Gebruik een eigen router i.p.v. de Experia Box

daar kon je nog wel eens gelijk aan hebben, ik heb dryrun geprobeerd v/d certbot maar die gaf een connectie fout vandaar mijn twijfel, alleen een dryrun is geen live test dus wellicht dat het daarmee te maken heeft.

Had het werkend achter edrouter-X maar die heb ik net omgewisseld met een edgerouter-4 en zit de adguard nu achter de IoT (eth0: poort), wilde eens een andere setup proberen en de adguard wat meer apart te zetten. (de firewall regel voor poort 80 lopt dus wel naar de adguard)

[1] apart nu wel succes via: sudo certbot renew --dry-run
[2] deze gaf eerder een fout: sudo certbot certonly --standalone -d mijndomein.nl --debug-challenges -v --dry-run
die 2e zal wel een opmaak hebben die niet meer lekker valt, certbot lijkt met die 1e wel succesvol in elk geval. DAAR ging het in elk geval om haha
(ik heb later die certbot in adguard werkend gekregen via deze tutorial https://labzilla.io/blog/cloudflare-certbot en dat was een andere methode dan de voorgekauwde dns challenge als op de adguard github stond, daar had ik gedoe mee. vermoedelijk komt daar dit --dry-run testresultaat verschil uit voort.)

ik dacht ik meld het ter naslag hier even mocht het iemand interesseren of ooit eens nazoeken ;)

is er via ssh een relatief makkelijke methode om de eth0 (IoT) los te koppelen van eth2 (thuis), ik krijg het niet fatsoenlijk voor elkaar, ik dacht begin zo:

set firewall name ETH0_SEGMENTATION default-action drop
set firewall name ETH0_SEGMENTATION description "Segmenteer eth0"
set firewall name ETH0_SEGMENTATION rule 10 action accept
set firewall name ETH0_SEGMENTATION rule 10 description "Allow established/related"
set firewall name ETH0_SEGMENTATION rule 10 state established enable
set firewall name ETH0_SEGMENTATION rule 10 state related enable
set firewall name ETH0_SEGMENTATION rule 20 action drop
set firewall name ETH0_SEGMENTATION rule 20 description "Drop all other traffic"

set interfaces ethernet eth0 firewall in name ETH0_SEGMENTATION
set interfaces ethernet eth0 firewall local name ETH0_SEGMENTATION

wil soort van netwerksegmentatie zeg maar, eerst er volledig buiten plaatsen en dan met uitzonderingen verbinding met eth2 en/of eth3 toe staan, maar is dit het juiste vertrekpunt zeg maar?

Zomaar een vraag. (GEHACKT worden)
Ik wordt elke dag aangevallen / poging tot hacken van mń Domotica computer.
Laatst hebben ze het ding platgegooid.
Nu wil ik landen gaan weren die veel hacken. Jammer dat zelfs Fransozen zich verlagen tot dit. (zou ook een vpn kunnen zijn.
Maar mijn vraag: Werkt dit:
https://www.cron.dk/firewalling-by-country-on-edgerouter/

samen met de kpn software/scripts die ik jaren geleden van dit topic heb geplukt ?
Ik heb de script bekeken , maar dit gaat mijn pet te boven.
Peter

Hoe heb je geconstateerd dat er pogingen gedaan worden om jouw domotica computer te hacken?

Hoe hebben ze jouw domotica server plat weten te gooien?

Dat zou toch eigenlijk niet moeten mogen kunnen. Ik neem aan dat je ook nog credentials gebruikt om in te loggen op die domotica computer die niet zomaar te achterhalen zijn door derden.

Dat script werkt echter alleen voor IPV4. Als je ook IPv6 gebruikt om jouw domotica server te benaderen dan heb je dus ook een lijst van IPv6 prefixes nodig.

