Sticky

Gebruik een eigen router achter de Experia Box

10 jaar geleden
13 December 2013
2066 reacties
761824 keer bekeken

Reputatie 7

wjb
69173 reacties

Ben je bij dit topic terechtgekomen omdat je op zoek bent naar een oplossing voor het verbeteren van de wifi dekking in jouw woning, lees dan niet dit hele artikel (zonde van de tijd ;)), maar schaf een goed wifi accesspoint aan. (Geen wifi extender of wifi repeater maar een wifi accesspoint.) Overweeg dan ook direct om een goed dual-band wifi accesspoint aan te schaffen zoals bijvoorbeeld de WiFi "versterker" van KPN of een accesspoint van EDIMAX of Ubiquiti.

Had je al een wifi router aangeschaft of heb je andere redenen om een eigen router in te zetten of heb je al een router aangeschaft, lees dan gerust verder.

De Experia Boxen van KPN (met name de V10) zijn prima routers voor de niet veeleisende eindgebruikers, maar aan de andere kant bieden ze niet de flexibiliteit die van een router verwacht zou mogen worden. Daarnaast is het iedereen wel bekend dat de Experia Boxen bepaalde functionaliteit niet ondersteunen of niet correct ondersteunen.

Denk hierbij aan:

VPN tunnels waardoor het niet mogelijk is om van buitenaf een VPN verbinding op te zetten met het netwerk thuis.
Parental control waarbij bepaalde sites geblokkeerd kunnen worden of voor apparaten een tijdslot ingesteld kan worden.

Nu is het mogelijk om de Experia Box te vervangen door een eigen router
(Zie: Gebruik een eigen router i.p.v. de Experia Box).

Dit heeft zo z'n voordelen, maar ook z'n nadelen.

Een voordeel is dat je volledige vrijheid hebt over de inrichting van jouw netwerk thuis en de communicatie met Internet, waarbij je absoluut niet beperkt wordt door de beperkingen van de Experia Box.

Een nadeel is dat het configureren van zo'n router toch wel enige "kennis" vereist en tevens dat je support van KPN kunt vergeten als je bijvoorbeeld een probleem hebt met Internet, televisie en/of de vaste telefoon.

Alternatief is om een tweede eigen router achter de Experia Box te plaatsen.

Deze router zal dan wel aan de onderstaande voorwaarden moeten voldoen:

De router moet geen dsl router zijn, maar een router waarvan de WAN (Internet) poort een "gewone" UTP poort (RJ45) is voor standaard netwerk kabels.
De router moet een WAN IP adres moet kunnen krijgen van de DHCP server van de Experia Box. (Ik ben echter nog geen routers tegengekomen die wel een "gewone" UTP WAN poort hebben en dit niet ondersteunen, m.u.v. de KPN Experia Boxen zelf.)
De router moet de door jou gewenste functionaliteit ondersteunen.

Belangrijk is het dan ook om vast te stellen welke functionaliteit je nodig hebt in de eigen router bij de selectie en aanschaf van de eigen router.

Dus stel jezelf de vraag wat je wilt bereiken met die eigen router.

Gaat het om:

het opzetten van een netwerk voor de gameconsoles en spelcomputers
het opzetten van gescheiden netwerken voor privé en zakelijk gebruik (thuiskantoor) waarbij VPN verbindingen nodig zijn voor het van buitenaf benaderen van het zakelijke netwerk.
het opzetten van een netwerk dat multicasting ondersteunt voor Bonjour, Airplay en Airprint
gewoon om van die Experia Box af te zijn
meer invloed te hebben op welke sites wel en niet benaderbaar mogen zijn (parental control)
een andere reden

Voor je het weet ben je een dief van je eigen portemonnee omdat je een dure router hebt aangeschaft waarvan je 80% van de functionaliteit niet gebruikt, of juist een goedkope router die toch niet blijkt te kunnen wat jij nodig hebt.

Voorbeelden:
Apart netwerk voor gameconsoles en spelcomputers

De router (bijvoorbeeld een Netgear WNR1000) moet UPnP ondersteunen.
De gameconsoles en spelcomputers die ook UPnP ondersteuning vereisen worden aangesloten op de eigen router.
Andere computers, tablets en telefoons kunnen zowel op de Experia Box als op de eigen router aangesloten worden.

Gescheiden netwerk voor privé en zakelijk gebruik met VPN

De router (bijvoorbeeld een Cisco RV180W) moet VPN verbindingen ondersteunen.
Alle computers, tablets, telefoons, NASsen, etc. die zakelijk gebruikt worden of via een VPN verbinding van buitenaf benaderbaar moeten zijn worden op de eigen router aangesloten.
Computers, tablets en telefoons die privé gebruikt worden, worden op de Experia Box aangesloten.

Netwerk dat multicasting ondersteunt t.b.v. Bonjour, Airplay en Airprint en Apple TV.

De router (bijvoorbeeld een Apple Airport Extreme, maar ook vele andere routers) moet multicasting ondersteunen.
Alle apparatuur die gebruik maken van Bonjour (en daarmee Airprint en Airplay) worden op de eigen router aangesloten.
Let op: Dit kunnen ook Windows PC's zijn aangezien ook Windows Bonjour ondersteunt.
Apparaten die geen gebruik maken van Bonjour kunnen op zowel de eigen router als op de Experia Box aangesloten worden.

Netwerk voor alle apparaten m.u.v. de KPN TV ontvangers

Uiteraard kan ook gekozen worden om alle apparatuur op de eigen router aan te sluiten.
Afhankelijk van de gewenste functionaliteit zal dan uiteraard een router gekozen moeten worden die UPnP, multicasting en/of VPN tunnels ondersteunt.
Kies een router met een goede wifi dekking en indien gewenst ook 802.11ac (wifi) ondersteuning.

Configuratie:
Ongeacht de geselecteerde router is de configuratie van de router achter jouw Experia Box altijd hetzelfde.
Stap 1: Configureer jouw eigen router voor alle door jou gewenste functionaliteit. (Raadpleeg het manual van jouw eigen router om te zien hoe en waar je de instellingen kunt doen.)

Zorg er voor dat het WAN (Internet) IP adres van jouw eigen router door de DHCP server van de Experia Box uitgegeven wordt.

Als je handmatig een DNS server moet instellen (en dat is normaliter niet het geval als het WAN (Internet) IP adres door de DHCP server van de Experia Box uitgegeven wordt), vul hier dan het adres van jouw Experia Box in (192.168.2.254).

Activeer de DHCP server van jouw eigen router en zorg er voor dat deze IP adressen in een ander subnet dan die van de Experia Box liggen. Je kunt hier 192.168.x.x of 10.x.x.x subnetten gebruiken.

De Experia Box gebruikt subnet 192.168.2.xxx.

Stap 2: De Experia Box configureren.

Bepaal het MAC adres van de WAN (Internet) poort van jouw eigen router. (Raadpleeg het manual van jouw router om te zien waar je dit MAC adres kunt vinden.)

Maak een "DHCP binding" (static DHCP) voor het gevonden MAC adres. Kies hierbij voor een hoog (nog niet gebruikt) IP adres binnen de DHCP range van de experia Box bijvoorbeeld: 192.168.2.250. (De IP adressen 192.168.2.255 (broadcast), 192.168.2.254 (router) en 192.168.2.253 (interne FTP server) zijn al in gebruik door de Experia Box zelf.) Loopt de DHCP range van jouw Experia Box bijvoorbeeld van 1 tot 200, kies dan voor een IP adres boven in die reeks zoals 192.168.2.200 of 192.168.2.195.

Zet de DMZ functionaliteit aan en vul het gebruikte IP adres in bij de DMZ Host.

Verwijder eventuele handmatige "Port-Forwardings" op de Experia Box van protocollen (poorten) die naar de eigen router doorgestuurd moeten worden.

