Sticky

Gebruik een eigen router achter de Experia Box

  • 13 December 2013
  • 2072 reacties
  • 763986 keer bekeken


Toon eerste bericht

2072 reacties

Ik heb nu een KPN Box 12 in DMZ mode staan met een Ubiquiti edge router lite. Ik gebruik alleen internet van KPN (geen interactive TV of bellen). Kan ik de KPN BOX 12 modem weghalen en alleen Ubiquiti edge router gebruiken? De WAN poort v/d Ubiquiti router staat op DHCP. Als ik de UTP kabel van het glasvezel rechtstreeks koppel met de WAN poort dan krijg ik geen IP adres. Wat moet ik nog instellen op deze configuratie te laten werken.

 

Alvast bedankt.

 

 

Reputatie 7

Ik heb nu een KPN Box 12 in DMZ mode staan met een Ubiquiti edge router lite. Ik gebruik alleen internet van KPN (geen interactive TV of bellen). Kan ik de KPN BOX 12 modem weghalen en alleen Ubiquiti edge router gebruiken? De WAN poort v/d Ubiquiti router staat op DHCP. Als ik de UTP kabel van het glasvezel rechtstreeks koppel met de WAN poort dan krijg ik geen IP adres. Wat moet ik nog instellen op deze configuratie te laten werken.

 

Alvast bedankt.

Dat is geen enkel probleem. Zie 

 

Hallo allamaal,

Ik heb de volgende situatie voor ogen.  Ik wil mijn eigen modem achter de experiabox zetten. Maar ik heb maar 1 kabel hebt lopen van de centrale naar de huiskamer. En je hebt in de huiskamer een switch waarop een wifipunt, mediasysteem en het TV-kastje verbonden zitten. Kan ik dan de TV via een appart VLAN laten lopen zodat ik die op het 192.168.2.0/24 laat lopen? En alle andere zaken via een ander VLAN? Dus ik moet deze dan aansluiten op de eigen modem en kan dus niet rechtstreeks op de experiabox gaan zitten?

Thanks

Reputatie 7

Je kunt het LAN van de Experia Box en het LAN van jouw eigen router op verschillende vlans plaatsen.

Reputatie 1

Bedankt voor de uitleg. Maar krijg mijn setup niet werkend. Mijn configuratie is alsvolgt:  fiber -> fritzbox -> edgerouter x -> tplink sg108pe -> settop box.

De fritzbox heeft een exposed host (dmz) naar de edgerouter x

Ik werk met verschillende vlans dit is puur voor IoT en kinderen. Vlan 0 daar zit alles in.

Ik krijg de tv het niet werkend ook niet als ik de netwerkkabel in de edgerouter stop. Ik had gehoopt dat het dan wel zou werken omdat ik dan in switch 0.0 zit.

Als ik de netwerk kabel rechtstreeks in de fritzbox stop dan werkt de tv wel.

heeft iemand ook zo'n setup en werkend?  

 

alvast bedankt

anton

Reputatie 7

Ik neem aan dat jij de EdgeRouter als echte router gebruikt.

Je zult op de EdgeRouter een IGMP proxy server moeten inrichten met als upstream interface de WAN interface en als downstream interface switch0.0.

Ik vraag me echter wel af wat je nu met vlan 0 bedoelt want vlan ID's hebben een waarde tussen 1 en 4096.

Kan jij hier de config.boot van jouw EdgeRouter eens in een spoiler element posten. 

Reputatie 1

Sorry bedoel vlan1

ik zal morgen de gegevens posten

Reputatie 1

@wjb

bij deze:

 

Reputatie 7

Jammer dat je die config.boot niet in een spoiler element geplaatst hebt zodat deze niet direct uitgeklapt getoond wordt.

Voor de meelezers is zo'n enorme lap tekst niet echt bevorderlijk voor de leesbaarheid.

Reputatie 1

@wjb kan ik de post nog verwijderen? he moet dat in een element?

had eerst de boot als afbeelding bijlage maar dat lukte niet omdat het geen afbeelding is

Reputatie 7

 he moet dat in een element?

 

Reputatie 1

@wjb dit moet ie dan zijn

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IKE for VPN Server"
            destination {
                port 500
            }
            log disable
            protocol udp
        }
        rule 40 {
            action accept
            description "Allow L2TP for VPN Server"
            destination {
                port 1701
            }
            log disable
            protocol udp
        }
        rule 50 {
            action accept
            description "Allow ESP for VPN Server"
            log disable
            protocol esp
        }
        rule 60 {
            action accept
            description "Allow NAT-T for VPN Server"
            destination {
                port 4500
            }
            log disable
            protocol udp
        }
    }
    name WAN_OUT {
        default-action accept
        description "WAN to Internet"
        rule 1 {
            action drop
            description "Block CCTV to Internet"
            destination {
            }
            log disable
            protocol all
            source {
                address xxx.xxx.10.0/24
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description "Internet WAN"
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                name WAN_OUT
            }
        }
        speed auto
    }
    ethernet eth1 {
        description TL-SG108PE
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description "WLAN Unifi AC LR Zolder"
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description "WLAN Unifi AC Mesh"
        duplex auto
        poe {
            output pthru
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address xxx.xxx.1.1/24
        description Local
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
        vif 10 {
            address xxx.xxx.10.1/24
            description VLAN10_CCTV
        }
        vif 11 {
            address xxx.xxx.11.1/24
            description VLAN11_Gasten
            mtu 1500
        }
        vif 20 {
            address xxx.xxx.20.1/24
            description VLAN20_IoT
        }
        vif 30 {
            address xxx.xxx.30.1/24
            description VLAN30_Kids
        }
        vif 40 {
            address xxx.xxx.40.1/24
            description VLAN40_ToonFM
            mtu 1500
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description "OpenVPN NASFF2DD3"
        forward-to {
            address xxx.xxx.1.10
            port 1194
        }
        original-port 1194
        protocol udp
    }
    rule 2 {
        description "SSH Server VUSOLO2"
        forward-to {
            address xxx.xxx.1.21
            port 22
        }
        original-port 30022
        protocol tcp
    }
    rule 3 {
        description "SSH IoT Server"
        forward-to {
            address xxx.xxx.20.2
            port 22
        }
        original-port 20022
        protocol tcp
    }
    rule 4 {
        description "SSH Server NASFF2DD3"
        forward-to {
            address xxx.xxx.1.10
            port 22
        }
        original-port 60022
        protocol tcp
    }
    rule 5 {
        description "Camera Vivotek"
        forward-to {
            address xxx.xxx.10.2
            port 80
        }
        original-port 50080
        protocol tcp
    }
    rule 6 {
        description "Camera Foskam"
        forward-to {
            address xxx.xxx.10.3
            port 88
        }
        original-port 50088
        protocol tcp
    }
    rule 7 {
        description "Icecast Server"
        forward-to {
            address xxx.xxx.40.12
            port 8007
        }
        original-port 8007
        protocol tcp
    }
    rule 8 {
        description "MySQL Server"
        forward-to {
            address xxx.xxx.40.12
            port 3306
        }
        original-port 3306
        protocol tcp
    }
    rule 9 {
        description "HTTPS NASFF2DD3"
        forward-to {
            address xxx.xxx.1.10
            port 443
        }
        original-port 60443
        protocol tcp
    }
    rule 10 {
        description "Vmobile NASFF2DD3"
        forward-to {
            address xxx.xxx.1.10
            port 8080
        }
        original-port 60808
        protocol tcp
    }
    rule 11 {
        description BitTorrent
        forward-to {
            address xxx.xxx.1.10
            port 6881-6889
        }
        original-port 6881-6889
        protocol tcp
    }
    rule 12 {
        description "FTP Server NASFF2DD3"
        forward-to {
            address xxx.xxx.1.10
            port 21
        }
        original-port 60021
        protocol tcp
    }
    rule 13 {
        description "UniFi Controller NASFF2DD3"
        forward-to {
            address xxx.xxx.20.2
            port 8443
        }
        original-port 20844
        protocol tcp
    }
    rule 14 {
        description "Domoticz GUI"
        forward-to {
            address xxx.xxx.20.2
            port 8081
        }
        original-port 28080
        protocol tcp
    }
    rule 15 {
        description UltraVNC
        forward-to {
            address xxx.xxx.40.12
            port 5900
        }
        original-port 45900
        protocol tcp_udp
    }
    rule 16 {
        description MicroMPX
        forward-to {
            address xxx.xxx.40.11
            port 22
        }
        original-port 40022
        protocol tcp
    }
    rule 17 {
        description Portainer
        forward-to {
            address xxx.xxx.20.2
            port 9000
        }
        original-port 20900
        protocol tcp_udp
    }
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet xxx.xxx.1.0/24 {
                default-router xxx.xxx.1.1
                dns-server xxx.xxx.20.2
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.1.38 {
                    stop xxx.xxx.1.243
                }
                static-mapping DESKTOP-32BF0DN_Tim {
                    ip-address xxx.xxx.1.211
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping NAS {
                    ip-address xxx.xxx.1.10
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping Netgear_GS105Ev2 {
                    ip-address xxx.xxx.1.2
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping Netgear_GS105Ev2_SLPKMR {
                    ip-address xxx.xxx.1.6
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping TL-SG105E {
                    ip-address xxx.xxx.1.4
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping TL-SG108E {
                    ip-address xxx.xxx.1.5
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping TL-SG108PE {
                    ip-address xxx.xxx.1.3
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping iPhonevanAnton {
                    ip-address xxx.xxx.1.26
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping iPhone-van-Iris {
                    ip-address xxx.xxx.1.27
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping volumio {
                    ip-address xxx.xxx.1.14
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping vusolo2 {
                    ip-address xxx.xxx.1.21
                    mac-address 0xx:xx:xx:xx:xx:xx
                }
            }
        }
        shared-network-name VLAN10_CCTV {
            authoritative disable
            subnet xxx.xxx.10.0/24 {
                default-router xxx.xxx.10.1
                dns-server xxx.xxx.20.2
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.10.38 {
                    stop xxx.xxx.10.243
                }
                static-mapping Foskam_woomkmr {
                    ip-address xxx.xxx.10.3
                    mac-address 00:62:6e:85:ef:bf
                }
                static-mapping Reolink_Carport {
                    ip-address xxx.xxx.10.2
                    mac-address ec:71:db:e5:b4:27
                }
            }
        }
        shared-network-name VLAN11_Gasten {
            authoritative disable
            subnet xxx.xxx.11.0/24 {
                default-router xxx.xxx.11.1
                dns-server 8.8.8.8
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.11.2 {
                    stop xxx.xxx.11.254
                }
            }
        }
        shared-network-name VLAN20_IoT {
            authoritative disable
            subnet xxx.xxx.20.0/24 {
                default-router xxx.xxx.20.1
                dns-server xxx.xxx.20.2
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.20.38 {
                    stop xxx.xxx.20.254
                }
                static-mapping ESP-Easy-OTGW-1 {
                    ip-address xxx.xxx.20.9
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping HF-LPB100 {
                    ip-address xxx.xxx.20.6
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping WLED-schutting {
                    ip-address xxx.xxx.20.7
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping milight-hub {
                    ip-address xxx.xxx.20.8
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping raspberrypi {
                    ip-address xxx.xxx.20.2
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping wled-WLED {
                    ip-address xxx.xxx.20.5
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping yeelink-light-color1_miio56374309 {
                    ip-address xxx.xxx.20.3
                    mac-address xx:xx:xx:xx:xx:xx
                }
                static-mapping yeelink-light-color4_mibt024E {
                    ip-address xxx.xxx.20.4
                    mac-address xx:xx:xx:xx:xx:xx
                }
            }
        }
        shared-network-name VLAN30_Kinderen {
            authoritative disable
            subnet xxx.xxx.30.0/24 {
                default-router xxx.xxx.30.1
                dns-server xxx.xxx.20.2
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.30.2 {
                    stop xxx.xxx.30.249
                }
            }
        }
        shared-network-name VLAN40_ToonFM {
            authoritative disable
            subnet xxx.xxx.40.0/24 {
                default-router xxx.xxx.40.1
                dns-server xxx.xxx.20.2
                dns-server 1.1.1.1
                lease 86400
                start xxx.xxx.40.38 {
                    stop xxx.xxx.40.254
                }
                static-mapping MicroMPX {
                    ip-address xxx.xxx.40.11
                    mac-address xx:xx:xx:xx:xx:xx
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        repeater {
            interface switch0
            interface switch0.20
            interface switch0.30
            interface switch0.10
            interface switch0.40
        }
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name EdgeRouter-X-5-Port
    login {
        user anton {
            authentication {
                encrypted-password $6$Hj.wlQxJzdz9rZqS$pNH6yWjYoVZ/RM9nm9VJoYlgnedEAWqXT6zAXO0M9IL5BX4MNhnnrB8S8zu1uuZC2n2my5O0uSSB/DjY6B2xU1
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    ntp {
        server 0.nl.pool.ntp.org {
        }
        server 1.nl.pool.ntp.org {
        }
        server xxx.xxx.1.10 {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi enable
        export enable
    }
}
traffic-control {
    smart-queue Bufferbload {
        download {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 100mbit
        }
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 100mbit
        }
        wan-interface eth0
    }
}
vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        ipsec-interfaces {
            interface eth0
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username xxxxx {
                        password xxxxxxxx
                    }
                }
                mode local
            }
            client-ip-pool {
                start xxx.xxx.1.244
                stop xxx.xxx.1.248
            }
            dhcp-interface eth0
            dns-servers {
                server-1 8.8.8.8
                server-2 4.2.2.2
            }
            idle 1800
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret xxxxxxxxxx
                }
                ike-lifetime 3600
                lifetime 3600
            }
            mtu 1492
        }
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.2.5402463.210511.1317 */
 

