24

auto eth0.20
iface eth0.20 inet static
  address 172.16.20.3/24

auto eth0.30
iface eth0.30 inet static
  address 172.16.30.3/24
Block DNS queries to the WAN
With my DHCP settings pointing all devices to Pi-hole on all networks, the last change I made was to my firewall to block all outbound port 53 traffic. This prevents naughty devices from ignoring the DNS settings and talking directly to DNS servers they have hardcoded. Chrome, Amazon Echo, smart TVs, and all sorts of “smart” devices have been caught with hardcoded DNS.

Securing Pi-hole with iptables
Now that the Pi-hole is joined to every VLAN, by default any host on any VLAN would have access to the HTTP admin, SSH, or any other services you have running on the host. Since it’s joined directly to the VLAN and requests won’t go through your router, locking-down ports has to be done on the Pi-hole using iptables.

In my case, my VLAN 2 is for management, so any traffic from that VLAN is permitted. On all other VLANs, only port 53 traffic is accepted.

Here’s what I did, using sudo:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0.2 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.3 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.3 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.5 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.5 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.7 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.7 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.10 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.10 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.20 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.20 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.30 -p tcp -m tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -i eth0.30 -p udp -m udp --dport 53 -j ACCEPT
sudo iptables -P INPUT DROP
Bonus fun: if you have a lot of VLANs you can create a Cartesian product of VLAN IDs and tcp/udp and generate the script:

echo {2,3,5,7,10,20,30}" "{tcp,udp} | \
  xargs -n2 sh -c 'echo iptables -A INPUT -i eth0.$1 -p $2 -m $2 --dport 53 -j ACCEPT' sh
Then once you’re happy with how everything is working, save the configuration:

sudo iptables-save | sudo tee /etc/pihole/rules.v4

[Voor 76% gewijzigd door xbeam op 12-05-2020 01:16]

xbeam schreef op maandag 11 mei 2020 @ 14:19:
Heb je pi-hole actief op meerdere vlans en heeft de pi-hole een eigen ip adress in iedere vlan? ( dit is hoe het eigenlijk moet)

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74

SH into your Pi-hole. First, edit /etc/network/interfaces with sudo For each VLAN, add a section like the following. In this example, the VLAN ID is 10 and I’m assigning the Pi-hole to 172.16.10.3 auto eth0.10 iface eth0.10 inet static address 172.16.10.3/24 Then run sudo ifup eth0.10 and then running ip addr you should see this interface up and running with the given IP. That’s it! You can add as many of these as you like. Here’s my full interfaces config. The first entry is the main/primary IP and I give it the gateway so when it goes to access the internet, it’s doing it via the main/private LAN. auto eth0 iface eth0 inet static address 10.65.0.3/24 gateway 10.65.0.1 auto eth0.2 iface eth0.2 inet static address 10.65.2.3/24 auto eth0.5 iface eth0.5 inet static address 10.65.5.3/24 auto eth0.7 iface eth0.7 inet static address 10.65.7.3/24 auto eth0.10 iface eth0.10 inet static address 172.16.10.3/24 auto eth0.20 iface eth0.20 inet static address 172.16.20.3/24 auto eth0.30 iface eth0.30 inet static address 172.16.30.3/24 Block DNS queries to the WAN With my DHCP settings pointing all devices to Pi-hole on all networks, the last change I made was to my firewall to block all outbound port 53 traffic. This prevents naughty devices from ignoring the DNS settings and talking directly to DNS servers they have hardcoded. Chrome, Amazon Echo, smart TVs, and all sorts of “smart” devices have been caught with hardcoded DNS. Securing Pi-hole with iptables Now that the Pi-hole is joined to every VLAN, by default any host on any VLAN would have access to the HTTP admin, SSH, or any other services you have running on the host. Since it’s joined directly to the VLAN and requests won’t go through your router, locking-down ports has to be done on the Pi-hole using iptables. In my case, my VLAN 2 is for management, so any traffic from that VLAN is permitted. On all other VLANs, only port 53 traffic is accepted. Here’s what I did, using sudo: sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A INPUT -i eth0.2 -j ACCEPT sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.3 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.3 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.5 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.5 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.7 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.7 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.10 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.10 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.20 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.20 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.30 -p tcp -m tcp --dport 53 -j ACCEPT sudo iptables -A INPUT -i eth0.30 -p udp -m udp --dport 53 -j ACCEPT sudo iptables -P INPUT DROP Bonus fun: if you have a lot of VLANs you can create a Cartesian product of VLAN IDs and tcp/udp and generate the script: echo {2,3,5,7,10,20,30}" "{tcp,udp} | \ xargs -n2 sh -c 'echo iptables -A INPUT -i eth0.$1 -p $2 -m $2 --dport 53 -j ACCEPT' sh Then once you’re happy with how everything is working, save the configuration: sudo iptables-save | sudo tee /etc/pihole/rules.v4

http://www.mroach.com/2019/11/28/pihole-on-multiple-vlans/

Typhone schreef op maandag 11 mei 2020 @ 15:06:
Ik was er al een beetje bang voor dus vandaar dat ik mijn losse topic reactie even hierheen tover aangezien ik genoeg ervaring met UniFi heb maar duidelijk niet de juiste doelgroep aanspreek

Ik ben op zoek naar de beste all-in-one oplossing voor mijn nieuwe huis zie beneden. In de oude situatie (die nog draait bij mijn ex-vriendin) draait/draaide deze setup:

USG Pro 4
UniFi Switch 16
UniFi Switch 8-150W
UniFi Switch 8-60W
UniFi Switch 8-60W
UniFi Switch 8-60W
UniFi Switch 8 (x3) (extra switches nodig omdat er wat kabels door de vorige bewoners kapotgetrokken waren in bestaande buizen)

UniFi AP AC Lite (x1)
UniFi AP AC Pro (x3)

Zie beneden. Huidige vriendin is nogal fan van KPN (i.v.m. wat kortingen die lopen) maar ik ben zelf meer een Ziggo aanhanger. Meer informatie in de quote below:

servies schreef op vrijdag 22 mei 2020 @ 20:49:
Alle 3 de switches hangen achter de TP-Link TL-SG3216 in m'n 'meterkast'
Ik heb momenteel geen VLANs meer in gebruik.

Zojuist eerst de switch verwijdert uit de controller.
factory reset
na een korte tijd verschijnt de switch in de controller: adopten ok, provisioning (wat lang duurt naar mijn idee) en tadaa resultaat adoption failed en weer dat default 192.168.1.20 ip adres....

Nadat ik de dhcp voor dat ding heb uitgeschakeld en 'm gewoon vast dat IP-adres heb toegewezen gaat het ineens wel goed....
Nu kan ik eindelijk die Netgear vervangen... en het scheelt weer 1 voeding (naar m'n accesspoint...

Thalaron schreef op vrijdag 22 mei 2020 @ 19:52:
Ik heb thuis een AC UAP-AC Pro en een NanoHD hangen. Los van dat ik, indien ze er destijds überhaupt al waren, niet wist dat Ubiquiti IW modellen had, heeft mijn voorkeur alsnog het plafondmodel.

Hét voordeel is dat er niets in de weg zit. Set ik wil een metalen kast neerzetten dan zou dat bij een IW uiteraard vrij kansloos zijn...

Daarnaast stoort het uiterlijk van de NanoHD in de woonkamer mij niet en ik heb nu op de gehele begane grond (incl. Achtertuin) goede dekking

abusimbal schreef op vrijdag 22 mei 2020 @ 22:15:
Vandaag gezien dat mijn UDM Pro een update heeft gehad 1.6.6 naar 1.7.0 (released 18/5)
Zie u eindelijk een shutdown optie voor de UDM Pro. Mooi.

[Voor 22% gewijzigd door nero355 op 23-05-2020 00:42]

nero355 schreef op zaterdag 23 mei 2020 @ 00:39:
[...]

De switch probeert je te vertellen dat een apart Management VLAN best wel verdomd handig is!

[Voor 10% gewijzigd door stormfly op 23-05-2020 10:24]

stormfly schreef op zaterdag 23 mei 2020 @ 10:19:
[...]


Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

RobertMe schreef op zaterdag 23 mei 2020 @ 10:30:
[...]

Volgens mij heeft @nero355 het omgedraaid. Ik heb dat in ieder geval. Het default LAN network gebruik ik voor infrastructuur / server / .... En dan een apart "prive" network waarop de PCs, telefoons, ... zitten.

LAN blijft dan dus het management VLAN, i p.v. een nieuw management VLAN, maar dan wel alle overige apparaten in een nieuw VLAN.

haakjesluiten schreef op zaterdag 23 mei 2020 @ 10:37:
mijn Ubiquiti nanoHD doet moeilijk. Ik kreeg hem niet op een nieuwe controller die ik had opgezet, toen maar een factory reset uitgevoerd (5sec reset knop ingedrukt) maar in de controller blijft hij hangen in een soort adopting/disconnected loop. Iemand een idee hoe verder?

[Voor 22% gewijzigd door stormfly op 23-05-2020 10:51]

stormfly schreef op zaterdag 23 mei 2020 @ 10:19:
[...]


Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

[Voor 8% gewijzigd door xbeam op 23-05-2020 12:09]

haakjesluiten schreef op zaterdag 23 mei 2020 @ 12:08:
[...]


UBNT-BZ.v4.0.80# info

Model: UAP-nanoHD
Version: 4.0.80.10875
MAC Address: 18:e8:29:41:5f:be
IP Address: 192.168.1.155
Hostname: UBNT
Uptime: 317 seconds

Status: Unknown[11] (http://172.17.0.6:8080/inform)

AP heeft nu een witte led die continue brand, volgens de Ubiquiti website is dat waiting for adoption maar mijn controller blijft kansloos hangen...

xbeam schreef op zaterdag 23 mei 2020 @ 11:48:
[...]


Ik zal het dit weekend voor je testen.
Dus de Flex mini moet vlan6 door geven als management vlan op de Nano HD, volgens mij het Poort profiel instelling. Waar bij je aan moet geven welke vlan je nativ (management) vlan is.

Alleen waarom 5.15.0 (beta) en niet gewoon 4.13 als je problemen hebt?

[Voor 34% gewijzigd door stormfly op 23-05-2020 13:21]

haakjesluiten schreef op zaterdag 23 mei 2020 @ 12:51:
Draai hem inderdaad in Docker.

stormfly schreef op zaterdag 23 mei 2020 @ 10:19:
Gehehe ik heb vrij nieuw unifi spul, echter...lijkt het daar e.a. ook niet helemaal volledig geïmplementeerd (net als wat ik pas aanhaalde over SNMP). Heb even een SSID gemaakt met vlan 6 daar krijgt mijn MacBook gewoon een IP over WiFi en kan ik ook naar het controller subnet pingen.

Zet ik daarna, in hetzelfde vlan nummer, een switch of een nanoHD dan faalt het.

Laten we het compact houden, iemand anders die met een nanoHD op FW 5.15.0 het is gelukt om een mgmt vlan aan te maken (services tab). Of op een FLEX mini?

Hij blijft een beetje staan jutteren tussen native untagged, en vlan x voor mgmt. Ik zie nu voor het eerst een lease in vlan 6 maar hij komt niet lekker in de controller.

RobertMe schreef op zaterdag 23 mei 2020 @ 10:30:
Volgens mij heeft @nero355 het omgedraaid. Ik heb dat in ieder geval. Het default LAN network gebruik ik voor infrastructuur / server / .... En dan een apart "prive" network waarop de PCs, telefoons, ... zitten.

LAN blijft dan dus het management VLAN, i p.v. een nieuw management VLAN, maar dan wel alle overige apparaten in een nieuw VLAN.

stormfly schreef op zaterdag 23 mei 2020 @ 10:40:
Ja dat is een afweging, bedankt voor de toelichting. Ik zou graag tagged een mgmt vlan opzetten. Ik heb een stuk of 8-10 unifi devices en anders moet ik ruim 50 clients omnummeren.Gaat mijn brein niet trekken als ik na 5 jaar home datacenter ineens een andere IP reeks krijg voor de servers.

Voorlopig werkt mijn tagged vlan voor mgmt nog niet lekker. Ik pruts nog even door dit weekend.

https://help.ui.com/hc/en...th-UniFi-Routing-Hardware

Begin by adopting the UniFi wireless device over the native, or untagged, VLAN. This will be the continued requirement. That being said, L3 management is supported, so the UniFi Network Controller can remote. See more about that in the UniFi - Device Adoption Methods for Remote UniFi Controllers article.

As of Controller software version 5.8, access points and switches can be set to tagged VLANs. After the device is adopted over the untagged VLAN, define a tagged management VLAN to use. This is found under the device Properties window (from the Devices page click on the device to reveal the Properties Panel). Select Config (gear icon) > Services > Management VLAN.

xbeam schreef op zaterdag 23 mei 2020 @ 11:48:
[...]


Ik zal het dit weekend voor je testen.
Dus de Flex mini moet vlan6 door geven als management vlan op de Nano HD, volgens mij het Poort profiel instelling. Waar bij je aan moet geven welke vlan je nativ (management) vlan is.

Alleen waarom 5.15.0 (beta) en niet gewoon 4.13 als je problemen hebt?

[Voor 6% gewijzigd door stormfly op 23-05-2020 15:39]

HarmoniousVibe schreef op maandag 25 mei 2020 @ 11:09:
Ik ben aan het kijken om mijn LAN ivm de komende aanleg van glas opnieuw in te richten en een Edgerouter te gebruiken om de Experiabox te vervangen. Nu heb ik het echter niet helemaal helder wat de impact van de keuze van het type Edgerouter zal zijn van een gigabitverbinding die meteen na aansluiten dan wel in de nabije toekomst in gebruik zal worden genomen.

Ik heb uiteraard op de model comparison page gekeken, dus laten we daar beginnen. Wat ik het liefst zou willen is een ER die in beide richtingen simultaan Gigabit kan routeren met een ingebouwde level 2 PoE-switch met minstens 6 poorten. Wat ik heb begrepen is dat de routing throughput dan dus eigenlijk minimaal 2Gb/s zou moeten zijn. Nu zie ik daar throughput staan voor zowel 64 als 1518 byte packets. 1518 is de max MTU voor standaard ethernet, dat is me wel duidelijk. Maar wanneer moet je rekening houden met packets van 64 bytes?

Eveneens hebben veel edgerouters wel meerdere RJ-45, maar zijn deze niet geswitcht. Nu kun je deze poorten soft-bridgen, maar dat gaat ten koste van de performance omdat het via de CPU moet worden gerouteerd. Hoe groot is deze impact? Valt hij dan terug naar de eerdergenoemde maximum throughput voor routing performance? De benchmarks en vragen op het forum van ubnt zelf suggereren dat de impact veel groter is dan dat. Wat is de reden dat je wel die routingcapaciteit hebt met het routeren van bijvoorbeeld eth3 naar eth0 (wan), maar niet van eth3 naar eth2 middels een softbridge?

Wat is in een SoHo-situatie een use-case om toch meer dan 2 poorten (1 WAN, 1 LAN) te gebruiken in een niet gebridgde situatie? Als je je bekabeling zo zou kunnen trekken dat je je VLANs zou kunnen omzetten naar min of meer fysiek gescheiden LANs die dan samen op één poort van de router worden aangesloten?

Prx schreef op zondag 24 mei 2020 @ 00:45:
Afgelopen paar dagen lopen spelen met RADIUS assigned VLAN. Liep tegen het issue aan dat je moet werken met het self-signed certificaat dat aangeboden wordt als je de USG gebruikt als RADIUS server. Ja, dat gaan we dus even niet accepteren.

Heb het nu helemaal werkend. Via mijn Synology NAS heb ik een Let's Encrypt certificaat aangevraagd voor radius.example.com en die wordt dus netjes ververst door de NAS. Een scheduled task duwt dat ding nu periodiek naar de USG 3P toe en daar draaien wat scripts die hem dan installeren en de RADIUS service herstarten.

Heb een volledige write-up op de UI community neergegooid, aangezien ik daar aan het graven was voor inzichten en achtergrondinformatie.

https://community.ui.com/...1d-4abb-98d8-b9f9003e2b09

Ik wil het best hier ook nog wel plaatsen, maar het is een lap tekst van heb ik me jou daar, dus geen idee of jullie daar wel op zitten wachten. Kan hem ook nog in een tweakblog gooien.

Soit, mocht hier iemand nog een opmerking of goed idee hebben over hoe het nog beter kan, let me know!

bandy schreef op zondag 24 mei 2020 @ 10:38:
Heb sinds kort een USG achter mijn Ziggo connectbox (bridge modus) . Als ik het goed begrijp heeft de USG nu de functie van IP adressen uitdelen (WAN1) over genomen (of zou dit moeten doen) Als ik de DHCP functie in de USG aan vink en bevestig, vervolgens het instellingen menu uit ga en vervolgens weer in ga is de DHCP functie weer uitgeschakeld.

Mijn access points (AC-lites) staan alle op DHCP.
Helaas is mijn kennis nog te laag om de static-ip in te vullen, ook kan ik geen volledige informatie hierover vinden( wel wat het doet en betekent, maar niet hoe het in mijn situatie zou moeten zijn)

ComTech schreef op zondag 24 mei 2020 @ 11:32:
Ik heb 1 UniFi AP-AC-Lite en als router nu PfSense maar ik wil daar vanaf.

De USG wordt netjes gezien en heb hem eerst een IP adres gegeven in dezelfde range als mijn thuisnetwerk.
Daar heb ik ook de inform url ingezet van mijn controller.
Hij ziet hem daar ook en gaat hem adopteren maar op een gegeven moment gaat hij gewoon weer terug naar het standaard IP (192.168.1.1) terwijl de USG nog gewoon het ip heeft wat ik veranderd heb,

ComTech schreef op zondag 24 mei 2020 @ 13:05:
Ik heb alleen een 192.168.178/24 netwerk.
De USG gaat elke keer weer terug naar 192.168.1.1 terwijl ik die voor het adopteren alvast een 192.168.178.x ip-adres geef.

Jieve schreef op zondag 24 mei 2020 @ 13:06:
De desktop en de controller zitten beide in het zelfde netwerk.
Ik kan de AP ook zien zodra ik deze aansluit via de netwerkkabel.
De desktop en AP hebben beide een 162.168.5.x IP.
Ik zie hem dus ook in de conrtoller en ook via de discover tool van chrome, alleen adopten en updaten lukt dus niet.
Zou dit te maken kunnen hebben dat er een poort dicht zit op de Drytek bijvoorbeeld?

DforceNL schreef op zondag 24 mei 2020 @ 14:24:
Ik ben sinds kort overgestapt naar apparatuur van Ubiquiti. Heb sinds een week nu een UDM draaien na alle tevredenheid. Op dit moment ben ik bezig op de zolder, met het inrichten van een game/werk ruimte. Ik heb een UTP verbinding naar de zolder. Op zolder heb ik verder geen speciale zaken nodig zoals PoE. Ik heb een max van 3 vaste aansluitingen nodig en natuurlijk wifi dekking.

Wat is nu wijsheid een losse switch plaatsen en hier een AP aan toevoegen of gaan voor de UniFi HD In-Wall.
Ben erg aan het twijfel wat nu de beste keus is.

CyBeRSPiN schreef op zondag 24 mei 2020 @ 18:10:
Ik heb het ook zwaar gehad om die USG goed te krijgen in het standaard Ziggo subnet.

kelly.hipolito schreef op zondag 24 mei 2020 @ 20:27:
Het begint vervelend te worden dat je bij haast elke smartphone, APP, router, OS tegenwoordig langer bezig bent met alle telemetry uitschakelen dan het daadwerkelijke configureren. Maar dat is een andere discussie

rinkel schreef op zondag 24 mei 2020 @ 23:55:
Wat bedoel je met verplaatsen?
De controller? Bij het wijzigen van IPadres begonnen bij mij de problemen. Ik heb het 2x gedaan, 2x een drama. Er zijn hier echter mensen die dit zonder problemen hebben kunnen doen, maar denk er over na.
Er is ook een officiële site export/move methode. Die kwam ik later pas tegen, dus nooit geprobeerd.

[Voor 198% gewijzigd door nero355 op 25-05-2020 19:45]

HellStorm666 schreef op woensdag 27 mei 2020 @ 17:01:
Ik heb nu sinds een tijdje de USG-Pro4 er tussen uit en gebruik OPNsense als router/firewall enz.

Nu heb ik een aantal netwerken:
native = LAN,
vlan5 = Gast
vlan 40, 80, 81, 99 en 200 (andere netwerken oa server, management, enz.)

Netwerken worden uiteraard in OPNsense gedefinieerd en daar wordt ook de DHCP en DNS afgehandeld.

Moet ik in de Unifi controller bij Networks nu overal de VLAN Only gebruiken, of de Corporate?
Wat is, als je geen USG gebruik, eigenlijk het verschil?

rens-br schreef op vrijdag 5 juni 2020 @ 09:25:
Gisteren een nieuwe Unifi Switch binnengekregen en mijn setup opgebouwd met de stappen gevolgd in.

Vervolgens wilde ik ook een seperate VLAN instellen voor mijn gasten (wifi) en heb de stappen gevolgd uitgelegd in het volgende filmpje.

Ik krijg echter vervolgens geen IP-adress uitgedeeld op mijn gasten wifi, weet iemand wat ik nu fout doe? (Ik heb eigenlijk exact hetzelfde probleem als: Hoe? WLAN/VLAN Guest Network op Ubiquiti Unifi setupje.)

rens-br schreef op vrijdag 5 juni 2020 @ 09:25:
Gisteren een nieuwe Unifi Switch binnengekregen en mijn setup opgebouwd met de stappen gevolgd in.

Vervolgens wilde ik ook een seperate VLAN instellen voor mijn gasten (wifi) en heb de stappen gevolgd uitgelegd in het volgende filmpje.

Ik krijg echter vervolgens geen IP-adress uitgedeeld op mijn gasten wifi, weet iemand wat ik nu fout doe? (Ik heb eigenlijk exact hetzelfde probleem als: Hoe? WLAN/VLAN Guest Network op Ubiquiti Unifi setupje.)

Kitser schreef op vrijdag 5 juni 2020 @ 16:31:
M'n Edgerouter X is de laatste weken niet echt betrouwbaar te noemen.
Soms is de webinterface / ssh niet te bereiken. Op dat moment heb ik nog wel gewoon internet.
Ook heb ik soms een paar seconden geen (inter) netverbinding.
Heb al verschillende dingen geprobeerd. Maar ik heb er geen goed gevoel bij.

Dus heb ik besloten om een nieuwe router te kopen om te kijken of het hiermee is opgelost.

Hebben jullie nog argumenten naast wat ik hierboven al genoemd heb om toch voor een Edgerouter Lite te gaan?
Of juist waarom toch een USG?

RobertMe schreef op vrijdag 5 juni 2020 @ 18:01:
Daarnaast vind ik persoonlijk het inregelen van een USW een stuk eenvoudiger dan de WebUI van een el-cheapo TP-Link managed switch, waarvan ik ook nog eens steeds het IP adres vergeet/kwijt raak.

RobertMe schreef op vrijdag 5 juni 2020 @ 18:59:
CLI toegang op UniFi switches heb je natuurlijk al niks aan. Enige aanpassing die je kunt doen die een provision overleeft is een set-inform. Oftewel, CLI is een nice to have om issues te debuggen of evt. een "booboo" te fixen, maar serieus configureren via CLI kan toch al niet.

fyr0 schreef op zaterdag 6 juni 2020 @ 16:58:
Ik wil hem neerzetten op mijn werkkamer en daar als switch gebruiken, maar mijn internet komt binnen in een andere ruimte via Ziggo daar hangt al een AP aan. Ik wil dan de Ziggo router in bridgemodus zetten en als switch gebruikten. Ik heb namelijk niet echt ruimte om de UDM in de gang te hangen..

Poging tot schets:
[Afbeelding]

Is mijn gewenste situatie mogelijk en valt alles dan onder het zelfde netwerk/beheer? Of is het alleen mogelijk via de logische situatie?

RobertMe schreef op zaterdag 6 juni 2020 @ 18:41:
Met alleen deze hardware niet mogelijk.
Als je echter een managed switch plaatst bij het Ziggo modem kan het wel. Zo'n hack is hier ook al eens door @nero355 beschreven.

1. Sluit de kabel van "modem naar UDM" aan op de switch en een LAN poort van de UDM
2. Maak in de controller een VLAN only network aan met id X
3. Stel op zowel de UDM als de switch de poort waarop deze kabel zit voor untagged je gewone VLAN(s) + X
4. Stel op de switch een andere poort in met VLAN X als untagged
5. Sluit deze poort aan op het Ziggo modem
6. Stel een andere poort van de UDM in voor alleen VLAN X (untagged)
7. Sluit deze poort (met een korte kabel) aan op de WAN poort van de UDM

Het is dus vrij complex, maar wel te doen door het internetverkeer over een (tagged) VLAN te laten lopen naar de UDM en vervolgens via een hack met de switch van de UDM het verkeer weer untagged naar de WAN poort te zetten.

nero355 schreef op zondag 24 november 2019 @ 23:06:
De switch die bij je Ziggo Modem staat krijgt zoiets :
- Poort 1 met daarop Native VLAN 1 voor Management verkeer en Tagged VLAN's voor WAN en LAN verkeer.
Laten we die effe VLAN 10 en 20 noemen

- Poort 2 met daarop Native VLAN 10 en niks Tagged waarop de Ziggo Modem is aangesloten.


De ingebouwde Switch van de UDM krijgt zoiets :
- Poort 1 met daarop Native VLAN 1 voor Management verkeer en Tagged VLAN's voor WAN en LAN verkeer.
- Poort 2 met daarop Native VLAN 10 en niks Tagged.

En dan sluit je dus Poort 2 met een hele korte kabel direkt weer aan op de WAN poort van je UDM

Zo heb je 1 kabel en toch gewoon verkeer tussen al je apparaten door heel het huis heen!

Kitser schreef op zaterdag 6 juni 2020 @ 22:08:
Goed, vandaag alles overgezet van m'n Edgerouter X naar de USG.
En ik loop gelijk al aan tegen iets wat niet in de UI zit en wel in de ER X UI.
Ik had een NAT rule die al het DNS verkeer naar m'n Adguard installatie stuurde.
Nat rules zitten blijkbaar niet in de UI van de USG.
Dus dan zou ik wat met json moeten gaan doen. Niet echt ideaal.
Want ik begrijp dat dit bij updates verloren kan gaan. Klopt dat?

Nu twijfel ik wel of ik toch iets anders moet kopen ipv de USG.
Is de Edgerouter Lite dan nog steeds een goede keuze? Ik wil niet meer dan +- 120 euro uitgeven.
De Edgerouter Lite is al best oud nl. En de Edgerouter 4 vind ik nog wel te duur.

Workaholic schreef op zaterdag 6 juni 2020 @ 22:37:
Zien jullie nog specifieke voordelen versus andere WiFi accesspoints in combinatie met pfsense? Zolang ik geen udm en controller heb zit ik mezelf af te vragen of ik niet gewoon beter goede asus access points kan aanschaffen.

Wat denken jullie? Misschien het verkeerde topic maar het hele ecosysteem aanschaffen is mij nu wat kostbaar en misschien wat overbodig ? Of zijn de nano hd of lites echt het extra geld waard?

ardvark99 schreef op zondag 7 juni 2020 @ 01:04:
De USG is idd in maintenance mode, maar in de laatste 2 jaar is mij niet overkomen dat een json na een update niet meer werkte. Zegt misschien ook wel iets over de ontwikkeling van de USG (Pro).

kevertje1977 schreef op zondag 7 juni 2020 @ 07:19:
Ik ben verhuisd en had eerst beiden Unify Pro AP's op 1 8 poorts Unify switch.
Nu heb ik er 2 en draait op elke switch een AP.
Het valt me op dat de System Events zeggen dat ik disconnect en connect als ik van beneden naar boven loop.
FastRoaming staat uit. Iemand enig idee waarom het roamen opeens niet meer werkt ?

Valkyre schreef op maandag 8 juni 2020 @ 09:46:
Als er over de bekende noctua fans word gesproken hebben jullie het dan over deze:
NF-A4x20 FLX 12V

https://tweakers.net/pric...0-flx-40mm/specificaties/

werffje schreef op zondag 7 juni 2020 @ 21:16:
Kleine vraag, in mijn nieuwe huis komt een udm pro met een gen 2 16 poort switch en een paar potjes. Nu heeft mijn isp een glasmodem waar glas in gaat en utp en coax uitkomt. Op zich perfect want de coax gaat via de versterker naar de tv’s, geen kastjes bij de tv’s alleen een smartcard erin en gaan. Echter nu zou ik eigenlijk het glas rechtstreeks in de udm pro willen prikken zodat alles via unifi gaat en niet via een modem van de provider. Is er een oplossing voor het tv/coax gedeelte? Of moet ik toch de modem in bridged modus gebruiken en via wan aansluiten op de udm pro?

Bastiaan schreef op woensdag 10 juni 2020 @ 23:04:
Ik kom vanavond achter iets vreemds... Mijn Samsung-TV staat de hele dag aan. Overdag met het scherm uit voor Spotify, meestal in de avond wordt er geswitcht naar Netflix. Verschillende diensten dus.

Ik zie alleen dat de geüploade en gedownloade data verwisselt lijkt te zijn. Andere devices binnen het netwerk geven het juist weer, maar deze cijfers van dit device lijken me na een paar dagen streamen niet te kloppen. De hoeveelheid data geloof ik wel, maar niet onder de up- of download waaronder het nu staat.

Iemand anders dit ook opgevallen?

[Afbeelding]

HobbeS schreef op donderdag 11 juni 2020 @ 11:43:
Sinds ik m'n non-managed switch heb vervangen voor een USW-16-POE Gen2 werkt mijn Pioneer receiver niet meer via het netwerk. Ik heb geen idee waarom die niet goed (bedraad) een verbinding maakt, hij ontvangt nooit een ip-adres meer.

Misschien in deze receiver oude hardware waardoor er een specifieke instelling in de controller of switch gedaan moet worden?

Maxi.Maal schreef op donderdag 11 juni 2020 @ 11:47:
Ik heb dezelfde switch en mijn Denon X2500H heeft hier totaal geen moeite mee, is natuurlijk wel een ander merk...

HobbeS schreef op donderdag 11 juni 2020 @ 12:10:
Ai, daar was ik me niet bewust van.. Alles draait verder wel in die range maar misschien was dit geen handige keus toen ik het netwerk heb opgebouwd:
[Afbeelding]

Kabel erin en eruit / poort disable/enable / receiver helemaal uit en aan.. Heb ik geprobeerd maar heeft geen verschil gemaakt.

Ferrox1 schreef op donderdag 11 juni 2020 @ 13:23:
Ik heb hier iets vaags op het unfi netwerk (USG PRO, 150w 16p Switch en AC-Lite's), wellicht dat iemand mij hier mee kan helpen om onderzoek te doen.

Ik heb hier homebridge draaien op hetzelfde VLAN (container) op de synology als mijn iPhone. Echter als ik roam tussen AP's werkt de woning app niet. Alles blijft op geen reactie staan. Dit is heel irritant omdat ik voor de dekking beneden 2 ap's heb zitten en tijdens het wandelen graag soms iets wil schakelen. De rest van de WiFi werkt perfect. Als ik terug ga naar de AP waar hij voor het laatst gewerkt heeft pakt hij hem direct. Als ik lang genoeg wacht (geen idee hoe lang, maar lang...) dan werkt hij ineens weer. Nu weet ik dat dit met de bonjour service werkt. mDNS is nodig voor als de bonjour server in een ander VLAN zit, dat is hier (nog) niet het geval. Echter had wel dit geprobeerd, maar dat sloopt volledig de functionaliteit (of ik heb niet lang genoeg gewacht).

Heeft iemand een suggestie waar ik dit in kan zoeken? Ik las ook iets over een mDNS reflector via de CLI instellen, maar ik weet niet of dit direct de oplossing voor mijn probleem. Liever blijf ik weg bij de CLI omdat dit niet persistent is. Maar als het moet, dan wel ..

Kortom, ben even op zoek naar een zoekrichting om dit stabieler te krijgen.

Kitser schreef op maandag 15 juni 2020 @ 20:41:
Ik ben bezig met configureren van een Edgerouter 3 Lite.
Daarop wil ik een Prive LAN, IOT, NOT (Network Of Things zonder Internet Access) en een Gasten netwerk.

Eth1 = Privé LAN
Eth1.20 = NOT
Eth1.30 = IOT
Eth1.40 = Gasten

Alles loopt dus over eth1 naar domme switches. Aan die switches hangen 2 UAP Lite's. Op deze heb ik 4 SSID's gemaakt.

Maar Op m'n IOT netwerk zitten ook Chromecasts en Android TV boxen. Om die te kunnen gebruiken vanaf het Prive LAN moest ik MDNS inschakelen.
Op diverse fora las ik dat dit door deze commands kan:

code:

1 2	set service mdns repeater interface eth1 set service mdns repeater interface eth1.30

Helaas lukte het daarmee nog niet bij mij. Ik heb toen ook een gat in de firewall gemaakt voor port 5353 vanaf de IOT interface richting LOCAL (De Edgerouter zelf) en IN.
Toen werkte het wel.

Zodra ik die mdns service verwijder komt de snelheid weer terug.

LAN = Zonder VLAN (Is dat Untagged?)

Ik had dit ook met mijn Edgerouter X. Ik dacht dat die niet helemaal lekker was en heb daarom deze Lite (2e hands) gekocht.
Maar nu heb ik dus hetzelfde probleem.

Ik heb nog geprobeerd hwnat offloading aan te zetten. Maar dat kan blijkbaar niet met een Edgerouter Lite. Dan krijg ik deze melding:

code:

1	Error: This platform integrates hardware NAT offload into forwarding offload. NAT offload is not individually configurable.

Vervolgens heb ik offload forwarding aangezet met deze commands.

code:

1 2	set system offload ipv4 forwarding enable set system offload ipv6 forwarding enable

Ik moet eerlijk zeggen dat ik niet goed weet wat dat offloaden precies doet. Maar ik las er het eea over. Dus wilde het toch even proberen. Maar helaasch ;-)
Weten jullie wat hier aan de hand is?

PS ik hoop dat ik de log zo goed geformateerd heb. Het is wel erg groot geworden . Als het anders moet /kan, hoor ik het graag :-)

kevertje1977 schreef op maandag 15 juni 2020 @ 17:49:
Thanks, wat adviseer je ? Net even getest op 40mhz en dan valt de helft weg. Heb het nu even op 20mhz gezet en 1 AP fixed op 64 want die was volgens de RF scan lekker rustig.

Kitser schreef op maandag 15 juni 2020 @ 20:41:
Ik ben bezig met configureren van een Edgerouter 3 Lite.
Daarop wil ik een Prive LAN, IOT, NOT (Network Of Things zonder Internet Access) en een Gasten netwerk.

Eth1 = Privé LAN
Eth1.20 = NOT
Eth1.30 = IOT
Eth1.40 = Gasten

Alles loopt dus over eth1 naar domme switches. Aan die switches hangen 2 UAP Lite's. Op deze heb ik 4 SSID's gemaakt.

LAN = Zonder VLAN (Is dat Untagged?)
NOT = VLAN20
IOT = VLAN30
Gasten = VLAN40

Om te beginnen wilde ik het IOT VLAN van het Privé VLAN scheiden dmv firewall rules.
Dat is prima gelukt. Maar Op m'n IOT netwerk zitten ook Chromecasts en Android TV boxen. Om die te kunnen gebruiken vanaf het Prive LAN moest ik MDNS inschakelen.
Op diverse fora las ik dat dit door deze commands kan:

code:

1 2	set service mdns repeater interface eth1 set service mdns repeater interface eth1.30

Helaas lukte het daarmee nog niet bij mij. Ik heb toen ook een gat in de firewall gemaakt voor port 5353 vanaf de IOT interface richting LOCAL (De Edgerouter zelf) en IN.
Toen werkte het wel.

