Toon posts:

Hulp nodig: Brocade L3 switch achter ER-12 router

Pagina: 1 2 Laatste
Acties:

Vraag

vrijdag 7 januari 2022 10:22

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Hoi allen,

Enige tijd geleden heb ik een brocade icx 6450 switch aangeschaft met als doel deze te gebruiken als L3 switch.
Dit vanwege de mogelijkheid om 10GE te hebben naar mijn server, mijn Vlan's in stand te houden maar het routeren van mijn ER-12 af te halen, omdat dit voor vertraging zorgt (hardware offloading werkt huidig niet met de EdgeRouter-12, waardoor ik op het routeren tussen Vlans, waaronder dus ook mijn internet verbinding maximaal 700mb/ps haal).

Nu heb ik via ServeTheHome wat hulp gevraagd, maar het wil maar niet lukken . . .

De bedoeling is dat de DHCP's op de ER-12 blijven draaien, en daarmee dus effectief ook de Vlan's daarop te managen zijn.
De Brocade moet dan dus alles intern gaan routeren en alleen naar de ER-12 voor internet/iTV toegang en dhcp verzoeken.

De tip op serve the home was dat ik een statische route maakte op de ER-12 naar een ander subnet dan wat ik gebruik voor mijn vlan's. vlan's zitten allemaal in de 192.168.x.x reeks, dus een statische gateway route aangemaakt waarbij alles bestemd voor 192.168.x.x routeer naar 172.31.255.2/29.

Een statisch ip toegekend aan 1 van de poorten op de Er-12 zijnde 172.31.255.1.
Vlan 2 aangemaakt op de brocade met ip 172.31.255.2 en deze vlan untagged op een poortje gezet.
Vervolgens de ve's aangemaakt op de brocade met een statisch ip en ip helper address 172.31.255.1 en een default route aangemaakt van 0.0.0.0/0 naar 172.31.255.1

Omdat ik niet de rest van het huis zonder internet kan laten, gaan er zowel vanaf de ER12 als de Brocade een lijntje naar mijn Unraid server, totdat alles werkt.

Maar, wat er nu dus gebeurt is dat al het verkeer via de unraid server gerouteerd wordt en niet via de default route zoals ik had verwacht. Wat doe ik nu fout?
spoiler: sh run
sh run
Current configuration:
!
ver 08.0.30uT313
!
stack unit 1
module 1 icx6450-48p-poe-port-management-module
module 2 icx6450-sfp-plus-4port-40g-module
no legacy-inline-power
!
global-stp
!
!
!
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree 802-1w
!
vlan 2 name Default2 by port
untagged ethe 1/2/1
router-interface ve 2
spanning-tree 802-1w
!
vlan 4 name iTV by port
tagged ethe 1/1/48 ethe 1/2/2 to 1/2/4
untagged ethe 1/1/20 ethe 1/1/22
router-interface ve 4
spanning-tree 802-1w
multicast fast-leave-v2
!
vlan 30 name Home by port
tagged ethe 1/1/12 ethe 1/1/48 ethe 1/2/2 to 1/2/4
untagged ethe 1/1/2 ethe 1/1/4 ethe 1/1/6 ethe 1/1/8
router-interface ve 30
spanning-tree 802-1w
multicast active
multicast fast-leave-v2
!
vlan 84 name Security by port
tagged ethe 1/1/12 ethe 1/1/48 ethe 1/2/2 to 1/2/4
untagged ethe 1/1/1 ethe 1/1/3 ethe 1/1/5 ethe 1/1/7 ethe 1/1/9 ethe 1/1/11 ethe 1/1/13 ethe 1/1/15 ethe 1/1/17 ethe 1/1/19 ethe 1/1/21 ethe 1/1/23 ethe 1/1/25 ethe 1/1/27 ethe 1/1/29 ethe 1/1/31 ethe 1/1/33 ethe 1/1/35 ethe 1/1/37 ethe 1/1/39 ethe 1/1/41 ethe 1/1/43 ethe 1/1/45 ethe 1/1/47
router-interface ve 84
spanning-tree 802-1w
multicast fast-leave-v2
multicast version 2
!
vlan 120 name Server by port
tagged ethe 1/1/48 ethe 1/2/2 to 1/2/4
router-interface ve 120
spanning-tree 802-1w
multicast fast-leave-v2
!
!
!
!
!
optical-monitor
aaa authentication web-server default local
aaa authentication login default local
jumbo
enable aaa console
hostname 10g48p
ip dhcp-client disable
ip dns server-address 192.168.2.1
ip route 0.0.0.0/0 172.31.255.1
ip multicast active
ip multicast leave-wait-time 5
ip multicast age-interval 280
!
username root password .....
snmp-server community ..... ro
!
!
clock summer-time
clock timezone gmt GMT+01
!
!
ntp
disable serve
server 216.239.35.0
server 216.239.35.4
!
!
web-management https
web-management frame bottom
web-management page-menu
web-management session-timeout 3600
!
!
!
interface ethernet 1/1/1
inline power
!
interface ethernet 1/1/11
inline power
!
interface ethernet 1/1/12
dual-mode 30
inline power
!
interface ethernet 1/2/1
port-name Uplink ER12
speed-duplex 1000-full-master
!
interface ethernet 1/2/2
port-name Uplink ER12 Vlans
dual-mode
speed-duplex 1000-full-master
!
interface ethernet 1/2/3
dual-mode
!
interface ethernet 1/2/4
dual-mode
!
interface ve 1
ip helper-address 1 172.31.255.1
!
interface ve 2
ip address 172.31.255.2 255.255.255.248
!
interface ve 4
ip address 192.168.4.40 255.255.255.0
ip helper-address 1 172.31.255.1
!
interface ve 30
ip address 192.168.30.40 255.255.255.0
ip helper-address 1 172.31.255.1
!
interface ve 84
ip address 192.168.84.40 255.255.255.0
ip helper-address 1 172.31.255.1
!
interface ve 120
ip address 192.168.120.40 255.255.255.0
ip helper-address 1 172.31.255.1
!
!
!
!
!
!
!
!
!
end

Alle reacties

vrijdag 7 januari 2022 10:50

Acties:
  • 0 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 26-04 19:36

SkorpionNL

Geen direct antwoord op je vraag, maar hardware offloading zou gewoon moeten werken op een ER-12. :?

Zie ook:
https://help.ui.com/hc/en-us/articles/115006567467

vrijdag 7 januari 2022 10:56

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@SkorpionNL klopt, zou in theorie ook moeten werken, ware het niet voor een bug . . .
downloads: Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 1

in de V 1.xxxx firmware werkt het wel, maar daar zit weer een bug in met multicast verkeer, waardoor iTV niet te gebruiken is.

[ Voor 21% gewijzigd door Decarsul op 07-01-2022 10:57 ]

vrijdag 7 januari 2022 12:41

Acties:
  • 0 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 26-04 19:36

SkorpionNL

Hmm, dat is mooi waardeloos. In hotfix 2 nog dezelfde issues wat dat betreft zie ik en geen uitzicht op een nieuwe firmware release. Speelde nog met de gedachte om van mijn X naar een 12 te gaan, maar dat wordt nu 100% een exemplaar met OPNSense.

On topic:
Gezien je zowel van de Brocade als de ER-12 een lijn hebt lopen naar je Unraid, weet je zeker dat je STP instellingen goed zijn en er niet een route geblokkeerd wordt?

vrijdag 7 januari 2022 13:27

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@SkorpionNL zeker weten nee. Heb alleen RSTP aangezet, verder geen routeringen of iets dergelijks ingesteld. Als er een route geblokkeerd is, is dit automatisch gebeurd.

Ik weet echter ook niet hoe ik dat moet checken. Mijn CCNA kennis is . . . 0.5

vrijdag 7 januari 2022 16:01

Acties:
  • 0 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 26-04 19:36

SkorpionNL

Ik heb zelf geen ervaring met Brocade dus de exacte interface of commando’s ken ik niet. Echter zal er vast iets in de interface of logs over te vinden zijn. En anders als het kan tijdelijk een kabel loshalen. Dan kun je dat ook weer uitsluiten.

vrijdag 7 januari 2022 16:04

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14-05 16:15

MasterL

Moderator Internet & Netwerken
Wat ik een beetje mis in jouw verhaal (of ik lees eroverheen) wat is nou de "default gateway" van je clients? Dit zou neem ik aan de Brocade moeten zijn anders "loopt" het verkeer alsnog door je ER-12. de default 0.0.0.0 route is er namelijk wel zo te zien.

vrijdag 7 januari 2022 16:07

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
MasterL schreef op vrijdag 7 januari 2022 @ 16:04:
Wat ik een beetje mis in jouw verhaal (of ik lees eroverheen) wat is nou de "default gateway" van je clients? Dit zou neem ik aan de Brocade moeten zijn anders "loopt" het verkeer alsnog door je ER-12. de default 0.0.0.0 route is er namelijk wel zo te zien.
De default gateway zou inderdaad de brocade moeten zijn. Maar het lijkt erop dat hij de ER-12 pakt. Waardoor er een alternatieve route geprobeerd wordt te vinden. Dus dan wordt de vraag denk ik. Hoe stel ik in dat de brocade de default gateway wordt?

vrijdag 7 januari 2022 16:08

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14-05 16:15

MasterL

Moderator Internet & Netwerken
In je DHCP opties van je ER-12...

vrijdag 7 januari 2022 16:10

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Ik kan daar een reeks invoeren een dns en een router. Het ip wat er nu staat als router gebruik ik om in te loggen op de er-12. Maar dat moet ik dan dus wijzigen naar het ip van de brocade?

Zo ja. Hoe kom ik dan weer bij de er?

vrijdag 7 januari 2022 16:16

Acties:
  • 0 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 26-04 19:36

SkorpionNL

Je kunt in de config tree van de ER-12 een listening interface instellen voor de GUI. Weet de exacte benaming even niet uit mijn hoofd.

[ Voor 4% gewijzigd door SkorpionNL op 07-01-2022 16:16 ]

vrijdag 7 januari 2022 16:16

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Of is het zo dat je een interface een vast op adres geeft. Daarmee het os op de hardware benaderd en dat in mijn geval gewoon gelijk is?

Zoals nu heeft de interface op de er een x.1 adres en daar verwijst de dhcp naar om l3 te routeren. Als ik die vervang voor x.40 gaat hij naar de brocade om te routeren?

vrijdag 7 januari 2022 16:54

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Dus . . Een interface heeft een adres. Een virtueel interface heeft een adres. Beiden kunnen gebruikt worden om de hardware te benaderen.

Omdat vlans virtueel zijn kan een fysieke interface meerdere adressen hebben waarop de hardware te benaderen is. Corresponderend met de dhcp. Als ik dan aangeeft via de dhcp dat interface x moet routeren en die dat kan, zal dat verkeer daar worden afgehandeld.

Volgens mij een eureka momentje aan mijn kant. Even testen lokaal door de default gateway vast te zetten

vrijdag 7 januari 2022 17:32

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Snapt de edge-router dat de dhcp-server requests krijgt voor verschillende subnets uit verschillende vlans? Anders is het misschien makkelijker om per vlan een dhcp-server op de edge-router te bouwen.

vrijdag 7 januari 2022 17:34

Acties:
  • +1 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op vrijdag 7 januari 2022 @ 17:32:
Snapt de edge-router dat de dhcp-server requests krijgt voor verschillende subnets uit verschillende vlans? Anders is het misschien makkelijker om per vlan een dhcp-server op de edge-router te bouwen.
Ja dit snapt ie, omdat elke vlan zijn eigen dhcp al heeft. Dus dat zit snor.
Nu dat ik in de DHCP de router heb gewijzigd naar het ip van de brocade, werkt alles.

@MasterL thanks voor de tip, was echt een eureka moment!

vrijdag 7 januari 2022 17:40

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op vrijdag 7 januari 2022 @ 17:34:
[...]


Ja dit snapt ie, omdat elke vlan zijn eigen dhcp al heeft. Dus dat zit snor.
Nu dat ik in de DHCP de router heb gewijzigd naar het ip van de brocade, werkt alles.

@MasterL thanks voor de tip, was echt een eureka moment!
Dan heb ik nog een vraagje aan jou, werkt IP tv met fast-leave een beetje? Of is het niet 'fast' genoeg en zit je door snel zappen met een overbelastte gigabitpoort?

vrijdag 7 januari 2022 18:16

Acties:
  • +1 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op vrijdag 7 januari 2022 @ 17:40:
[...]

Dan heb ik nog een vraagje aan jou, werkt IP tv met fast-leave een beetje? Of is het niet 'fast' genoeg en zit je door snel zappen met een overbelastte gigabitpoort?
Nee hoor werkt prima. Je moet alleen wel een switch / router hebben die het ondersteund (er-12 dus niet)

vrijdag 7 januari 2022 19:08

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Wat ik zover heb begrepen:

1) ER12 heeft 172.31.255.1 als interface adres
2) ER12 verbonden met de BroL3 switch op een untagged poort met VLAN 2 als ID
3) Je maakt gebruik van SVI's, VLAN 2 heeft 172.31.255.2. SVI's zijn virtuele VLAN interfaces die niet specifiek moeten hangen aan een fysieke interface. In jouw geval noemen ze 'interface ve 40'.
4) Default-route die verwijst naar 172.31.255.1
5) DHCP relay die ook naar 172.31.255.1 verwijst

Zover is dit allemaal goed. Maar je doet wel iets verkeerd en dat is dat je geen trunk/tagged poorten nodig hebt tenzij je een andere switch erbij gooit die ook VLAN aware moet zijn. Je hebt maar 1x switch, dus zou weg blijven van tagged/trunk poorten. Een domme switch toevoegen kan, maar gewoon als untagged VLAN 40 ofzo aan de kant van je L3 switch.

vrijdag 7 januari 2022 19:35

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Faifz schreef op vrijdag 7 januari 2022 @ 19:08:
Wat ik zover heb begrepen:

1) ER12 heeft 172.31.255.1 als interface adres
2) ER12 verbonden met de BroL3 switch op een untagged poort met VLAN 2 als ID
3) Je maakt gebruik van SVI's, VLAN 2 heeft 172.31.255.2. SVI's zijn virtuele VLAN interfaces die niet specifiek moeten hangen aan een fysieke interface. In jouw geval noemen ze 'interface ve 40'.
4) Default-route die verwijst naar 172.31.255.1
5) DHCP relay die ook naar 172.31.255.1 verwijst

Zover is dit allemaal goed. Maar je doet wel iets verkeerd en dat is dat je geen trunk/tagged poorten nodig hebt tenzij je een andere switch erbij gooit die ook VLAN aware moet zijn. Je hebt maar 1x switch, dus zou weg blijven van tagged/trunk poorten. Een domme switch toevoegen kan, maar gewoon als untagged VLAN 40 ofzo aan de kant van je L3 switch.
Klopt. Ik heb trunks omdat er inderdaad nog een tweede 6450 in het netwerk zit. Maar deze fungeert als L2, geen l3 dus leek mij niet van belang om te vermelden.

(2 locaties welke beiden redelijk wat PoE devices hebben. Leuk hè wonen op het platteland?)

zaterdag 8 januari 2022 02:13

Acties:
  • +1 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Decarsul schreef op vrijdag 7 januari 2022 @ 19:35:
[...]

Klopt. Ik heb trunks omdat er inderdaad nog een tweede 6450 in het netwerk zit. Maar deze fungeert als L2, geen l3 dus leek mij niet van belang om te vermelden.

(2 locaties welke beiden redelijk wat PoE devices hebben. Leuk hè wonen op het platteland?)
Dat had geen belang nee. Maar hoe komt dat je Unraid server alles zat te routen ipv de switch? Ik vind dit maar vreemd omdat ik niet verwacht dat Unraid een ingebakken router heeft en laat staan dat het de nodige routes heeft naar VLAN 30 etc. En nu dat ik het hier over static routes heb, je gaat wel static routes op je router moeten toevoegen want je router is niet op de hoogte van VLAN 30 192.168.30.0/24. Dus destination network: 192.168.30.0/24 en next-hop 172.31.255.2 (VLAN 2 SVI adres).

zaterdag 8 januari 2022 09:40

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Faifz schreef op zaterdag 8 januari 2022 @ 02:13:
[...]


Dat had geen belang nee. Maar hoe komt dat je Unraid server alles zat te routen ipv de switch? Ik vind dit maar vreemd omdat ik niet verwacht dat Unraid een ingebakken router heeft en laat staan dat het de nodige routes heeft naar VLAN 30 etc. En nu dat ik het hier over static routes heb, je gaat wel static routes op je router moeten toevoegen want je router is niet op de hoogte van VLAN 30 192.168.30.0/24. Dus destination network: 192.168.30.0/24 en next-hop 172.31.255.2 (VLAN 2 SVI adres).
Klopt helemaal. Die had ik erin gezet maar dan een niveautje hoger. 192.168.0.0/16 met de nexthop.

Gisteren avond de oude link weggehaald en toen kreeg ik een ander raar issue. Mijn download was 10mbps en upload 950mbps. Dus er zit ergens nog iets niet goed. De brocade routeerd op moment wel, maar niet over de goede fysieke interfaces (routeert nu over tagged/untagged interface IPV default route interface) en dan heb ik dus wel 930/930 wat met de er12 850/700 is.

zaterdag 8 januari 2022 10:55

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Post je nieuwe config eens.

zaterdag 8 januari 2022 11:01

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Op de brocade is niks veranderd.
Poort 2/1/1 heeft vlan 2 met op 172....2
Poort 1/1/48 heeft vlan 1,4,30,84,120 tagged.

Poort 2/1/1 is aangesloten op eth10 van er-12 middels dac.
Poort 1/1/48 is aangesloten op eth10 van er-12 middels rj45

Eth0 heeft tagged 1,4,30,84,130
Eth10 heeft niks tagged en alleen ip 172...1

zaterdag 8 januari 2022 11:19

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Waarom ga je weer 'terug' naar die ER met een tagged port? Hangen er nog devices aan eth 1-9 die ook via de vlans moeten lopen?

zaterdag 8 januari 2022 11:26

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
De reden dat dit eraan zit is omdat dit de manier is waarop hij op dit moment werkt. Als ik de configuratie heb voltooid zet ik die route uit om te kijken of mijn configuratie werkt. Zo niet zet ik dat weer aan. Op die manier heeft mijn huishouden het minst last van mijn werkzaamheden.

zaterdag 8 januari 2022 11:44

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Ok, dus stekker er uit (of poort disable) en dan config in de ER wijzigen zodat je effectief de opstelling hebt die @Faifz hier boven beschrijft.

zaterdag 8 januari 2022 13:17

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Hoe bedoel je? Die configuratie heb ik toch al door een statische route in de router te zetten. Maar IPV elk subnet apart dit te doen door 192.168.0.0/16 te configureren met de next hop?

zaterdag 8 januari 2022 14:55

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Eth1/2/1 de poort waar de ER aanhangt is untagged zo te zien. Wat natuurlijk de bedoeling zou zijn als de ER geen sub-interfaces ondersteunt of als je gewoon geen VLAN's wil doen op de router.

zaterdag 8 januari 2022 15:16

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op zaterdag 8 januari 2022 @ 13:17:
Hoe bedoel je? Die configuratie heb ik toch al door een statische route in de router te zetten. Maar IPV elk subnet apart dit te doen door 192.168.0.0/16 te configureren met de next hop?
Yes, als jij 'overdag' alle vlans los aan biedt aan de ER zal je op de ER vast ook in elk vlan een adres hebben geconfigureerd, bijvoorbeeld 192.168.2.1.
Als je nu Eth10(die tagged poort) op disable zet kan er geen verkeer overheen, maar de route zit nog wel in de ER.
Verkeer naar 192.168.2.x kan nu via zowel jouw statische route op 172.31.255.2 als de virtuele interface op de ER. Leuk dat je de poort diasabled, maar als je tijdens het spelen die interfaces op de ER niet uit zet zijn er nog steeds twee wegen naar Rome.

zaterdag 8 januari 2022 15:18

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
De er hangt op dit moment zowel aan poort 1 als 48 (volgens mij zelfs 1 en 2 op moment. Maar praat wat lastiger).

Poort 48 heeft idd alles untagged. Zodat ik zonder routeren de brocade als switch gebruiken kan. Poort 1 moet uiteindelijk de default route worden. 2 gaat zo met 10ge naar mijn werkstation. 3 en 4 naar de andere brocade met 10ge active failover. Dit zijn allemaal sfp+ poorten.

zaterdag 8 januari 2022 15:23

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op zaterdag 8 januari 2022 @ 15:16:
[...]

Yes, als jij 'overdag' alle vlans los aan biedt aan de ER zal je op de ER vast ook in elk vlan een adres hebben geconfigureerd, bijvoorbeeld 192.168.2.1.
Als je nu Eth10(die tagged poort) op disable zet kan er geen verkeer overheen, maar de route zit nog wel in de ER.
Verkeer naar 192.168.2.x kan nu via zowel jouw statische route op 172.31.255.2 als de virtuele interface op de ER. Leuk dat je de poort diasabled, maar als je tijdens het spelen die interfaces op de ER niet uit zet zijn er nog steeds twee wegen naar Rome.
Dus wat je eigenlijk zegt is dat ik de interface op de er uit moet zetten om alles te testen IPV op de brocade?

Dan doen we dat zodra het vrouwtje slaapt :)
Ik kan ook de loop door de server even weghalen. Dan zou het uit zetten op de brocade voldoende moeten zijn toch?

zaterdag 8 januari 2022 15:54

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op zaterdag 8 januari 2022 @ 15:23:
[...]


Dus wat je eigenlijk zegt is dat ik de interface op de er uit moet zetten om alles te testen IPV op de brocade?

Dan doen we dat zodra het vrouwtje slaapt :)
Ik kan ook de loop door de server even weghalen. Dan zou het uit zetten op de brocade voldoende moeten zijn toch?
Doordat het op zowel de ER als switch virtuele interfaces zijn helpt stekkers los trekken niet, 192.168.2.x(en de andere interfaces voor rest van de vlans) blijft actief en daardoor een mogelijke route. Dat die vervolgens toch dood loopt en die static route eigenlijk de betere optie is kost tijd.
Mocht de directie geen SLA met uptime-garantie afgenomen hebben dan kan je prima op zaterdagmiddag lopen knutselen. O-)

Die loop weghalen is sowieso wel handig, welke adressen heeft dat apparaat?

zaterdag 8 januari 2022 16:44

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
De loop zit erin vanwege active backup configuratie. In dit geval dus ook over 2 fysiek verschillende lijnen. 1 direct naar de er, de ander via een switch brocade die naar de router brocade gaat. Dat het verkeer eroverheen gaat vind ik daarom sowieso raar.

De unraid server zelf heeft voor elk vlan een eigen ip. Op de unraid draaien verschillende dockers en vm's. Effectief denk ik dat alles bij elkaar op die machine iets van 30 ips zitten verspreid over de vlans.

zaterdag 8 januari 2022 18:13

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Ik ken unraid niet, maar als daar vm's op draaien heeft het dan geen virtuele switch?
Bij vmware is de fysieke netwerkpoort van een netwerkadapter niet meer dan een poortje op de vSwitch. Voeg je twee netwerkkaarten toe dan heb je gelijk een loop te pakken.

zondag 9 januari 2022 01:07

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong dat zou zo maar kunnen, lijkt mij erg reeel.

Goed . . . ik heb nog even wat kunnen testen nu dat het vrouwtje slaapt.

op de ER heb ik de loop naar de server weggehaald.
op de ER heb ik de link met de brocade L3 weggehaald waarop de Vlan's tagged waren. (fysiek)
op de ER is op dat moment alleen de L3 aangesloten via eth10, waarop alleen handmatig 172.31.255.1/29 is geconfigureerd.
op de ER heb ik de routering aan staan, welke destination 192.168.0.0/16 heeft met als next hop 172.31.255.2.

op de brocade heb ik poort 1/2/1 aangesloten op de ER.
op poort 1/2/1 heb ik ve2 untagged staan
ve2 heeft ip 172.31.255.2
ve1 heeft ip 192.168.2.40
ve4 heeft ip 192.168.4.40
ve30 heeft ip 192.168.30.40
ve84 heeft ip 192.168.84.40
ve120 heeft ip 192.168.120.40
ve1,4,30,84 en 120 hebben ip helper-address 172.31.255.1
PC waar vanaf ik werk, zit aangesloten op 1/1/1 en heeft alleen ve30 untagged staan.

Naar mijn idee zou dit een volledig correcte configuratie moeten zijn. Maar ik krijg geen toegang tot het netwerk of het internet. Ik krijg geen toegang tot de ER, niet via 172.31.255.1 noch via 192.168.30.1.En ook krijg ik geen ip adres automatisch toegewezen vanuit de router.

Ik heb totaal geen problemen, na handmatig toekennen ip adres pc, om op de brocade in te loggen. Zowel Putty als de webinterface zijn te bereiken via 192.168.30.40.

Verder geprobeerd om poort 1/2/1 te taggen met de andere vlans door hier een 'dual' van te maken. Geen resultaat.
DNS in de brocade aangepast van 192.168.2.1 naar 172.31.255.1. Geen resultaat.
(na elke aanpassing een reboot gegeven aan zowel de ER als de brocade)

Ik weet het verder niet meer.

zondag 9 januari 2022 09:29

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Neem aan dat jouw oude configuratie hetzelfde was als onderstaande video. Dat moet er, met uitzondering van de dhcp, allemaal uit.

Zoals ik eerder al aan gaf is alleen de stekker er uit trekken of de interface op de L3 disabelen niet voldoende, de enige optie in de ER naar 192.168.40.x moet via 172.31.255.2 zijn.
Maak even een tweede poortje untagged aan op de L3 in vlan2, dan kan je daar de laptop in steken (met handmatig 172.31.255.200) om de link tussen de apparaten te checken.

Exact deze config heb ik werkend gehad, alleen draaide toen dhcp op de L3.

[ Voor 52% gewijzigd door jadjong op 09-01-2022 09:45 ]

zondag 9 januari 2022 10:44

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Ok. Dus als ik het goed begrijp. Alle vlans onder switch0 moeten weg. Alle tags op de poorten in er moeten weg (dus ook de router ips) dan alleen een 172 handmatig op een eth poort?

zondag 9 januari 2022 12:55

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Goed. Het vrouwtje had een momentje dat ze een boekje wilde lezen, dus even het een en ander getest / gedaan.

Eerst heb ik de dubbele link weggehaald naar de Brocade L3, en de loop richting de server.
Daarna heb ik op de brocade L3 poortje 46 untagged met ve2. Mijzelf een ip gegeven 172.31.255.3.
Daarmee krijg ik toegang tot zowel de ER als de Brocade L3.

Vervolgens heb ik alle de tagging op alle poorten van de ER weggehaald.
De Vlan's verwijderd en het ip adres bij switch0 weggehaald.

Daarmee krijgen we het onderstaande overzicht.

Afbeeldingslocatie: https://tweakers.net/i/_AMMLD0HTYJCVte80GRl189lnYM=/800x/filters:strip_exif()/f/image/FILPhlKSYxukIPyspldDao1M.png?f=fotoalbum_large

Vervolgens de IGMP proxy voor itv aangepast, zodat de downstream naar eth10 gaat ipv naar switch0.4 waar dit voorheen heen ging.

Helaas werkt dit allemaal niet.
iTV krijgt 3 - 4 seconden beeld geeft dan foutcode 400 (iets wat ik al eerder heb meegemaakt en dat ligt aan de igmp proxy. het lijkt dus alsof de brocade L3 niet weet dat de upstream bij Vlan 4 hoort.)
Internet doet het helemaal niet. Met pingen krijg ik een request failure en een foutcode (deze helaas niet opgeslagen)

Als test heb ik de vlan's nog even getagged op de uplink poort aan de brocade L3 zijde. geen effect.

[ Voor 24% gewijzigd door Decarsul op 09-01-2022 12:57 ]

zondag 9 januari 2022 14:33

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Ok, dan is 172.31.255.1 op de ER niet werkend richting internet. Dat kan je gelukkig wel troubleshooten terwijl de directie druk is met Instagram. :P Aangezien eth10 niet in de laptop past zou ik de virtuele interface 172.31.255.1 even verplaatsen naar eth9 of zo en daar de laptop in prikken, vervolgens kijken naar firewall, nat en masquerade.

zondag 9 januari 2022 14:42

Acties:
  • 0 Henk 'm!
  • 3DDude
  • Registratie: November 2005
  • Laatst online: 01:06

3DDude

I void warranty's

Jij moet je routering wel op beiden aanzetten.

Je zegt dat je brocade switch op L3 wilt hebben = Je zult per vlanID een interface aan moeten maken die je via dhcp kan meegeven aan je clients als default gateway.
Verder zal die brocade dan moeten weten > waar hij moet dat kan met statische routes en/of een routeringsprotocol.

op de ER heb je de VLANS ook nodig die je koppelt aan een Trunk
Dat betekend
1) de vlans in de Edgerouter aanmaken
2) wil je internet kan je de NAT groepen maken en zeggen wat is WAN <> wat is het vlan
3) let op dat je een 'switch van 8 poorten (eth0 t/m 7) hebt en je de VLANs niet dubbel kunt aanmaken met ethernet 8, 9 10 en 11 .
4) Wat heb je op de switch config ingesteld nu dan bij de "trunk poort" als PVID en als VID.

PVID is je Native vlan van de trunk uplink

TLDR: Dus vlans taggen, (niet als native) en zorgen dat je native match is stap 1 lijkt me (802.1Q), daarna vlans aanmaken en kijken of je vanuit het vlan zelf het andere ip kan pingen ;)
Daarna kan je aan de slag met een IP Helper / DHCP relay (waarschijnlijk een van je poortjes op de brocade Taggen in het vlan (niet de trunk dus een access poort) en dan testen.

Zie hieronder mijn config voor NAT group:
Afbeeldingslocatie: https://tweakers.net/i/euaHv_gcez_MkArGJB1qig2jYM8=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/qefJwUjUrgCwK5GRKxRJwWIq.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/09GMlmQ64fst0nnuQILkHvyQzgA=/800x/filters:strip_exif()/f/image/hj60QuE9zjPuPCfsceJukzxI.png?f=fotoalbum_large

[ Voor 37% gewijzigd door 3DDude op 09-01-2022 14:50 ]

Be nice, You Assholes :)

zondag 9 januari 2022 15:17

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Het hele idee is juist dat je geen vlans op de ER hebt zodat de L3 alle interne routing tussen de vlans kan verwerken.

De config is in de basis dan ook redelijk simpel.
- ER resetten en single lan wizzard doolopen met 172.31.255.0/29 op de lan kant
- pppoe zooi configureren voor wan
- zodra je internet hebt in het 172.31.255.0 subnet de L3 switch aankoppelen
- Op de switch even een tweede poortje aanmaken met de laptop kijken of je daar nog steeds connectiviteit hebt
- Met die connectiviteit een static route aanmaken op de ER voor 192.168.0.0/16 naar 172.31.255.2
- Laptop verhuizen naar 192.168.40.x vlan (of een andere) en daar met vast IP (let op gateway) connectiviteit testen

Als dat allemaal werkt kan je verder naar DHCP helpers en vervolgens IP-TV.


@Decarsul Met testen suggereerde ik een .200 vast ip op de laptop, dat werkt niet zo lekker bij een /29 subnet. :F

[ Voor 76% gewijzigd door jadjong op 09-01-2022 15:28 ]

zondag 9 januari 2022 17:00

Acties:
  • 0 Henk 'm!
  • 3DDude
  • Registratie: November 2005
  • Laatst online: 01:06

3DDude

I void warranty's

Het zou kunnen werken,
TS wat geef je als Default gateway mee in je DHCP scopes?
Is dat het vlan dat op de brocade is aangemaakt?

[ Voor 73% gewijzigd door 3DDude op 09-01-2022 17:07 ]

Be nice, You Assholes :)

maandag 10 januari 2022 08:04

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong haha nee met een /29 heb je maar 6 bruikbare ip adresen, dus xx.1 t/m xx.6. Had mijzelf ook gewoon .3 gegeven. waarbij .1 en .2 voor ER en L3 zijn.
Ben de rest nog even aan het lezen en kijken of het doordringt. Gisteren geen tijd / mogelijkheid meer gehad om eraan te werken. Helaas gaat het bij het vrouwtje niet om instagram. Maar om haar opleiding medische basis kennis waarvoor ze internet nodig heeft.

p.s. ik heb wat RJ45 SFP's liggen, dus kan in principe gewoon de laptop aansluiten op eth10.

[ Voor 10% gewijzigd door Decarsul op 10-01-2022 08:30 ]

maandag 10 januari 2022 08:28

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong Goed.
filmpje gekeken, nu begrijp ik in ieder geval wat dat deel van de configuratie doet, maar die stond er dus al . . .
Afbeeldingslocatie: https://tweakers.net/i/2mn22eCOIK9d-Iwd8vDBbvEOyik=/800x/filters:strip_exif()/f/image/B320eyf8QLtlKptqVy3ZGt7l.png?f=fotoalbum_large

maandag 10 januari 2022 08:35

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Ik zit nu even te testen in de 'oude' configuratie. waarbij ik dus zowel de tagged vlan interface heb met de L3 als de default route interface.

Wat mij opvalt is, dat als ik een speedtest doe, dat mijn download via de tagged vlan interface gaat, maar mijn upload via de default route interface.
Dus, als ik daar een conclusie uit mag trekken, heb ik dus over de default route geen download en alleen upload. En daarmee dus ook effectief geen internet als ik het om zou zetten.
is dat een statisch routering dingetje?

maandag 10 januari 2022 08:40

Acties:
  • 0 Henk 'm!
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 05:16

donny007

Try the Nether!

Zijn de VLANs alleen ingericht voor administratieve scheiding, of zit er ook nog een security/netwerkisolatie gedachte achter?

Want als straks alle VLANs direct met elkaar kunnen communiceren via de L3 switch, hoe ga je dan de inter-VLAN firewalling inrichten (die nu waarschijnlijk door de Edgerouter wordt afgehandeld)?

/dev/null

maandag 10 januari 2022 08:45

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
donny007 schreef op maandag 10 januari 2022 @ 08:40:
Zijn de VLANs alleen ingericht voor administratieve scheiding, of zit er ook nog een security/netwerkisolatie gedachte achter?

Want als straks alle VLANs direct met elkaar kunnen communiceren via de L3 switch, hoe ga je dan de inter-VLAN firewalling inrichten (die nu waarschijnlijk door de Edgerouter wordt afgehandeld)?
Er zit een security/netwerkisolatie gedachte achter.
Zo is 1 van de Vlan's ingericht voor mijn beveiliging camera's. Deze vlan heeft verder ook geen toegang tot internet. 1 vlan waarachter servers draaien (teamspeak, game servers e.d.) enverder heb ik altijd een test vlan, welke ik sporadisch aanzet, om nieuwe IoT devices op te zetten voordat ik ze in de definitieve omgeving hang.

Zoals ik het begreep wordt het firewall deel nog steeds afgehandeld door de ER, omdat dit geen L3 iets zou zijn?

maandag 10 januari 2022 08:54

Acties:
  • 0 Henk 'm!
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 05:16

donny007

Try the Nether!

Firewalling naar buiten toe wordt nog wel door de Edgerouter gedaan, de firewalling tussen de VLANs onderling haal je weg bij de ER (als je dat ooit hebt ingericht tenminste, want zonder configuratie mag intern alles met alles praten).

/dev/null

maandag 10 januari 2022 08:55

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
donny007 schreef op maandag 10 januari 2022 @ 08:54:
Firewalling naar buiten toe wordt nog wel door de Edgerouter gedaan, de firewalling tussen de VLANs onderling haal je weg bij de ER (als je dat ooit hebt ingericht tenminste, want zonder configuratie mag intern alles met alles praten).
hmmm. is op dit moment niet zo'n issue, maar later mogelijk wel.

// edit // netwerk diagram toegevoegd hoe ik het in gedachten had.
Afbeeldingslocatie: https://tweakers.net/i/IB9gSAXnATpeGjgYfIlhIniwgAw=/800x/filters:strip_exif()/f/image/VyNCawyhOna4hqDdcQyvIWOl.png?f=fotoalbum_large

[ Voor 43% gewijzigd door Decarsul op 10-01-2022 09:29 ]

maandag 10 januari 2022 10:27

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op maandag 10 januari 2022 @ 08:35:
Ik zit nu even te testen in de 'oude' configuratie. waarbij ik dus zowel de tagged vlan interface heb met de L3 als de default route interface.

Wat mij opvalt is, dat als ik een speedtest doe, dat mijn download via de tagged vlan interface gaat, maar mijn upload via de default route interface.
Dus, als ik daar een conclusie uit mag trekken, heb ik dus over de default route geen download en alleen upload. En daarmee dus ook effectief geen internet als ik het om zou zetten.
is dat een statisch routering dingetje?
Dat komt omdat de interfaces behorende bij die tagged vlans hoger in de route-tabel van de ER staan dan jouw handmatig ingevoerde static route. Kan je de route tabel bewerken zodat er niets meer naar die virtuele interfaces van de ER mag gaan?
Huidige config even op slaan en factory default doen zal waarschijnlijk sneller zijn om conflicterende zooi er uit te halen.

maandag 10 januari 2022 10:31

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

donny007 schreef op maandag 10 januari 2022 @ 08:40:
Zijn de VLANs alleen ingericht voor administratieve scheiding, of zit er ook nog een security/netwerkisolatie gedachte achter?

Want als straks alle VLANs direct met elkaar kunnen communiceren via de L3 switch, hoe ga je dan de inter-VLAN firewalling inrichten (die nu waarschijnlijk door de Edgerouter wordt afgehandeld)?
Kan enigszins met ACL's op die switch.

maandag 10 januari 2022 10:53

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op maandag 10 januari 2022 @ 10:27:
[...]

Dat komt omdat de interfaces behorende bij die tagged vlans hoger in de route-tabel van de ER staan dan jouw handmatig ingevoerde static route. Kan je de route tabel bewerken zodat er niets meer naar die virtuele interfaces van de ER mag gaan?
Huidige config even op slaan en factory default doen zal waarschijnlijk sneller zijn om conflicterende zooi er uit te halen.
Nee, helaas kan ik hem niet bewerken behalve de statische route die ik zelf heb toegevoegd.
In de gesloopte variant stonden die routes er overigens niet in.

Ik weet niet hoe ik onderstaande code in kan klappen. helaas
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN IPv6 naar LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            icmpv6 {
                type echo-request
            }
            protocol ipv6-icmp
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN IPv6 naar Router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "Allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name Home {
        default-action drop
        description ""
        enable-default-log
        rule 10 {
            action accept
            description "established / related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 30 {
            action accept
            description "allow other network"
            log disable
            protocol all
            source {
                address 192.168.120.0/24
            }
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 40 {
            action accept
            description netbios
            destination {
                port 137-139
            }
            log disable
            protocol tcp
        }
        rule 50 {
            action accept
            description "allow local network"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name Security {
        default-action drop
        description ""
        enable-default-log
        rule 10 {
            action accept
            description "established / related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "alles binnen netwerk ok"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action accept
            description "home netwerk ok"
            log disable
            protocol all
            source {
                address 192.168.30.0/24
            }
        }
        rule 40 {
            action drop
            description "Block web"
            log enable
            protocol tcp
            source {
                port 80
            }
        }
        rule 50 {
            action drop
            description "Block Secure web"
            log enable
            protocol tcp
            source {
                port 443
            }
        }
    }
    name Server {
        default-action drop
        description ""
        enable-default-log
        rule 10 {
            action accept
            description "established / related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 30 {
            action accept
            description "home2 naar servers"
            log disable
            protocol all
            source {
                address 192.168.2.0/24
            }
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 40 {
            action accept
            description "laat alles vanuit netwerk toe"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN naar LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 20 {
            action accept
            description Astroneer
            destination {
                address 192.168.30.108
                port 8777
            }
            log disable
            protocol tcp_udp
        }
        rule 30 {
            action drop
            description "disable ssdp 1900"
            destination {
                port 1900
            }
            log disable
            protocol udp
        }
        rule 40 {
            action accept
            description "Allow IGMP"
            log disable
            protocol igmp
        }
        rule 50 {
            action drop
            description "drop ping"
            log disable
            protocol icmp
        }
        rule 60 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN naar Router"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            log disable
            protocol udp
            source {
                port 547
            }
        }
        rule 30 {
            action accept
            description "home naar server"
            log disable
            protocol all
            source {
                address 192.168.30.0/24
            }
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description ""
        rule 10 {
            action drop
            description "ssdp 1900"
            destination {
                port 1900
            }
            log disable
            protocol udp
        }
        rule 20 {
            action accept
            description "established / related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
    }
    name iTV {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "established / related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 2 {
            action drop
            description invalid
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description "Uplink Brocade"
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description GamePC1
        duplex auto
        speed auto
    }
    ethernet eth2 {
        duplex auto
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    ethernet eth6 {
        description "Schuur 17"
        duplex auto
        speed auto
    }
    ethernet eth7 {
        description "Schuur 18"
        disable
        duplex auto
        speed auto
    }
    ethernet eth8 {
        duplex auto
        speed auto
    }
    ethernet eth9 {
        duplex auto
        speed auto
    }
    ethernet eth10 {
        address 172.31.255.1/29
        description "Uplink Brocade 2"
        duplex full
        speed 1000
    }
    ethernet eth11 {
        description FTTH
        duplex full
        mtu 1512
        speed 1000
        vif 4 {
            address dhcp
            description "KPN IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;IPTV_RG&quot;;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
        }
        vif 6 {
            description "KPN Internet"
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface switch0 {
                            host-address ::1
                            prefix-id :1
                            service slaac
                        }
                        prefix-length /48
                    }
                    rapid-commit enable
                }
                firewall {
                    in {
                        ipv6-name WANv6_IN
                        name WAN_IN
                    }
                    local {
                        ipv6-name WANv6_LOCAL
                        name WAN_LOCAL
                    }
                    out {
                        name WAN_OUT
                    }
                }
                idle-timeout 180
                ipv6 {
                    address {
                        autoconf
                    }
                    dup-addr-detect-transmits 1
                    enable {
                    }
                }
                mtu 1500
                name-server auto
                password ppp
                user-id XX-XX-XX-XX-XX-XX@internet
            }
        }
    }
    loopback lo {
    }
    switch switch0 {
        description "Thuis netwerk"
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2a02:a47f:e000::53
                name-server 2a02:a47f:e000::54
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    lan-interface eth10
    rule 1 {
        description Teamspeak
        forward-to {
            address 192.168.120.115
        }
        original-port 9987
        protocol udp
    }
    rule 2 {
        description Teamspeak
        forward-to {
            address 192.168.120.115
        }
        original-port 30033,10011,41144
        protocol tcp
    }
    rule 3 {
        description Plex
        forward-to {
            address 192.168.30.2
        }
        original-port 32410,32412,32413
        protocol udp
    }
    rule 4 {
        description Plex
        forward-to {
            address 192.168.30.2
        }
        original-port 3005,32400,32469,8324
        protocol tcp
    }
    rule 5 {
        description Valheim
        forward-to {
            address 192.168.120.51
        }
        original-port 2456-2458
        protocol udp
    }
    rule 6 {
        description Empyrion
        forward-to {
            address 192.168.30.119
        }
        original-port 30000-30004
        protocol tcp_udp
    }
    rule 7 {
        description Raft
        forward-to {
            address 192.168.30.119
        }
        original-port 27015-27030,27036-27037
        protocol tcp
    }
    rule 8 {
        description raft
        forward-to {
            address 192.168.30.119
        }
        original-port 4380,27000-27031,27036
        protocol udp
    }
    rule 9 {
        description spaceengineers
        forward-to {
            address 192.168.120.108
        }
        original-port 26999
        protocol udp
    }
    rule 10 {
        description overdraging
        forward-to {
            address 192.168.120.60
        }
        original-port 57558
        protocol tcp_udp
    }
    rule 11 {
        description Astroneer
        forward-to {
            address 192.168.120.108
        }
        original-port 8777
        protocol tcp_udp
    }
    wan-interface pppoe0
}
protocols {
    igmp-proxy {
        interface eth10 {
            role downstream
            threshold 1
        }
        interface eth11.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
        route 192.168.0.0/16 {
            next-hop 172.31.255.2 {
                description "Forward to Brocade"
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option vendor-class-identifier code 60 = string;"
        global-parameters "option broadcast-address code 28 = ip-address;"
        hostfile-update disable
        shared-network-name Home {
            authoritative disable
            subnet 192.168.30.0/24 {
                default-router 192.168.30.40
                dns-server 192.168.30.200
                dns-server 1.1.1.1
                lease 86400
                start 192.168.30.50 {
                    stop 192.168.30.200
                }
                static-mapping Bigboii {
                    ip-address 192.168.30.10
                    mac-address d0:50:99:db:ac:8b
                }
                static-mapping Server2 {
                    ip-address 192.168.30.11
                    mac-address d0:50:99:db:ac:8c
                }
                static-mapping Spaceengineers {
                    ip-address 192.168.30.108
                    mac-address 52:54:00:5d:20:27
                }
                static-mapping piim {
                    ip-address 192.168.30.164
                    mac-address d0:50:99:f2:89:17
                }
            }
        }
        shared-network-name IPTV {
            authoritative disable
            subnet 192.168.4.0/24 {
                default-router 192.168.4.40
                dns-server 195.121.1.34
                dns-server 195.121.1.66
                lease 86400
                start 192.168.4.100 {
                    stop 192.168.4.200
                }
                static-mapping ITV2 {
                    ip-address 192.168.4.62
                    mac-address 00:02:9b:fc:b3:ad
                }
                static-mapping iTV1 {
                    ip-address 192.168.4.128
                    mac-address 00:02:9b:fc:40:2c
                }
            }
        }
        shared-network-name Security {
            authoritative disable
            subnet 192.168.84.0/24 {
                default-router 192.168.84.40
                dns-server 192.168.30.200
                dns-server 1.1.1.1
                lease 86400
                start 192.168.84.100 {
                    stop 192.168.84.120
                }
                static-mapping 2J05266PAL00462 {
                    ip-address 192.168.84.50
                    mac-address e0:50:8b:04:a5:53
                }
                static-mapping Bigboii {
                    ip-address 192.168.84.114
                    mac-address d0:50:99:db:ac:8b
                }
                static-mapping Camera1 {
                    ip-address 192.168.84.52
                    mac-address ec:71:db:17:e8:5e
                }
                static-mapping Camera2 {
                    ip-address 192.168.84.53
                    mac-address ec:71:db:da:4b:bd
                }
                static-mapping Camera3 {
                    ip-address 192.168.84.54
                    mac-address ec:71:db:c3:2c:86
                }
                static-mapping cam5 {
                    ip-address 192.168.84.56
                    mac-address ec:71:db:13:b3:8c
                }
                static-mapping cam6 {
                    ip-address 192.168.84.57
                    mac-address ec:71:db:71:e8:7c
                }
                static-mapping cam7 {
                    ip-address 192.168.84.58
                    mac-address ec:71:db:0a:7e:d9
                }
                static-mapping camera4 {
                    ip-address 192.168.84.55
                    mac-address ec:71:db:73:f7:5b
                }
                static-mapping cctv_pad_front {
                    ip-address 192.168.84.51
                    mac-address ec:71:db:a0:0e:9b
                }
                static-mapping ubuntu-server {
                    ip-address 192.168.84.113
                    mac-address 52:54:00:25:cc:84
                }
            }
        }
        shared-network-name Server {
            authoritative disable
            subnet 192.168.120.0/24 {
                default-router 192.168.120.40
                dns-server 192.168.30.200
                lease 86400
                start 192.168.120.100 {
                    stop 192.168.120.110
                }
                static-mapping Bigboii {
                    ip-address 192.168.120.51
                    mac-address d0:50:99:db:ac:8b
                }
                static-mapping NAS {
                    ip-address 192.168.120.50
                    mac-address 00:14:fd:16:8d:9c
                }
                static-mapping Server2 {
                    ip-address 192.168.120.52
                    mac-address d0:50:99:db:ac:8c
                }
                static-mapping Spaceengineers {
                    ip-address 192.168.120.108
                    mac-address 52:54:00:5d:20:27
                }
            }
        }
        shared-network-name Thuis {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.40
                dns-server 192.168.30.200
                dns-server 1.1.1.1
                lease 86400
                start 192.168.2.50 {
                    stop 192.168.2.200
                }
                static-mapping LGS308P {
                    ip-address 192.168.2.21
                    mac-address c4:41:1e:b6:33:80
                }
                static-mapping LGS318P {
                    ip-address 192.168.2.20
                    mac-address c4:41:1e:11:2a:08
                }
            }
        }
        shared-network-name temp1 {
            authoritative disable
            disable
            subnet 192.168.1.0/24 {
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.200
                }
            }
        }
        shared-network-name temp2 {
            authoritative disable
            disable
            subnet 192.168.0.0/24 {
                lease 86400
                start 192.168.0.2 {
                    stop 192.168.0.200
                }
            }
        }
        shared-network-name temp3 {
            authoritative disable
            disable
            subnet 192.168.177.0/24 {
                lease 86400
                start 192.168.177.10 {
                    stop 192.168.177.100
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 4000
            listen-on switch0
            listen-on switch0.4
            name-server 195.121.1.34
            name-server 195.121.1.66
            name-server 2a02:a47f:e000::53
            name-server 2a02:a47f:e000::54
            options listen-address=192.168.2.254
            options listen-address=192.168.4.1
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log disable
            outbound-interface eth11.4
            protocol all
            source {
            }
            type masquerade
        }
        rule 5010 {
            description Internet
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    telnet {
        port 23
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    domain-name thuis.local
    host-name Thuis
    ipv6 {
        disable
    }
    login {
        user ra ral {
            authentication {
                encrypted-password ra ra
                plaintext-password ""
            }
            full-name Beheerder
            level admin
        }
    }
    name-server 127.0.0.1
    ntp {
        server 0.nl.pool.ntp.org {
        }
        server 1.nl.pool.ntp.org {
        }
        server time1.google.com {
        }
        server time.google.com {
        }
        server time.kpn.net {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            pppoe enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
        host 192.168.120.51 {
            facility all {
                level warning
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi disable
        export disable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.2.5402463.210511.1317 */

[ Voor 97% gewijzigd door Decarsul op 12-01-2022 13:21 ]

maandag 10 januari 2022 12:06

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op maandag 10 januari 2022 @ 10:53:
[...]


Nee, helaas kan ik hem niet bewerken behalve de statische route die ik zelf heb toegevoegd.
In de gesloopte variant stonden die routes er overigens niet in.
Maar wel allerlei firewall regels voor interfaces die er niet meer zijn. Zeker weten dat deze nu niet 'zo maar wat doen'?

rule 40 {
action drop
description "Block web"
log enable
protocol tcp
source {
port 80

Als die bij gebrek aan een gespecificeerde interface global wordt valt er weinig data naar WAN te verwachten. :+

maandag 10 januari 2022 12:18

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op maandag 10 januari 2022 @ 12:06:
[...]

Maar wel allerlei firewall regels voor interfaces die er niet meer zijn. Zeker weten dat deze nu niet 'zo maar wat doen'?

rule 40 {
action drop
description "Block web"
log enable
protocol tcp
source {
port 80

Als die bij gebrek aan een gespecificeerde interface global wordt valt er weinig data naar WAN te verwachten. :+
Ik zal deze zo inladen zonder die regel ;)

maandag 10 januari 2022 12:27

Acties:
  • +1 Henk 'm!
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 05:16

donny007

Try the Nether!

80% van de firewall regels in de Edgerouter doen nu exact niets. De regels onder "Server", "Security", "Home" en "iTV" worden zo te zien nergens toegepast.

Mijn tip: backup je Edgerouter config en bouw het helemaal opnieuw en schoon op met de Brocade in gedachte.

/dev/null

maandag 10 januari 2022 12:29

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
donny007 schreef op maandag 10 januari 2022 @ 12:27:
80% van de firewall regels in de Edgerouter doen nu exact niets. De regels onder "Server", "Security", "Home" en "iTV" worden zo te zien nergens toegepast.

Mijn tip: backup je Edgerouter config en bouw het helemaal opnieuw en schoon op met de Brocade in gedachte.
Ik begrijp je gedachten, en als ik dat kan zal ik het ook doen.
Op dit moment probeer ik er ook van te leren. Waarom zo wel, waarom zo niet.

Als ik volledig opnieuw start, heb ik het idee dat ik dat niet mee ga krijgen.

maandag 10 januari 2022 13:11

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong goed, heb de configuratie ingeladen, heb de complete firewall rules voor de vlans weggehaald.
Daarna checken we het DHCP gedeelte, die was ook helemaal leeg. Want ja . . de interfaces bestonden niet meer op de switch0. Dus daar kan ik blijkbaar geen DHCP hosten zonder ook de vifs te hebben.

Vervolgens de edgerouter reset, basic setup wizard uitgevoerd. dit werkt ook niet . . .
Daarmee krijg ik al geen dhcp, zelf toegewezen, dan kom ik iig op de ER.

maandag 10 januari 2022 13:14

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op maandag 10 januari 2022 @ 13:11:
@jadjong goed, heb de configuratie ingeladen, heb de complete firewall rules voor de vlans weggehaald.
Daarna checken we het DHCP gedeelte, die was ook helemaal leeg. Want ja . . de interfaces bestonden niet meer op de switch0. Dus daar kan ik blijkbaar geen DHCP hosten zonder ook de vifs te hebben.

Vervolgens de edgerouter reset, basic setup wizard uitgevoerd. dit werkt ook niet . . .
Daarmee krijg ik al geen dhcp, zelf toegewezen, dan kom ik iig op de ER.
Gewoon met enkel de ER aangesloten en je laptop als enige device in ethX :?

maandag 10 januari 2022 13:18

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op maandag 10 januari 2022 @ 13:14:
[...]

Gewoon met enkel de ER aangesloten en je laptop als enige device in ethX :?
Bijna, de brocade zat nog steeds op eth10, en de fiber connectie op eth11.

maandag 10 januari 2022 13:31

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Dus WAN met vlan 4/6 en pppoe op eth11 en je laptop in eth0. Die zou standaard 192.168.1.1 moeten zijn, met die config heb je geen DHCP uit eth0?

maandag 10 januari 2022 13:34

Acties:
  • +1 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Volledig opnieuw begonnen. Werkt nu wel. ..
Internet werkte niet want was even vergeten dat sfps niet slim zijn en je die hard vast moet zetten op 1ge.

Alleen nu weer alles gesloopt omdat ik eth10 een vast op heb gegeven :)

maandag 10 januari 2022 13:50

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong
Goed, schone install. heb internet. Nog geen iTV, komt later wel.
Wat nu?

Afbeeldingslocatie: https://tweakers.net/i/5FXW0nWYjLU9q_8JXbIW_FFT3S4=/800x/filters:strip_exif()/f/image/G9cc6GNLeENtwxpozzO7iObO.png?f=fotoalbum_large

maandag 10 januari 2022 15:31

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Okay, nieuwe update.

Heb het een en ander gedaan. Voornamelijk alles alleen aangesloten op de brocade L3.
En de switch interfaces uitgezet op de EdgeMax, op die van Vlan 30 na.
Vlan 30 gaat download via de Vlan route, upload via de statische route. (switch0.30 staat aan)
Vlan 120 gaat download via de Vlan route, upload via de statische route (switch0.120 staat uit)
Vlan 84 gaat nu via de route die ik wil, de statische route. (switch0.84 staat uit)

Verder getest met Vlan 120. Het rare is, dat er geen route is in de ER. maar het verkeer loop over switch0.30
Switch0.30 uitgezet, nu gaat Vlan120 wel over de brocade uplink.
Alleen switch0 en switch0.4 staan nu nog aan. voornamelijk voor iTV.

Dan het volgende 'probleem'.
Op Vlan 84 haal ik 930/930 bij een speedtest.
Maar op Vlan 30 haal ik 930/730.
Ditzelfde issue had ik toen ik de ER liet routeren . . .
Wat zou een beperkende factor kunnen zijn in deze upload drop?

[ Voor 14% gewijzigd door Decarsul op 10-01-2022 15:33 ]

maandag 10 januari 2022 16:08

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op maandag 10 januari 2022 @ 13:50:
@jadjong
Goed, schone install. heb internet. Nog geen iTV, komt later wel.
Wat nu?

[Afbeelding]
Als het goed is kan je met een laptop op switch0 en een ip van 172.31.255.3 internet/1.1.1.1 bereiken. Als dat lukt steek je in die poort de L3 en verhuis je de laptop naar een vlan daar, bijvoorbeeld 84.
Aldaar kan je met
ip 192.168.84.100
mask 255.255.255.0
gateway 192.168.84.40
ook 1.1.1.1 bereiken.


Als IPTV moeilijk doet zou ik die als enige een interface op de ER geven en tagged aanbieden op de uplink poort. Dan wel de interface in dat vlan op de L3 verwijderen.


Op de vorige pagina staat nog interface ve1 172.31.255.1 in de L3 config, die is er wel uit he?


Afbeeldingslocatie: https://tweakers.net/i/-QL5qYXGvBhlbJT3gCbJb8dnonY=/800x/filters:strip_icc():strip_exif()/f/image/LuD3t7oOUq5hhHxu0Qx14zb1.jpg?f=fotoalbum_large

[ Voor 31% gewijzigd door jadjong op 10-01-2022 16:45 ]

maandag 10 januari 2022 17:09

Acties:
  • +1 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Ok. Dan gaan we daar woensdag wss mee verder. Alle bestuursleden zijn net thuis.

dinsdag 11 januari 2022 08:05

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Hoewel we morgen pas verder kunnen, heb ik een kleine voorbereiding uitgevoerd.
Op de L3 switch heb ik Interface VE2 met 172.31.255.2 nog staan. Deze staat nu untagged op 1/2/1 en 1.1.46.
1/2/1 zal dan naar de ER lopen en 1/1/46 naar de laptop (46 is makkelijk te bereiken omdat de switch bovenin mijn meterkast hangt en de lage kant tegen de muur zit, achter alle reeds geinstalleerde kabels.)

Ter illustratie, de ip adressen van de L3 switch, vanuit de webgui gezien:
Afbeeldingslocatie: https://tweakers.net/i/3zJAgn4uSOmV9_eQk7ettujqstU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/Ezk4VigRNq2Qvk7nO1mEeSo6.png?f=user_large

woensdag 12 januari 2022 09:05

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Goed, het is woensdag. De bestuurdleden zijn offsite aan het werk.
@jadjong ik heb het volgende uitgevoerd, in volgorde.

nieuwe basic wizard doorlopen.
alleen pppoe ingesteld, met standaard 192.168.2.1/24 voor de switch interface.
Vlan 4 aangemaakt op eth11. Dus eth11.6 en eth11.4 aanwezig.
aangekoppeld op switch poort eth1 ER, heb ik internet. Met ip in 192 reeks.
eth10 ingesteld met statisch ip 172.31.255.1 en verbonden met 1/2/1 op L3 switch.
Kan L3 switch bereiken vanuit 192 netwerk.
Laptop aangesloten op 1/1/46, welke geconfigureerd is voor VE met 172 adres op L3 switch.
statisch ip toegewezen 172...4. Kan bij zowel ER als de L3 switch interface komen.
Echter, geen internet.
Statische route ingesteld op ER van 192.168.0.0/16 naar 172.31.255.2, distance 1.
DHCP ingesteld voor vlan 30, 84 en 120.
Save ER-12 stap 1.

laptop aangesloten op 1/1/44. Poort welke vlan 30 untagged heeft.
Laptop / PC krijgt geen DHCP adres.
Handmatig ip gegeven. Kan L3 switch bereiken.
ER niet bereikbaar vanachter L3 op vlan30. niet via .30 adressen noch via 172 adressen.
Default route nog steeds ingesteld op L3 als 0.0.0.0/0 172.31.255.1

Om hier te kunnen posten, laptop weer aangesloten op switch poortje ER.
Nu kan ik ook L3 switch niet bereiken via 192 netwerk.
Statische route op ER uitgezet.

[ Voor 8% gewijzigd door Decarsul op 12-01-2022 09:16 ]

woensdag 12 januari 2022 09:15

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Ok, nu paar minuten later, kan ik vanuit 192 adressen vanuit ER, wel weer de L3 switch bereiken via 172.
Er lijken ook automatisch toegevoegde routeringen weg te zijn uit de ER?

woensdag 12 januari 2022 09:17

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 09:05:
Goed, het is woensdag. De bestuurdleden zijn offsite aan het werk.
@jadjong ik heb het volgende uitgevoerd, in volgorde.

nieuwe basic wizard doorlopen.
alleen pppoe ingesteld, met standaard 192.168.2.1/24 voor de switch interface.
Vlan 4 aangemaakt op eth11. Dus eth11.6 en eth11.4 aanwezig.
aangekoppeld op switch poort eth1 ER, heb ik internet. Met ip in 192 reeks.
eth10 ingesteld met statisch ip 172.31.255.1 en verbonden met 1/2/1 op L3 switch.
Kan L3 switch bereiken vanuit 192 netwerk.
Laptop aangesloten op 1/1/46, welke geconfigureerd is voor VE met 172 adres op L3 switch.
statisch ip toegewezen 172...4. Kan bij zowel ER als de L3 switch interface komen.
Echter, geen internet.
Van Reddit:
"Have you tried adding another Masquerade NAT rule with outbound interface eth0(eth11.4) and a source address group of your LAN? Looks like the LAN IPs aren’t being NAT-ed before going out to the internet, which would be an issue to look into."

woensdag 12 januari 2022 09:21

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op dinsdag 11 januari 2022 @ 08:05:
Hoewel we morgen pas verder kunnen, heb ik een kleine voorbereiding uitgevoerd.
Op de L3 switch heb ik Interface VE2 met 172.31.255.2 nog staan. Deze staat nu untagged op 1/2/1 en 1.1.46.
1/2/1 zal dan naar de ER lopen en 1/1/46 naar de laptop (46 is makkelijk te bereiken omdat de switch bovenin mijn meterkast hangt en de lage kant tegen de muur zit, achter alle reeds geinstalleerde kabels.)

Ter illustratie, de ip adressen van de L3 switch, vanuit de webgui gezien:
[Afbeelding]
Je hebt het steeds over 172.31.255.0/29 maar in dit plaatje staat er een /24

woensdag 12 januari 2022 09:22

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong neen, dat heb ik niet. help?
Wat vul ik dan waar in?

