Netwerk uitbreiden (uit leergierigheid)

[NuKeM]

Ik zie al enige tijd de Ubiquiti en Routerboard oplossingen hier de revue passeren en dat heeft mij geprikkeld. In bijlage mijn huidige netwerk dat gecentreerd is rond mijn L2 managed switch. De wifi wordt voorzien door de Telenet router met wifi.
Ik gebruik tot op heden enkel de managed capaciteiten van mijn switch voor het toepassen van een link aggregatie naar mijn Synology NAS... voor de sport want nodig is het niet echt
Voor de rest zijn er wat standaard clients (wired, maar ook over wifi) en nog twee ipcams die via de NAS aangestuurd worden.
De NAS draait ook een VPN server (PPTP, aangezien OpenVPN vanuit het werk niet wou lukken).

Ik ben absoluut geen netwerkspecialist, maar wens graag bij te leren. Daarom zou ik graag onderstaande veranderingen doorvoeren:

• Aangezien de Telenet modem/router/AP niet echt optimaal staat is de wifi dekking in het huis niet overal even goed. Ik dacht dus een AP (bv. een Unifi van Ubiquiti) meer centraal te plaatsen.
• Wifi van Telenet uitschakelen (over eigen AP heb ik meer controle, zie ook volgende punten)
• IPcams uit het huidige netwerk te halen (virtueel of met routing/firewall regels) zodat enkel één huiscomputer en de NAS deze kunnen benaderen, kwestie van het ongewenste meekijkerrisico in te perken
• Wifi beter afschermen. Ik weet dat WPA2 AES veilig genoeg zou moeten zijn, maar voor de sport zou ik wat rules willen maken die de wifi toegang tot het interne netwerk reguleren
• Eventueel een extra 'wall' voorzien tussen telenet router en het eigen netwerk
• Bonus: IPv6 klaar kunnen zijn als dat moet
• Bonus: VoIP (al staat dat nog niet op mijn planning)

De Digicorder behoudt bij voorkeur zijn interactieve functies. De Telenet modem/router/AP mag blijven, een modem only is misschien ook leuk (voor de sport), maar moet niet.

Wat betreft routering en firewall, denk ik dat een Mikrotik RouterBoard RB951G-2HND voldoende moet zijn? Wat met een Ubiquiti EdgeRouter Lite, of heeft die te weinig poorten?

Daarnaast een AP. Dit kan een misbruikte goedkope router worden of bv. een Ubiquiti Unifi zijn. De RB951G-2HND is eventueel ook inzetbaar als AP (al is dit moeilijk gezien de positie van mijn netwerk/server hoek waar die zal staan, maar het kan maar helpen in het uitbreiden van de dekking).

Ik heb alles in bijlage proberen weer te geven.

Wat denken de experten hier? Is het haalbaar? Ben ik aan het dromen? Wil ik te ver springen (voor de sport)?

Ik weet/denk dat ik eigenlijk een deel van mijn wensen al met VLANs zou kunnen oplossen, maar de Link Aggregatie naar de NAS ondersteunt niet eenvoudig meerdere VLAN id's via een 802.1Q trunk (wat nodig is als ik bv. de IPcams een eigen VLAN ID geef met daarnaast nog de Wifi en het interne netwerk).

[ubremoved_539]

Wat betreft routering en firewall, denk ik dat een Mikrotik RouterBoard RB951G-2HND voldoende moet zijn?

Da's ruim voldoende... en als je zelfs aan Unifi AP's denkt dan heb je dit AP eigenlijk niet nodig.

Wat met een Ubiquiti EdgeRouter Lite, of heeft die te weinig poorten?

Geen idee wat die dingen kosten of kunnen... maar prijs/kwaliteit ga je vermoedelijk niet op kunnen tegen het Routerboard.

Daarnaast een AP. Dit kan een misbruikte goedkope router worden of bv. een Ubiquiti Unifi zijn.

Als je meerdere AP's nodig hebt zou ik zeker voor de Unifi gaan... en trouwens geen andere AP's plaatsen. Je gaat namelijk pas ten volle genieten als je bij één merk blijft (ook wat betreft beheer, guest access, VLAN's, handovers, ...)

Wat denken de experten hier? Is het haalbaar? Ben ik aan het dromen? Wil ik te ver springen (voor de sport)?

Tuurlijk is het haalbaar... ik heb een gelijkaardige setup al is die ook nog ver van volledig geconfigureerd zoals ik het wil.

Ik weet/denk dat ik eigenlijk een deel van mijn wensen al met VLANs zou kunnen oplossen, maar de Link Aggregatie naar de NAS ondersteunt niet eenvoudig meerdere VLAN id's via een 802.1Q trunk (wat nodig is als ik bv. de IPcams een eigen VLAN ID geef met daarnaast nog de Wifi en het interne netwerk).

Dit kan perfect met VLAN's en is geen enkel probleem icm. je NAS (via je Routerboard kan je routen tussen de VLAN's en de nodige rules instellen).

Het enige probleem dat ik meteen zie is dat niet al je switches managed zijn... hier ga je dus in de problemen komen met oa. je Digicorder die niet achter een router mag zitten (en je kan het ook niet oplossen met VLAN's omdat die switch niet managed is).

Have fun zou ik zeggen !

[krisken]

Het enige probleem dat ik meteen zie is dat niet al je switches managed zijn... hier ga je dus in de problemen komen met oa. je Digicorder die niet achter een router mag zitten (en je kan het ook niet oplossen met VLAN's omdat die switch niet managed is).

Klopt, dat gaan een probleem vormen dat op te lossen is door een goedkoop routerboardje te nemen (kost geen drol) en dat ook daar te zetten.

[NuKeM]

Ik ben het eens wat meer in detail aan het bekijken. En de hint van r2504 om de RouterBoard tussen VLANs te laten routeren is doorgedrongen. Al zijn er nog wat vragen.

In eerste instantie wou ik de netwerken echt fysiek scheiden (dus echt een kabel die op de RouterBoard toekomt enkel voor Wifi, Intern netwerk, IPcams, ...), maar praktisch is dat moeilijk en het legt mijn flexibiliteit aan banden... dus, het verhaal waarom VLANs eigenlijk zo handig zijn begint bij mij door te dringen
In bijlage enkele schema's met het (afgevoerde) fysiek gescheiden netten idee, dan moest ik enkel een kabeltje tussen TV hoek en Bureau bijtrekken. Maar, als ik dan eens elders een Wifi accesspoint wilde plaatsen was ik gezien natuurlijk...

Dus in bijlage de VLAN oplossing. Ik neem aan dat ik dan zoals bij fysiek gescheiden netwerken met de RouterBoard firewall en routing rules kan stellen tussen de VLANs en aldus ook gewoon de Digicorder in een eigen VLAN te steken die dan 'gebridged?' wordt naar de Telenet router. Verkeer tussen gebruikers in dezelfde VLAN passeert de router niet (denk ik) dus die kabel tussen main switch en RouterBoard gaat geen netwerk bottleneck worden? Wel gaat over deze kabel alle internet verkeer, IPcams, wifi, wat zou moeten lukken met een 1 Gigabit/s verbinding (als het RouterBoard dit al kan trekken want ik weet niet wat ik van de "Performance test results" op hun website moet maken?).

Hiervoor moet ik natuurlijk bijkomende managed switches aankopen. Een nieuwe main switch en RouterBoard en een kleine managed switch OF is misschien één RouterBoard van het hogere gamma (RB1100AHx2) beter geschikt (en mogelijk goedkoper dan nieuwe switch + kleinere RouterBoard)?

Als ik het goed begrijp moeten de clients zelf (zoals de IPcams) geen VLAN ondersteunen aangezien dit op de switches gebeurt (op poort basis). M.a.w. de client moet de 802.1Q header niet in het ethernet frame zetten, maar de switch kan dit doen op poortbasis? Dus bv. alles op poort 1 krijgt sowieso VLAN ID 1 ofzo?
Waar ik ook nog niet uit ben (even de manual van mijn switch doorgenomen) is hoe ik meerdere VLANs door lus naar de andere switches of de RouterBoard... ik dacht dat dat een VLAN Trunk was (zoals hieronder weergegeven), maar vind niet terug hoe dit te configureren... mogelijk gaat dit automatisch?

[ubremoved_539]

dus, het verhaal waarom VLANs eigenlijk zo handig zijn begint bij mij door te dringen

Mooi...

Ik neem aan dat ik dan zoals bij fysiek gescheiden netwerken met de RouterBoard firewall en routing rules kan stellen tussen de VLANs

Inderdaad... op Routerbord is een VLAN (min of meer) een interface zoals een andere.

en aldus ook gewoon de Digicorder in een eigen VLAN te steken die dan 'gebridged?' wordt naar de Telenet router.

De TN VLAN komt zelfs niet op m'n routerboard (behalve dan natuurlijk als "input"). Het is dus de switch zelf die zorgt dat de decoders samen met de modem in de TN VLAN zitten. Moest je je decoder ook aansluiten op je Routerboard dan zou je beide poorten inderdaad kunnen bridgen maar ik zie daar geen toegevoegde waarde in.

Verkeer tussen gebruikers in dezelfde VLAN passeert de router niet (denk ik) dus die kabel tussen main switch en RouterBoard gaat geen netwerk bottleneck worden?

Nee, net zoals bij een gewone switch ook je LAN verkeer niet op je modem terecht komt.

Wel gaat over deze kabel alle internet verkeer, IPcams, wifi, wat zou moeten lukken met een 1 Gigabit/s verbinding (als het RouterBoard dit al kan trekken want ik weet niet wat ik van de "Performance test results" op hun website moet maken?).

Ik denk niet dat je IP cam's gigabit nodig hebben.

Hiervoor moet ik natuurlijk bijkomende managed switches aankopen. Een nieuwe main switch en RouterBoard en een kleine managed switch OF is misschien één RouterBoard van het hogere gamma (RB1100AHx2) beter geschikt (en mogelijk goedkoper dan nieuwe switch + kleinere RouterBoard)?

Geen idee wat de prijzen betreft... maar toen ik destijds m'n Routerboard gekocht heb was ik ook van het idee dat ik veel poorten nodig heb... maar vandaag de dag los ik alles op met twee poorten (en eigenlijk kan het zelfs met één). Je hebt dus louter een trunk nodig naar je switch.

Als ik het goed begrijp moeten de clients zelf (zoals de IPcams) geen VLAN ondersteunen aangezien dit op de switches gebeurt (op poort basis). M.a.w. de client moet de 802.1Q header niet in het ethernet frame zetten, maar de switch kan dit doen op poortbasis? Dus bv. alles op poort 1 krijgt sowieso VLAN ID 1 ofzo?

Inderdaad... je switch zorgt voor de VLAN tagging... en dat kan op poort basis, op MAC basis, ...

Waar ik ook nog niet uit ben (even de manual van mijn switch doorgenomen) is hoe ik meerdere VLANs door lus naar de andere switches of de RouterBoard... ik dacht dat dat een VLAN Trunk was (zoals hieronder weergegeven)

Inderdaad... gewoon de poort als trunk definieren (en daar de gewenste VLAN's instoppen). Ik heb snel even naar je manual gekeken en ik denk dat trunk daar eerder het concept is van LACP (opletten dus want niet ieder merk verstaat hetzelfde onder bepaalde begrippen).

Je "netwerk VLAN.png" is trouwens de meest ideale setup (en bijna idem aan die van mij). Mijn TN modem gaat rechtstreeks naar de switch, op die switch is ook het routerbord aangesloten (één interface in de TN-VLAN, de andere een trunk met alle interne VLAN's).

[NuKeM]

Ik ben dus al op zoek naar een nieuwe mainswitch. Na wat zoeken kwamen er enkele uit, maar op basis van o.a. dit rapport denk ik dat een Cisco SG300 L3 switch de beste keuze is.
Deze ondersteunt 512 ACL rules en 512 static routes ... is een RouterBoard dan nog nodig of nuttig? Misschien voor de NAT of DHCP server als dat nodig is? Een VPN server kan ik op de NAS laten staan en Wifi zal via Unifi AP gebeuren.

[ubremoved_539]

Om daar op te antwoorden moet je de L3 features naast de Routerboard features plaatsen (en kijken welke je nodig hebt).

Een Routerboard gebruik ik trouwens niet enkel voor routing... maar ook voor SSTP VPN, IPv6, network monitoring, port forwarding, ...

De Cisco heeft trouwens een heel ander prijskaartje (factor 3 !) dan bijvoorbeeld de TP-Link Jetstream L2 switches.

[NuKeM]

Bestelling geplaatst:
- 19" wandrack met accessoires
- TP-Link JetStream TL-SG3424
- MIKROTIK RouterBOARD RB951G-2HND
- Ubiquiti UniFi AP

Ik ben benieuwd (of ik het zelf ga redden)

[krisken]

Als je hulp nodig hebt

[NuKeM]

Na wat boren en vijzen, aanschouw stage 1:

Rack stage1.jpg

In afwachting van de RouterBoard en de Unifi AP, ergens midden volgende maand.
Het is dus niet de TP-Link switch geworden maar wel de SG300 (in L2-mode omdat de RouterBoard de rest wel zal doen). Dit voornamelijk omdat het toch een lange termijn investering wordt, de SG300 IPv6 ondersteunt en omdat het gewoon een dijk van een switch is met veel toeters en bellen

Op dit ogenblik draaien er dus nog geen VLANs of routing. Enkel wat switches onderling verbonden via LAP (één in het rack, de andere bij de digicorder en ipcam aansluitingen).

[Tomsworld]

Als je geen L3 wil doen op de switch had ik persoonlijk de SG200 genomen maar soit toekomstgericht kan het zijn idd, alhoewel ipv6 routeren gewoon zo spectaculair is dat nu ook niet voor een switch.

[NuKeM]

Klopt, maar het scheelt 'maar' 50 euro tussen de SG200-26 en de SG300-20, 26 poorten had ik niet nodig, 20 is genoeg. De extra features zijn welkom en ik zal ze wel ooit eens uittesten om er uit te leren.

[Tomsworld]

Ah idd op de 24 poorts zou ik het ook doen het verschil tussen de SG200 managed 8 en SG300-10 is dan wel veel groter.

[NuKeM]

Ik ben dan toch al eens begonnen met het L3-verhaal op de Cisco, maar krijg niet gedaan wat ik wens.

Het probleem: ik zou graag inter-VLAN routering aan de praat krijgen, wat niet lukt. Want zo zouden PC's op beide VLANs met elkaar moeten kunnen communiceren en zouden PC's in andere VLANs dan deze van de telenet router toch op internet moeten kunnen (iets wat ik dan later met ACLs zal proberen in te perken waar nodig).

Test setup:
Mijn huidige netwerk met telenet router op VLAN1.
PC1 op poort 16, VLAN1, heb ik op een vast IP (192.168.89.20) met als gateway de IP-interface voor VLAN1
(192.168.89.205 dus).
PC2 op poort 15, VLAN2, heb ik op een vast IP (192.168.90.2) met als gateway de IP-interface voor VLAN2
(192.168.90.1 dus).

Hieronder enkele screenshots die mijn config verder moeten duiden.

Huidige situatie:
Alles op VLAN1 (ook PC1) kan netjes op het internet (wat niet meer dan normaal is).
Ik kan met PC1 192.168.90.1 pingen, maar PC2, zijnde 192.168.90.2, is niet te pingen vanaf PC1
Ik kan met PC2 192.168.89.205 pingen, maar verder in het 89 net gaat het niet. PC2 heeft dus ook geen internettoegang.

Kan ik static routes toevoegen om dit op te lossen, zoja welke? Ik heb het geprobeerd, maar de Cisco weigert (waarschijnlijk terecht) mijn probeersels.

PS: uiteindelijk zal de routerboard dit alles doen, maar ik had het toch ook graag eens op de Cisco zelf geprobeerd.

[NuKeM]

Vandaag nogmaals enkel met cleane switch en twee pc's geprobeerd, ettelijke forumberichten en support pagina's hierover gelezen, alles opgevolgd, maar noppes. Switch dan maar terug naar L2 geschakeld en wachten op de Routerboard. Dit weekend toch al eens proberen of de vlans goed doorkomen tussen de switches

[ubremoved_539]

Test setup:
Mijn huidige netwerk met telenet router op VLAN1.
PC1 op poort 16, VLAN1, heb ik op een vast IP (192.168.89.20) met als gateway de IP-interface voor VLAN1
(192.168.89.205 dus).
PC2 op poort 15, VLAN2, heb ik op een vast IP (192.168.90.2) met als gateway de IP-interface voor VLAN2
(192.168.90.1 dus).

Maak jij altijd zo'n verwarrende setups... je default gateway zit de ene keer op .205, de andere keer op .1 ? (Persoonlijk zet ik die trouwens altijd op .254)

Waar zit trouwens je internet modem ? Je hebt toch ook je firewall uitstaan op de PC's ?

[NuKeM]

Nee, dat had ik ook snel door Bij de hertest heb ik het voor de zekerheid iets logischer aangepakt:
VLAN 1 was de standaard VLAN met telenet router
VLAN 10 was 192.168.10.x netwerk (Home)
VLAN 20 was 192.168.20.x netwerk (IPcam)
VLAN 30 was 192.168.30.x netwerk (Wifi)

Die .205 in mijn eerdere post was de default gateway op de L3 switch (dus de interface op de switch voor VLAN 1). Bij de Cisco was het niet vanzelfsprekend dat IP (dat eerst automatisch toegewezen werd door de telenet router) te veranderen eens het static stond. Ondertussen is mij dat wel al gelukt.
De 192.168.89.1 was de telenet router (of de gateway naar het internet)

Qua firewall op de PC's, dit is standaard deze van Windows. Pingen in hetzelfde subnet gaat, dus ik ging er van uit dat dit via de L3 switch als router en verschillende subnets ook zou doorgelaten en beantwoord worden. Maar, zelfs het benaderen van webpages op mijn interne servers ging niet vanuit een ander subnet en ik denk niet dat daar firewall rules op zitten (ow wacht, die hun default gateways stonden nog op de telenet router... vanavond of dit weekend nog eens testen ).

Vanop de L3 switch kon ik alles en iedereen in mijn netwerk pingen (ongeacht het subnet). Maar inter VLAN was niets mogelijk vanop de respectievelijke PC's/Servers op die VLANs.

Als je tips hebt wil ik het wel nog eens proberen met de Cisco switch. Op internet is het heel wat over te doen. Meestal ligt het echter aan een verkeerde instelling van de default gateway op de nodes (die gateway moet dan de interface zijn van de VLAN op de L3 switch en niet de gateway van de internet router tenzij die hiervoor geconfigureerd is.. maar dat zou dan ook de L3 functie van de switch overbodig maken).

Ik zal vanavond of dit weekend nog eens een test doen, dit keer met eenvoudige en overzichtelijke structuur. Ik zal er ook een schemaatje van maken en was screenshots nemen. Als het dan niet lukt ga ik wachten op de RouterBoard voor ik mijn haren begin uit te trekken

[ubremoved_539]

Nee, dat had ik ook snel door Bij de hertest heb ik het voor de zekerheid iets logischer aangepakt:
VLAN 1 was de standaard VLAN met telenet router
VLAN 10 was 192.168.10.x netwerk (Home)
VLAN 20 was 192.168.20.x netwerk (IPcam)
VLAN 30 was 192.168.30.x netwerk (Wifi)

Dat ziet er inderdaad iets logischer uit

Qua firewall op de PC's, dit is standaard deze van Windows. Pingen in hetzelfde subnet gaat, dus ik ging er van uit dat dit via de L3 switch als router en verschillende subnets ook zou doorgelaten en beantwoord worden.

De Windows firewall kent concepten zoals domain, private en public profiles alsook Any versus Local subnet... dat je binnen het subnet kan pingen wil dus niets zeggen !

die gateway moet dan de interface zijn van de VLAN op de L3 switch en niet de gateway van de internet router tenzij die hiervoor geconfigureerd is

Da's ook niet meer dan normaal... een gateway moet steeds in je eigen subnet zitten.

Als het dan niet lukt ga ik wachten op de RouterBoard voor ik mijn haren begin uit te trekken

Je haar uittrekken is nochtans een goede manier om iets te leren

[NuKeM]

De Windows firewall kent concepten zoals domain, private en public profiles alsook Any versus Local subnet... dat je binnen het subnet kan pingen wil dus niets zeggen !

Daar was ik al bang voor.

Ik zal vanavond onderstaande eens testen (desnoods zonder de server en NAS om het minder complex te maken). En niet te vergeten de windows firewalls uit te schakelen. De Telenet router en internet laat ik er nog even van tussen, eerst interVLAN aan de praat krijgen.

Netwerktest.png

[NuKeM]

En dit is alvast wat het uiteindelijk zou moeten worden, maar zo ver zijn we nog niet:

Netwerktest (2).png

[ubremoved_539]

Mooi... is trouwens bijna een exacte copie van mijn setup

Het enige verschil is dat m'n Unifi zelf ook verschillende VLAN's heeft (normale access, guest access en "devices" zoals IP-cams).

Ik ben er trouwens ook nog niet... probleem is dat je iets werkende hebt en dat het niet altijd zo eenvoudig is om daaraan te prutsen.

[NuKeM]

Goed nieuws, interVLAN routing werkt dus wel... lag aan de windows firewalls

Nu heb ik dus heel mijn netwerk (incl. VLAN trunk naar 2de switch) in de desbetreffende VLANs gestoken, maar ik merk toch een paar problemen.

• Internet werkt niet buiten VLAN1 (in hetzelfde subnet als de telenet router, namelijk 192.168.1.x)
• Port forwarding op mijntelenet is enkel in het subnet van de telenet router mogelijk (kan dus niet naar mijn VPN-server op de NAS met ip 192.168.10.1 doorverwijzen. Ik dacht dit op te lossen door een route te maken in de Cisco van 192.168.1.5 (waarnaar ik de VPN poort openzet) naar de VPN server (192.168.10.1), maar dat bleek te eenvoudig + de NAS heeft toch geen internet toegang...

Ik ben blij dat het 'werkt', maar om bovenstaande problemen op te lossen is de RouterBoard waarschijnlijk nodig.
Hieronder ter info enkele screenshots van de config.

Nu terug naar L2 mode en van elke host de ip-adressen weer aanpassen (het is me een werkje, mogelijk dat ook eens bekijken met de RouterBoard via DHCP)

Binnen twee weken heb ik hopelijk de RouterBoard en Unifi in huis, dan kan ik nu even terug een static route ingeven richting mijn vriendin, want die begon haar ACL-rules al bij te sturen met mij zoveel achter de PC

[NuKeM]

Ter info: Dat internet werkt niet buiten VLAN1 is eigenlijk normaal. Als ik het goed heb moeten er normaal ook static routes gezet worden op de telenet router richting de cisco voor de 192.168.10.x, 192.168.20.x, 192.168.30.x subnets ... maar dat gaat dus niet.

Even dacht ik met ARP en/of een ARP proxy iets op te kunnen lossen, maar dat bleek na wat lezen toch niet de oplossing.

[NuKeM]

En jawel, de Unifi AP en Routerboard zijn een feit. Meer nog, de hele installatie is al werkend!

De Unifi heb ik zelfs gewoon op de rack onder onze houten trap kunnen leggen (het was dus niet nodig deze in een meer open locatie te plaatsen), de ontvangst is over het hele huis gewoon goed (en beter dan die van de Telenet router, al stond die op een slechtere plaats).

Buiten mijn eigen verwachting om was ik ook in staat om alles in één dag bol te werken. VLANs, DHCP-server en pools, Routing, NAT, port forward voor mijn VPN, Firewall rules om de verbindingen tussen VLANs te beheren, etc. Mijn router on a stick is een feit

Opdat anderen er eventueel ook iets aan hebben hieronder wat screenshots van mijn routerboard setup. Mogelijk kunnen kenners er misschien zelfs nog fouten in vinden... wie weet, want ik ben helemaal geen ICT'er

Nu is het kwestie van de kleine foutjes er misschien nog uit te halen, punten te verbeteren en de verdere functies van de Routerboard te leren kennen.
Ik heb wel al gemerkt dat inter-VLAN verkeer toch tussen de 200-300Mbps blijft schommelen (mogelijk door mijn arsenaal aan firewall rules). Geen ramp, is genoeg, maar ik had toch op iets meer gehoopt

[ubremoved_539]

Je RouterOS versie is nog een 5.xx blijkbaar (meest recente is 6.4... zelf draai ik nog 6.1).

Heb je ook verschillende SSID's met VLANs op je Unifi ?

[VOiD]

Ik zou eerder zeggen: blijf maar op versie 5.x. Versie 6.x is nog te nieuw...

[cougare]

Hey Nukem,

Ik ben ook al een tijdje aan het zien om een routerboard aan te schaffen, heb nieuwe AP nodig, en ben ook leergierig

Ik vroeg me af wat de wireless performance is van die RB951G-2HND ? Of gebruik je de wireless er niet van ?

greetz,
cougare

[ubremoved_539]

Versie 6.x is nog te nieuw...

Met een .4 modificatie level kan je dit moeilijk "te nieuw" noemen.

[krisken]

Ik draai momenteel 6.0, vrij stabiel.

[VOiD]

@r2504: Toch wel, ik gebruik Mikrotik al jaren en soms slagen ze er in om meerdere releases op een dag te doen. Dus een x.4 release wil helemaal niks zeggen. Sterker nog er zijn mischien wel een 20-tal 'Release Candidates' geweest van 6.x.

@Krisken: In jou geval zou ik dan toch maar eens upgraden naar de laatste release

[ubremoved_539]

Sterker nog er zijn mischien wel een 20-tal 'Release Candidates' geweest van 6.x.

Inderdaad RC's voor 6.x... met de huidige 6.4 mag je dus stellen dat je bijna 30 releases verder bent dan de initiele RC.

[NuKeM]

Ik zal eens kijken of v6 enige meerwaarde beidt t.o.v. 5, indien zo, waag ik de stap wel.

Heb je ook verschillende SSID's met VLANs op je Unifi ?

Nee, ik heb één SSID en de trafiek is 'untagged', de Unifi hangt aan de switch die alle trafiek op VLAN 30 (Wifi) tagged. In feite had ik geen Unifi AP nodig en kon ik de Routerboard gebruiken, maar het is goed gerief, beidt mogelijkheden en het was ook voor de sport en uit nieuwsgierigheid hé
Ik moet wel zeggen dat ik wat heb zitten klungelen met de controller van de Unifi, die wou het AP niet 'adopten'... maar dat is ondertussen OK. Ik vind het controller idee trouwens wat tegenvallen (al begrijp ik de motivatie ertoe), evenals de structuur van hun interface, mogelijk is het gewoon even wennen.

Ik vroeg me af wat de wireless performance is van die RB951G-2HND ? Of gebruik je de wireless er niet van ?

Ik gebruik de Wifi van de Routerboard niet, maar kan hem wel eens activeren om (oppervlakkig) de performance te bekijken. Wel heb ik toen de wifi nog aan stond (met routerboard in de rack) gemerkt dat het signaal goed doorkwam, gelijk met de Unifi (die op de rack ligt).


Ondertussen heb ik ook de Graphing van de routerboard geactiveerd, werkt ook naar behoren.

Wat ik wel raar vind is de NAT werking. Deze zou goed moeten zijn, maar ik zie bij bv. een internet download de traffiek niet optellen bij de 'bytes' in de NAT rule... Als ik de NAT-rule (src-nat) disable heb ik geen internet verbinding meer binnen het netwerk... dus NAT wordt wel toegepast. Ik snap het niet helemaal.

[cougare]

Nog 1 ding waar ik mee zit is namelijke de interface. Als ik het goed begrijp kan je die enkel bereiken via een windows tooltje ?

Voelt erg vreemd aan, komende van alle web interfaces tegenwoordig (ook vaak switchend tussen mac, linux en windows OSen )...

[bollewolle]

Er is ook een webinterface beschikbaar die identiek werkt als Winbox, dus zou geen issue mogen vormen

[ubremoved_539]

Nee, ik heb één SSID en de trafiek is 'untagged', de Unifi hangt aan de switch die alle trafiek op VLAN 30 (Wifi) tagged.

Je hebt dan (nog) geen Guest wifi in een andere VLAN ?

Ik moet wel zeggen dat ik wat heb zitten klungelen met de controller van de Unifi, die wou het AP niet 'adopten'... maar dat is ondertussen OK.

VLAN issue veronderstel ik ?

Ik vind het controller idee trouwens wat tegenvallen (al begrijp ik de motivatie ertoe), evenals de structuur van hun interface, mogelijk is het gewoon even wennen.

Draai je nog de 2.x of al de 3.x (beta) controller ?

Nog 1 ding waar ik mee zit is namelijke de interface. Als ik het goed begrijp kan je die enkel bereiken via een windows tooltje ?

Gewoon surfen naar het IP-adres van je router en je hebt diverse mogelijkheden.

[cougare]

Ah ok, ik vond het al vreemd !
Moe tik over gelezen hebben dan Direct ene bestellen zie !

[NuKeM]

Nee, ik heb één SSID en de trafiek is 'untagged', de Unifi hangt aan de switch die alle trafiek op VLAN 30 (Wifi) tagged.

Je hebt dan (nog) geen Guest wifi in een andere VLAN ?

Klopt, guest access heb ik (nog) niet nodig, dus die functie gebruik ik (nog) niet.

Ik moet wel zeggen dat ik wat heb zitten klungelen met de controller van de Unifi, die wou het AP niet 'adopten'... maar dat is ondertussen OK.

VLAN issue veronderstel ik ?

Kan, spijtig dat ik niet meer weet waaraan het lag.

Ik vind het controller idee trouwens wat tegenvallen (al begrijp ik de motivatie ertoe), evenals de structuur van hun interface, mogelijk is het gewoon even wennen.

Draai je nog de 2.x of al de 3.x (beta) controller ?

Zou de laatste moeten zijn, want ik heb een update gedaan. Even gaan kijken: Version 2.4.5

Tip i.v.m. config: Ik heb een firewall rule moeten bijzetten (t.o.v. bovenstaande screenshots). Mijn controller staat op de 192.168.10.2 server en gaf aan dat het AP disconnected was (terwijl die netjes aan staat)... Een rule toevoegen die communicatie van AP (192.168.30.1) naar controller (192.168.10.2) toe laat loste dit probleem direct op, nu staat hij netjes 'connected'.

[ubremoved_539]

Zou de laatste moeten zijn, want ik heb een update gedaan. Even gaan kijken: Version 2.4.5

Hun 3.x zit al (te) lang in beta... http://community.ubnt.com/t5/UniFi-Upda ... a-p/532210

[NuKeM]

Ik merk nu ook op dat hun remote syslog in standaard 'debug' mode staat... m.a.w. mijn syslog server wordt eigenlijk een beetje overspamd door de Unifi. In de config is dit niet aan te passen naar een lager logging niveau. Misschien in de nieuwere versie (3.x) wel, mogelijk probeer ik deze dus wel eens.

[NuKeM]

Ondertussen de Routerboard naar 6.4 gezet.

Maar, nu Telenet mij IPv6 adressen kan uitdelen wou ik dit toch eens proberen. Ik heb dan ook het IPv6 package van RouterOS geactiveerd.
Aangezien ik mij nog niet goed heb kunnen inwerken in IPv6 is het een beetje prutsen, maar het zou toch niet zo moeilijk mogen zijn een IPv6 of een hele range los te krijgen van de telenet router met de Routerboard (die deze dan weer verder kan uitdelen)?

Hieronder wat sfeerbeelden van mijn poging.

Wat zie je? De DHCPv6 client blijft maar zoeken (mogelijk heb ik hem niet goed ingesteld) en ik heb alles op de ipv6 firewall op accept gezet in een wanhoopsdaad De RouterOnAStick_port2 interface is eigenlijk de basisinterface (geen VLAN) verbonden met het netwerk waarop de telenet router zit.