Alleen daarmee heb ik een ander probleem. Van mijn ISP (Telfort koper) krijg ik 100mb/s down en 30 mb/s up.
Na het geven van deze commands

code:

1 2	set service mdns repeater interface eth1 set service mdns repeater interface eth1.30

zakt dat terug naar omgeveer 10mb/s down
Zodra ik die mdns service verwijder komt de snelheid weer terug.

Ik had dit ook met mijn Edgerouter X. Ik dacht dat die niet helemaal lekker was en heb daarom deze Lite (2e hands) gekocht.
Maar nu heb ik dus hetzelfde probleem.

Ik heb nog geprobeerd hwnat offloading aan te zetten. Maar dat kan blijkbaar niet met een Edgerouter Lite. Dan krijg ik deze melding:

code:

1	Error: This platform integrates hardware NAT offload into forwarding offload. NAT offload is not individually configurable.

Vervolgens heb ik offload forwarding aangezet met deze commands.

code:

1 2	set system offload ipv4 forwarding enable set system offload ipv6 forwarding enable

Ik moet eerlijk zeggen dat ik niet goed weet wat dat offloaden precies doet. Maar ik las er het eea over. Dus wilde het toch even proberen. Maar helaasch ;-)
Hierbij ook nog even mijn config. Weten jullie wat hier aan de hand is?

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387

firewall { all-ping enable broadcast-ping disable group { address-group HOME_ASSISTANT_SERVER { address x.x.x.x } network-group ALL_LAN_IP_ADDRESSES { network 192.168.0.0/16 network 172.16.0.0/12 network 10.0.0.0/8 } port-group ESPHOME_PORTS { port 6053 } port-group MDNS_PORTS { port 5353 } } ipv6-name WANv6_IN { default-action drop description "WAN inbound traffic forwarded to LAN" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } ipv6-name WANv6_LOCAL { default-action drop description "WAN inbound traffic to the router" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name IOT_TO_LAN { default-action accept rule 1 { action accept description "Established And Related" log disable protocol all state { established enable related enable } } rule 3 { action drop description "IOT Naar LAN" destination { group { network-group ALL_LAN_IP_ADDRESSES } } log disable protocol all } rule 4 { action accept description MDNS destination { group { port-group MDNS_PORTS } } log disable protocol all } } name IOT_TO_LOCAL { default-action drop rule 1 { action accept description DNS destination { port 53 } log disable protocol tcp_udp } rule 2 { action accept description DHCP destination { port 67 } log disable protocol udp } rule 3 { action accept description "Established And Related" log disable protocol all state { established enable related enable } } rule 4 { action accept description MDNS destination { group { port-group MDNS_PORTS } } log disable protocol all } } name WAN_IN { default-action drop description "WAN to internal" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN to router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address dhcp description Internet duplex auto firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } speed auto } ethernet eth1 { address x.x.x.x/24 description LAN duplex auto speed auto vif 20 { address 192.168.20.254/24 description NOT } vif 30 { address 192.168.30.254/24 description IOT firewall { in { name IOT_TO_LAN } local { name IOT_TO_LOCAL } } } vif 40 { address 192.168.40.254/24 description Gasten } } ethernet eth2 { address x.x.x.x/24 description Managment_Port duplex auto speed auto } loopback lo { } } service { dhcp-server { disabled false hostfile-update disable shared-network-name Gasten { authoritative enable subnet 192.168.40.0/24 { default-router 192.168.40.254 dns-server 192.168.40.254 lease 86400 start 192.168.40.1 { stop 192.168.40.199 } } } shared-network-name IOT { authoritative enable subnet 192.168.30.0/24 { default-router 192.168.30.254 dns-server 192.168.30.254 lease 86400 start 192.168.30.1 { stop 192.168.30.199 } } } shared-network-name LAN { authoritative disable subnet x.x.x.x/24 { default-router x.x.x.x dns-server x.x.x.x lease 86400 start x.x.x.x { stop x.x.x.x } } } shared-network-name NOT { authoritative enable subnet 192.168.20.0/24 { default-router 192.168.20.254 dns-server 192.168.20.254 lease 86400 start 192.168.20.1 { stop 192.168.20.199 } } } static-arp disable use-dnsmasq disable } dns { forwarding { cache-size 150 listen-on eth1 listen-on eth2 listen-on eth1.30 listen-on eth1.40 name-server 8.8.8.8 } } gui { http-port 80 https-port 443 older-ciphers enable } mdns { repeater { interface eth1 interface eth1.30 } } nat { rule 5010 { description "masquerade for WAN" outbound-interface eth0 type masquerade } } ssh { port 22 protocol-version v2 } unms { disable } } system { gateway-address x.x.x.x host-name ubnt login { user Mark { authentication { encrypted-password $5$b4DWsXwVOQXeVWb7$n86lpW2kIu68H3sP/msEOHG11.lJ.bZgC7YTAS1fBR4 } level admin } } name-server 1.1.1.1 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { hwnat disable ipsec enable ipv4 { forwarding enable } ipv6 { forwarding enable } } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone UTC } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v2.0.3.5189348.190502.1344 */

PS ik hoop dat ik de log zo goed geformateerd heb. Het is wel erg groot geworden . Als het anders moet /kan, hoor ik het graag :-)

1

set system offload ipv4 vlan enable

nero355 schreef op dinsdag 16 juni 2020 @ 00:25:
[...]

Laat als het effe kan Eth1 zelf leeg en bouw alles daaronder op met onder andere een Management VLAN

Je domme switches gooien je netwerk vol met Multicast verkeer en daardoor is de boel niet vooruit te branden!

Sowieso vind ik het raar dat je VLAN's i.c.m. Unmanaged Switches gebruikt
Dan heb je ook nog eens kans dat je netwerk volloopt omdat je de boel verzuipt vanuit meerdere VLAN's

stormfly schreef op dinsdag 16 juni 2020 @ 08:05:
[...]


Er is gisteren een best wel near final beta uit gekomen, die zou je nog kunnen testen.


https://community.ui.com/...b7-4d21-8838-618b291e0732

https://help.ui.com/hc/en...outer-Hardware-Offloading In dit plaatje staat dat de ER-X (MediaTek) alles qua hardwareoffload inschakelt met één commando. En ook de overige modellen dus niet.

code:

1	set system offload ipv4 vlan enable

Die zou ik er nog bij zetten, je werkt namelijk met VLAN interfaces. Bij mij blijft het met Telfort (Budget) gewoon 100/30 op een ER-X met 2.0.9beta4. Het kan dus wel net getest met mdns voor je.

Je gasten vlan heeft nog geen firewall en daardoor kunnen je gasten bij alle overige netwerken. De DNS cache size zou ik naar 10000 zetten. Dat helpt je browse ervaring en met CDN netwerken is de TTL zo kort dat hij voor de relevante site toch lookups moet doen.

https://help.ui.com/hc/en...a-Guest-LAN-Firewall-Rule

lowfi schreef op zaterdag 4 juli 2020 @ 14:04:
Mij lukt het niet meer om een unifi device een statisch ip te geven....

Als ik identieke gegevens overneem van bv een AP dan raken de flex mini en AP-AC-mesh disconnected...

3 APs en een switch werken wel met deze settings. DHCP loopt van 10.0.0.10 tot 100 dacht ik.

[Afbeelding]

Why?

Copitano schreef op zaterdag 4 juli 2020 @ 01:41:
All speciaal @Toppe In ben helemaal nieuw met UniFi. Ik heb mij een beetje ingelezen in dit topic. Het is alleen te veel om in een keer alles te overzien, maar ik kom tot dit: [Afbeelding]
Vloeren beton, Ubiquiti UniFi AP-AC-LR zo dicht mogelijk bij het trapgat dat doorloopt van begane grond t/m 4e verdieping. Gaat dit zo werken?

nero355 schreef op zaterdag 4 juli 2020 @ 14:32:
[...]

- Haal 1.1.1.1 eens weg!
- Wat zijn de settings van je andere apparaten ?
- Heb je een apart Management VLAN ?
Ik heb daarvoor de standaard VLAN 1 gebruikt en de standaard 192.168.1.0/24 range.


[...]

grote_oever schreef op zaterdag 4 juli 2020 @ 14:07:
[...]


Moet je even via de telefoon app doen; Lijkt bugje in webinterface en ik heb zelfde probleem gehad. Oplossing met dank aan @Noodels

Of lees ik het verkeerd en kan je IP-adres wel aanpassen, maar werkt het gewoon niet?

[Voor 27% gewijzigd door lowfi op 04-07-2020 14:52]

XoReP schreef op donderdag 9 juli 2020 @ 17:51:
Ik heb een raar probleem met een AC-LR bij een thuisnetwerkje die ik beheer. Af en toe krijg ik de melding dat een Samsung S10+ aanheeft dat er geen internetverbinding is. Telefoon krijgt netjes een IP maar kan niks pingen (zowel interne bedraade en wifi clients en externe IP's).
Rest van apparaten heeft nergens last van. Is alleen te fixen door AP te herstarten.
Laatst was het probleem weer en probeerde ik met mijn S10+ te connecten en mijn telefoon hard precies hetzelfde probleem. Een Samsung A50 met ook Android 10 had geen problemen.

Iemand ook meegemaakt of een idee?

Pepppie schreef op donderdag 9 juli 2020 @ 17:37:
Sowieso nu op zoek naar een zo plat mogelijk (haakse) C13 connector. Iemand hier nog een suggestie voor?

Copitano schreef op woensdag 8 juli 2020 @ 23:58:
Is het verstandig om het (Ziggo) modem al in bridge te laten zetten voor het aansluiten van de USG of kan dat ook nog daarna?

De netwerknamen en WPA-key's van het Ziggo modem en de UniFi controller zijn nu precies gelijk. Zou dat elkaar nog kunnen bijten?

MAdD schreef op donderdag 9 juli 2020 @ 08:43:
Zo... mijn spullenboel is ook binnen (dank voor de toelichting @RobertMe )

[Afbeelding]

Nu eens kijken of de UDM in hetzelfde netwerk segement als mijn ziggo modem kan plaatsen. (192.168.5.0/24) zodat ik daarvanuit mijn management netwerk kan opzetten.
Zodra alles goed draait, kan ik ziggo vragen om mijn modem in bridge te zetten

RobertMe schreef op donderdag 9 juli 2020 @ 10:21:
Ik zie niet wat het probleem is om de UDM initieel achter het Ziggo modem / router te hangen? Enige potentiële issue is ale het Ziggo modem aan de LAN kant 192.168.1.0/24 adressen uitdeelt omdat je dan "conflicterende" subnets hebt. Maar volgens mij deelt een provider modem/router normaliter wat exotischere subnets uit?

Maar dan kun je de UDM dus gewoon achter het Ziggo modem hangen, switch & AP aan de UDM en uiteraard zorgen dat de controller zich ook aan die kant van de UDM bevindt. Als hmje vervolgens klaar bent is het een kwestie van modem in bridge zetten en alles op de juiste plek plaatsen.

Zo heb ik het toentertijd in ieder geval ook gedaan. Gewoon USG + switch + APs op tafel bij elkaar gelegd, en de USG vervolgens naar de (oude) router. Laptop met controller (voor initieel in te regelen, daarna backup op NAS/thuisserver gezet) ook aan de switch achter USG en gaan met die banaan. En dan pas toen ik zeker wist alles "klaar" te hebben de boel op de juiste plek geplaatst.

En voor inregelen heb je natuurlijk ook niet perse internet nodig. Alleen voor firmware upgrades evt.

MAdD schreef op donderdag 9 juli 2020 @ 11:10:
dus je houdt de netwerk range van het modem aan (voorbeeld 192.168.5.0/24) en zet dan de UDM op (range 192.168.1.0/24) en zorgt dat alles dan werkt via UDM. Daarna in bridge mode.

Enige waar ik dan mee zit hoe kan ik ervoor zorgen dat mijn huidige netwerk zichtbaar is via de UDM??

MAdD schreef op donderdag 9 juli 2020 @ 11:14:
klopt, maar ik wil meteen ook mijn pihole (in 192.168.5.0/24) netwerk als DNS gebruiken... oftewel dit moet ik ook opnieuw van IP voorzien ...en mijn hele netwerk opnieuw opbouwen..

dat wordt idd dan een weekend door halen...

rinkel schreef op vrijdag 10 juli 2020 @ 21:06:
Ik zou eerst even alles gelijktrekken, later alles mooi indelen in vlans. Anders moet je nu al de vlans gaan aanmaken en op de poorten (of via AP) configureren.

MAdD schreef op vrijdag 10 juli 2020 @ 19:57:
daar is de eerste 2 dan.. ik heb deze nog niet kunnen vinden.
Mijn LAN netwerk staat op 192.168.1.1 (standaard voor de UDM).
Mijn oude netwerk (met fixed ip's) staat op 192.168.5.1/24 met als gateway 192.168.5.1

Ik heb nu een ip op laptop (rechtstreeks op de UDM) van het LAN netwerk, maar ik kan niet pingen naar het oude netwerk.

code:

1	Reply from 192.168.1.1: Destination host unreachable.

Komt dit door de default gateway van mijn machines? Of zit er nog wat config in de weg?

Daarnaast zie ik op mijn mobiel de UDM niet (wireless netwerken) ik zie ze wel van de AP (maar deze hangt op zolder). Ik had verwacht dat ik de UDM ook zou zien (zit op corona afstand 1,5 meter)... iets wat ik ook vergeten ben te configureren?

nero355 schreef op zaterdag 11 juli 2020 @ 01:12:
[...]

Juist niks gelijktrekken, want dan wordt het een puinhoop!

- Default LAN 192.168.1.0/24 overlaten als Management VLAN.
- Een nieuw VLAN aanmaken en daarin je oude subnet gebruiken dus in dit geval 192.168.5.0/24
- Vervolgens daaraan een WiFi SSID koppelen door de VLAN in te vullen bij de instellingen.
- Alle poorten die in gebruik zijn door een bepaald apparaat dat in dat subnet hoort te zitten het juiste Switch Profile toewijzen.


[...]

Hang de UDM gewoon aan je Ziggo netwerk als NAT achter NAT en dan zou je vanuit 192.168.1.0/24 naar 192.168.5.0/24 moeten kunnen pingen

Op het moment dat je op de UDM een VLAN aanmaakt met dat subnet erin zal dat echter niet meer werken en zal je Ziggo Modem in Bridge Mode moeten staan als je nog een werkende Internet verbinding wilt hebben!


[...]

Dat is wel maf...

Ik ken dat ding verder niet echt, maar zie je hem dan niet als een aparte accesspoint die je kan Provisionen

1. Ziggo modem in bridge mode
2. UDM op default 192.168.1.1
3. Netwerk aangemaakt op VLAN 20 (192.168.20.1/24)

1

Reply from 192.168.1.1: Destination host unreachable.

• Firewall settings?
• netwerk instellingen?
• vlan instellingen?
• iets anders?

Copitano schreef op zaterdag 11 juli 2020 @ 17:14:
[...]

Ben nu alweer een paar uurtjes verder. Van alles geprobeerd:
Switch een harde reset gegeven via het knopje op het apparaat zelf (niet verbonden met de LAN poort van de USG, en daarna harde reset wel verbonden met de USG. Via de instellingen in de controller (apparaat vergeten) hij verdwijnt, maar komt even later weer terug met dezelfde melding. Probeer ik opnieuw te adopteren dan maakt hij een paar rondjes maar er veranderd niets. Via Putty wordt de toegang geweigerd. Aan inloggen kom ik niet eens toe. Ik weet het effe niet meer. Overigens heb ik wel internet via de switch anders zou ik hier nu niet zijn. Ben ff door mijn ideeën heen. Wacht wat ik nog niet geprobeerd heb is los halen van de USG en dan vergeten en daarna opnieuw aansluiten. Wordt vervolgd.

• 192.168.0.0/24 - MGMT vlan
• 192.168.10.0/24 - MAIN vlan 10
• 192.168.20.0/24 - GUEST vlan 20
• 192.168.30.0/24 - CAM vlan 30

[Voor 5% gewijzigd door rinkel op 11-07-2020 19:19]

rinkel schreef op zaterdag 11 juli 2020 @ 18:58:
[...]

Je moet eigenlijk even bedenken hoe je je netwerk wilt vormgeven. Welke netwerken en vlans.
Eerst bedenken wat je management-netwerk gaat worden, al je ubiquiti apparatuur in dat netwerk plaatsen. Je controller krijgt een prominent ipadres. En dan ook dit ipadres en het gehele netwerk niet meer wijzigen.
Wat je later doet met andere apparatuur in je netwerk (dus niet je ubiquiti apparatuur) doet er niet zo heel veel toe, dat kan in eerste instantie ook gewoon in het management-netwerk via dhcp. Dit kun je dan later wijzigen.
Zo heeft deze noob het gedaan.

Ik heb de volgende netwerken

• 192.168.0.0/24 - MGMT vlan
• 192.168.10.0/24 - MAIN vlan 10
• 192.168.20.0/24 - GUEST vlan 20
• 192.168.30.0/24 - CAM vlan 30

Ik had liever MGMT in de 192.168.1.0/24 gehad, maar ik ga dit nu niet meer wijzigen.

Mijn dhcp-reeks begint op alle netwerken op 50, dan kun je nog wat andere apparaten van fixed ip's voorzien.

Ik heb een RaspberryPI met dockers draaien (mooie is dat die ook vlans ondersteunen) waarop de controller draait, naast PiHole en Unbound.

Laagheim schreef op maandag 13 juli 2020 @ 18:37:
@Polyphemus Zal waarschijnlijk een broadcast issue zijn. Kijk ff of je broadcast filtering aan hebt staan (en mdns ook want anders vind je de chromecast niet). Als je de chrome cast bedraad hebt aangesloten je nog port isolation aanzetten op je switch. Meer informatie vind je door te googlen op broadcast unifi.

Dank voor je snelle reactie; het vreemde is, dat als alles in LAN hangt, heb ik geen problemen met casten (mDNS staat aan). Als ik de Unifi's in LAN heb hangen en de Chromecast in een apart IoT-VLAN heb hangen (draadloos of bedraad), met mDNS aan, werkt het ook prima.

