Toon posts:

Printer bereikbaar op gast netwerk op een Edgerouter X SFP

Pagina: 1
Acties:

Vraag

zaterdag 2 januari 2021 14:31

Acties:
  • 0 Henk 'm!
  • WoBoW
  • Registratie: April 2005
  • Laatst online: 09:10

WoBoW

Topicstarter
Afgelopen tijd begon het te kriebelen dat eventuele gasten en IOT apparatuur op mijn netwerk overal bij kunnen komen. Tijd voor een apart gasten netwerk dus.
Ik heb T-Mobile glasvezel, waarbij de vezel direct naar een EdgeRouter X SFP zit. Daaraan hangen 3 Unifi AC-Lite/LR accespoints en de Unifi controller draait in Docker op mijn Synology NAS.

Hierin ben ik niet de enige en er is dus veel informatie te vinden. Ik heb grotendeels de handleiding gevolgd van: https://xdeb.org/post/202...dgerouter-guest-iot-vlan/ en alles nog eens gecheckt met de handleiding van https://www.wemustbegeeks...-and-unifi-access-points/
Alles werkt naar behoren, op het gastnetwerk (VLAN 20) krijg ik een IP uit de 192.168.2.x reeks ipv van de 1.x reeks en de 1.x reeks is niet benaderbaar, het internet is uiteraard beschikbaar.

Helaas krijg ik de printer en de chromecast (beide een vast IP in 1.x reeks) niet bereikbaar vanaf het gastennetwerk ondanks, naar mij inziens, correcte firewall regels. Is er iemand die een idee heeft, ik heb vast iets over het hoofd gezien?

Hieronder enkele screenshots van de instellingen.
Uit het dashboard van de EdgeRouter:
Afbeeldingslocatie: https://tweakers.net/i/otNfYKYZV-AhytaOM0gKyU5m1dY=/800x/filters:strip_exif()/f/image/KvcfiA0XEjosInAiwEDtMFNv.png?f=fotoalbum_large
De routing in de EdgeRouter:
Afbeeldingslocatie: https://tweakers.net/i/zCCvPf1FsHVdMMdRQp5ta2rCacM=/800x/filters:strip_exif()/f/image/OsrnAZWWsfSB5lBsSO40gGsj.png?f=fotoalbum_large
EdgeRouter firewall:
Afbeeldingslocatie: https://tweakers.net/i/epEyvv3RkZGL89qZqB3311S102s=/800x/filters:strip_exif()/f/image/JNXm5PC3wlyM6QlyWrGeeUxy.png?f=fotoalbum_large
EdgeRouter firewall rulesets:
Afbeeldingslocatie: https://tweakers.net/i/ogJGGc_9bUggTDYQiEiwB8pJPHc=/800x/filters:strip_exif()/f/image/08sKXtUBpkDziSzwQM4KYr4p.png?f=fotoalbum_large

Mochten jullie nog meer screenshots of informatie nodig hebben van de Unifi Controller of Accespoints, laat even weten.

Beste antwoord (via WoBoW op 04-01-2021 15:26)

zaterdag 2 januari 2021 16:47

  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 07-10 17:16

Jeroen_ae92

Juist, mdns repeater voor bonjour etc. Verder, je hebt de rules voor de printer en chromecast op de Guest_local ruleset gezet. Dat wordt em niet. Local is in dit geval de router zelf. Die rules gaan dan ook niet gehit worden. Die rules horen op de Guest_in en dan boven de block rule.

U+

Alle reacties

zaterdag 2 januari 2021 15:58

Acties:
  • +1 Henk 'm!
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 06-09 18:10

ChaserBoZ_

Die printer zou redelijk recht toe recht aan moeten werken, je kunt meekijken met het verkeer op één van je vlans als je met ssh inlogt op je Edgerouter.

Voor de Chromecast moet je mdns instellen, zie; https://www.cron.dk/edgerouter-and-chromecast/

[ Voor 49% gewijzigd door ChaserBoZ_ op 02-01-2021 15:59 ]

'Maar het heeft altijd zo gewerkt . . . . . . '

zaterdag 2 januari 2021 16:47

Acties:
  • Beste antwoord
  • +3 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 07-10 17:16

Jeroen_ae92

Juist, mdns repeater voor bonjour etc. Verder, je hebt de rules voor de printer en chromecast op de Guest_local ruleset gezet. Dat wordt em niet. Local is in dit geval de router zelf. Die rules gaan dan ook niet gehit worden. Die rules horen op de Guest_in en dan boven de block rule.

U+

zaterdag 2 januari 2021 19:25

Acties:
  • +1 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 11:24

qwasd

Jeroen_ae92 schreef op zaterdag 2 januari 2021 @ 16:47:
Juist, mdns repeater voor bonjour etc. Verder, je hebt de rules voor de printer en chromecast op de Guest_local ruleset gezet. Dat wordt em niet. Local is in dit geval de router zelf. Die rules gaan dan ook niet gehit worden. Die rules horen op de Guest_in en dan boven de block rule.
Dit inderdaad.
Op GUEST_IN de printer toelaten en via de config tree onder "service - mdns - repeater" de interfaces toevoegen. Vervolgens zou het moeten werken.

En als het om een draadloze printer gaat neem ik aan dat je je netwerken op unifi hebt toegevoegd met vlan only en geen specifieke policies op je SSIDS hebt staan.

[ Voor 15% gewijzigd door qwasd op 02-01-2021 19:29 ]

zondag 3 januari 2021 13:59

Acties:
  • 0 Henk 'm!
  • WoBoW
  • Registratie: April 2005
  • Laatst online: 09:10

WoBoW

Topicstarter
Jeroen_ae92 schreef op zaterdag 2 januari 2021 @ 16:47:
Juist, mdns repeater voor bonjour etc. Verder, je hebt de rules voor de printer en chromecast op de Guest_local ruleset gezet. Dat wordt em niet. Local is in dit geval de router zelf. Die rules gaan dan ook niet gehit worden. Die rules horen op de Guest_in en dan boven de block rule.
Bedankt Jeroeon_ae92! Ik heb de veranderingen doorgevoerd, maar helaas is de printer nog niet bereikbaar. Heb je nog ideëen?

zondag 3 januari 2021 14:10

Acties:
  • 0 Henk 'm!
  • WoBoW
  • Registratie: April 2005
  • Laatst online: 09:10

WoBoW

Topicstarter
ChaserBoZ_ schreef op zaterdag 2 januari 2021 @ 15:58:
Die printer zou redelijk recht toe recht aan moeten werken, je kunt meekijken met het verkeer op één van je vlans als je met ssh inlogt op je Edgerouter.

Voor de Chromecast moet je mdns instellen, zie; https://www.cron.dk/edgerouter-and-chromecast/
Daar ga ik mee aan de slag, bedankt voor het linkje!

zondag 3 januari 2021 18:26

Acties:
  • +1 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 07-10 17:16

Jeroen_ae92

WoBoW schreef op zondag 3 januari 2021 @ 13:59:
[...]

Bedankt Jeroeon_ae92! Ik heb de veranderingen doorgevoerd, maar helaas is de printer nog niet bereikbaar. Heb je nog ideëen?
Heb je die rule boven die block rule geplaatst? Hoe zoek je de printer eigenlijk? Via windows tcp of iets als airprint? Doe anders even de output van de volgende cli commando’s posten:

Configure
Show firewall name GUEST_IN
Show service mdns

U+

maandag 4 januari 2021 06:40

Acties:
  • 0 Henk 'm!
  • WoBoW
  • Registratie: April 2005
  • Laatst online: 09:10

WoBoW

Topicstarter
Jeroen_ae92 schreef op zondag 3 januari 2021 @ 18:26:
[...]


Heb je die rule boven die block rule geplaatst? Hoe zoek je de printer eigenlijk? Via windows tcp of iets als airprint? Doe anders even de output van de volgende cli commando’s posten:

Configure
Show firewall name GUEST_IN
Show service mdns
Bedankt voor het meedenken!
Ik had de rules idd boven de block rule geplaatst (zie hieronder). Om te testen bezoek ik de interne webserver van de printer, dus gewoon tcp-ip op poort 80.

En hierbij de config van firewall GUEST-IN:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

 default-action accept                                                            
 description ""                                                                   
 rule 10 {                                                                        
     action accept                                                                
     description "Allow established/related"                                      
     log disable                                                                  
     protocol all                                                                 
     state {                                                                      
         established enable                                                       
         invalid disable                                                          
         new disable                                                              
         related enable                                                           
     }                                                                            
 }                                                                                
 rule 20 {                                                                        
     action accept                                                                
     description "Allow Printer"                                                  
     destination {                                                                
         address 192.168.1.5                                                      
     }                                                                            
     log disable                                                                  
     protocol all                                                                 
 }                                                                                
 rule 30 {
     action accept
     description "Allow Chromecast"
     destination {
         address 192.168.1.10
     }
     log disable
     protocol all
 }
 rule 40 {
     action drop
     description "Drop invalid"
     log disable
     protocol all
     state {
         established disable
         invalid enable
         new disable
         related disable
     }
 }
 rule 50 {
     action drop
     description "Block local access"
     destination {
         address 192.168.1.1-192.168.2.254
     }
     log disable
     protocol all
 }


En van de mdns repeater:
code:
1
2
3
4

 repeater {                                                                       
     interface switch0.20                                                         
     interface switch0                                                            
 }


En hierbij ook gelijk maar de hele config fle: http://gofile.me/5lKoA/OExY9DcJu

Misschien wel goed om te noemen, dat i.v.m. T-Mobile de WAN poort (eth5) alles over vlan 300 stuurt.

maandag 4 januari 2021 15:13

Acties:
  • +1 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 07-10 17:16

Jeroen_ae92

Ziet er allemaal goed uit. Kun je vanuit je Guest netwerk bijvoorbeeld wel een ping doen naar de printer?

U+

maandag 4 januari 2021 15:26

Acties:
  • 0 Henk 'm!
  • WoBoW
  • Registratie: April 2005
  • Laatst online: 09:10

WoBoW

Topicstarter
Jereoen_ae92, het is ongelofelijk (gisteravond nog wel even een herstart gedaan van de router) en ja hoor, wel nog wat instabiel:
Afbeeldingslocatie: https://tweakers.net/i/OcyDjtOrl0_YIR2V2i6t2KlCa5k=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/HGL7dSRi117ayyKLLk0YnypX.jpg?f=user_large
Maar na nog een paar keer:
Afbeeldingslocatie: https://tweakers.net/i/n7t5kVotQmsRZhQEkwfkeqTjr3U=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/bNDCfMuhsVtMH89wqlJ758v8.jpg?f=user_large
Afbeeldingslocatie: https://tweakers.net/i/RqRdQP7aq_kQSd-RE0QEc_hzpRk=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/i013ovQ8NcOzTqSECN338iLG.jpg?f=user_large
En de web interface van de printer is nu ook gewoon bereikbaar.

Naar mijn Chromecast is het wel gewoon stabiel, dus het moet bij mijn printer liggen.
Afbeeldingslocatie: https://tweakers.net/i/b9IsOHro8SNSy_TMnAfc6X6yftY=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/aWuAE5JMfXDewdnFfkzmfQSW.jpg?f=user_large

De rest van het privé IP range blijft onbereikbaar, precies zoals het hoort.

Hartelijk dank voor alle hulp!

[ Voor 3% gewijzigd door WoBoW op 04-01-2021 15:28 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq