Skip to main content

Beste allen,

Een tijdje geleden samen met veel hulp van @wjb mijn thuisnetwerk ingesteld, geanalyseerd etc.

Uiteindelijk alles werkend gekregen, eruit gekomen dat 1 van mijn AP's ook als IGMP proxy functioneerde en daarmee de STB-400 foutmelding op mijn 4k tv ontvangers veroorzaakte.

Nu dat had ik zoiets van, het wordt tijd voor een upgade, dus heb ik 2 Unifi AP lite's gekocht. Deze geconfigureerd met de unifi netwerk controller software (welke in een docker op unraid draait) en alles werkt voor WiFi. Zo fijn om 1 SSID te hebben :D

Alleen nu is het probleem met de STB-400 weer terug . . . 

Nu heb ik veel instellingen gecontroleerd, zowel op mijn managed switches (om zeker te zijn dat igmp nog steeds op v2 draait en zonder querier) als in de unifi controller software. Hier kan ik alleen IGMP aan / uit vinden, ik kan geen versie selectie mogelijkheid vinden.

De versie van de controller software die ik heb draaien ondersteund geen data collectie maar wel een WiFi experience collectie (welke overigens constant boven de 90% zit)

Verder staan de volgende opties wel aan / uit:

UAPSD - uit

multicast enhancement - uit

high performance devices - aan

BSS transition - aan

Proxy ARP - uit

L2 Isolation - uit

Legacy support - aan

Enable Fast Roaming - aan

Gast Netwerk - aan (ga deze nog omzetten naar een eigen Vlan)

 

Ik zal vast iets over het hoofd zien, maar ik weet helaas niet wat.

Iemand een idee?

Heb je er ook last van als je maar één Unify AP Lite aansluit?


Goeie vraag! Moet ik testen. Zal ik vanavond doen!


@wjb met 1 AP ook STB-400 foutmelding.


Hmmm, daar worden we niet vrolijk van.

Als beide AP's losgekoppeld zijn dan is het zeker wel weer over?


@wjb ja klopt, geen AP's, geen issue's . . . of althans, bijna geen issues.


Staat de wifi van de router zelf uit of aan?


Er-12 heeft geen wifi functionaliteit. Deze APS zijn de enige wifi apparaten in het netwerk op moment.

Volledig overzicht:

Lgs-318 Poe switch 

Lgs-308 Poe switch 

Edgerouter 12

2x unifi ac-ap lite 

(En dan unraid met lading dockers waaronder de unifi netwerk controller. Maar geen problemen hiermee tot ik de unifi AP aansloot)

 

 

 

 

 

 


Dan zit er eigenlijk maar één ding op en dat is de TV ontvangers op een eigen vlan plaatsen.

Zie, als ik me goed herinner, een bericht op pagina 216 van het topic "Gebruik een eigen router i.p.v. de Experia Box".


@wjb ITV zit al op eigen vlan. :(

Zal binnenkort de config, firewall en nat rules nog even dubbel checken.


@wjb config gecontroleerd, staat zoals beschreven op pagina 216.


Iemand nog een idee?


Kan jij de config.boot van jouw ER-12 hier eens in een spoiler plaatsen.

In een spoiler om zo het topic leesbaar te houden.

Klopt het dat die STB-NMC-400 meldingen niet optreden zolang en geen Unify AP aangesloten is?

Op welk (v)lan(s) zijn die Unify AP's actief?


te veel tekens . .. 

 

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN IPv6 naar LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
icmpv6 {
type echo-request
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN IPv6 naar Router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name Home {
default-action drop
description ""
enable-default-log
rule 10 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description "allow other network"
log disable
protocol all
source {
address 192.168.120.0/24
}
state {
established enable
invalid disable
new enable
related enable
}
}
rule 40 {
action accept
description netbios
destination {
port 137-139
}
log disable
protocol tcp
}
rule 50 {
action accept
description "allow local network"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
}
name Security {
default-action drop
description ""
enable-default-log
rule 10 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description "alles binnen netwerk ok"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action accept
description "home netwerk ok"
log disable
protocol all
source {
address 192.168.30.0/24
}
}
rule 40 {
action drop
description "Block web"
log enable
protocol tcp
source {
port 80
}
}
rule 50 {
action drop
description "Block Secure web"
log enable
protocol tcp
source {
port 443
}
}
}
name Server {
default-action drop
description ""
enable-default-log
rule 10 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 20 {
action accept
description "home2 naar servers"
log disable
protocol all
source {
address 192.168.2.0/24
}
state {
established enable
invalid disable
new enable
related enable
}
}
rule 30 {
action accept
description "Home naar server"
destination {
group {
}
}
log disable
protocol all
source {
address 192.168.30.0/24
group {
}
}
}
rule 40 {
action accept
description "laat alles vanuit netwerk toe"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 50 {
action accept
description netbios
destination {
port 137-139
}
log disable
protocol tcp
}
}
name WAN_IN {
default-action drop
description "WAN naar LAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action drop
description "disable ssdp 1900"
destination {
port 1900
}
log disable
protocol udp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "drop ping"
log disable
protocol icmp
}
rule 60 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN naar Router"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action accept
description "allow dhcpv6"
destination {
port 546
}
log disable
protocol udp
source {
port 547
}
}
rule 30 {
action drop
description "Drop invalid state"
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_OUT {
default-action accept
description ""
rule 10 {
action drop
description "ssdp 1900"
destination {
port 1900
}
log disable
protocol udp
}
rule 20 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
}
name iTV {
default-action drop
description ""
rule 1 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 2 {
action drop
description invalid
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name itv1 {
default-action drop
description ""
rule 1 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 2 {
action drop
description invalid
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name itv2 {
default-action drop
description ""
rule 1 {
action accept
description "established / related"
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
rule 2 {
action drop
description invalid
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "Management port"
duplex auto
speed auto
}
ethernet eth1 {
description GamePC1
duplex auto
speed auto
}
ethernet eth2 {
description LGS308P
duplex auto
speed auto
}
ethernet eth3 {
description WiFi
duplex auto
speed auto
}
ethernet eth4 {
description STB1
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
description "Schuur 17"
duplex auto
speed auto
}
ethernet eth7 {
description "Schuur 18"
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
ethernet eth10 {
duplex full
speed 1000
}
ethernet eth11 {
description FTTH
duplex full
mtu 1512
speed 1000
vif 4 {
address dhcp
description "KPN IPTV"
dhcp-options {
client-option "send vendor-class-identifier "IPTV_RG";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
mtu 1500
}
vif 6 {
description "KPN Internet"
mtu 1508
pppoe 0 {
default-route auto
dhcpv6-pd {
no-dns
pd 0 {
interface switch0 {
host-address ::1
prefix-id :1
service slaac
}
prefix-length /48
}
rapid-commit enable
}
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
idle-timeout 180
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
enable {
}
}
mtu 1500
name-server auto
password ppp
user-id XX-XX-XX-XX-XX-XX@internet
}
}
}
loopback lo {
}
switch switch0 {
address 192.168.2.254/24
description "Thuis netwerk"
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth1 {
vlan {
pvid 30
}
}
interface eth2 {
vlan {
vid 4
vid 84
vid 30
vid 120
}
}
interface eth3 {
vlan {
pvid 30
}
}
interface eth4 {
vlan {
pvid 30
}
}
interface eth5 {
vlan {
pvid 30
}
}
interface eth6 {
vlan {
vid 30
vid 84
vid 120
vid 4
}
}
interface eth7 {
vlan {
vid 30
vid 84
vid 120
vid 4
}
}
vlan-aware enable
}
vif 3 {
address 192.168.0.1/24
description "test Vlan"
disable
}
vif 4 {
address 192.168.4.1/24
description iPTV
firewall {
in {
name iTV
}
local {
name itv2
}
out {
name itv1
}
}
ip {
enable-proxy-arp
}
}
vif 30 {
address 192.168.30.1/24
description Home
firewall {
in {
name Home
}
}
}
vif 84 {
address 192.168.84.1/24
description Security
firewall {
in {
name Security
}
}
}
vif 120 {
address 192.168.120.1/24
description Servers
firewall {
in {
name Server
}
}
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
rule 1 {
description Teamspeak
forward-to {
address 192.168.120.51
}
original-port 9987
protocol udp
}
rule 2 {
description Teamspeak
forward-to {
address 192.168.120.51
}
original-port 30033,10011,41144
protocol tcp
}
rule 3 {
description Plex
forward-to {
address 192.168.30.2
}
original-port 32410,32412,32413
protocol udp
}
rule 4 {
description Plex
forward-to {
address 192.168.30.2
}
original-port 3005,32400,32469,8324
protocol tcp
}
rule 5 {
description Valheim
forward-to {
address 192.168.120.51
}
original-port 2456-2458
protocol udp
}
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface eth11.4 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0.4 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
interface-route6 ::/0 {
next-hop-interface pppoe0 {
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option vendor-class-identifier code 60 = string;"
global-parameters "option broadcast-address code 28 = ip-address;"
hostfile-update disable
shared-network-name Home {
authoritative disable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.30.50 {
stop 192.168.30.254
}
static-mapping Archer_C7 {
ip-address 192.168.30.21
mac-address ec:08:6b:f9:07:a2
}
static-mapping Bigboii {
ip-address 192.168.30.10
mac-address 4c:cc:6a:fd:52:86
}
static-mapping Mancave {
ip-address 192.168.30.20
mac-address 14:91:82:1b:0d:f2
}
}
}
shared-network-name IPTV {
authoritative disable
subnet 192.168.4.0/24 {
default-router 192.168.4.1
dns-server 195.121.1.34
dns-server 195.121.1.66
lease 86400
start 192.168.4.20 {
stop 192.168.4.200
}
static-mapping ITV2 {
ip-address 192.168.4.62
mac-address 00:02:9b:fc:b3:ad
}
static-mapping iTV1 {
ip-address 192.168.4.128
mac-address 00:02:9b:fc:40:2c
}
}
}
shared-network-name Security {
authoritative disable
subnet 192.168.84.0/24 {
default-router 192.168.84.1
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.84.100 {
stop 192.168.84.150
}
static-mapping 2J05266PAL00462 {
ip-address 192.168.84.50
mac-address e0:50:8b:04:a5:53
}
static-mapping Camera1 {
ip-address 192.168.84.52
mac-address ec:71:db:17:e8:5e
}
static-mapping Camera2 {
ip-address 192.168.84.53
mac-address ec:71:db:da:4b:bd
}
static-mapping Camera3 {
ip-address 192.168.84.54
mac-address ec:71:db:c3:2c:86
}
static-mapping cam5 {
ip-address 192.168.84.56
mac-address ec:71:db:13:b3:8c
}
static-mapping cam6 {
ip-address 192.168.84.57
mac-address ec:71:db:71:e8:7c
}
static-mapping cam7 {
ip-address 192.168.84.58
mac-address ec:71:db:0a:7e:d9
}
static-mapping camera4 {
ip-address 192.168.84.55
mac-address ec:71:db:73:f7:5b
}
static-mapping cctv_pad_front {
ip-address 192.168.84.51
mac-address ec:71:db:a0:0e:9b
}
}
}
shared-network-name Server {
authoritative disable
subnet 192.168.120.0/24 {
default-router 192.168.120.1
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.120.100 {
stop 192.168.120.199
}
static-mapping NAS {
ip-address 192.168.120.50
mac-address 00:14:fd:16:8d:9c
}
static-mapping Server {
ip-address 192.168.120.51
mac-address 4C:CC:6A:FD:52:86
}
static-mapping Server2 {
ip-address 192.168.120.52
mac-address 6C:B3:11:3F:4B:6B
}
}
}
shared-network-name Thuis {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.2.50 {
stop 192.168.2.200
}
static-mapping LGS308P {
ip-address 192.168.2.21
mac-address c4:41:1e:b6:33:80
}
static-mapping LGS318P {
ip-address 192.168.2.20
mac-address c4:41:1e:11:2a:08
}
}
}
shared-network-name temp1 {
authoritative disable
disable
subnet 192.168.1.0/24 {
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name temp2 {
authoritative disable
disable
subnet 192.168.0.0/24 {
lease 86400
start 192.168.0.2 {
stop 192.168.0.200
}
}
}
shared-network-name temp3 {
authoritative disable
disable
subnet 192.168.177.0/24 {
lease 86400
start 192.168.177.10 {
stop 192.168.177.100
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 4000
listen-on switch0
listen-on switch0.4
name-server 195.121.1.34
name-server 195.121.1.66
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
options listen-address=192.168.2.254
options listen-address=192.168.4.1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description IPTV
destination {
address 213.75.112.0/21
}
log disable
outbound-interface eth11.4
protocol all
source {
}
type masquerade
}
rule 5010 {
description Internet
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
telnet {
port 23
}
unms {
disable
}
}
system {
domain-name thuis.local
host-name Thuis
ipv6 {
disable
}
login {
user decarsul {
authentication {
encrypted-password $5$A6eV6zulAD03WKTO$NJt12PxkqkOTgbkRBnUq9e3L3Wi6MsH2KZm87WL0VsB
plaintext-password ""
}
full-name Beheerder
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.nl.pool.ntp.org {
}
server 1.nl.pool.ntp.org {
}
server ntp0.nl.net {
}
server ntp1.nl.net {
}
server time.kpn.net {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
host 192.168.120.51 {
facility all {
level warning
}
}
}
time-zone Europe/Amsterdam
traffic-analysis {
dpi enable
export enable
}
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */

 

 


Klopt, als de AP's zijn afgekoppeld  heb ik geen last van een terugkerende STB-400 foutmelding, als zijnde van, elke 2 - 3 minuten.

De Untagged Vlan is 30, de tagged Vlan is 84.


Via welke eth poorten zijn de TV ontvangers op de ER-12 aangesloten?

Zit daar dan nog een switch tussen?

Zo ja, van welk merk en type?

En kan je dan ook de vlan configuratie van die switch tonen?

In ieder geval de vlans op de LAN richting ER-12 en richting TV ontvanger.


Via welke eth poorten zijn de TV ontvangers op de ER-12 aangesloten?

Zit daar dan nog een switch tussen?

Eth2 gaat naar Eth 8 van een Linksys LGS-308. Op de LGS-308 gaan eth 1 - 4 naar beveiliging camera's (PoE+), 5 & 6 naar 4k STB. Eth 7 is naar Acces Point.

eth poorten 5 en 6 op LGs-308 hebben alleen Vlan 4 untagged met IGMP op Vlan 4 enabled, quickleave aan, geen querrier en V2.


Zou je vlan 4  eens kunnen verwijderen van eth6 en eth7 van de ER-12.

Wat voor een apparatuur zit op eth6 en eth7 van de ER-12 aangesloten?


fotos:

 

 

 

 


Zou je vlan 4 dan eens kunnen verwijderen van eth6 en eth7 van de ER-12.

Wat voor een apparatuur zit op eth6 en eth7 van de ER-12 aangesloten?

Achter Eth 6 en 7 zit de LGS-318 (LAG config, maar heb hem nog niet gebridged en 1 kabel niet aangesloten). Wat mijn 18 poorts PoE switch is. Daar staat Vlan 4 op zodat ik met mijn server via wireshark Vlan 4 kan sniffen.


En waar zijn de Unify AP's aangesloten?


1 unifi AP is aangesloten op Eth 5 van de LGS-308 (zag dat ik dit in eerdere post op eth7 had gezet, maar dat is dus incorrect)

De 2de zit op eth 11 van de LGS-318.

foto interfaces LGS-318

Lag 2 gaat naar ER-12, Lag 1 is failover naar mijn unraid server.

 

 


Op die LGS318 is geen vlan 4 opgezet en dus kan je vlan 4 ook verwijderen bij eth6 en 7.

Ik zou vlan 4 echt beperken tot alleen paden naar de TV ontvangers.

Kan je als test een poort binnen de switch van de ER-12 met alleen pvid 4 inrichten en daar rechtstreeks een TV ontvanger op aansluiten en vid 4 van alle andere poorten binnene de switch van de ER-12 verwijderen?

Heb je dan ook nog steeds STB-NMC-400 meldingen?


@wjb Vlan 4 zit op de LAGs, niet op de poorten specifiek. Zie tweede screenshot van de interfaces. Dit heb ik gedaan om te kunnen sniffen met wireshark nadat ik het probleem zag. 

Ja natuurlijk kan dat, maar niet per direct. Zal ik hopelijk vanavond kunnen doen.


@wjb mag er maximaal 1 op de ER-12 direct worden aangesloten, ivm ontbreken ondersteuning IGMP op de router zelf, correct?


Als je de TV ontvangers op een apart vlan hebt staan dan zullen zonder IGMP de TV streams alleen naar de TV ontvangers omdat alleen die op dat vlan aangesloten zijn. Dat zou in principe geen probleem mogen zijn al blijft het beter om maar één eth poort te gebruiken voor alle TV ontvangers en IGMP snooping actief te hebben op de achterliggende switch.

Maar voor nu ben ik vooral op zoek naar het apparaat dat het probleem veroorzaakt. Op dit moment verdenk ik de LGS308.