Ga ik de Unifi's in een management VLAN zetten, dan kapt het casten er een tijdje mee, ondanks dat het in eerste instantie gewoon werkt. Het maakt dan niet uit of de Chromecast in LAN hangt, of in zijn IoT-VLAN, dan knalt ie er na een drie kwartier uit .

[Voor 5% gewijzigd door Polyphemus op 13-07-2020 19:18]

Tylen schreef op maandag 13 juli 2020 @ 18:57:
Waarom lijkt het je beter om die access points een static ip te geven? Wat is je beweegredenen? Keep it simple en lekker op DHCP houden

nero355 schreef op maandag 13 juli 2020 @ 20:06:
[...]

Raad hem dan op zijn minst aan om Static DHCP Mappings aan te maken op basis van MAC adres voor alle accesspoints

Best wel een beetje raar om tegen zoiets te zijn eerlijk gezegd, want het is gewoon een belangrijk onderdeel in je netwerk en die moet gewoon altijd op hetzelfde IP reageren op het moment dat je erop wilt inloggen!
Het liefst in een apart Management VLAN

• Ik zie overal dat de controller een fixed ip-adres moet hebben. Klinkt logisch. Alleen moet dit echt een fixed ip-adres zijn of mag dit ook via een DHCP reservering?
• Ik zie vaak het advies om een management VLAN in te richten. Begrijp ik het goed dat dit het VLAN is waar al je netwerk/UniFi spul in komt te hangen en dat je daarnaast nog een aantal andere VLANS (bijvoorbeeld LAN/Guest & IoT) daar naast maakt?

Phoolie schreef op donderdag 16 juli 2020 @ 14:54:

• Ik zie vaak het advies om een management VLAN in te richten. Begrijp ik het goed dat dit het VLAN is waar al je netwerk/UniFi spul in komt te hangen en dat je daarnaast nog een aantal andere VLANS (bijvoorbeeld LAN/Guest & IoT) daar naast maakt?

Anoniem: 1299462 schreef op donderdag 16 juli 2020 @ 14:22:
Mogelijke opvolger van de US-16-XG staat in de Early Access.

UniFi Switch Aggregation

[Afbeelding]

[Afbeelding]

[Afbeelding]

Voor een prijs van $269.

Net nu ik mezelf had overgehaald om voor mijn nieuwe appartement geen 10gb te nemen. Nu wil ik alsnog deze en UXG-Pro als ze uit EA zijn.

Zo te zien kloppen de specificaties weer eens niet in de Pricewatch...

Phoolie schreef op donderdag 16 juli 2020 @ 14:54:
Komende week eindelijk tijd om mijn USG, US-8-150W en UAP-AC-LR in mijn netwerk te hangen en configureren. Van te voren wil ik even goed uittekenen hoe ik dit ingeregeld wil hebben. Ik heb daarbij alleen nog 2 vragen.

• Ik zie overal dat de controller een fixed ip-adres moet hebben. Klinkt logisch. Alleen moet dit echt een fixed ip-adres zijn of mag dit ook via een DHCP reservering?
• Ik zie vaak het advies om een management VLAN in te richten. Begrijp ik het goed dat dit het VLAN is waar al je netwerk/UniFi spul in komt te hangen en dat je daarnaast nog een aantal andere VLANS (bijvoorbeeld LAN/Guest & IoT) daar naast maakt?

RudolfR schreef op donderdag 16 juli 2020 @ 14:59:
@Phoolie

Mijn controller krijgt een vast IP adres van mijn router op basis van het MAC-adres.
Op het OS van de controller is niets bijzonders ingesteld.

Alleen mijn wireless netwerk voor gasten zit in een apart VLAN. Meer VLANs brengt (voor mij) complexiteit mee waar ik niet op zit te wachten.

[Voor 28% gewijzigd door nero355 op 16-07-2020 17:54]

nero355 schreef op donderdag 16 juli 2020 @ 17:50:
[...]

Apparaten die een belangrijk onderdeel zijn van je netwerk geef je gewoon een Static IP op het apparaat zelf!

Als alles plat gaat kan je communicatie met je UniFi Controller of een Router/Switch/Accesspoint schudden!

En daar heb je ook gelijk dat Management VLAN voor waar verder niks engs aan is

nero355 schreef op donderdag 16 juli 2020 @ 17:50:


Apparaten die een belangrijk onderdeel zijn van je netwerk geef je gewoon een Static IP op het apparaat zelf!

Als alles plat gaat kan je communicatie met je UniFi Controller of een Router/Switch/Accesspoint schudden!

En daar heb je ook gelijk dat Management VLAN voor waar verder niks engs aan is

What’s New in 6.0?

Introduce Beta Dashboard for UDM.
Implement Real-Time statistics for UDM.
Preview new Beta Settings.
Redesign, simplify and move Site, Controller, Maintenance, Remote Access and Backup configuration to System Settings.
Hide and auto-configure Data Retention for Statistics.
Redesign and move Wi-Fi AI configuration to System Settings page.
Redesign and move RADIUS and Switch Port profiles to Advanced Features page.
Redesign and move Services to Advanced Gateway Settings to Advanced Features page.
Move User Groups to Client Groups on Advanced Features page.
Redesign and move Wireless Networks configuration to Wi-Fi page.
Replace WLAN Groups with new AP Groups feature.
Simplify WiFi creation - WPA2 Security protocol with Password is set by default.
Allow selecting WPA2 Enterprise Security Protocol if at least one Radius profile is enabled.
Change VLAN ID numeric input to Network dropdown.
Integrate Guest Control with Hotspot configuration on Wi-Fi page.
Redesign and move LAN Networks configuration to Networks page.
Add Auto Scale Network feature.
Move VLAN Only Networks to Network Isolation in Advanced Features.
Update Content Filtering categories and move to Network configuration.
Add new Device Isolation (creates guest network if turned on) and Internet Access (blocks WAN access if turned off) toggles.
Redesign and move WAN Networks configuration to Internet page.
Redesign and move DPI configuration to Security page.
Redesign and move Thread Management configuration to Security page.
Introduce AP Groups feature.
AP Groups simplifies the way to configure Wi-Fi and arrange APs in logical groups.
That feature is replacing WLAN Groups and WLAN Overrides. It’s a breaking change and some corner cases may not covered by migration.
Some WLAN Group configurations have been migrated to individual Wi-Fi Network configurations.
Preview Auto Scale Network feature.
That feature automatically adjusts subnet size and DHCP range with avoiding network collision.
Add ability to report incorrect Wi-Fi Experience.
Add Survey for Beta Dashboard and Beta Settings.

Features

Implement Signature Suppression form in New Settings.
Implement Threat Management Whitelist form in New Settings.

Improvements

Ensure that link within toast upon AP adoption leads to new WiFi form.
Improve sorting in WiFi table in New Settings.
Ensure that when creating or editing WiFi networks in New Settings "Combine Name/SSID" option is always enabled.
Move Analytics & Improvements toggle to UniFi OS settings (applicable only for UniFi OS systems).
Add Security settings section to search index in New Settings.
Allow saving L3 switch as router in New Settings.
Simplify firewall group creation in New Settings.
Persist users choices of table sort configurations across New Settings.
Add LAN Subnet IP validation in New Settings.
Add AP Groups to Site Import/Export.
Use uptime from UniFi OS.
Improve Hotspot RADIUS logging.
Add notification that WLAN overrides are not supported anymore.

Bugfixes

Fix saving migrated WiFi configuration in New Settings.
Avoid showing duplicate toast messages.
Disable DnsFilter and IpReputationBlock events by default.
Fix top row height in beta dashboard.
Fix the content rendered on Internet page in LTE failover table.
Update port diagram for UniFi Switch Aggregation.

Instructions

(Recommended) - Create an up-to-date backup before upgrading your controller in the event any issues are encountered.

Existing UniFi Network controllers must be on one of the following versions in order to upgrade directly to this version:

6.0.12 and earlier 6.0.x versions.
5.14.22 and earlier 5.14.x versions.
5.13.33 and earlier 5.13.x versions.
5.12.72 and earlier 5.12.x versions.
5.11.52 and earlier 5.11.x versions.
5.10.27 and earlier 5.10.x versions.
5.9.33 and earlier 5.9.x versions.
5.8.30 and earlier 5.8.x versions.
5.7.28 and earlier 5.7.x versions.
5.6.42 and earlier 5.6.x versions.
Most earlier versions are also supported for direct upgrade, going back to 3.1.0.

Controller updates may cause your adopted devices to reprovision after controller upgrades.
An updated/current version of Java 8 must be installed on the system hosting the controller software. Java 9 and later are not yet supported.
As of UniFi Network controller 5.9, if using Cloud Access, the host system/device requires outbound 8883/tcp to be open/unrestricted. Find up-to-date port requirements here.
Minimum supported device firmware for UAP/USW is 4.0.9, and for USG it's 4.4.34.
If you have any 'service dns forwarding options' configuration defined in config.gateway.json, it will overwrite the provisioning of statically defined name servers, leaving you with no DNS. Either remove the 'service dns forwarding options' portion of config.gateway.json, or add additional 'options' lines defining name servers, such as 'server=1.1.1.1', 'server=8.8.8.8', etc.

[Voor 86% gewijzigd door MadMax12 op 11-08-2020 12:26]

ed1703 schreef op dinsdag 18 augustus 2020 @ 22:14:
[...]

Ja dat kan en de Firewall binnen PFSense. Alleen als je aparte guestnetwerken op eventueel AP's van UI hebt gelden de Guest Policy's binnen Unifi en dan alleen geldig binnen de AP, dus broadcast, multicast-dropping en wireless client isolation (mits dat aan staat natuurlijk, wat je doet in de controller).

JL-IP(!) schreef op woensdag 19 augustus 2020 @ 08:27:
[...]


Ja, we willen naast 3/4 VLAN's die wel/niet met elkaar mogen babbelen een guest wifi. Ik begrijp uit je verhaal dat je die moet regelen via de controller en de rest via de PFSense bak.

Misschien kun je me ook helpen met een vraag over het management VLAN.
Stel ik wil
VLAN1 = management
VLAN20 = wired VLAN voor computers
VLAN30= iot
VLAN40=Guest wifi
VLAN50= Camerasysteem

Kan ik dan VLAN1 gebruiken voor management, zodat de AP's een IP-adres uit dat VLAN krijgen? Maar wel VLAN40 doorgeven? Guest is enkel het wifi gebruik.

caspertje19 schreef op maandag 24 augustus 2020 @ 21:05:
De LR heeft toch ook een ander antenne ontwerp waardoor deze iets gevoeliger is als een Lite ?

geenwindows schreef op woensdag 26 augustus 2020 @ 14:37:
UPNP aangezet? (moet uit)

https://help.ui.com/hc/en...ation-and-Troubleshooting

https://www.reddit.com/r/...opback_hairpin_on_usg_3p/

Do I need to manually configure Hairpin NAT?

No, Hairpin NAT is automatically enabled when configuring the Port Forwarding feature.

LightStar schreef op woensdag 26 augustus 2020 @ 15:10:
Middels is het gelukt om de blauwe ring na voren te toveren (helaas wel een ander os hiervoor moeten gebruiken), server draait nu Proxmox (based on Debian)

als je de "uas-led_0.0.1-4_amd64.deb" uit de orginele iso haalt en deze installeerd dan reageert de led netjes zoals het hoort !

[Afbeelding]

Stubby schreef op woensdag 26 augustus 2020 @ 15:40:
Nu ik mijn server naar een ander VLAN heb verhuisd werkt t opeens.

Lijkt erop dat hairpin nat niet werkt op t default vlan.

GioStyle schreef op maandag 31 augustus 2020 @ 21:31:
Waarom vraag ik me dan af? 5Ghz dendert qua snelheid behoorlijk snel naar beneden door het beperkte bereik. Soms heb ik via 2.4Ghz beter bereik en snelheid dan wanneer ik op 5Ghz zou blijven hangen...

ijske schreef op maandag 31 augustus 2020 @ 18:12:
guys , ik heb een vraag over ubiquiti .. ik moet enkele huizen verder een ip camera gaan ophangen, gaatjes boren, poe switchie hangen... ben ik goed in , not a problem...

maar als hij nou ook ineens een buiten-ap wil, iets a la AP AC MESH
kan hij dan op vlan1 gewoon op zn intern netwerk surfen, en tegelijk MIJN vlan40 repeaten ?
ik besef uiteraard dat me dat flink snelheid kost gezien er geen dedicated antennes zijn voor zoiets

dus dan is ie ap & mesh/repeater tegelijk ... kan die zoiets ?

Mr-D. schreef op maandag 31 augustus 2020 @ 11:22:
en er moet sowieso een antilockout rule opzitten op een poort of netwerkadres
bij opnsense gehad dat ik een regeltje had aangemaakt waardoor ik zelf ook geen toegang meer had
gelukkig kan je daar via ssh een of meerde stapjes terug in de config.

nero355 schreef op dinsdag 1 september 2020 @ 00:41:
[...]

Volgens mij kunnen alle UAP's gewoon accesspoint spelen terwijl Wireless Uplink aanstaat

Verder kan je beter gewoon een gaatje naar buiten toe boren en zonder Wireless Uplink werken IMHO en VLAN 1 gewoon überhaupt niet voor normaal verkeer gebruiken, maar als Management VLAN overlaten

Dan heb je ook dit probleem niet als er wat misgaat :

ijdod schreef op zondag 20 september 2020 @ 10:36:
Probleem is dat de autodeploy *nog steeds* beroerd is geimplementeerd. De devices proberen unifi te resolven... maar gebruikt de met DHCP meegegeven domain name en/of search suffix niet correct. Dus unifi. ,niet unifi.<local domain>. Dat maakt de meest eenvoudige oplossing lastig te implementeren; dat zou gewoon een unifi A record in je DNS zone horen te zijn.

1

192.168.1.2 unifi

nero355 schreef op zondag 20 september 2020 @ 16:15:
[...]

Ik heb gewoon dit staan in mijn "DNS Server" ook wel bekend als Pi-Hole die FTLDNS gebruikt wat weer een fork van DNSmasq is :

code:

1	192.168.1.2 unifi

Dat is het IP van mijn UniFi Controller in VLAN 1 die ik als Management VLAN gebruik dus als de poort waaraan een UniFi apparaat hangt gewoon goed is ingesteld meldt het apparaat zich meteen correct aan bij de controller

Althans... dat doen al mijn "pre-Flex/Mini/Lite apparaten" allen correct, waarbij het laatste voorbeeld de AC Mesh was

[Voor 17% gewijzigd door xbeam op 20-09-2020 18:00]

nero355 schreef op zondag 20 september 2020 @ 16:15:
[...]

Ik heb gewoon dit staan in mijn "DNS Server" ook wel bekend als Pi-Hole die FTLDNS gebruikt wat weer een fork van DNSmasq is :

code:

1	192.168.1.2 unifi

Dat is het IP van mijn UniFi Controller in VLAN 1 die ik als Management VLAN gebruik dus als de poort waaraan een UniFi apparaat hangt gewoon goed is ingesteld meldt het apparaat zich meteen correct aan bij de controller

Althans... dat doen al mijn "pre-Flex/Mini/Lite apparaten" allen correct, waarbij het laatste voorbeeld de AC Mesh was

Valkyre schreef op vrijdag 9 oktober 2020 @ 19:38:
Woensdagavond deed mijn chromecast op de BG het niet, na zoeken en uitsluiten het AP op de BG een reboot gegeven en vervolgens kon ik deze niet meer adopteren.

ergo native vlan is 99 (hier doe ik alleen maar provisioning in)
tagged vlan 10 = LAN
tagged vlan 20 = infra/management
en nog 2 vlans die niet relevant zijn.

nero355 schreef op vrijdag 9 oktober 2020 @ 19:50:
[...]

Volgens mij gaat het daar ergens stuk, want je UAP krijgt het verkeerde IP toegewezen voor zover ik kan zien

De hele UniFi meuk is nogal gehecht aan VLAN 1 als Untagged Management VLAN dus als je dat verandert dan kan je dit soort problemen verwachten denk ik...

Kan je erop komen via SSH en dan de juiste kant op schoppen via het Inform commando

[Voor 21% gewijzigd door Valkyre op 11-10-2020 01:25]

Valkyre schreef op zondag 11 oktober 2020 @ 01:11:
[...]


hmm jah maar das nog steeds vaag waarom mijn anders AP's zonder problemen werken met deze setup.
als ik untagged mijn management vlan aan bied dan gaat dit foutieve UAP gewoon goed, maar ja dan heb ik de andere VLANs niet.

ik kom er gewoon niet achter of het nu misgaat in mijn switch of in het AP.

[Voor 23% gewijzigd door xbeam op 11-10-2020 01:30]

xbeam schreef op zondag 11 oktober 2020 @ 01:26:
[...]


Heb je op de AP zelf wel het juiste management vlan geselecteerd?
[Afbeelding]

[Afbeelding]

[Afbeelding]

Valkyre schreef op zondag 11 oktober 2020 @ 01:29:
[...]


yes zie de screenshots in mijn eerst post, op 3 van de 4 AP's kan ik zonder problemen het juist management VLAN selecteren, icm met een bepaalde switch port profile.
echter op de AC-Pro ben ik dan mijn verbinding kwijt.

[Voor 13% gewijzigd door xbeam op 11-10-2020 01:40]

xbeam schreef op zondag 11 oktober 2020 @ 01:36:
[...]


Dit zijn geen switch poort profielen. Maar taggin van je management vlan in het accespoint zelf.

Je geeft er mee op welke vlan het ap moet luisteren, oftewel de ssh connectie van de controller moet accepteren. Standaart/native is dat vlan1 oftewel de basis verbinding als je verder geen vlans gebruik.

Valkyre schreef op zondag 11 oktober 2020 @ 01:40:
[...]


Dat werkt toch alsvolgt;
Op de switch stel ik dit in:
[Afbeelding]

ergo tagged vlan 20

en als ik dan op het AP dit instel:
[Afbeelding]

dan gaat het mis.

maar theoretisch zou het volgens mij moeten kloppen?