Sticky

Gebruik een eigen router i.p.v. de Experia Box

  • 8 September 2018
  • 8575 reacties
  • 565729 keer bekeken
Gebruik een eigen router i.p.v. de Experia Box

Toon eerste bericht

8575 reacties

Reputatie 7

Plaats eens een screenshot van de dashboard en de routing tab.

Okee, ik heb het probleem gevonden. Het bestond uit 2 delen.

 

1: Het lijkt erop dat toen we begonnen met de router vervangen, dat wij nog op telfort zaten, aangezien we recentlijk een update hadden van het moden, dat we nu op KPN zitten.

2: er zat nog een switch/router achter, die veroorzaakte het een en ander aan problemen wat nu ook verholpen is.

 

Nu werkt alles zoals het hoort.

 

Hartelijk bedankt voor de hulp en de scripts, zonder was het niet gelukt!!

Draytek Vigor 167 met Edgerouter X. Zojuist werkend gekregen met behulp van het script op de 1e pagina. 

 

Het script voor de EDX gepakt en geladen, Experiabox er tussenuit gehaald en de Draytek ertussen gezet.  Draytek poort 2 -> EDX poort 0. Draaide gelijk prima. Draytek Vigor 167 gewoon factory settings, niets aangewijzigd. Daarna nog even m'n eigen settings teruggezet. Experiabox is nu dus niet meer nodig gelukkig. 

We hebben hier problemen gehad met de laptop van het werk van m'n vrouw waarbij de Experiabox geheel vastliep als die verbinding maakte. Geen internet meer, niks. Restart elke keer nodig en daarna ging het wel goed. Nooit kunnen achterhalen waarom dat was maar met de Edgerouter ertussen was er geen probleem. Eea liep toch soepeler met de Experiabox in bridge, maar nu deze functie er door KPN uitgehaald is toch maar een eigen modem aangeschaft. 

 

Dank voor de uitleg en script!

Reputatie 1

@wjb

Ik wil op de edge-router een intern device blokkeren naar een apparaat in het netwerk.

Bv. van 192.168.2.140 naar 192.168.2.56. Welke configuratie-stappen zijn hiervoor nodig? 

Zijn hier dan ook “groepen” van te maken?

Reputatie 7

Ik wil op de edge-router een intern device blokkeren naar een apparaat in het netwerk.

Bv. van 192.168.2.140 naar 192.168.2.56. Welke configuratie-stappen zijn hiervoor nodig? 

Zijn hier dan ook “groepen” van te maken?

In het onderstaande voorbeeld zie je de firewall die inkomend op mijn Internet of Things (IoT) netwerk zit. 

Deze firewall zorgt er voor dat een IoT apparaat met geen enkel ander apparaat kan communiceren op één van de (v)lans maar wel kan antwoorden op berichten vanuit andere apparaten. 

Je kunt een soortgelijke firewall opnemen inkomend op LAN interface waarbij je zowel een source address of network group als een destination address of network group opneemt.

Een network group gebruik je om hele subnet(s) in één keer aan te duiden en een address group gebruik je om één of meerdere individuele IP adressen aan te duiden.

Reputatie 1

De Draytek Vigor 3910 mag aan de lijst met werkende routers worden toegevoegd, geconfigureerd volgens de op het forum gevonden handleiding voor internet en IPTV. 

VOIP middels Zoiper, geïnstalleerd op de Mac en iPhone gaat ook prima.

Nu alleen nog besluiten of ik mijn Ziggo ga opzeggen of afschalen naar een basis internet abonnement, hij zit nu geloadbalanced met failover aangesloten op een 2e WAN poort en dat bevalt prima :stuck_out_tongue_winking_eye:

 

 

 

Reputatie 7
Badge +10

De Draytek Vigor 3910 mag aan de lijst met werkende routers worden toegevoegd, geconfigureerd volgens de op het forum gevonden handleiding voor internet en IPTV.

Het zou eruit zien als dat niet zou kunnen. :open_mouth:
DrayTek routers in zijn algemeenheid zijn zodanig breed en uitvoerig te configureren, dat het doorgaans geen problemen oplevert om ze op een KPN structuur af te stemmen (of voor enige andere provider dan ook).

Voor de uitgebreide routermodellen zoals een Vigor 3910, meer afgestemd voor zakelijk gebruik, zijn mogelijkheden en flexibiliteit voor finetuning alleen nog maar groter.

Hi @wjb!

Mooi topic met een goede beschrijving!
Ik heb jouw config gebruikt voor het instellen van een Edgerouter ER4 i.c.m. een netgear switch.
Echter loop ik tegen een probleem aan dat ik het internet en IPTV verkeer niet over een trunk kan sturen.

Ik wil graag via eth1 meerdere VLANS tagged aanbieden op de netgear switch zodat ik daar het verkeer kan verdelen.  Ik heb in de config hiervoor een aanpassing gedaan. Waar nu eth1 staat heb ik vervangen door eth1.60. Echter werkt dit niet. Ik vermoed dat dit op een andere manier werkt maar ben de cli van de ER nog niet helemaal machtig. Heb jij misschien suggesties?

Reputatie 7

Mijn advies: Laat jouw hoofdnetwerk untagged en zet vlans op voor het type apparaten dat je af wilt splitsen. Zo zie je in het screenshot in het openingsbericht dat ik mijn privénetwerk op eth2 heb staan en vlans heb gemaakt voor het gastnetwerk (vlan 2), het IPTV netwerk (vlan 4) en mijn zakelijke netwerk (vlan 10).

Op de switches heb ik vlan 1 untagged staan en de andere vlans tagged.

 

Waarvoor wil jij vlans gaan gebruiken?

Hi Wjb

Bedankt voor jouw snelle reactie!
Ik wil graag Vlans gebruiken om privé, gasten, IoT en IPTV te scheiden van elkaar.
Ik heb even een tekening toegevoegd zoals ik het in gedachte heb. Een plaatje zegt immers meer.
Op de netgear switch heb ik de IPTV poorten untagged ingesteld (op VLAN 60) en IGMP snooping op zowel de port als het VLAN geconfigureerd. Op de trunk poorten zijn alle Vlans ge-tagged.

 

Ik heb de volgende Vlans, 
10 (privé), 20 (Gasten), 30 (IoT), 60 (IPTV). Misschien dat ik daar nog een apart management Vlan eraan toevoeg later.

Bedoel je met hoofdnetwerk het default Vlan op de ER en switch (VLAN 1) ?
Ik zie inderdaad dat op het plaatje dat jouw default Vlan op Eth2 is geconfigureerd. Maar ik begrijp even de link dan niet met intern Vlan 4 voor IPTV. Hoe wordt deze link gelegd? Zelf wilde ik (intern) Vlan 60 voor IPTV inzetten. Ik begrijp even niet helemaal hoe ik dit in het config bestand kan aanpassen. Ik heb de volgende config als basis gebruikt: "EdgeRouter-4-KPN-zonder-VoIP". Ik hoop dat jij me hiermee op weg kunt helpen.

Reputatie 7

Ik heb de volgende Vlans, 
10 (privé), 20 (Gasten), 30 (IoT), 60 (IPTV). Misschien dat ik daar nog een apart management Vlan eraan toevoeg later.

Laat privé gewoon untagged (vlan 1 untagged op de switches). De reden is dat IPv6 hardware offloading niet actief is op vlans en dit het beheer van de switches sterk vereenvoudigd.

 

Dat ik vlan 4 gebruik voor IPTV is puur arbitrair, ik had net zo goed vlan 60 kunnen gebruiken.

In dit bericht zie je de configuratie van mijn vlan voor IPTV.

Voor elk vlan neem je een aparte DHCP server op en zorg je dat deze ook in de DNS forwarder opgenomen is. De DNS servers in de DHCP server voor IPTV kan je het beste direct naar de DNS servers van KPN laten wijzen i.p.v. de DNS forwarder.

Onderstaand de definitie van mijn DNS forwarder.

In mijn situatie is eth3 de WAN interface, worden eth0 en eth1 gebruikt voor IoT, is eth2 in gebruik voor ons privé netwerk en zijn de vlans 2, 4 en 10 voor resp. het gastnetwerk, het IPTV netwerk en mijn zakelijke netwerk.

Zoals je ziet heb ik het IPTV netwerk dus niet in de DNS forwarder opgenomen.

Een andere functionaliteit die je hier geconfigureerd ziet is DNSSEC.

Bedankt Wjb!

Ik zal het artikel even doorlezen en kijken of ik hiermee verder kom.

Reputatie 1

@wjb

Heb je ook ergens staan hoe je een iot vlan aanmaakt in de edgerouter4? wil mijn iot apparaten op een aparte vlan zetten (wifi devices).

Reputatie 7

Als eerste maak je een DHCP server aan voor het IoT netwerk en die koppel je aan het lan of vlan dat je voor IoT wilt gaan gebruiken.

 

En als je jouw IoT apparatuur wilt afschermen van de rest vsn jouw netwerk dan zet je op dat lan een vlan inkomend een firewall op.

Zo blokkeer ik in de onderstaande firewall (met default action "accept") dat IoT apparatuur een verbinding op kan zetten met een ander apparaat op het thuisnetwerk. Deze firewall staat dus inkomend op het lan/vlan voor IoT. 

 

Daarnaast zorgt de onderstaande firewall dat IoT apparatuur ook niet met de EdgeRouter zelf kan communiceren anders dan voor DHCP en DNS requests.

 

Reputatie 1

@wjb 

ik moet wel eerst een vlan aanmaken toch? en heb je een screenshot van je firewall policies?

zoiets als dit?

 

Reputatie 7

IOT_IN moet default op "accept" staan.

IOT_LOCAL moet aan eth1.99/local gekoppeld worden.

Onderstaand de firewall rules in de config.boot. Op basis daarvan moet je de overeenkomstig velden in de GUI wel kunnen vinden.

 

Reputatie 1

@wjb ok…. de dhcp/vlan/dns werkt… enige gekke is, dat ik wel bij mijn synology kan op 192.168.2.1 ?

Reputatie 7

...enige gekke is, dat ik wel bij mijn synology kan op 192.168.2.1 ?

Vanaf waar?

Reputatie 1

...enige gekke is, dat ik wel bij mijn synology kan op 192.168.2.1 ?

Vanaf waar?

vanuit mijn iot vlan (ik verbind met dat wifi netwerk zeg maar, krijg ook 192.168.99.x adres)… ik host mijn dns op de synology, maar ik gewoo nnaar de webinterface…

En ik kan vanuit mijn eigen normale netwerk ook devices benaderen in mijn IOT_VLAN, dit hoort?

Reputatie 7

vanuit mijn iot vlan (ik verbind met dat wifi netwerk zeg maar, krijg ook 192.168.99.x adres)… ik host mijn dns op de synology, maar ik gewoo nnaar de webinterface…

En ik kan vanuit mijn eigen normale netwerk ook devices benaderen in mijn IOT_VLAN, dit hoort?

Dat je vanuit jouw normale netwerk apparaten op het IoT netwerk kunt benaderen is inderdaad de bedoeling. Die firewalls zijn alleen maar inkomend vanaf het IoT vlan.

Vanaf een apparaat op IoT netwerk zou je echter geen apparaten op jouw LAN mogen kunnen benaderen.

Kan jij de IOT_IN firewall hier eens kunnen posten.

Reputatie 1

vanuit mijn iot vlan (ik verbind met dat wifi netwerk zeg maar, krijg ook 192.168.99.x adres)… ik host mijn dns op de synology, maar ik gewoo nnaar de webinterface…

En ik kan vanuit mijn eigen normale netwerk ook devices benaderen in mijn IOT_VLAN, dit hoort?

Dat je vanuit jouw normale netwerk apparaten op het IoT netwerk kunt benaderen is inderdaad de bedoeling. Die firewalls zijn alleen maar inkomend vanaf het IoT vlan.

Vanaf een apparaat op IoT netwerk zou je echter geen apparaten op jouw LAN mogen kunnen benaderen.

Kan jij de IOT_IN firewall hier eens kunnen posten.

 

@wjb

hier staat mijn config https://gist.github.com/it-can/5434c799d63a7b4b9c3765435ae07c46

 

Klopt mijn iptv firewall ook? zag je aanpassing in het beginbericht

Reputatie 1

aaah zie t al, vergeten established en related aan te vinken… in IOT_IN

Reputatie 1

@wjb ik heb nog een firewall regel toegevoegd ivm mijn pihole… is dit wat?

 

 

Reputatie 7

aaah zie t al, vergeten established en related aan te vinken… in IOT_IN

Dus IOT_IN werkt nu goed?

Ik ervaar zelf immers (gelukkig maar) geen enkel probleem met de firewalls.

Reputatie 1

aaah zie t al, vergeten established en related aan te vinken… in IOT_IN

Dus IOT_IN werkt nu goed?

Ik ervaar zelf immers (gelukkig maar) geen enkel probleem met de firewalls.

Ja werkt top!

Reageer