Sluit nu de WAN (Internet) poort van jouw eigen router met een UTP kabel aan op één van de LAN poorten van de Experia Box.

Voorkom dat jouw Internet aansluiting in quarantaine geplaatst wordt:

Als jouw eigen router het Simple Network Management Protocol (SNMP) ondersteunt, zorg dan dat deze uit gezet wordt. KPN zal, voor jouw eigen veiligheid, jouw Internet aansluiting vrij snel in quarantaine plaatsen als een apparaat in jouw netwerk via SNMP van buitenaf te benaderen is.

Bridge mode of router mode?

De meeste routers ondersteunen zowel de "router mode" als de "bridge mode".

Welke moet ik dan gebruiken?

In bridge mode wordt het netwerk achter de eigen router beheerd door de DHCP server van de Experia Box. Alle apparaten hebben dan dus IP adressen binnen het subnet van de Experia Box (192.168.2.xxx).

Het voordeel van de "bridge mode" mode is dat alle apparaten elkaar kunnen vinden, immers ze zitten allemaal in hetzelfde subnet.

Tegelijkertijd heeft dit ook een nadeel aangezien je gebruik maakt van functionaliteit van de Experia Box en als de Experia Box een "probleem heeft", dan geldt dit direkt ook voor de apparaten achter de eigen router.

In "router mode" wordt de aansturing van de apparaten achter de eigen router volledig door de eigen router uitgevoerd.

Het voordeel is dan ook dat apparaten achter de eigen router met elkaar kunnen blijven communiceren in het geval van een storing op de Experia Box. (Zelfs als je de Experia Box van stroom afhaalt.)

Een nadeel (of voordeel) is dat apparaten die op de Experia Box zijn aangesloten de apparaten achter de eigen router niet kunnen benaderen. (Overigens kunnen apparaten aangesloten op de eigen router wel apparaten bereiken die aangesloten zijn op de Experia Box .)

Mijn stelregel is dan ook:

Kies voor "bridge mode" als het je eigenlijk alleen te doen is om de wifi dekking in jouw woning te verbeteren.

Kies voor "router mode" om de afhankelijkheid van de Experia Box zo klein mogelijk te maken tenzij het een vereiste is dat apparaten die op de Experia Box zijn aangesloten moeten kunnen communiceren met apparaten die op de eigen router zijn aangesloten.

LET OP: Een router in "bridge mode" mag je nooit als DMZ Host van de Experia Box instellen.

Port forwarding als de eigen router in "router mode" staat:

Zoals eerder aangegeven moeten alle port-forwardings van poorten, die doorgestuurd moeten worden naar de eigen router, op de Experia Box verwijderd worden. Doordat de eigen router als DMZ Host van de Experia Box gedefinieerd is, zullen alle poorten, waarvoor op de Experia Box geen port-forwardings gedefinieerd zijn, naar de eigen router doorgezet worden, uitgezonderd TCP poort 8085 (remote beheer van Experia Box) en UDP poort 5060 (telefonie).

De benodigde port-forwardings voor apparaten aangesloten op de eigen router moeten hierbij op de eigen router aangemaakt worden.

29 april 2015: Routed-iTV en de eigen router:

Zoals jullie misschien weten gaat KPN over van bridged-iTV naar routed-iTV.

Zo is dit op de V9 bij de laatste firmware update al geïntroduceerd en zullen de andere Experia Boxen volgen.

Routed-iTV houdt in dat de TV ontvangers een IP adres in de range van de Experia Box gaan krijgen (192.168.2.x) en niet meer zoals bij bridged-iTV in de 10.x.x.x range.

Het voordeel hiervan is dat een TV ontvanger ook aangesloten kan worden op de eigen router mits deze in bridge-mode gebruikt wordt.

De eigen router zal dan wel IGMP snooping moeten ondersteunen om te voorkomen dat de TV streams via wifi gebroadcast worden. Vrijwel elke wifi zender zal van zo'n broadcast "plat gaan".

Op de eigen router zal tevens de IGMP proxy server wel uitgezet moeten worden omdat anders de TV geheid na een paar minuten zal uitvallen.

Sluit een eigen router ook altijd met zijn WAN poort aan op het netwerk.

Er zijn mensen die de eigen "router" puur inzetten als wifi-accesspoint en daarbij deze niet met de WAN poort van de eigen "router" aansluiten op de Experia Box maar met een LAN poort.

Mijn advies: Niet doen, een eigen "router" sluit je aan op het netwerk via de WAN poort van deze router en niet via één van de LAN poorten. Heb jij deze situatie en ervaar je dit probleem met de TV, lees dan nog even de eerste alinea van dit bericht nog eens of configureer jouw eigen router in "bridge-mode" en sluit hem aan op het netwerk via de WAN poort. Mocht je, ondanks mijn advies, toch jouw eigen router met een LAN poort aangesloten laten op de Experia Box (omdat deze bijvoorbeeld geen WAN poort heeft), zet dan de IGMP proxy server op jouw eigen router uit.

Als de IGMP proxy server op de eigen router niet uitgezet is, dan zal je ervaren dat de TV er na een paar minuten mee ophoudt. Let op: Er zijn zelfs routers (zoals de Linksys EA6500) waarbij de IGMP proxy server niet meer uitgezet kan worden zodra deze in bridge-mode geplaatst wordt.

Be positive, avoid negativity, enjoy life and stay healthy!

Like
Quote
Share

Toon eerste bericht Verberg eerste bericht

2066 reacties

Bladzijde 76 / 83

ief1
Deelnemer
4 reacties
2 jaar geleden
6 February 2022

Ik heb nu een KPN Box 12 in DMZ mode staan met een Ubiquiti edge router lite. Ik gebruik alleen internet van KPN (geen interactive TV of bellen). Kan ik de KPN BOX 12 modem weghalen en alleen Ubiquiti edge router gebruiken? De WAN poort v/d Ubiquiti router staat op DHCP. Als ik de UTP kabel van het glasvezel rechtstreeks koppel met de WAN poort dan krijg ik geen IP adres. Wat moet ik nog instellen op deze configuratie te laten werken.

Alvast bedankt.

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
6 February 2022

Alvast bedankt.

Dat is geen enkel probleem. Zie

Hallo allamaal,

Ik heb de volgende situatie voor ogen. Ik wil mijn eigen modem achter de experiabox zetten. Maar ik heb maar 1 kabel hebt lopen van de centrale naar de huiskamer. En je hebt in de huiskamer een switch waarop een wifipunt, mediasysteem en het TV-kastje verbonden zitten. Kan ik dan de TV via een appart VLAN laten lopen zodat ik die op het 192.168.2.0/24 laat lopen? En alle andere zaken via een ander VLAN? Dus ik moet deze dan aansluiten op de eigen modem en kan dus niet rechtstreeks op de experiabox gaan zitten?

Thanks

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
8 March 2022

Je kunt het LAN van de Experia Box en het LAN van jouw eigen router op verschillende vlans plaatsen.

Reputatie 1

Bedankt voor de uitleg. Maar krijg mijn setup niet werkend. Mijn configuratie is alsvolgt: fiber -> fritzbox -> edgerouter x -> tplink sg108pe -> settop box.

De fritzbox heeft een exposed host (dmz) naar de edgerouter x

Ik werk met verschillende vlans dit is puur voor IoT en kinderen. Vlan 0 daar zit alles in.

Ik krijg de tv het niet werkend ook niet als ik de netwerkkabel in de edgerouter stop. Ik had gehoopt dat het dan wel zou werken omdat ik dan in switch 0.0 zit.

Als ik de netwerk kabel rechtstreeks in de fritzbox stop dan werkt de tv wel.

heeft iemand ook zo'n setup en werkend?

alvast bedankt

anton

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
8 March 2022

Ik neem aan dat jij de EdgeRouter als echte router gebruikt.

Je zult op de EdgeRouter een IGMP proxy server moeten inrichten met als upstream interface de WAN interface en als downstream interface switch0.0.

Ik vraag me echter wel af wat je nu met vlan 0 bedoelt want vlan ID's hebben een waarde tussen 1 en 4096.

Kan jij hier de config.boot van jouw EdgeRouter eens in een spoiler element posten.

Reputatie 1

Sorry bedoel vlan1

ik zal morgen de gegevens posten

Reputatie 1

@wjb

bij deze:

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
9 March 2022

Jammer dat je die config.boot niet in een spoiler element geplaatst hebt zodat deze niet direct uitgeklapt getoond wordt.

Voor de meelezers is zo'n enorme lap tekst niet echt bevorderlijk voor de leesbaarheid.

Reputatie 1

@wjb kan ik de post nog verwijderen? he moet dat in een element?

had eerst de boot als afbeelding bijlage maar dat lukte niet omdat het geen afbeelding is

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
9 March 2022

he moet dat in een element?

Reputatie 1

@wjb dit moet ie dan zijn

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IKE for VPN Server"
destination {
port 500
}
log disable
protocol udp
}
rule 40 {
action accept
description "Allow L2TP for VPN Server"
destination {
port 1701
}
log disable
protocol udp
}
rule 50 {
action accept
description "Allow ESP for VPN Server"
log disable
protocol esp
}
rule 60 {
action accept
description "Allow NAT-T for VPN Server"
destination {
port 4500
}
log disable
protocol udp
}
}
name WAN_OUT {
default-action accept
description "WAN to Internet"
rule 1 {
action drop
description "Block CCTV to Internet"
destination {
}
log disable
protocol all
source {
address xxx.xxx.10.0/24
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
description "Internet WAN"
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
speed auto
}
ethernet eth1 {
description TL-SG108PE
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description "WLAN Unifi AC LR Zolder"
duplex auto
speed auto
}
ethernet eth4 {
description "WLAN Unifi AC Mesh"
duplex auto
poe {
output pthru
}
speed auto
}
loopback lo {
}
switch switch0 {
address xxx.xxx.1.1/24
description Local
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
vif 10 {
address xxx.xxx.10.1/24
description VLAN10_CCTV
}
vif 11 {
address xxx.xxx.11.1/24
description VLAN11_Gasten
mtu 1500
}
vif 20 {
address xxx.xxx.20.1/24
description VLAN20_IoT
}
vif 30 {
address xxx.xxx.30.1/24
description VLAN30_Kids
}
vif 40 {
address xxx.xxx.40.1/24
description VLAN40_ToonFM
mtu 1500
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description "OpenVPN NASFF2DD3"
forward-to {
address xxx.xxx.1.10
port 1194
}
original-port 1194
protocol udp
}
rule 2 {
description "SSH Server VUSOLO2"
forward-to {
address xxx.xxx.1.21
port 22
}
original-port 30022
protocol tcp
}
rule 3 {
description "SSH IoT Server"
forward-to {
address xxx.xxx.20.2
port 22
}
original-port 20022
protocol tcp
}
rule 4 {
description "SSH Server NASFF2DD3"
forward-to {
address xxx.xxx.1.10
port 22
}
original-port 60022
protocol tcp
}
rule 5 {
description "Camera Vivotek"
forward-to {
address xxx.xxx.10.2
port 80
}
original-port 50080
protocol tcp
}
rule 6 {
description "Camera Foskam"
forward-to {
address xxx.xxx.10.3
port 88
}
original-port 50088
protocol tcp
}
rule 7 {
description "Icecast Server"
forward-to {
address xxx.xxx.40.12
port 8007
}
original-port 8007
protocol tcp
}
rule 8 {
description "MySQL Server"
forward-to {
address xxx.xxx.40.12
port 3306
}
original-port 3306
protocol tcp
}
rule 9 {
description "HTTPS NASFF2DD3"
forward-to {
address xxx.xxx.1.10
port 443
}
original-port 60443
protocol tcp
}
rule 10 {
description "Vmobile NASFF2DD3"
forward-to {
address xxx.xxx.1.10
port 8080
}
original-port 60808
protocol tcp
}
rule 11 {
description BitTorrent
forward-to {
address xxx.xxx.1.10
port 6881-6889
}
original-port 6881-6889
protocol tcp
}
rule 12 {
description "FTP Server NASFF2DD3"
forward-to {
address xxx.xxx.1.10
port 21
}
original-port 60021
protocol tcp
}
rule 13 {
description "UniFi Controller NASFF2DD3"
forward-to {
address xxx.xxx.20.2
port 8443
}
original-port 20844
protocol tcp
}
rule 14 {
description "Domoticz GUI"
forward-to {
address xxx.xxx.20.2
port 8081
}
original-port 28080
protocol tcp
}
rule 15 {
description UltraVNC
forward-to {
address xxx.xxx.40.12
port 5900
}
original-port 45900
protocol tcp_udp
}
rule 16 {
description MicroMPX
forward-to {
address xxx.xxx.40.11
port 22
}
original-port 40022
protocol tcp
}
rule 17 {
description Portainer
forward-to {
address xxx.xxx.20.2
port 9000
}
original-port 20900
protocol tcp_udp
}
wan-interface eth0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet xxx.xxx.1.0/24 {
default-router xxx.xxx.1.1
dns-server xxx.xxx.20.2
dns-server 1.1.1.1
lease 86400
start xxx.xxx.1.38 {
stop xxx.xxx.1.243
}
static-mapping DESKTOP-32BF0DN_Tim {
ip-address xxx.xxx.1.211
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping NAS {
ip-address xxx.xxx.1.10
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping Netgear_GS105Ev2 {
ip-address xxx.xxx.1.2
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping Netgear_GS105Ev2_SLPKMR {
ip-address xxx.xxx.1.6
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping TL-SG105E {
ip-address xxx.xxx.1.4
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping TL-SG108E {
ip-address xxx.xxx.1.5
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping TL-SG108PE {
ip-address xxx.xxx.1.3
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping iPhonevanAnton {
ip-address xxx.xxx.1.26
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping iPhone-van-Iris {
ip-address xxx.xxx.1.27
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping volumio {
ip-address xxx.xxx.1.14
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping vusolo2 {
ip-address xxx.xxx.1.21
mac-address 0xx:xx:xx:xx:xx:xx
}
}
}
shared-network-name VLAN10_CCTV {
authoritative disable
subnet xxx.xxx.10.0/24 {
default-router xxx.xxx.10.1
dns-server xxx.xxx.20.2
dns-server 1.1.1.1
lease 86400
start xxx.xxx.10.38 {
stop xxx.xxx.10.243
}
static-mapping Foskam_woomkmr {
ip-address xxx.xxx.10.3
mac-address 00:62:6e:85:ef:bf
}
static-mapping Reolink_Carport {
ip-address xxx.xxx.10.2
mac-address ec:71:db:e5:b4:27
}
}
}
shared-network-name VLAN11_Gasten {
authoritative disable
subnet xxx.xxx.11.0/24 {
default-router xxx.xxx.11.1
dns-server 8.8.8.8
dns-server 1.1.1.1
lease 86400
start xxx.xxx.11.2 {
stop xxx.xxx.11.254
}
}
}
shared-network-name VLAN20_IoT {
authoritative disable
subnet xxx.xxx.20.0/24 {
default-router xxx.xxx.20.1
dns-server xxx.xxx.20.2
dns-server 1.1.1.1
lease 86400
start xxx.xxx.20.38 {
stop xxx.xxx.20.254
}
static-mapping ESP-Easy-OTGW-1 {
ip-address xxx.xxx.20.9
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping HF-LPB100 {
ip-address xxx.xxx.20.6
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping WLED-schutting {
ip-address xxx.xxx.20.7
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping milight-hub {
ip-address xxx.xxx.20.8
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping raspberrypi {
ip-address xxx.xxx.20.2
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping wled-WLED {
ip-address xxx.xxx.20.5
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping yeelink-light-color1_miio56374309 {
ip-address xxx.xxx.20.3
mac-address xx:xx:xx:xx:xx:xx
}
static-mapping yeelink-light-color4_mibt024E {
ip-address xxx.xxx.20.4
mac-address xx:xx:xx:xx:xx:xx
}
}
}
shared-network-name VLAN30_Kinderen {
authoritative disable
subnet xxx.xxx.30.0/24 {
default-router xxx.xxx.30.1
dns-server xxx.xxx.20.2
dns-server 1.1.1.1
lease 86400
start xxx.xxx.30.2 {
stop xxx.xxx.30.249
}
}
}
shared-network-name VLAN40_ToonFM {
authoritative disable
subnet xxx.xxx.40.0/24 {
default-router xxx.xxx.40.1
dns-server xxx.xxx.20.2
dns-server 1.1.1.1
lease 86400
start xxx.xxx.40.38 {
stop xxx.xxx.40.254
}
static-mapping MicroMPX {
ip-address xxx.xxx.40.11
mac-address xx:xx:xx:xx:xx:xx
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
repeater {
interface switch0
interface switch0.20
interface switch0.30
interface switch0.10
interface switch0.40
}
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
analytics-handler {
send-analytics-report false
}
crash-handler {
send-crash-report false
}
host-name EdgeRouter-X-5-Port
login {
user anton {
authentication {
encrypted-password $6$Hj.wlQxJzdz9rZqS$pNH6yWjYoVZ/RM9nm9VJoYlgnedEAWqXT6zAXO0M9IL5BX4MNhnnrB8S8zu1uuZC2n2my5O0uSSB/DjY6B2xU1
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.nl.pool.ntp.org {
}
server 1.nl.pool.ntp.org {
}
server xxx.xxx.1.10 {
}
}
offload {
hwnat enable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Amsterdam
traffic-analysis {
dpi enable
export enable
}
}
traffic-control {
smart-queue Bufferbload {
download {
ecn enable
flows 1024
fq-quantum 1514
limit 10240
rate 100mbit
}
upload {
ecn enable
flows 1024
fq-quantum 1514
limit 10240
rate 100mbit
}
wan-interface eth0
}
}
vpn {
ipsec {
allow-access-to-local-interface disable
auto-firewall-nat-exclude enable
ipsec-interfaces {
interface eth0
}
nat-traversal enable
}
l2tp {
remote-access {
authentication {
local-users {
username xxxxx {
password xxxxxxxx
}
}
mode local
}
client-ip-pool {
start xxx.xxx.1.244
stop xxx.xxx.1.248
}
dhcp-interface eth0
dns-servers {
server-1 8.8.8.8
server-2 4.2.2.2
}
idle 1800
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret xxxxxxxxxx
}
ike-lifetime 3600
lifetime 3600
}
mtu 1492
}
}
}

/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.2.5402463.210511.1317 */

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
9 March 2022

Je doet er verstandig aan om de TV ontvanger op een apart vlan te plaatsen omdat de EdgeRouter X geen IGMP snooping ondersteunt. In het onderstaande voorbeeld ga ik er vanuit dat je de TV ontvanger op vlan 4 zal plaatsen.

Vervolgens moet een IGMP proxy server geconfigureerd worden zodat deze tussen eth0 (WAN) en switch0.4 (vlan 4) operationeel is.

    igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface switch0.4 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }

Tevens zal je IGMP multicasts inkomend door moeten laten in de WAN firewall.

Op jouw switch moet je dan vlan 4 tagged opnemen bij de poort richting EdgeRouter en IGMP snooping aanzetten op vlan 4.

Op de poorten waar je een TV ontvanger gaat aansluiten zet je de pvid op 4 en laat je alleen vlan 4 untagged door.

Reputatie 1

@JWb pff dat wordt een hele uitdaging. Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen. Ik had vanmiddag de igmp proxy toegevoegd zoals in het voorbeeld op de site van ubiquity die is net anders als jou voorbeeld. Dus dat moet ik ff aanpassen. I

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
9 March 2022

Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen.

Nee, dat is het subnet voor IGMP multicasting.

Reputatie 1

ik doe nog iets fout zie wel in de tp link bij de igmp snooping een ip adres

Reputatie 1

Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen.

Nee, dat is het subnet voor IGMP multicasting.

dus dit moet ik ingeven bij het aanmaken van vlan4 in de edgerouter

Reputatie 1

@wjb YES ik heb het werkend. bedankt voor je hulp!!

heb alleen nu nog te veel ingesteld, dus moet opschonen.

Alleen stopte het beeld net na een x aantal minuten

Ik heb onderstaande gegevens allemaal bij de igmp proxy white list gezet en geen static route aangemaakt, want volgens mij handelt de fritzbox dat allemaal af

Static route naar 185.24.175.0/24 en 185.41.48.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
IGMP Proxy whitelist : 239.0.3.0/16 en 225.0.71.0/24 en 224.0.0.0/16

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
10 March 2022

Die whitelists zijn niet nodig en ook static routes zouden niet gedefinieerd hoeven te worden.

Reputatie 1

Ik heb die whitelists verwijderd uit de proxy

Ik zie bij mijn tp-link switch 2 adressen bij igmp snooping

welke van de 2 adressen moet ik ingeven in de firewall?

Die 224.0.0/24 wat ik heb ingegen werkt ook maar ik het online.nl als provider

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
10 March 2022

welke van de 2 adressen moet ik ingeven in de firewall?

Geen van beide, alleen 224.0.0.0/4 moet inkomend als destination rule ingegeven staan maar die heb je al.

Reputatie 1

@wjb Heb bijna alle haren al uit mijn hoofd getrokken, van waar het mis gaat.

Het tv beeld stopt naar een x aantal minuten.

Wat ik ook niet snap is dat ik op alle poorten veel data zie.

ik heb bij de overige poorten al disabeld gezet. dus alleen swtich0.4 als downstream en eth0 als upstream en de rest op disabeld

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
12 March 2022

Wat is er aangesloten op eth3?

Wat is er aangesloten op eth4?

Je kunt eth1 t/m eth4 weer weghalen bij de IGMP proxy server, die hebben geen zin.

Klopt het dat je binnen de switch op de EdgeRouter vlans kunt enablen per eth poort?

Zo ja, kan je binnen de switch vlan 4 alleen enablen op de eth poort waar de TP-Link op aangesloten is?

Reputatie 1

@wjop eth3 en eth4 zitten access points van ubiquiti aangesloten.

hier zie ik het wel goed gaan.

Klopt het dat je binnen de switch op de EdgeRouter vlans kunt enablen per eth poort?

Zo ja, kan je binnen de switch vlan 4 alleen enablen op de eth poort waar de TP-Link op aangesloten is?

volgens mij wel, maar dan heb ik zeker alleen VLAN4 op die poort en dan werkt de rest van mijn netwerk niet meer?? De TP-link op die eth1 is eigenlijk het hele sterpunt in mijn meterkast, alle andere switches en aansluitingen komen daar op uit.

Reputatie 7

wjb
Auteur
69173 reacties
2 jaar geleden
12 March 2022

@wjop eth3 en eth4 zitten access points van ubiquiti aangesloten.

Haal die twee eens los.

Blijft de TV ontvanger het dan wel doen?

Kan je eens een screenshot posten van de vlan instellingen van eth1 binnen jouw switch?

Bladzijde 76 / 83

Gebruik een eigen router achter de Experia Box

2066 reacties

Reageer

De Kennisbank

Reageer

De Kennisbank

Meld je aan

Welkom

Bestand scannen voor virussen

Dit bestand kan niet worden gedownload