 

Reputatie 7

Je doet er verstandig aan om de TV ontvanger op een apart vlan te plaatsen omdat de EdgeRouter X geen IGMP snooping ondersteunt. In het onderstaande voorbeeld ga ik er vanuit dat je de TV ontvanger op vlan 4 zal plaatsen.

Vervolgens moet een IGMP proxy server geconfigureerd worden zodat deze tussen eth0 (WAN) en switch0.4 (vlan 4) operationeel is.

    igmp-proxy {
interface eth0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0.4 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}

Tevens zal je IGMP multicasts inkomend door moeten laten in de WAN firewall.

 

Op jouw switch moet je dan vlan 4 tagged opnemen bij de poort richting EdgeRouter en IGMP snooping aanzetten op vlan 4.

Op de poorten waar je een TV ontvanger gaat aansluiten zet je de pvid op 4 en laat je alleen vlan 4 untagged door.

Reputatie 1

@JWb pff dat wordt een hele uitdaging. Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen. Ik had vanmiddag de igmp proxy toegevoegd zoals in het voorbeeld op de site van ubiquity die is net anders als jou voorbeeld. Dus dat moet ik ff aanpassen. I

Reputatie 7

Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen.

Nee, dat is het subnet voor IGMP multicasting.

Reputatie 1

ik doe nog iets fout zie wel in de tp link bij de igmp snooping een ip adres

 

Reputatie 1

Dat subnet adres 224.0.0.0/4 is dat willekeurig gekozen.

Nee, dat is het subnet voor IGMP multicasting.

dus dit moet ik ingeven bij het aanmaken van vlan4 in de edgerouter

Reputatie 1

@wjb YES ik heb het werkend. bedankt voor je hulp!!

heb alleen nu nog te veel ingesteld, dus moet opschonen.

Alleen stopte het beeld net na een x aantal minuten

Ik heb onderstaande gegevens allemaal bij de igmp proxy white list gezet en geen static route aangemaakt, want volgens mij handelt de fritzbox dat allemaal af 

  • Static route naar 185.24.175.0/24 en 185.41.48.0/24 over het IP-TV Gateway (IP-adres verkregen op VLAN 4)
  • IGMP Proxy whitelist : 239.0.3.0/16 en 225.0.71.0/24 en 224.0.0.0/16

 

Reputatie 7

Die whitelists zijn niet nodig en ook static routes zouden niet gedefinieerd hoeven te worden.

Reputatie 1

Ik heb die whitelists verwijderd uit de proxy

Ik zie bij mijn tp-link switch 2 adressen bij igmp snooping

welke van de 2 adressen moet ik ingeven in de firewall?

Die 224.0.0/24 wat ik heb ingegen werkt ook maar ik het online.nl als provider

 

Reputatie 7

welke van de 2 adressen moet ik ingeven in de firewall?

Geen van beide, alleen 224.0.0.0/4 moet inkomend als destination rule ingegeven staan maar die heb je al.

Reputatie 1

@wjb Heb bijna alle haren al uit mijn hoofd getrokken, van waar het mis gaat.

Het tv beeld stopt naar een x aantal minuten.

Wat ik ook niet snap is dat ik op alle poorten veel data zie.

ik heb bij de overige poorten al disabeld gezet. dus alleen swtich0.4 als downstream en eth0 als upstream en de rest op disabeld

 

Reputatie 7

Wat is er aangesloten op eth3?

Wat is er aangesloten op eth4?

Je kunt eth1 t/m eth4 weer weghalen bij de IGMP proxy server, die hebben geen zin.

Klopt het dat je binnen de switch op de EdgeRouter vlans kunt enablen per eth poort?

Zo ja, kan je binnen de switch vlan 4 alleen enablen op de eth poort waar de TP-Link op aangesloten is?

Reputatie 1

@wjop eth3 en eth4 zitten access points van ubiquiti aangesloten.

hier zie ik het wel goed gaan.

 

  • Klopt het dat je binnen de switch op de EdgeRouter vlans kunt enablen per eth poort?
  • Zo ja, kan je binnen de switch vlan 4 alleen enablen op de eth poort waar de TP-Link op aangesloten is?

volgens mij wel, maar dan heb ik zeker alleen VLAN4 op die poort en dan werkt de rest van mijn netwerk niet meer?? De TP-link op die eth1 is eigenlijk het hele sterpunt in mijn meterkast, alle andere switches en aansluitingen komen daar op uit.

 

Reputatie 7

@wjop eth3 en eth4 zitten access points van ubiquiti aangesloten.

Haal die twee eens los.

Blijft de TV ontvanger het dan wel doen?

 

Kan je eens een screenshot posten van de vlan instellingen van eth1 binnen jouw switch?

 

Reageer