Let op, als je zelf op vakantie gaat naar een land dat je niet hebt opgenomen zal je dus ook jouw domotica server niet kunnen benaderen.

peterroz schreef:

Ik begrijp uit jouw antwoord , dat IP6 dus niet geblocked wordt.

Maar als jij op de EdgeRouter geen rule in de IPv6 firewall opgenomen hebt die IPv6 verkeer richting jouw Raspberry Pi toestaat dan is dat geen probleem.

Dit heeft wel en niet met KPN te maken:
Blok vreemde landen 
Ik heb namelijk weinig kaas gegeten van Routers/Netwerk. en de site heeft geen vraagbaak/forum.
In de opdrachtregels van bovengenoemde site staan dingen waarbij ik een vraagteken heb.
Dat ip adres begrijp ik niet, is dat van zijn provider ?

set firewall group network-group countries_allowed network 10.254.254.254/31

Hij gebruikt regels , maar hoe kan ik zien of die regels (hier regel 20 bv) al niet worden gebruikt door het KPN script?
Is daar een methode voor om dat uit te vinden/zoeken?

set firewall name WAN_IN rule 20

Peter

Dit is de KPN config WAN_IN uit de scripts hiero

    name WAN_IN {
        default-action drop
        description "WAN naar LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }

dus die heb jij al in gebruik dus je zal e.e.a. moeten gaan aanpassen in elk geval.
en 10.254.254.254/31 is een bogon adres meen ik / prive adres naar router waarschijnlijk.

ik denk bijvoorbeeld zo, maar ik ben geen expert ;)
(je zal die funny dmz en ADDRv4_eth0 ook aan jouw situatie moeten aanpassen)

configure

# Definieer de netwerk groep voor toegestane landen
set firewall group network-group countries_allowed description 'Allowed countries'
set firewall group network-group countries_allowed network 10.254.254.254/31

# Voeg de NAT regel toe voor de DMZ server
set service nat rule 10 description 'My funny dmz server'
set service nat rule 10 destination group address-group ADDRv4_eth0
set service nat rule 10 destination port 55555
set service nat rule 10 inbound-interface eth0
set service nat rule 10 inside-address address 192.168.xxx.xxx
set service nat rule 10 inside-address port 55555
set service nat rule 10 protocol tcp

# Voeg de nieuwe firewall regel toe aan WAN_IN
set firewall name WAN_IN rule 30 action accept
set firewall name WAN_IN rule 30 description 'My funny dmz server'
set firewall name WAN_IN rule 30 destination port 55555
set firewall name WAN_IN rule 30 protocol tcp
set firewall name WAN_IN rule 30 source group network-group countries_allowed

commit

Je kunt de IPv4 firewalls terugvinden onder Firewall/NAT → Firewall Policies.

Als je wilt dat bepaalde poorten alleen vanuit bepaalde landen benaderd kunnen worden dan zal je de port-forwarding voor die poorten moeten verwijderen en deze zowel als service NAT rule en als een rule in de WAN_IN firewall voor moeten opnemen zoals beschreven in die aangehaalde site. 

Hallo allemaal,
ik was bezig met het de instellingen van wjb op Edgerouter 4, fantastisch. Het heeft een paar dagen gewerkt en toen stopte de tv. 
Ik zoeken in dit en andere fora. Ben niet de enige. Op pagina 8 vond ik een mogelijke oplossing.

Ik wilde de rechten van /etc/dhcp3/dhclients-exit-hooks.d aanpassen om de gegevens van wjb erin te zetten… en toen deed ik iets verkeerd. (moest het zelf uitzoeken want de link met files en instructies werkt niet meer op pagina 8).

]> ls -l 

> drwxr-xr-x 2 root root 141 May 19 2020 /etc/dhcp3/dhclients-exit-hooks.d 

> chmod 777 /etc/dhcp3/dhclients-exit-hooks.d 

]> ls -l 

> drwxrwxrwx 1 root root 4096 May 19 2020 /etc/dhcp3/dhclients-exit-hooks.d 

> vi /etc/dhcp3/dhclients-exit-hooks.d geeft error want is directory

ik wilde dus slechts dhclients-exit-hooks.d aanpassen maar nu is het opeens een directory, geen file meer…
kan iemand mij hiermee helpen voordat ik nog meer schade aanricht.
heeft denk iets met de ‘2 root’ te maken…

Paul

Ik denk dat jij doelt op het kopiëren van het rfc3442-classless-routes bestand naar de dhclients-exit-hooks. Dit is echter al jaren in de scripts opgenomen, dus als je één van de scripts uit het startbericht van dit topic hebt gebruikt dan hoef je daar dus niet naar te kijken en ligt de oorzaak ergens anders.

Krijg jij een melding op de TV ontvanger en zo ja welke?

Klopt wat bezig met het rfc3442-classless script. 😶

Moet ik de koppeling nog herstellen (door helemaal opnieuw te beginnen, of script bepaald script nogmaals te draaien?) wat is wijsheid..?

Foutmeldingen had ik eerst niet.  NPO 1 2 3 deden het wel (lage resolutie?) alles daarna niet, gewoon zwart scherm, wel programmabalk.

Later diverse foutmeldingen voorbij zien komen,

STB-zap-03 / -40462 - videoserver niet gevonden

Fout 561, opvragen instellingen mislukt

Nog meer ook over verbinding die mogelijk niet werkt… (weet geen foutcode meer)

Ik zou je willen adviseren om het configuratiescript opnieuw uit te voeren.

Resit via pin voorkant gedaan.

jou installatie (via winscp deze keer) gedaan. kan nu helaas net aftesten, dat ga ik morgen proberen.

Ik zag wel dat er nog steeds staat … 1 root ...

drwxrwxrwx 1 root root 4096 May 19 2020 /etc/dhcp3/dhclients-exit-hooks.d 

Gaat dit een probleem worden?

Het is de heletijd een gedoe om de kabel te wisselen, zou je na de ONT niet ‘gewoon’ een switch kunnenn kunnen zetten? Dan 1 kabel naar KPNBox 12 en 1 naar mijn ER-4.

Ik heb het geprobeerd maar werkte niet meteen, zowel  met ‘domme’ switch als een ‘managed’, tplink TL-SG108E geprobeerd. Weet nog niet genoeg van managed switchen om daar echt iets mee te doen

zou ook veel ergenis van de familie schelen 😜

(doe jij in je scripts al de hardware offloading van de elementen die nodig zijn?)

dualis schreef:

drwxrwxrwx 1 root root 4096 May 19 2020 /etc/dhcp3/dhclients-exit-hooks.d 

Gaat dit een probleem worden?

Nee, dat gaat geen probleem worden "drwxr-xr-x" is genoeg maar dat iedereen schrijfrechten heeft is niet erg.

dualis schreef:

Het is de heletijd een gedoe om de kabel te wisselen, zou je na de ONT niet ‘gewoon’ een switch kunnenn kunnen zetten? Dan 1 kabel naar KPNBox 12 en 1 naar mijn ER-4.

Nee, dat gaat niet.

Tv en internet werkt weer achter de ER-4, op dit moment.

Mocht ik weer problemen krijgen, waar kan ik het beste kijken in de edge-router kijken om te achterhalen of waar het fout gaat?

Ik had de vorige keer wel de ‘System host name: Thuis’ en 'System domain-name: thuis.local’ aangepast. Kan ik dat zonder problemen doen, of verwacht het TV kastje bepaalde namen? (had het gedaan zodat ik met https: naar de router toe kan.)

Als je ooit weer problemen krijgt geef dan eerst in de cli het commando “restart igmp-proxy”.

Als de problemen daarmee dan niet verholpen zijn is de volgende stap om de TV ontvanger en eventueel tussenliggende switches opnieuw op te starten.

De System name en System domain-name maken niet uit maar het is wel belangrijk om alle aangesloten apparaten opnieuw op te starten om te zorgen dat deze ook hetzelfde local domain gaan gebruiken.

Zonet ging kreeg ik weer een melding: Verbinding met  zender verbroken. Vaak helpen….
foutcode stb-nmc-400

Was wel bezig in de router met invoeren van paar Static IP's, maar dat moet het opzich niet dwars zitten

Deed: restart igmp-proxy, en het werkte meteen weer. 

Familie weer blij, Thanx wjb!

Wel vreemd dat dat zo vaak bij jou voorkomt. Dat het één of twee keer per jaar gebeurt is tot daar aan toe maar dagelijks is absoluut niet de bedoeling.

Ik neem aan dat je met die static IP's de Static MAC/IP mapping en dat zou hier geen invloed op ogen hebben. Wat voor een apparaten ging je "mappen"?

Heb je ook gekeken of de Internet verbinding (kort) verbroken is geweest?

Zo nee, dan lijkt met dat wel verstandig want ik heb het vermoeden dat er iets niet lekker loopt met jouw Internet verbinding.

Ik had de ‘System host name: Thuis’ en 'System domain-name: thuis.local’ aangepast. Alles (beneden) uit.

Opgestart. En de tvkastje doet het niet blijf bij opstarten  op 85% hangen.

Ik jou restart igmp-proxy gebruikt.

Toen kreeg ik de volgende melding:

Job for igmpproxy.service failed because the control process exited with error code.
See "systemctl status igmpproxy.service" and "journalctl -xe" for details.

Nog een keer restart igmp-proxy gedaan en toen deed hij het wel.

helaas keek ik daarna pas naar de status en de journals:

$ systemctl status igmpproxy.service        
* igmpproxy.service - IGMP Proxy Daemon        
   Loaded: loaded (/lib/systemd/system/igmpproxy.service; static; vendor preset: enabled)        
   Active: active (running) since Wed 2025-02-19 00:25:35 CET; 45s ago        
  Process: 5082 ExecStart=/sbin/igmpproxy /etc/igmpproxy.conf (code=exited, status=0/SUCCESS)        
 Main PID: 5083 (igmpproxy)        
   CGroup: /system.slice/igmpproxy.service        
           `-5083 /sbin/igmpproxy /etc/igmpproxy.conf        
$ journalctl -xe        
No journal files were found.        
-- No entries --

De static mapping was naar 2 pi's met pihole(als V en nginx , in docker containers met macvlan netwerk(ip-adressen naar docker containers)

Hoe kan ik zien of mijn internetverbinding er soms HEEL even uitligt?
Heb KPN glasvezel 1Gb up, 1Gb down.

In de system log (/var/log/message) kijken wanneer de laatste keer is geweest dat de pppoe verbinding opgezet is.

Is dat een AON (GoF) aansluiting of een XGS-PON aansluiting?

Is er een mogelijkheid om het type aansluitpunt te kiezen?

Ik op het lokale netwerk enkel glasvezel.

Het liefste met SFP+ connectiviteit.

Vingers gekruist en hopen op kopervrij.

Nee, het is ofwel AON ofwel XGS-PON afhankelijk van wat op jouw adres aangelegd is.

Nieuwe aansluitingen zijn op enkele uitzonderingen na altijd XGS-PON.

Blijkbaar wil jij de glasvezel rechtstreeks op jouw router aansluiten op een SFP+ poort.

Dat kan met beide aansluitingen maar dan moet je wel de juiste SFP+ module gebruiken.

SFP+ modules voor XGS-PON zijn (nog) zeer stevig aan de prijs.

Overigens zou mijn advies zijn om een RJ45 SFP+ module te gebruiken en de door KPN geleverde ONT gewoon met een UTP netwerkkabel op die SFP+ poort aan te sluiten.

ik heb een XGS-PON aansluiting volgens mij

zag wat zaken in de log die me opvielen:

Voor de /var/log/message stuur ik je even een prive bericht