Afbeeldingslocatie: https://tweakers.net/i/HpASc_IhTLdz7njfOBVSogs5pX8=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/8kSmQ0HpcNfLbmop0qjKmnfv.png?f=user_large

woensdag 12 januari 2022 09:23

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op woensdag 12 januari 2022 @ 09:21:
[...]

Je hebt het steeds over 172.31.255.0/29 maar in dit plaatje staat er een /24
Ha, ja klopt. Dat heb ik gelijk aangepast. omdat ik het zelf ook zag :P

Afbeeldingslocatie: https://tweakers.net/i/xHgXH7VoWVOfDDqLqjudrNG_7IU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/fJGdW4d1qIczNIdG3sqKV0Sx.png?f=user_large

[ Voor 26% gewijzigd door Decarsul op 12-01-2022 09:24 ]

woensdag 12 januari 2022 09:27

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 09:22:
@jadjong neen, dat heb ik niet. help?
Wat vul ik dan waar in?

[Afbeelding]
all protocols
source group: iets waar die 172 in zit. :P

https://help.ui.com/hc/en...Source-NAT-and-Masquerade

[ Voor 9% gewijzigd door jadjong op 12-01-2022 09:28 ]

woensdag 12 januari 2022 09:28

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong
Dan ga ik dit proberen.
Afbeeldingslocatie: https://tweakers.net/i/NbCAcCij6O1kzhYNnYySaOmeg-c=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/WAXMTvXxeo2GlUvrF90rgpv5.png?f=user_large

woensdag 12 januari 2022 09:33

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Ondertussen zou je wel weer online moeten zijn. :P

https://support.hallo.eu/...ite-3-IP-subnet-toevoegen

woensdag 12 januari 2022 09:40

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Masq ingesteld. Mezelf aangesloten achter de l3 switch. Geen dhcp. Vast ip ingesteld op V30. Kan l3 switch bereiken. Er niet, geen internet . . .

Even linkje kijken terwijl de schoorsteen brand uit frustratie

woensdag 12 januari 2022 09:41

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Doe het nou eens stap voor stap, zorg eerst dat je 1.1.1.1 kan pingen vanaf de laptop (172.31.255.4) rechtstreeks op de ER of via poort 1/1/46.

woensdag 12 januari 2022 10:01

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong
Ik doe vast iets verkeerd, maar ik probeer echt de stappen 1 voor 1 te volgen die jij aangeeft.

eth2 op ER ingesteld met 172.31.255.3/29
laptop ingesteld 172.31.255.4/29
ER bereikbaar via .3 adres.
pingen naar 1.1.1.1 lukt niet.
ER herstart.
ER niet meer bereikbaar via 172 adres.

woensdag 12 januari 2022 10:10

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 10:01:
@jadjong
Ik doe vast iets verkeerd, maar ik probeer echt de stappen 1 voor 1 te volgen die jij aangeeft.

eth2 op ER ingesteld met 172.31.255.3/29
laptop ingesteld 172.31.255.4/29
ER bereikbaar via .3 adres.
pingen naar 1.1.1.1 lukt niet.
Masquerade had je hier boven gefixeerd op eth10.

woensdag 12 januari 2022 10:12

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op woensdag 12 januari 2022 @ 10:10:
[...]

Masquerade had je hier boven gefixeerd op eth10.
Dus . . .
aansluiten op L3 switch en kijken of ik kan pingen?

woensdag 12 januari 2022 10:15

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 10:12:
[...]


Dus . . .
aansluiten op L3 switch en kijken of ik kan pingen?
En interface 172.31.255.3 van de ER halen, die zit in hetzelfde subnet als 172.31.255.1 en dat is raar voor het ding. Als je rechtstreeks met de laptop op de ER wilt testen moet je twee poorten aan dezelfde virtuele interface knopen met die ingebouwde switch-functie.

[ Voor 19% gewijzigd door jadjong op 12-01-2022 10:17 ]

woensdag 12 januari 2022 10:21

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong
Ok.
Laptop aangesloten op 1/1/46
Handmatig ip op laptop .4
L3 bereikbaar op .2
Er bereikbaar op .1
.3 van eth2 afgehaald.
Ping 1.1.1.1 transmit failed. General failure

woensdag 12 januari 2022 10:35

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 10:21:
@jadjong
Ok.
Laptop aangesloten op 1/1/46
Handmatig ip op laptop .4
L3 bereikbaar op .2
Er bereikbaar op .1
.3 van eth2 afgehaald.
Volgens sommige tutorials moet je hier tussen nog een herstart doen, verder weet ik het ook niet meer waarom sub-interfaces met 192.168.x.x vroeger wel werkten en 172.31.255 nu niet. :? :/
Ping 1.1.1.1 transmit failed. General failure

woensdag 12 januari 2022 10:36

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
jadjong schreef op woensdag 12 januari 2022 @ 10:35:
[...]

Volgens sommige tutorials moet je hier tussen nog een herstart doen, verder weet ik het ook niet meer waarom sub-interfaces met 192.168.x.x vroeger wel werkten en 172.31.255 nu niet. :? :/

[...]
hmmmpff.
Heb de herstart tussendoor ook uitgevoerd. maakt geen verschil :(

woensdag 12 januari 2022 10:43

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Misschien dat @Faifz nog een heldere ingeving heeft, had niet gedacht dat een simpel subnet toevoegen zoveel problemen geeft.
Of de edgerouter heeft problemen met alles anders dan /24 of /16 subnetten, maar dat lijkt mij heel ver gezocht.

woensdag 12 januari 2022 10:44

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@jadjong ok dank tot dusver. ik hou hoop!
voor nu weer even alles terug gebracht naar 'oude' situatie, zodat rest van het netwerk weer online is :D

[ Voor 55% gewijzigd door Decarsul op 12-01-2022 10:45 ]

woensdag 12 januari 2022 10:51

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Decarsul schreef op woensdag 12 januari 2022 @ 10:44:
@jadjong ok dank tot dusver. ik hou hoop!
voor nu weer even alles terug gebracht naar 'oude' situatie, zodat rest van het netwerk weer online is :D
Ik heb zo een vermoeden dat je NAT regel niet juist ingesteld staat. Tag je me later en kan je me een overzicht geven wat je nu allemaal hebt?

woensdag 12 januari 2022 11:02

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@Faifz ik hoop dat je hier genoeg aan hebt.

run van L3 switch:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226

sh run
Current configuration:
!
ver 08.0.30uT313
!
stack unit 1
  module 1 icx6450-48p-poe-port-management-module
  module 2 icx6450-sfp-plus-4port-40g-module
  no legacy-inline-power
!
global-stp
!
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 1
 spanning-tree 802-1w
!
vlan 2 name Default2 by port
 untagged ethe 1/1/46 ethe 1/2/1
 router-interface ve 2
 spanning-tree 802-1w
!
vlan 4 name iTV by port
 tagged ethe 1/1/48 ethe 1/2/2 to 1/2/4
 untagged ethe 1/1/20 ethe 1/1/22
 router-interface ve 4
 spanning-tree 802-1w
 multicast fast-leave-v2
!
vlan 30 name Home by port
 tagged ethe 1/1/12 ethe 1/1/48 ethe 1/2/2 to 1/2/4
 untagged ethe 1/1/2 ethe 1/1/4 ethe 1/1/6 ethe 1/1/8 ethe 1/1/44
 router-interface ve 30
 spanning-tree 802-1w
 multicast active
 multicast fast-leave-v2
!
vlan 84 name Security by port
 tagged ethe 1/1/12 ethe 1/1/48 ethe 1/2/2 to 1/2/4
 untagged ethe 1/1/1 ethe 1/1/3 ethe 1/1/5 ethe 1/1/7 ethe 1/1/9 ethe 1/1/11 ethe 1/1/13 ethe 1/1/15 ethe 1/1/17 ethe 1/1/19 ethe 1/1/21 ethe 1/1/23 ethe 1/1/25 ethe 1/1/27 ethe 1/1/29 ethe 1/1/31 ethe 1/1/33 ethe 1/1/35 ethe 1/1/37 ethe 1/1/39 ethe 1/1/41 ethe 1/1/43 ethe 1/1/45 ethe 1/1/47
 router-interface ve 84
 spanning-tree 802-1w
 multicast fast-leave-v2
 multicast version 2
!
vlan 120 name Server by port
 tagged ethe 1/1/48 ethe 1/2/2 to 1/2/4
 router-interface ve 120
 spanning-tree 802-1w
 multicast fast-leave-v2
!
!
!
!
!
optical-monitor
aaa authentication web-server default local
aaa authentication login default local
jumbo
enable aaa console
hostname 10g48p
ip dhcp-client disable
ip dns server-address 192.168.30.200 1.1.1.1
ip route 0.0.0.0/0 172.31.255.1
ip multicast active
ip multicast leave-wait-time 5
ip multicast age-interval 280
!
username root password .....
snmp-server community ..... ro
!
!
clock summer-time
clock timezone gmt GMT+01
!
!
ntp
 disable serve
 server 216.239.35.0
 server 216.239.35.4
!
!
web-management https
web-management frame bottom
web-management page-menu
web-management session-timeout 3600
!
!
!
interface ethernet 1/1/1
 inline power
!
interface ethernet 1/1/2
 inline power power-limit 1000
!
interface ethernet 1/1/3
 inline power
!
interface ethernet 1/1/4
 inline power
!
interface ethernet 1/1/5
 inline power
!
interface ethernet 1/1/6
 inline power
!
interface ethernet 1/1/7
 inline power
!
interface ethernet 1/1/8
 inline power
!
interface ethernet 1/1/9
 inline power
!
interface ethernet 1/1/11
 inline power
!
interface ethernet 1/1/12
 dual-mode  30
 inline power
!
interface ethernet 1/1/13
 inline power
!
interface ethernet 1/1/15
 inline power
!
interface ethernet 1/1/17
 inline power
!
interface ethernet 1/1/19
 inline power
!
interface ethernet 1/1/21
 inline power
!
interface ethernet 1/1/23
 inline power
!
interface ethernet 1/1/25
 inline power
!
interface ethernet 1/1/27
 inline power
!
interface ethernet 1/1/29
 inline power
!
interface ethernet 1/1/31
 inline power
!
interface ethernet 1/1/33
 inline power
!
interface ethernet 1/1/35
 inline power
!
interface ethernet 1/1/37
 inline power
!
interface ethernet 1/1/39
 inline power
!
interface ethernet 1/1/41
 inline power
!
interface ethernet 1/1/43
 inline power
!
interface ethernet 1/1/45
 inline power
!
interface ethernet 1/1/48
 dual-mode
!
interface ethernet 1/2/1
 port-name Uplink ER12
 speed-duplex 1000-full-master
!
interface ethernet 1/2/2
 port-name Uplink ER12 Vlans
 dual-mode
 speed-duplex 1000-full-master
!
interface ethernet 1/2/3
 dual-mode
!
interface ethernet 1/2/4
 dual-mode  30
 speed-duplex 1000-full-master
!
interface ve 1
 ip address 192.168.2.40 255.255.255.0
 ip helper-address 1 172.31.255.1
!
interface ve 2
 ip address 172.31.255.2 255.255.255.248
!
interface ve 4
 ip address 192.168.4.40 255.255.255.0
 ip helper-address 1 172.31.255.1
!
interface ve 30
 ip address 192.168.30.40 255.255.255.0
 ip helper-address 1 172.31.255.1
!
interface ve 84
 ip address 192.168.84.40 255.255.255.0
 ip helper-address 1 172.31.255.1
!
interface ve 120
 ip address 192.168.120.40 255.255.255.0
 ip helper-address 1 172.31.255.1
!
!
!
!
!
!
!
!
!
end
boot config van ER tot zover dat jadjong mij heeft geholpen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    options {
        mss-clamp {
            mss 1412
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth5 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth6 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth7 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth8 {
        address 192.168.1.1/24
        description Local2
        duplex auto
        speed auto
    }
    ethernet eth9 {
        duplex auto
        speed auto
    }
    ethernet eth10 {
        address 172.31.255.1/29
        duplex auto
        speed auto
    }
    ethernet eth11 {
        duplex full
        mtu 1512
        speed 1000
        vif 4 {
            description iTV
            mtu 1500
        }
        vif 6 {
            description "Internet (PPPoE)"
            mtu 1510
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        ipv6-name WANv6_IN
                        name WAN_IN
                    }
                    local {
                        ipv6-name WANv6_LOCAL
                        name WAN_LOCAL
                    }
                }
                mtu 1500
                name-server auto
                password internet
                user-id internet
            }
        }
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.2.1/24
        description Local
        mtu 1500
        switch-port {
            interface eth0 {
            }
            interface eth1 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            interface eth5 {
            }
            interface eth6 {
            }
            interface eth7 {
            }
            vlan-aware disable
        }
    }
}
protocols {
    static {
        route 192.168.30.0/24 {
            next-hop 172.31.255.2 {
                description "Home naar router"
                distance 1
            }
        }
        route 192.168.84.0/24 {
            next-hop 172.31.255.2 {
                description "Security naar router"
                distance 1
            }
        }
        route 192.168.120.0/24 {
            next-hop 172.31.255.2 {
                description "Server naar router"
                distance 1
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name Home {
            authoritative disable
            subnet 192.168.30.0/24 {
                default-router 192.168.30.40
                dns-server 1.1.1.1
                lease 86400
                start 192.168.30.100 {
                    stop 192.168.30.200
                }
            }
        }
        shared-network-name LAN1 {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.38 {
                    stop 192.168.1.243
                }
            }
        }
        shared-network-name LAN2 {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.38 {
                    stop 192.168.2.243
                }
            }
        }
        shared-network-name Security {
            authoritative disable
            subnet 192.168.84.0/24 {
                default-router 192.168.84.40
                dns-server 1.1.1.1
                lease 86400
                start 192.168.84.50 {
                    stop 192.168.84.100
                }
            }
        }
        shared-network-name Server {
            authoritative disable
            subnet 192.168.120.0/24 {
                default-router 192.168.120.40
                dns-server 1.1.1.1
                lease 86400
                start 192.168.120.100 {
                    stop 192.168.120.120
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 10000
            force-public-dns-boost
            listen-on eth8
            listen-on switch0
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface pppoe0
            type masquerade
        }
        rule 5011 {
            description "Masq voor Lan"
            log disable
            outbound-interface eth11
            protocol all
            source {
                group {
                    address-group ADDRv4_eth10
                }
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name EdgeRouter-12
    login {
        user decarsul {
            authentication {
                encrypted-password $5$ryecgaVo231pA/qr$LTtiwK1s1FfUtapN8U7vyDmm7Jj8iXHzDym8MAsamXB
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
            forwarding enable
            pppoe enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone UTC
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.2.5402463.210511.1317 */

[ Voor 0% gewijzigd door rens-br op 12-01-2022 13:13 . Reden: Quote tags toegevoegd ]

woensdag 12 januari 2022 13:10

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

@Decarsul

Deze NAT regel klopt niet. De uitgaande interface is altijd je WAN-interface. Je gaat wel verschillende subnets moeten vertalen achter je WAN adres, dus 192.168.0.0/16 en 172.16.31.0/24 etc etc.

code:
1
2
3
4
5
6
7
8
9
10
11

        rule 5011 {
            description "Masq voor Lan"
            log disable
            outbound-interface eth11
            protocol all
            source {
                group {
                    address-group ADDRv4_eth10
                }
            }
            type masquerade

woensdag 12 januari 2022 13:29

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@Faifz
Ok, klinkt logisch, uitvoering is echter iets anders.

Dus ... deze masq aanpassen van eth11 naar pppoe?
En dan?

woensdag 12 januari 2022 21:00

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Decarsul schreef op woensdag 12 januari 2022 @ 13:29:
@Faifz
Ok, klinkt logisch, uitvoering is echter iets anders.

Dus ... deze masq aanpassen van eth11 naar pppoe?
En dan?
De subnets ingeven in de lijst die vertaald moeten worden. Dus 192.168.0.0/16 bv. Als je mss een configuratiescreenshot zou hebben.

woensdag 12 januari 2022 21:06

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@Faifz Heb ik morgen voor je.

woensdag 12 januari 2022 21:18

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Faifz schreef op woensdag 12 januari 2022 @ 21:00:
[...]


De subnets ingeven in de lijst die vertaald moeten worden. Dus 192.168.0.0/16 bv. Als je mss een configuratiescreenshot zou hebben.
Ook zonder die losse subnetten gedefinieerd zou je minimaal internet moeten bereiken vanuit 172.31.255/29.

woensdag 12 januari 2022 21:25

Acties:
  • +1 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

jadjong schreef op woensdag 12 januari 2022 @ 21:18:
[...]

Ook zonder die losse subnetten gedefinieerd zou je minimaal internet moeten bereiken vanuit 172.31.255/29.
In deze screenshot vertaalt hij 172.31.255.0/29 naar eth11 dat geen IP adres bevat.

https://tweakers.net/i/Nb...F90rgpv5.png?f=user_large

woensdag 12 januari 2022 21:26

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
Faifz schreef op woensdag 12 januari 2022 @ 21:25:
[...]


In deze screenshot vertaalt hij 172.31.255.0/29 naar eth11 dat geen IP adres bevat.

https://tweakers.net/i/Nb...F90rgpv5.png?f=user_large
Klopt, eth11 is de uplink naar mijn fiber internet. Internet zit op de pppoe via 11.6

woensdag 12 januari 2022 21:41

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Decarsul schreef op woensdag 12 januari 2022 @ 21:26:
[...]

Klopt, eth11 is de uplink naar mijn fiber internet. Internet zit op de pppoe via 11.6
Het is in dit geval een stekker, geen interface met ip. Net als dat je bij de switch een ip op zowel de fysieke stekker/poort kan instellen als een ve die op meerdere stekkers uit komt als je ze samen in een vlan stopt.
Bij die Edgerouter is het een beetje vaag omdat die soort van automatisch kiest tussen een ip die vast zit aan de fysieke poort of een ve die toevallig aan de betreffende poort toegewezen is.
Doe je niets met vlans dan hoort het ip bij de poort, maak je vlans aan dan hoort het ip bij de vlan interface en is de fysieke poort voor routering niet meer van belang.

woensdag 12 januari 2022 22:01

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Decarsul schreef op woensdag 12 januari 2022 @ 21:26:
[...]

Klopt, eth11 is de uplink naar mijn fiber internet. Internet zit op de pppoe via 11.6
Heb je wel internet met een sub-interface op eth11? Sub-interfaces zijn altijd tagged en je modem of dergelijke verwachten geen tagged frames. Maar goed, je gaat alles moeten vertalen achter die pppoe0 interface want die bevat het adres.

[ Voor 11% gewijzigd door Faifz op 12-01-2022 22:02 ]

donderdag 13 januari 2022 06:58

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 00:15

jadjong

Jazeker, KPN fiber biedt internet/TV aan op twee verschillende vlans.

donderdag 13 januari 2022 10:10

Acties:
  • 0 Henk 'm!
  • Decarsul
  • Registratie: November 2007
  • Laatst online: 21:36

Decarsul

Topicstarter
@Faifz
Zoals beloofd, hierbij screenshots van de interfaces.
Afbeeldingslocatie: https://tweakers.net/i/P7UhPQcbTwyie9Imp_a6964dI_M=/800x/filters:strip_exif()/f/image/KM8J2Orbz1yphjhFuylIMjSg.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/p-dltjCaodNhy1UZCmEj5D7Znd8=/800x/filters:strip_exif()/f/image/jQK9P9wqKJwmMHgnwCtc95Ff.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/wEDjmeHjLubxR_h-7W8AYyz04LA=/800x/filters:strip_exif()/f/image/oxruZ8CEl3aGPnBQmJnXkE7F.png?f=fotoalbum_large
Zelf nu aangesloten op eth3 van ER met 192...2 adres vanuit de switch0
Grappige is, server ziet internet op dit moment. Kan ook bij server.
Maar als ik mijn laptop aansluit op een untagged v30 poort op de L3 switch. krijg ik geen ip adres of iets.
Als ik een renew doe op mijn server's VM, krijg ik melding dat ik geen contact krijg met de DHCP server.

Nu moet ik dus de masq aanpassen. Wat moet ik daarvoor aanpassen?
of moet ik eerst iets op de L3 switch aanpassen zodat het verkeer de DHCP kan bereiken?

[ Voor 35% gewijzigd door Decarsul op 13-01-2022 10:31 ]

donderdag 13 januari 2022 10:31

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

@Decarsul https://tweakers.net/i/Hp...0qjKmnfv.png?f=user_large

Daar kies je gewoon pppoe0 als outbound interface en de source adressen zijn: 192.168.0.0/16, 172.31.255.0/29 etc. Destination laat je leeg.

Je kunt 172.31.255.1 pingen vanuit VLAN 30, toch?

[ Voor 7% gewijzigd door Faifz op 13-01-2022 10:32 ]

Pagina: 1 2 Laatste
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq