Sticky

Gebruik een eigen router achter de Experia Box

  • 13 December 2013
  • 2066 reacties
  • 761892 keer bekeken
wjb
Rank
Reputatie 7

Ben je bij dit topic terechtgekomen omdat je op zoek bent naar een oplossing voor het verbeteren van de wifi dekking in jouw woning, lees dan niet dit hele artikel (zonde van de tijd ;)), maar schaf een goed wifi accesspoint aan. (Geen wifi extender of wifi repeater maar een wifi accesspoint.) Overweeg dan ook direct om een goed dual-band wifi accesspoint aan te schaffen zoals bijvoorbeeld de WiFi "versterker" van KPN of een accesspoint van EDIMAX of Ubiquiti.

Had je al een wifi router aangeschaft of heb je andere redenen om een eigen router in te zetten of heb je al een router aangeschaft, lees dan gerust verder.

De Experia Boxen van KPN (met name de V10) zijn prima routers voor de niet veeleisende eindgebruikers, maar aan de andere kant bieden ze niet de flexibiliteit die van een router verwacht zou mogen worden. Daarnaast is het iedereen wel bekend dat de Experia Boxen bepaalde functionaliteit niet ondersteunen of niet correct ondersteunen.

Denk hierbij aan:

  • VPN tunnels waardoor het niet mogelijk is om van buitenaf een VPN verbinding op te zetten met het netwerk thuis.
  • Parental control waarbij bepaalde sites geblokkeerd kunnen worden of voor apparaten een tijdslot ingesteld kan worden.


Nu is het mogelijk om de Experia Box te vervangen door een eigen router
(Zie: Gebruik een eigen router i.p.v. de Experia Box).

Dit heeft zo z'n voordelen, maar ook z'n nadelen.

Een voordeel is dat je volledige vrijheid hebt over de inrichting van jouw netwerk thuis en de communicatie met Internet, waarbij je absoluut niet beperkt wordt door de beperkingen van de Experia Box.

Een nadeel is dat het configureren van zo'n router toch wel enige "kennis" vereist en tevens dat je support van KPN kunt vergeten als je bijvoorbeeld een probleem hebt met Internet, televisie en/of de vaste telefoon.

Alternatief is om een tweede eigen router achter de Experia Box te plaatsen.

Deze router zal dan wel aan de onderstaande voorwaarden moeten voldoen:

  • De router moet geen dsl router zijn, maar een router waarvan de WAN (Internet) poort een "gewone" UTP poort (RJ45) is voor standaard netwerk kabels.
  • De router moet een WAN IP adres moet kunnen krijgen van de DHCP server van de Experia Box. (Ik ben echter nog geen routers tegengekomen die wel een "gewone" UTP WAN poort hebben en dit niet ondersteunen, m.u.v. de KPN Experia Boxen zelf.)
  • De router moet de door jou gewenste functionaliteit ondersteunen.


Belangrijk is het dan ook om vast te stellen welke functionaliteit je nodig hebt in de eigen router bij de selectie en aanschaf van de eigen router.

Dus stel jezelf de vraag wat je wilt bereiken met die eigen router.

Gaat het om:

  • het opzetten van een netwerk voor de gameconsoles en spelcomputers
  • het opzetten van gescheiden netwerken voor privé en zakelijk gebruik (thuiskantoor) waarbij VPN verbindingen nodig zijn voor het van buitenaf benaderen van het zakelijke netwerk.
  • het opzetten van een netwerk dat multicasting ondersteunt voor Bonjour, Airplay en Airprint
  • gewoon om van die Experia Box af te zijn
  • meer invloed te hebben op welke sites wel en niet benaderbaar mogen zijn (parental control)
  • een andere reden

Voor je het weet ben je een dief van je eigen portemonnee omdat je een dure router hebt aangeschaft waarvan je 80% van de functionaliteit niet gebruikt, of juist een goedkope router die toch niet blijkt te kunnen wat jij nodig hebt.

Voorbeelden:
Apart netwerk voor gameconsoles en spelcomputers

De router (bijvoorbeeld een Netgear WNR1000) moet UPnP ondersteunen.
De gameconsoles en spelcomputers die ook UPnP ondersteuning vereisen worden aangesloten op de eigen router.
Andere computers, tablets en telefoons kunnen zowel op de Experia Box als op de eigen router aangesloten worden.

4731i6B546646EBC1FEE9.png

Gescheiden netwerk voor privé en zakelijk gebruik met VPN

 

De router (bijvoorbeeld een Cisco RV180W) moet VPN verbindingen ondersteunen.
Alle computers, tablets, telefoons, NASsen, etc. die zakelijk gebruikt worden of via een VPN verbinding van buitenaf benaderbaar moeten zijn worden op de eigen router aangesloten.
Computers, tablets en telefoons die privé gebruikt worden, worden op de Experia Box aangesloten.

4733i1C98FBE9299B8F20.png

Netwerk dat multicasting ondersteunt t.b.v. Bonjour, Airplay en Airprint en Apple TV.

 

De router (bijvoorbeeld een Apple Airport Extreme, maar ook vele andere routers) moet multicasting ondersteunen.
Alle apparatuur die gebruik maken van Bonjour (en daarmee Airprint en Airplay) worden op de eigen router aangesloten.
Let op: Dit kunnen ook Windows PC's zijn aangezien ook Windows Bonjour ondersteunt.
Apparaten die geen gebruik maken van Bonjour kunnen op zowel de eigen router als op de Experia Box aangesloten worden.

4735i57771C70A53F6790.png

Netwerk voor alle apparaten m.u.v. de KPN TV ontvangers

 

Uiteraard kan ook gekozen worden om alle apparatuur op de eigen router aan te sluiten.
Afhankelijk van de gewenste functionaliteit zal dan uiteraard een router gekozen moeten worden die UPnP, multicasting en/of VPN tunnels ondersteunt.
Kies een router met een goede wifi dekking en indien gewenst ook 802.11ac (wifi) ondersteuning.

4743iB3CE537D13A92257.png


Configuratie:
Ongeacht de geselecteerde router is de configuratie van de router achter jouw Experia Box altijd hetzelfde.
Stap 1: Configureer jouw eigen router voor alle door jou gewenste functionaliteit. (Raadpleeg het manual van jouw eigen router om te zien hoe en waar je de instellingen kunt doen.)

Zorg er voor dat het WAN (Internet) IP adres van jouw eigen router door de DHCP server van de Experia Box uitgegeven wordt.

Als je handmatig een DNS server moet instellen (en dat is normaliter niet het geval als het WAN (Internet) IP adres door de DHCP server van de Experia Box uitgegeven wordt), vul hier dan het adres van jouw Experia Box in (192.168.2.254).

Activeer de DHCP server van jouw eigen router en zorg er voor dat deze IP adressen in een ander subnet dan die van de Experia Box liggen. Je kunt hier 192.168.x.x of 10.x.x.x subnetten gebruiken.

De Experia Box gebruikt subnet 192.168.2.xxx.

Stap 2: De Experia Box configureren.

Bepaal het MAC adres van de WAN (Internet) poort van jouw eigen router. (Raadpleeg het manual van jouw router om te zien waar je dit MAC adres kunt vinden.)

Maak een "DHCP binding" (static DHCP) voor het gevonden MAC adres. Kies hierbij voor een hoog (nog niet gebruikt) IP adres binnen de DHCP range van de experia Box bijvoorbeeld: 192.168.2.250. (De IP adressen 192.168.2.255 (broadcast), 192.168.2.254 (router) en 192.168.2.253 (interne FTP server) zijn al in gebruik door de Experia Box zelf.) Loopt de DHCP range van jouw Experia Box bijvoorbeeld van 1 tot 200, kies dan voor een IP adres boven in die reeks zoals 192.168.2.200 of 192.168.2.195.

Zet de DMZ functionaliteit aan en vul het gebruikte IP adres in bij de DMZ Host.

Verwijder eventuele handmatige "Port-Forwardings" op de Experia Box van protocollen (poorten) die naar de eigen router doorgestuurd moeten worden.

Sluit nu de WAN (Internet) poort van jouw eigen router met een UTP kabel aan op één van de LAN poorten van de Experia Box.

Voorkom dat jouw Internet aansluiting in quarantaine geplaatst wordt:

Als jouw eigen router het Simple Network Management Protocol (SNMP) ondersteunt, zorg dan dat deze uit gezet wordt. KPN zal, voor jouw eigen veiligheid, jouw Internet aansluiting vrij snel in quarantaine plaatsen als een apparaat in jouw netwerk via SNMP van buitenaf te benaderen is.

Bridge mode of router mode?

De meeste routers ondersteunen zowel de "router mode" als de "bridge mode".

Welke moet ik dan gebruiken?

In bridge mode wordt het netwerk achter de eigen router beheerd door de DHCP server van de Experia Box. Alle apparaten hebben dan dus IP adressen binnen het subnet van de Experia Box (192.168.2.xxx).

Het voordeel van de "bridge mode" mode is dat alle apparaten elkaar kunnen vinden, immers ze zitten allemaal in hetzelfde subnet.

Tegelijkertijd heeft dit ook een nadeel aangezien je gebruik maakt van functionaliteit van de Experia Box en als de Experia Box een "probleem heeft", dan geldt dit direkt ook voor de apparaten achter de eigen router.

In "router mode" wordt de aansturing van de apparaten achter de eigen router volledig door de eigen router uitgevoerd.

Het voordeel is dan ook dat apparaten achter de eigen router met elkaar kunnen blijven communiceren in het geval van een storing op de Experia Box. (Zelfs als je de Experia Box van stroom afhaalt.)

Een nadeel (of voordeel) is dat apparaten die op de Experia Box zijn aangesloten de apparaten achter de eigen router niet kunnen benaderen. (Overigens kunnen apparaten aangesloten op de eigen router wel apparaten bereiken die aangesloten zijn op de Experia Box .)

Mijn stelregel is dan ook:

Kies voor "bridge mode" als het je eigenlijk alleen te doen is om de wifi dekking in jouw woning te verbeteren.

Kies voor "router mode" om de afhankelijkheid van de Experia Box zo klein mogelijk te maken tenzij het een vereiste is dat apparaten die op de Experia Box zijn aangesloten moeten kunnen communiceren met apparaten die op de eigen router zijn aangesloten.

 

LET OP: Een router in "bridge mode" mag je nooit als DMZ Host van de Experia Box instellen.

Port forwarding als de eigen router in "router mode" staat:

Zoals eerder aangegeven moeten alle port-forwardings van poorten, die doorgestuurd moeten worden naar de eigen router, op de Experia Box verwijderd worden. Doordat de eigen router als DMZ Host van de Experia Box gedefinieerd is, zullen alle poorten, waarvoor op de Experia Box geen port-forwardings gedefinieerd zijn, naar de eigen router doorgezet worden, uitgezonderd TCP poort 8085 (remote beheer van Experia Box) en UDP poort 5060 (telefonie).

De benodigde port-forwardings voor apparaten aangesloten op de eigen router moeten hierbij op de eigen router aangemaakt worden. 

29 april 2015: Routed-iTV en de eigen router:

Zoals jullie misschien weten gaat KPN over van bridged-iTV naar routed-iTV.

Zo is dit op de V9 bij de laatste firmware update al geïntroduceerd en zullen de andere Experia Boxen volgen.

Routed-iTV houdt in dat de TV ontvangers een IP adres in de range van de Experia Box gaan krijgen (192.168.2.x) en niet meer zoals bij bridged-iTV in de 10.x.x.x range.

Het voordeel hiervan is dat een TV ontvanger ook aangesloten kan worden op de eigen router mits deze in bridge-mode gebruikt wordt.

De eigen router zal dan wel IGMP snooping moeten ondersteunen om te voorkomen dat de TV streams via wifi gebroadcast worden. Vrijwel elke wifi zender zal van zo'n broadcast "plat gaan".

Op de eigen router zal tevens de IGMP proxy server wel uitgezet moeten worden omdat anders de TV geheid na een paar minuten zal uitvallen.

Sluit een eigen router ook altijd met zijn WAN poort aan op het netwerk.

Er zijn mensen die de eigen "router" puur inzetten als wifi-accesspoint en daarbij deze niet met de WAN poort van de eigen "router" aansluiten op de Experia Box maar met een LAN poort.

Mijn advies: Niet doen, een eigen "router" sluit je aan op het netwerk via de WAN poort van deze router en niet via één van de LAN poorten. Heb jij deze situatie en ervaar je dit probleem met de TV, lees dan nog even de eerste alinea van dit bericht nog eens of configureer jouw eigen router in "bridge-mode" en sluit hem aan op het netwerk via de WAN poort. Mocht je, ondanks mijn advies, toch jouw eigen router met een LAN poort aangesloten laten op de Experia Box (omdat deze bijvoorbeeld geen WAN poort heeft), zet dan de IGMP proxy server op jouw eigen router uit.

Als de IGMP proxy server op de eigen router niet uitgezet is, dan zal je ervaren dat de TV er na een paar minuten mee ophoudt. Let op: Er zijn zelfs routers (zoals de Linksys EA6500) waarbij de IGMP proxy server niet meer uitgezet kan worden zodra deze in bridge-mode geplaatst wordt.

Be positive, avoid negativity, enjoy life and stay healthy!

2066 reacties

K
Rank

Hoi @wjb ,

OK, ben kennelijk nog iets te bleu in dit technische verhaal. Ik had inderdaad deze gebruikt, de onderste:

Als ik het goed snap gaat dat IGMP geheel ‘langs’ mn normale netwerkverkeer? Ik zal eens gaan googlen.

Ik krijg KPN as vrijdag, maar nog dsl, dus heb Experiabox nog even nodig, veronderstel ik 😀. Glasvezel moet nog gelegd worden, maar zal dit jaar gebeuren…

Ga vrijdag eerst aan de hand van jouw eerste post maar even (nou ja, even) klooien en kijken hoe ver ik kom. Meld me evt wel weer.

En trouwens @wjb , is dit jouw hobby of je werk? Veronderstel het eerste, maar lijkt het laatste, hoe vaak en snel je reageert 😀. leuk!

 

Tot later!

 

Bart.

wjb
Rank
Reputatie 7

Als je jouw EdgeRouter achter de Experia/KPN Box wilt gebruiken dan zal je de pppoe verbinding, eth0.4 en eth0.6 moeten deactiveren en eth0 o.b.v. DHCP een verbinding met de Experia/KPN Box moeten laten maken.

Ook hij de IGMP proxy server zal eth0.4 vervangen moeten worden door eth0.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Hoi wjb, ben inmiddels aangesloten en alles werkt. TV Box werkt volgens mij zoals het moet. Alleen schakelen tussen TV-kanalen duurt 4-6 seconden, overkomelijk maar opmerkelijk. Las er wel over dat dit mn voorkomt als TV in unocast ontvangen wordt. Klopt dat?

Beeldkwaliteit (het menuonderdeel in de TV-Box): multicast.

 

Mijn setup is:

Experiabox v12 — EdgeRouter-X — TPLink SG105e switch (unmanaged) — TVBox KPN

Experiabox: 192.168.2.254

ER-X: 192.168.2.2 op eth0 voor ExperiaBox.
192.168.1.1 op VLAN1 als native lan. Daarnaast nog vlan10 (192.168.10.0/24) voor RaspberryPi stuff en vlan20 (192.168.20.0/24) als gast-netwerk.
IGMP-proxy uit.
Ik heb geen scripts van jou geïnstalleerd als je de router ipv de ExperisBox wilt gebruiken.
KPN TV-Box heeft IP-adres 192.168.1.172.

Heb ER-X niet in DMZ op de Experiabox. Portforwarding van enkele protocollen naar een Raspi in Raspi-VLAN ingesteld zowel in ExperiaBox als ER-X. Begrijp dat in DMZ plaatsen van de ER-X zaken wat makkelijker instelbaar maakt en meer bescherming.

Bij mij wekt jouw onderstaande onderstreepte tekst verwarrend. Daarin stel je dat ik mn eigen router in bridge mode zou moeten zetten om te zorgen dat de TV doorgezet wordt. Echter mijn router staat gewoon in router mode en toch werkt alles zoals het moet. Klopt dat? Of is er sinds 2015 wat veranderd in dit opzicht. Ik hoor graag, ook als je nog tips hebt.

 

29 april 2015: Routed-iTV en de eigen router:

Zoals jullie misschien weten gaat KPN over van bridged-iTV naar routed-iTV.

Zo is dit op de V9 bij de laatste firmware update al geïntroduceerd en zullen de andere Experia Boxen volgen.

Routed-iTV houdt in dat de TV ontvangers een IP adres in de range van de Experia Box gaan krijgen (192.168.2.x) en niet meer zoals bij bridged-iTV in de 10.x.x.x range.

Het voordeel hiervan is dat een TV ontvanger ook aangesloten kan worden op de eigen router mits deze in bridge-mode gebruikt wordt.

 

Als laatste het vreemde dat ik de ExperiaBox vanuit mijn native LAN niet met Apple-apparatuur kan bereiken (server onvindbaar), maar bv met een Raspberry Pi in datzelfde netwerk wel… Maar goed, overkomelijk, zo vaak hoef ik niets te kunnen wijzigen in de ExperiaBox.

Hoor graag!

Mvg,

Bart.

wjb
Rank
Reputatie 7

Zet de IGMP proxy server aan en zet de upstream interface op eth0.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Zet de IGMP proxy server aan en zet de upstream interface op eth0.

OK en de downstream op switch0.1, van VLAN1 van mijn native LAN op zit.

Of toch een VLAN4 aanmaken en downstream aan switch0.4 koppelen met VLAN4 tagged naar de ethos-poort die naar de switch gaat waar de TV-Box op zit...

wjb
Rank
Reputatie 7

Zet de IGMP proxy server aan en zet de upstream interface op eth0.

OK en de downstream op de poort waar de switch op zit waar vervolgens de TVBox op zit. 

Zit die poort binnen de switch of is het een losse poort?

Mijn advies zou zijn om de TV Box op een eigen LAN of vlan te plaatsen omdat de switch van een ER-X geen IGMP snooping ondersteunt.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Ah OK, snap ik, had mijn vorige post daar al op aangepast, al denkende..

de poort van de TP-link switch is een losse poort eth2. TP-link ondersteunt IGMP-snooping

en moet ik dit bestand er wel op zetten: uit jouw readme file van je script.

Mocht je alleen de rfc3442-classless-routes willen installeren, volg dan de onderstaande instructies.

Kopieer het bestand copy-rfc3442-classless-routes naar de directory /config/scripts/post-config.d
Kopieer het bestand rfc3442-classless-routes naar de directory /config/user-data
Login op de EdgeRouter via een telnet of ssh sessie.
Wijzig de rechten van het bestand copy-rfc3442-classless-routes: chmod 744 /config/scripts/post-config.d/copy-rfc3442-classless-routes
Reboot de EdgeRouter
 

K
Rank

Hoi @wjb en anderen,

ik ben de afgelopen dagen aan het stoeien geweest om met de instructie van wjb de TVBox in VLAN4 te krijgen en dat lukt niet. Niet via DHCP en niet met een handmatig adres in VLAN4. Hij geeft dan aan geen internet te hebben en ik kan hem ook niet pingen. Met een RaspberryPi in VLAN4 op diezelfde switch (TP-LInk SG105e) lukt het wel: internetten en pingen. Enig idee wat hier aan de hand kan zijn? Ik hoor graag.

Mvg,

Bart.

wjb
Rank
Reputatie 7

Plaats hier eens de config.boot van jouw ER-X en screenshots van de vlan configuratie op jouw switch.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Beste wjb,

Mijn switch is een unmanaged TP-Link TL-SG105, die wel VLAN’s en IGMP Snooping ondersteunt. Kan daar dus geen screenshot van meesturen.

Dit is de melding die ik zie als ik de TVBox handmatig in VLAN4 wil plaatsen:

De boot.config is als volgt, waarbij ik VLAN4 met firewall-rules geconfigureerd heb als ware het een Guest-VLAN:

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        network-group Lokaal-netwerk {
            description "RFC1918 ranges"
            network 192.168.1.0/24
            network 192.168.10.0/24
            network 192.168.20.0/24
            network 192.168.0.0/24
            network 10.0.0.0/8
        }
    }
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name IPTV_LAN_IN {
        default-action accept
        description "IPTV naar LAN"
        rule 10 {
            action accept
            description "Webserver toestaan"
            destination {
                address 192.168.1.1
                port 80,443
            }
            log disable
            protocol tcp
        }
        rule 20 {
            action accept
            description "IPTV_to_lan Established en related"
            destination {
                group {
                }
            }
            log disable
            protocol all
            source {
                group {
                }
            }
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 40 {
            action accept
            description "IPTV_in established en related"
            destination {
                group {
                }
            }
            log disable
            protocol tcp_udp
            source {
                group {
                    address-group NETv4_switch0.1
                }
                port 53,22,80,139,443,445,5800,5900
            }
        }
        rule 50 {
            action drop
            description "Drop LAN"
            destination {
                group {
                    network-group Lokaal-netwerk
                }
            }
            log disable
            protocol all
        }
    }
    name IPTV_to_Local {
        default-action drop
        description "IPTV naar Router"
        rule 1 {
            action accept
            description "DNS toestaan"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 2 {
            action accept
            description "DHCP toestaan"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
        rule 3 {
            action accept
            description Established
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name Katoen_Gast_LAN {
        default-action accept
        description "Gast naar LAN"
        rule 20 {
            action accept
            description Gast_naar_LAN
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 40 {
            action drop
            description Drop_LAN
            destination {
                group {
                    network-group Lokaal-netwerk
                }
            }
            log disable
            protocol all
        }
    }
    name Katoen_Gast_Local {
        default-action drop
        description "Katoen_gast naar router"
        rule 1 {
            action accept
            description "DNS toestaan"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 2 {
            action accept
            description "DHCP toestaan"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
    }
    name Raspi_LAN_IN {
        default-action accept
        description "Raspi naar LAN"
        rule 10 {
            action accept
            description "Webserver toestaan"
            destination {
                address 192.168.1.1
                port 80,443
            }
            log disable
            protocol tcp
        }
        rule 20 {
            action accept
            description "Raspi_to_lan Established en related"
            destination {
                group {
                }
            }
            log disable
            protocol all
            source {
                group {
                }
            }
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 40 {
            action accept
            description "Raspi_in established en related"
            destination {
                group {
                }
            }
            log disable
            protocol tcp_udp
            source {
                group {
                    address-group NETv4_switch0.1
                }
                port 53,22,80,139,443,445,5800,5900
            }
        }
        rule 50 {
            action drop
            description "Drop LAN"
            destination {
                group {
                    network-group Lokaal-netwerk
                }
            }
            log disable
            protocol all
        }
    }
    name Raspi_to_Local {
        default-action drop
        description "Raspi naar Router"
        rule 1 {
            action accept
            description "DNS toestaan"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 2 {
            action accept
            description "DHCP toestaan"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
        rule 3 {
            action accept
            description Established
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow IGMP Multicast"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol all
        }
    }
    name WAN_IPTV_IN {
        default-action drop
        description "WAN_IPTV to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow IGMP Multicast"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol udp
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth1 {
        description Trunk-TPSwitch-MK
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Trunk-TPSwitch-WK
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description NAS
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description Trunk-ERX-B
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        description Local
        mtu 1500
        switch-port {
            interface eth1 {
                vlan {
                    pvid 1
                    vid 4
                    vid 10
                    vid 20
                }
            }
            interface eth2 {
                vlan {
                    pvid 1
                    vid 4
                    vid 10
                    vid 20
                }
            }
            interface eth3 {
                vlan {
                    pvid 1
                    vid 10
                    vid 20
                }
            }
            interface eth4 {
                vlan {
                    pvid 1
                    vid 4
                    vid 10
                    vid 20
                }
            }
            vlan-aware enable
        }
        vif 1 {
            address 192.168.1.1/24
            description LAN
            mtu 1500
        }
        vif 4 {
            address 192.168.4.1/24
            description VLAN4
            firewall {
                in {
                    name IPTV_LAN_IN
                }
                local {
                    name IPTV_to_Local
                }
            }
            mtu 1500
        }
        vif 10 {
            address 192.168.10.1/24
            description VLAN_Raspi
            firewall {
                in {
                    name Raspi_LAN_IN
                }
                local {
                    name Raspi_to_Local
                }
                out {
                }
            }
            mtu 1500
        }
        vif 20 {
            address 192.168.20.1/24
            description VLAN_Gast
            firewall {
                in {
                    name Katoen_Gast_LAN
                }
                local {
                    name Katoen_Gast_Local
                }
            }
            mtu 1500
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat disable
    rule 1 {
        description HTTP
        forward-to {
            address 192.168.10.2
            port 80
        }
        original-port 80
        protocol tcp
    }
    rule 2 {
        description HTTP2
        forward-to {
            address 192.168.10.2
            port 3000
        }
        original-port 3000
        protocol tcp
    }
    rule 3 {
        description SQL
        forward-to {
            address 192.168.10.2
            port 3306
        }
        original-port 3306
        protocol tcp
    }
    rule 4 {
        description HTTP3
        forward-to {
            address 192.168.10.2
            port 443
        }
        original-port 443
        protocol tcp
    }
    wan-interface eth0
}
protocols {
    igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface switch0.4 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "log-facility local2;"
        hostfile-update disable
        shared-network-name IPTV {
            authoritative disable
            subnet 192.168.4.0/24 {
                default-router 192.168.4.1
                dns-server 195.121.1.34
                dns-server 195.121.1.66
                domain-name iptv.local
                lease 86400
                start 192.168.4.5 {
                    stop 192.168.4.200
                }
            }
        }
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.5
                lease 86400
                start 192.168.1.105 {
                    stop 192.168.1.200
                }
                static-mapping Bs-kamer {
                    ip-address 192.168.1.21
                    mac-address e0:89:7e:64:fd:ff
                }
                static-mapping Bose_SoundTouch_A0A091 {
                    ip-address 192.168.1.50
                    mac-address 00:0c:8a:b5:5b:50
                }
                static-mapping MBP-van-B {
                    ip-address 192.168.1.40
                    mac-address 78:4f:43:5a:c6:ec
                }
                static-mapping MBP-van-W {
                    ip-address 192.168.1.45
                    mac-address ac:bc:32:d0:0b:89
                }
                static-mapping MBP-van-B-eth {
                    ip-address 192.168.1.41
                    mac-address 00:0a:cd:2a:5e:d0
                }
                static-mapping Samsung-Galaxy-Tab-2016 {
                    ip-address 192.168.1.18
                    mac-address 78:00:9e:53:25:f2
                }
                static-mapping Woonkamer {
                    ip-address 192.168.1.20
                    mac-address c8:d0:83:bd:37:7f
                }
                static-mapping iPad-mini-B {
                    ip-address 192.168.1.14
                    mac-address 1e:f5:08:e4:c7:90
                }
                static-mapping iPhone-B {
                    ip-address 192.168.1.10
                    mac-address e6:45:e7:61:76:2e
                }
                static-mapping iPhone-W {
                    ip-address 192.168.1.11
                    mac-address de:6f:01:ca:e8:da
                }
                static-mapping tvbfa4cdbcd1d7 {
                    ip-address 192.168.1.52
                    mac-address fc:f1:52:8d:a0:1e
                }
            }
        }
        shared-network-name VLAN_Gast {
            authoritative disable
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
                dns-server 1.1.1.1
                lease 86400
                start 192.168.20.50 {
                    stop 192.168.20.100
                }
            }
        }
        shared-network-name VLAN_Raspi {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.2
                lease 86400
                ntp-server 192.68.1.1
                start 192.168.10.50 {
                    stop 192.168.10.100
                }
                static-mapping Envoy-Gateway {
                    ip-address 192.168.10.20
                    mac-address 3c:e0:64:ee:7b:c9
                }
                static-mapping Honeywell-Gateway79F6A5 {
                    ip-address 192.168.10.15
                    mac-address b8:2c:a0:79:f6:a5
                }
                static-mapping MariaDB {
                    ip-address 192.168.10.2
                    mac-address dc:a6:32:4c:ed:cb
                }
                static-mapping PicoW3-Balkon {
                    ip-address 192.168.10.12
                    mac-address 28:cd:c1:07:06:bf
                }
                static-mapping PicoW_OLED {
                    ip-address 192.168.10.11
                    mac-address 28:cd:c1:05:68:84
                }
                static-mapping Raspi4-Rood {
                    ip-address 192.168.10.6
                    mac-address e4:5f:01:46:cb:b4
                }
                static-mapping Raspi5 {
                    ip-address 192.168.10.5
                    mac-address d8:3a:dd:ab:87:75
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0.1
            listen-on switch0.10
            listen-on switch0.20
            listen-on switch0.4
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 1 {
            description "DNS inbound redirection voor LAN"
            destination {
                address 192.168.10.2
                port 53
            }
            inbound-interface switch0.1
            inside-address {
                address 192.168.10.2
                port 53
            }
            log disable
            protocol tcp_udp
            type destination
        }
        rule 2 {
            description "DNS inbound redirection voor LAN"
            destination {
                address 192.168.10.2
                port 53
            }
            inbound-interface switch0.4
            inside-address {
                address 192.168.10.2
                port 53
            }
            log disable
            protocol tcp_udp
            type destination
        }
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
        rule 5011 {
            description "masquerade voor DNS LAN"
            destination {
                address 192.168.10.2
                port 53
            }
            log disable
            outbound-interface switch0.10
            protocol tcp_udp
            source {
                address 192.168.1.0/24
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    gateway-address 192.168.2.254
    host-name EdgeRouter-X-5-Port
    login {
        user XXXX {
            authentication {
                encrypted-password XXX
                plaintext-password ""
            }
            full-name "XXXX"
            level admin
        }
    }
    name-server 192.168.1.5
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        file dhcpd {
            archive {
                files 5
                size 5000
            }
            facility local2 {
                level debug
            }
        }
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.7.5622731.230615.0857 */

 

wjb
Rank
Reputatie 7

Katoen58 schreef:

Mijn switch is een unmanaged TP-Link TL-SG105, die wel VLAN’s en IGMP Snooping ondersteunt. Kan daar dus geen screenshot van meesturen.

Waarom niet, je hebt daar toch ook op een scherm dat vlan in moeten stellen. Daar kan je dan toch een screenshot van maken en hier posten.

 

Kan je ook de DNS request niet redirecten op vlan 4 maar deze direct naar de DNS servers van KPN laten wijzen.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Hoi wjb,

Waarom niet, je hebt daar toch ook op een scherm dat vlan in moeten stellen. Daar kan je dan toch een screenshot van maken en hier posten.

Nee, hij is unmanaged (evenals de SG105e) en geeft VLAN’s gewoon automatisch door. Kan/hoef daar niets in te stellen. Zou ook niet weten op welk IP-adres van de switch ik moet zijn dan, als het wel zou kunnen… Volgens mij is de de TL-SG105mpe wel managed….

 

Kan je ook de DNS request niet redirecten op vlan 4 maar deze direct naar de DNS servers van KPN laten wijzen.

Oeps, nu ga je me net iets te snel ;-). Bedoel je de DNS instellingen van de VLAN4-dhcp-server (die staan op KPN volgens mij, uit jouw config.boot overgenomen. Of bedoel de NAT-rules?

wjb
Rank
Reputatie 7

Hoi wjb,

Waarom niet, je hebt daar toch ook op een scherm dat vlan in moeten stellen. Daar kan je dan toch een screenshot van maken en hier posten.

Nee, hij is unmanaged (evenals de SG105e) en geeft VLAN’s gewoon automatisch door. Kan/hoef daar niets in te stellen. Zou ook niet weten op welk IP-adres van de switch ik moet zijn dan, als het wel zou kunnen… Volgens mij is de de TL-SG105mpe wel managed….

Als je op jouw switch geen vlans geconfigureerd hebt, dan gaat het natuurlijk ook niet werken.

Op de TP-Link SG105e kan je wel degelijk vlans instellen en dat zal je ook moeten doen.

Onderstaand een screenshot van één van mijn Netgear GS105e’s waarbij poort 1 richting de EdgeRouter gaat en op poort 5 een TV ontvanger aangesloten is.

 

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Hoi wjb, ik heb echter de sg105, die kennelijk VLAN’s wel doorgeeft (Ondersteunt 802.1p/DSCP QoS en IGMP Snooping), tagged denk ik, maar ik kan geen untagged poorten instellen. Ik heb een aantal van die 105’s hier en overal netjes mn VLAN’s. Maar snap dat het voor de TV’box nodig is dat ie op een untagged-poort zit. Dus zou de SG105 kunnen vervangen door een 105e.

Heb trouwens voor de aardigheid de TVBox direct in de Experiabox geplugd. Hij krijgt dan een IP-adres in de range van de Experiabox met nog 2 extra adressen (neem aan ipv6) tov als ik hem in de ERX plug. eerste foto is direct in Experiabox, 2de als ik hem in de ERX plug. Verschil dat als je in het openingsmenu op een zender staat je in het eerste geval ook het bijbehorende geluid krijgt, als in de ERX geplugd niet.

 In ERX:

Kennelijk moet ik ook nog naar de instellingen in de ERX kijken (welke?) om te zorgen dat die extra kanalen ook doorgegeven worden.

Nogmaals dank trouwens voor al je reacties. Voel me af en toe wel een nitwit op dit gebied (wat ik denk ik ook ben, haha!) Ik hoop te horen….

wjb
Rank
Reputatie 7

Katoen58 schreef:

Hoi wjb, ik heb echter de sg105, die kennelijk VLAN’s wel doorgeeft, tagged, maar ik kan geen untagged poorten instellen.

Dat is wel cruciaal, de pvid moet het gebruikt vlan zijn en dat vlan moet untagged op de poort staan, anders gaat het niet werken.

Be positive, avoid negativity, enjoy life and stay healthy!
K
Rank

Hoi wjb, alles gelukt met een SG105e. Nog even gefröbelt met de ERX als managed switch, maar struikelde natuurlijk over de IGMP-snooping en het feit dat je geen 2 IGMP-proxy servers achter elkaar kan hebben, haha. Dank! Als ik glasvezel heb kom ik tzt wellicht nog terug hoe de instellingen te wijzigen als ik de ERX als router ga gebruiken zonder de Esperia-box. Kan jouw script gebruiken, maar dan moet ik de rest weer herinrichten. Dank en wellicht tot later!!

 

Mvg,

Bart.

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden