Sticky

Gebruik een eigen router i.p.v. de Experia Box

  • 8 September 2018
  • 6878 reacties
  • 413482 keer bekeken


Toon eerste bericht

6878 reacties

Reputatie 7

In dit bericht vind je een voorbeeld van een firewall ruleset om toegang naar alle lokale vlans te blokkeren. Het voorbeeld is t.b.v. een gastnetwerk (een vlan) maar kan zo gekopieerd worden naar andere vlans.

 

Ook ik gebruik, zoals je in het screenshot in het openingsbericht kunt zien, meerdere vlans.

Ik gebruik geen vlan voor het primaire thuisnetwerk en zet deze binnen de switches op vlan 1 untagged.

De reden om geen vlan te gebruiken voor het primaire thuisnetwerk is omdat hardware offloading van IPv6 voor zowel vlan als pppoe niet mogelijk is op de EdgeRouters.

Daarnaast gebruik is vlan 2 voor het gastnetwerk, vlan 4 voor de TV ontvangers en vlan 10 voor mijn zakelijke netwerk.

Wat jij wil is dus prima mogelijk maar mijn advies is om vlan 20 te vervangen door geen vlan. 

Ah kijk, echt heel gaaf dat het wel kan. Ik loop helemaal vast hah dus wou de hoop bijna opgeven. welke Switch heb jij? Ik loop helemaal vast in de instellingen welke ik moet zetten, doe het via de netgear gui. Wellicht dat ik bij jou kan spieken? 

Heb het nu aangepast naar wat jij zegt

 

 

Reputatie 7

Voordat je met de vlan instellingen op de switch aan de gang gaat, zou ik je echt willen adviseren om vlan 20 weer zonder vlan op het LAN niveau te plaatsen.

Ook ik gebruik Netgear switches.

Plaats hier na jouw aanpassingen (vlan 20 -> lan) eens screenshots van de vlan instellingen op jou switches.

Even om zeker te zijn: ons berichten hebben elkaar gekruist denk ik. VLAN 20 heb ik verwijderd toch?

Heb nu net mijn switch gereset. Ik doe iets verkeerd: op gegeven moment wordt de switch onbereikbaar. Zou je jouw settings willen delen zodat ik die kan kopiëren?

Reputatie 7

Even om zeker te zijn: ons berichten hebben elkaar gekruist denk ik. VLAN 20 heb ik verwijderd toch?

De (v)lan instellingen op de EdgeRouter zien er goed uit.

 

Heb nu net mijn switch gereset. Ik doe iets verkeerd: op gegeven moment wordt de switch onbereikbaar.

Dat is een bekend bugje van de Netgear switches.

Geef jouw switch een vast IP adres ergens hoog in de range van het LAN, bijvoorbeeld 192.168.2.253 door deze hard op de switch in te stellen en leg deze ook als static mapping onder de DHCP server vast zodat dit IP adres niet aan een ander apparaat toegewezen zal worden. 

Ga ik dat eerst even doen, wist ik niet van!

 

u weet ik niet hoe de vlan memberships eruit moeten zien in de netgear. Deze settings heb ik nu:

 

Reputatie 7

Zet vlan 1 untagged op poort 1 t/m 14.

Zet de pvid van poort 1 t/m 14 op 1.

De pvid van poort 15 en 16 worden ingesteld op de vlans die daar als untagged gedefinieerd zijn.

Reputatie 7
Badge +22

 

Heb nu net mijn switch gereset. Ik doe iets verkeerd: op gegeven moment wordt de switch onbereikbaar.

Dat is een bekend bugje van de Netgear switches.

Nee... de switch meld zich aan bij de dhcp server van een ander vlan. Dat is bij mij ook zo. En niet alleen bij Netgear. Ook bij TP-Link. Precies hetzelfde. Ik heb 5 switchen. 3 van Netgear en 2 van TP-Link. Als je de stekker uit het stopcontact haalt en er opnieuw in steekt, dan melden ze zich in eerste instantie aan op het LAN netwerk. Na verloop van tijd dwarrelen ze over de vlans uit. Ik snap er niks van dat da kan. En dat het in de switch niet vast in te stellen is dat ze op het LAN netwerk moeten blijven.

Heb die nu gezet. Wat wel vreemd is dat ik wel een static ip van 192.168.2.199 kan zetten op de switch maar die niet zie in de edgerouter. 

 

 

Reputatie 7

Heb die nu gezet. Wat wel vreemd is dat ik wel een static ip van 192.168.2.199 kan zetten op de switch maar die niet zie in de edgerouter. 

 

Dat is logisch want jouw switch is nu geen DHCP cliënt meer. Je zult die Static MAC/IP Mapping dus handmatig moeten instellen. Dit moet je wel doen om te voorkomen dat dat IP adres (192.168.2.199) ooit aan een ander apparaat toegewezen kan worden.

Oke heb mac adres/ip adres ingesteld op de edgerouter 4. 

 

Rare is dat ik nu met deze instellingen volgens de PC wel internet heb maar niet kan browsen of andere internet gerelateerde zaken. Krijg wel de goede ip adres want had de pc aangesloten op poort 15 (vlan80). Enig idee hoe dat kan? 

 

 

Reputatie 7

Heb jij de DNS forwarder (Config Tree - service - dns - forwarding) aangevuld voor de vlans?

Ah, nee: heb er ook nog nooit van gehoord haha. Wat moet ik daar toevoegen?

Ik vermoed de volgende options toevoegen?

listen-address=192.168.10.254

listen-address=192.168.40.254

listen-address=192.168.80.254

 

Reputatie 7

Ah, nee: heb er ook nog nooit van gehoord haha. Wat moet ik daar toevoegen?

Ik vermoed de volgende options toevoegen?

listen-address=192.168.10.254

listen-address=192.168.40.254

listen-address=192.168.80.254

En bij listen-on  eth1.10, eth1.40 en eth1.80.

Heb het ingevuld maar hij hij blijft het niet doen, op 40 en 80 niet. 

Reputatie 7

Plaats ook eens een screenshot van de DHCP servers voor die vlans.

Ik zie overigens ook dat de default gateway van die op vlan 80 aangesloten PC op 192.268.80.1 staat en dat is niet correct. Deze moet op 192.168.80.254 staan immers dat is, neem ik aan, het IP adres dat je op de EdgeRouter bij eth1.80 hebt ingesteld.

Hierbij de DHCP setup van bijv. 40. de anderen zijn gelijk. Hier zit de fout. zal die op 254 zetten. 

Hmm, nu die op 254 staat werkt het nog niet. 

 

 

Reputatie 7

Plaats eens een screenshot van de definitie van eth1.80.

 

Reputatie 7

Plaats jouw config.boot eens in een spoiler hier op het forum.

Je kunt jouw config.boot met WINSCP eenvoudig naar een Windows PC kopiëren en openen als kladblok.

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN IPv6 naar LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            icmpv6 {
                type echo-request
            }
            protocol ipv6-icmp
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN IPv6 naar Router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "Allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN naar LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_IPTV_IN {
        default-action drop
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "Allow IGMP multicasts"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol udp
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN naar Router"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description FTTH
        duplex auto
        mtu 1512
        speed auto
        vif 4 {
            address dhcp
            description "KPN IPTV"
            dhcp-options {
                client-option "send vendor-class-identifier "IPTV_RG";"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IPTV_IN
                }
            }
            mtu 1500
        }
        vif 6 {
            description "KPN Internet"
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface eth1 {
                            host-address ::1
                            no-dns
                            prefix-id :1
                            service slaac
                        }
                        prefix-length /48
                    }
                    rapid-commit enable
                }
                firewall {
                    in {
                        ipv6-name WANv6_IN
                        name WAN_IN
                    }
                    local {
                        ipv6-name WANv6_LOCAL
                        name WAN_LOCAL
                    }
                }
                idle-timeout 180
                ipv6 {
                    address {
                        autoconf
                    }
                    dup-addr-detect-transmits 1
                    enable {
                    }
                }
                mtu 1500
                name-server auto
                password ppp
                user-id 24-5a-4c-50-69-a6@internet
            }
        }
    }
    ethernet eth1 {
        address 192.168.2.254/24
        description Thuis
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2a02:a47f:e000::53
                name-server 2a02:a47f:e000::54
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
        vif 10 {
            address 192.168.10.1/24
            description VLANGARAGE
            mtu 1500
        }
        vif 40 {
            address 192.168.40.1/24
            description VLANWEIDE
        }
        vif 80 {
            address 192.168.80.1/24
            description VLANMGMT
            mtu 1500
        }
    }
    ethernet eth2 {
        description "Niet in gebruik"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
protocols {
    igmp-proxy {
        interface eth0.4 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name DHCPVLANGARAGE {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.254
                dns-server 192.168.10.254
                lease 86400
                start 192.168.10.1 {
                    stop 192.168.10.250
                }
            }
        }
        shared-network-name DHCPVLANMGMT {
            authoritative disable
            subnet 192.168.80.0/24 {
                default-router 192.168.80.254
                dns-server 192.168.10.254
                lease 86400
                start 192.168.80.1 {
                    stop 192.168.80.250
                }
            }
        }
        shared-network-name DHCPVLANWEIDE {
            authoritative disable
            subnet 192.168.40.0/24 {
                default-router 192.168.40.254
                dns-server 192.168.40.254
                lease 86400
                start 192.168.40.1 {
                    stop 192.168.40.250
                }
            }
        }
        shared-network-name Thuis {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.254
                dns-server 192.168.2.254
                lease 86400
                start 192.168.2.1 {
                    stop 192.168.2.200
                }
                static-mapping Switch {
                    ip-address 192.168.2.199
                    mac-address 08:02:8e:a7:a6:61
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 4000
            listen-on eth1
            listen-on eth1.10
            listen-on eth1.40
            listen-on eth1.80
            name-server 195.121.1.34
            name-server 195.121.1.66
            name-server 2a02:a47f:e000::53
            name-server 2a02:a47f:e000::54
            options listen-address=192.168.2.254
            options listen-address=192.168.10.254
            options listen-address=192.168.40.254
            options listen-address=192.168.80.254
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5000 {
            description IPTV
            destination {
                address 213.75.112.0/21
            }
            log disable
            outbound-interface eth0.4
            protocol all
            source {
            }
            type masquerade
        }
        rule 5010 {
            description Internet
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    telnet {
        port 23
    }
    unms {
        disable
    }
}
system {
    domain-name thuis.local
    host-name Thuis
    login {
        user ubnt {
            authentication {
                encrypted-password $6$pwn.dFYCN/bISx$eF7Pk2C4.0bgPI0jT7/O8Pht6EZLCsldYeyBBuGVjlEItZodZifJqkvj5AkFgoIY4DZLDKmjR75fCSD0dO55K0
                plaintext-password ""
            }
            level admin
        }
    }
    name-server 127.0.0.1
    ntp {
        server 0.nl.pool.ntp.org {
        }
        server 1.nl.pool.ntp.org {
        }
        server ntp0.nl.net {
        }
        server ntp1.nl.net {
        }
        server time.kpn.net {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            pppoe enable
            vlan disable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi disable
        export disable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1228 */
 

 

Reageer