Skip to main content

Hallo allen,

 

Na een deel te lezen van de forumpost van wjb (het is simpelweg te veel) onderstaande situatie / vraag.

 

Vanaf deze week wordt er bij mij Glasvezel aangesloten en is het tijd om mijn thuisnetwerk in definitieve vorm te brengen. Dat houd in dat het huidige netwerk grotendeels behouden blijft met een paar upgades.

 

Huidige situatie (simpel):

Ziggo modem > EdgeRouter 12 > 5 Vlan's > 2 managed switches (LGS308P en LGS318P) > devices

 

Doel situatie (simpel):

FTU > EdgeRouter 12 > 5 Vlan's > 2 managed switches waarvan LGS318P een bond0 krijgt en de LGS318P een single uplink krijgt en alles moet kunnen internetten en tv kijken (qua tagging dan).

Ofwel, ik wil zo min mogelijk stopcontacten in gebruik hebben, geen NT, geen Experiabox, alleen eigen apparatuur.

 

Nu kan ik de PPPoE wizard gebruiken om Vlan 6 te configureren waarna ik (denk) deze om kan zetten naar de 5 vlan's via switch0. Dan zit ik echter met iTV, hoe ‘kat’ ik die dan weer om.

 

Daarna moet ik naar de LGS318P nog een bonding group maken. Nu heb ik daar al even mee aangekloot, maar krijg het niet voor elkaar om deze de huidig configureerde 5 vlan's te laten gebruiken.

 

Welke stappen moet ik, in volgorde, volgen om tot de volgende situatie te komen?

(het principe van tagged en untagged heb ik inmiddels wel onder de knie, met het configureren van de linksys switches). 

Het gaat mij voornamelijk om het instellen van vlan 4 en 6, waarbij 6 beschikbaar is op vlan's 1, 2, 30, 84 en 120 voor internet toegang en 4 mag wat mij betreft een ‘passthrough’ zijn, en de eth11 als WAN poort fungeert.

 

En hoe deze vervolgens op bond0 te krijgen met eth8 en eth9 als interface ports.

Eth0 wordt gebruikt voor mijn PC, zodat ik na een oopsie niks hoef om te pluggen na een reset.

 

 

Ik hoor graag van jullie!

 

p.s. ben bekend met de Command Line Interface. Als term zijnde, niet de te gebruiken code.

Ook de config tree ontgaat mij de logica nog van.

In het openingsbericht van het topic "Gebruik een eigen router i.p.v. de Experia Box" vind je configuratiescripts voor de EdgeRouter X.

Qua configuratie is de ER-X het beste te vergelijken met de ER-12.

Neem het tweede configuratiescript voor de ER-X (KPN zonder telefonie via Experia Box (zip 14 februari 2021 12:17)) als voorbeeld.
In de zip file vind je een config.boot en daarin de de pppoe instellingen.

De config tree is een letterlijke weergave van config.boot en je zou de entries zeer eenvoudig moeten kunnen herkennen en overnemen waarbij je vif 4, 6 en de pppoe niet op eth0 definieert maar op eth11.

Ook zie je in die config de configuratie van de igmp proxy server.

Die configureer je downstream niet naar switch0 maar naar switch0.4.


Tv kun je maar op 1 vlan beschikbaar maken. Voor zover ik weet. Niet op meerdere. Ik ben het in ieder geval nog nergens tegen gekomen.

En die bond, die moet je denk ook eerst maar ff vergeten. Projectje voor later zou ik zeggen…

En vlans voor en vlans achter de router hebben niets met elkaar te maken. Op het moment dat het verkeer de router passeert om naar binnen of naar buiten te gaan, op dat moment bestaan vlans niet.


Tv kun je maar op 1 vlan beschikbaar maken. Voor zover ik weet. Niet op meerdere. Ik ben het in ieder geval nog nergens tegen gekomen.

Het is mogelijk om TV op meerdere (v)lans beschikbaar te stellen maar daar is hier geen sprake van. Het is overigens wel beter om ze op een apart (eigen) vlan te plaatsen aangezien de ingebouwde switch geen IGMP snooping ondersteunt.


Als het pas door KPN Netwerk NL ingegraven/aangelegd glasvezel is, zal het GPON zijn en is een Nokia ONT nodig en kun je dus niet direct met een fiber van de FTU naar SFP Edgerouter.


@wjb dank voor deze uitleg, ga er binnenkort even mee knutselen.

@Nick83 van itv begrijp ik, zou ook niet weten waarom ik dat zou willen combineren of splitsen, maar wilde geen opties weglaten. Waarom moet ik wachten met de bond?

@tmoesel dat is wel een aanname. ik heb gewoon een P2P verbinding, aangelegd via Digitale Stad. Daarnaast de Nokia ONT valt ook onder de vrije apparatuur keuze, maar hier zijn nog geen alternatieven voor (getest).

 


Waarom moet ik wachten met de bond? 

Omdat heel simpel verbinding krijgen al een hele toer zal worden denk ik... Probeer niet alles tegelijk te doen.


Waarom moet ik wachten met de bond? 

Omdat heel simpel verbinding krijgen al een hele toer zal worden denk ik... Probeer niet alles tegelijk te doen.

Ah zo. Ik begrijp je punt. Maar heb tot op heden die informatie nergens kunnen vinden en behoort wel tot mijn complete hulpvraag.

Als je een vraag stelt moet het wel compleet zijn toch? Aangezien ik geen ervaring heb met de edgerouter instellen op de bonding (en Pppoe i.c.m. kpn) weet ik ook niet wat de mogelijke implicaties zijn op de overige instellingen.


Hoi @wjb 

Ik zie inderdaad de IGMP proxy, en de vif4, 6 en pppoe instellingen.

Is er een specifieke reden dat de vlan per eth poort geconfigureerd wordt?

Huidig heb ik al mijn Vlan's als ‘individu’ opgesteld en dan via Vlan Aware op de Switch0 tagged / untagged op de poorten. Dit (un)tagged deel lijkt nu niet te kunnen, klopt dat? Dat zou namelijk redelijk onhandig zijn voor mijn managed switches. (en unraid server die daar weer achter hangt en hier ook daadwerkelijk gebruik van maakt)

 

 


 dat is wel een aanname. ik heb gewoon een P2P verbinding, aangelegd via Digitale Stad. Daarnaast de Nokia ONT valt ook onder de vrije apparatuur keuze, maar hier zijn nog geen alternatieven voor (getest).

Digitale Stad zou ook nog wel eens AON kunnen zijn, gok ik. Maar valt te bezien.

De zinsnede ‘Nokia ONT valt ook onder de vrije apparatuur keuze’ is bijna vermakelijk als je dit forum en KPN een beetje volgt. Al een jaar kun je overal op dit forum vernemen dat als je PON glasvezel van KPN voor je deur krijgt, je gewoon moet wachten totdat iemand van KPN met deze ONT op de proppen komt en er dan ter plekke een ‘code’ in programmeert om zo de voor PON de kanaalscheiding met je buren te regelen (downstream is shared physical channel, AES encrypted). Jouw Edgerouter kan dit alles niet, dus je hebt i.i.g. PON een extra kastje nodig. Misschien kan je zakelijk/bedrijfsmatig PON afnemen met jezelf als enige klant, kan zijn dat je dan wel wat te kiezen hebt. Dan kan je b.v. een FB5491 nemen, maar die kan dan weer niet in bridgemode.

Voor Sneller Internet Buitengebied is er ook zo’n ‘vrije modem keuze’. Vrij is hier, dat je kan besluiten om geen internet van KPN te nemen, maar iets via DeltaFiberNL, straalverbinding, T-Mobile 4GvoorThuis, sateliet, of nog iets anders.


Ik zie inderdaad de IGMP proxy, en de vif4, 6 en pppoe instellingen.

Ik hoop dat je daar mee uit de voeten kunt.

Vergeet ook niet de source NAT rule "IPTV" over te nemen.

Daarnaast zal je ook de rfc3442-classless-rules moeten installeren. Zie de readme in die zip.

Ook is de KPN bootstrap fix interessant voor je. Zie de edit van 21 november onder wijzigingen in het door mij aangehaalde topic.

 

Is er een specifieke reden dat de vlan per eth poort geconfigureerd wordt?

Dat is heel mooi dat je de vlans per eth poort kunt instellen. Zet het vlan voor IPTV alleen op de poorten waar (indirect) een TV ontvanger op aangesloten is. Hiermee voorkom je dat de IGMP multicasts ook op de andere poorten doorgezet worden.

 

Huidig heb ik al mijn Vlan's als ‘individu’ opgesteld en dan via Vlan Aware op de Switch0 tagged / untagged op de poorten. Dit (un)tagged deel lijkt nu niet te kunnen, klopt dat? Dat zou namelijk redelijk onhandig zijn voor mijn managed switches. (en unraid server die daar weer achter hangt en hier ook daadwerkelijk gebruik van maakt)

De vlans worden bij een EdgeRouter altijd als tagged op het netwerk geplaatst, ongeacht de pvid. Je kunt overigens i.p.v. jouw primaire vlan ook het LAN van switch0 gebruiken. Deze wordt untagged op het netwerk geplaatst mits je geen pvid instelt.


 dat is wel een aanname. ik heb gewoon een P2P verbinding, aangelegd via Digitale Stad. Daarnaast de Nokia ONT valt ook onder de vrije apparatuur keuze, maar hier zijn nog geen alternatieven voor (getest).

Digitale Stad zou ook nog wel eens AON kunnen zijn, gok ik. Maar valt te bezien.

De zinsnede ‘Nokia ONT valt ook onder de vrije apparatuur keuze’ is bijna vermakelijk als je dit forum en KPN een beetje volgt. Al een jaar kun je overal op dit forum vernemen dat als je PON glasvezel van KPN voor je deur krijgt, je gewoon moet wachten totdat iemand van KPN met deze ONT op de proppen komt en er dan ter plekke een ‘code’ in programmeert om zo de voor PON de kanaalscheiding met je buren te regelen (downstream is shared physical channel, AES encrypted). Jouw Edgerouter kan dit alles niet, dus je hebt i.i.g. PON een extra kastje nodig. Misschien kan je zakelijk/bedrijfsmatig PON afnemen met jezelf als enige klant, kan zijn dat je dan wel wat te kiezen hebt. Dan kan je b.v. een FB5491 nemen, maar die kan dan weer niet in bridgemode.

Voor Sneller Internet Buitengebied is er ook zo’n ‘vrije modem keuze’. Vrij is hier, dat je kan besluiten om geen internet van KPN te nemen, maar iets via DeltaFiberNL, straalverbinding, T-Mobile 4GvoorThuis, sateliet, of nog iets anders.

Ben het met je eens, KPN is er nog niet helemaal, maar voor nu is er wel de verplichting om dit in te gaan regelen dus zal vast komen, of de regelgeving wordt aangepast. We gaan het zien in de toekomst.


Ik hoop dat je daar mee uit de voeten kunt.

Vergeet ook niet de source NAT rule "IPTV" over te nemen.

Daarnaast zal je ook de rfc3442-classless-rules moeten installeren. Zie de readme in die zip.

Ook is de KPN bootstrap fix interessant voor je. Zie de edit van 21 november onder wijzigingen in het door mij aangehaalde topic.

Hier zou ik wel mee uit de voeten moeten komen, theoretisch gezien. Zal het ervaren op moment dat ik er echt mee bezig ga.

wjb schreef:

Dat is heel mooi dat je de vlans per eth poort kunt instellen. Zet het vlan voor IPTV alleen op de poorten waar (indirect) een TV ontvanger op aangesloten is. Hiermee voorkom je dat de IGMP multicasts ook op de andere poorten doorgezet worden.

Dat is ook zeker wat ik van plan ben, de poorten zullen tagged naar de switches gaan, waarna ik voor nu alleen IPTV op de LGS308P zal gaan untaggen. Neem aan dat de config naar een STB gewoon pvid internet moet hebben en vif iptv?

wjb schreef:

De vlans worden bij een EdgeRouter altijd als tagged op het netwerk geplaatst, ongeacht de pvid. Je kunt overigens i.p.v. jouw primaire vlan ook het LAN van switch0 gebruiken. Deze wordt untagged op het netwerk geplaatst mits je geen pvid instelt.

Dat klopt, maar in de screenshot zie ik telkens eth1.vlanid, eth2.vlanid. In mijn eigen configuratie zoals hierboven zie ik dat niet omdat ik ze toewijs via de switch0 waarbij de vlan zelf als switch0.30 etc. staan.

Ik ga er daarom vanuit dat als ik de configuratie in de bestanden overneem, dat ik dus geen switch0.4 ga krijgen die ik dan kan toekennen als pvid of vif op een eth poort. klopt dat?

p.s. ik gebruik mijn switch LAN ook, door niet toekennen van een pvid op de poorten naar de switches toe, krijgen de switches een ip adres uit de 20 reeks van de switch0. (ofwel, vlan 1)

 

 


Ben het met je eens, KPN is er nog niet helemaal, maar voor nu is er wel de verplichting om dit in te gaan regelen dus zal vast komen, of de regelgeving wordt aangepast. We gaan het zien in de toekomst.

Wat is een verplichting en regelgeving waard als in de praktijk het juist de andere kant op gaat. KPN klanten gaan van:  vrije keuze DSL naar een verplichte 1-keuze Nokia ONT, of van vrije keuze DSL naar een complexe strict benodigde combi van ExperiaBox10+Sagemcom4G. Alleen de klanten uit het ‘verleden’ met DSL en AON glasvezel hebben vrije apparatuurkeuze. KPN heeft gewoon de vrijheid op een hoger punt in de netwerkstack gedefinieerd, zodat ze hun gang kunnen gaan op de lagere lagen. En een sub-laag onder het vrijheidspunt tussengevoegd, i.g.v. PON een kanaalscheidingsmechanisme met wat reikt tot in de CPE.


Wat is een verplichting en regelgeving waard als in de praktijk het juist de andere kant op gaat. KPN klanten gaan van:  vrije keuze DSL naar een verplichte 1-keuze Nokia ONT, of van vrije keuze DSL naar een complexe strict benodigde combi van ExperiaBox10+Sagemcom4G. Alleen de klanten uit het ‘verleden’ met DSL en AON glasvezel hebben vrije apparatuurkeuze. KPN heeft gewoon de vrijheid op een hoger punt in de netwerkstack gedefinieerd, zodat ze hun gang kunnen gaan op de lagere lagen. En een sub-laag onder het vrijheidspunt tussengevoegd, i.g.v. PON een kanaalscheidingsmechanisme met wat reikt tot in de CPE.

Daar is het laatste woord natuurlijk nog niet over gezegd, maar het klopt dat KPN en Ziggo bezwaar gemaakt hebben tegen de vrijgave van het modem/mediaconverter in omgevingen waar de lijn data bevat bestemd voor meerdere abonnees (DOCSIS en GPON).

Helaas is het nog altijd wachten op definitieve wetgeving hieromtrent. Aan de andere kant vind ik het gebruik van een NTU / ONT niet echt spannend en heb ik er persoonlijk geen enkele moeite mee als dit zo zal blijven.

 


wjb schreef:

De vlans worden bij een EdgeRouter altijd als tagged op het netwerk geplaatst, ongeacht de pvid. Je kunt overigens i.p.v. jouw primaire vlan ook het LAN van switch0 gebruiken. Deze wordt untagged op het netwerk geplaatst mits je geen pvid instelt.

Dat klopt, maar in de screenshot zie ik telkens eth1.vlanid, eth2.vlanid. In mijn eigen configuratie zoals hierboven zie ik dat niet omdat ik ze toewijs via de switch0 waarbij de vlan zelf als switch0.30 etc. staan.

Ik ga er daarom vanuit dat als ik de configuratie in de bestanden overneem, dat ik dus geen switch0.4 ga krijgen die ik dan kan toekennen als pvid of vif op een eth poort. klopt dat?

Als je de TV ontvangers op een apart vlan wilt plaatsen dan moet je het vlan op de switch definiëren. Dat vlan moet dus switch0.x gaan worden.


wjb schreef:

De vlans worden bij een EdgeRouter altijd als tagged op het netwerk geplaatst, ongeacht de pvid. Je kunt overigens i.p.v. jouw primaire vlan ook het LAN van switch0 gebruiken. Deze wordt untagged op het netwerk geplaatst mits je geen pvid instelt.

Dat klopt, maar in de screenshot zie ik telkens eth1.vlanid, eth2.vlanid. In mijn eigen configuratie zoals hierboven zie ik dat niet omdat ik ze toewijs via de switch0 waarbij de vlan zelf als switch0.30 etc. staan.

Ik ga er daarom vanuit dat als ik de configuratie in de bestanden overneem, dat ik dus geen switch0.4 ga krijgen die ik dan kan toekennen als pvid of vif op een eth poort. klopt dat?

Als je de TV ontvangers op een apart vlan wilt plaatsen dan moet je het vlan op de switch definiëren. Dat vlan moet dus switch0.x gaan worden.

Top dank. Ga ik nog wel even kijken van hoe of wat, of dat een vlan met internet untagged met vlan van itv tagged op zo'n poort goed werkt. Want dat is wat ik uiteindelijk wil natuurlijk. meer uit gemak ook, want als ik per ethernet poort 6 vlan's moet gaan configureren ben ik wel even bezig.


Hoi @wjb 

Ik heb inmiddels wat geknutseld op basis van de config.boot die in de download zit. Deze een klein beetje aangepast naar mijn thuis situatie (kan later altijd de andere Vlan's toevoegen). 

Kan jij, of iemand anders, deze eens bekijken? Krijg ik hiermee internet op switch0 via eth11 welke ik vervolgens kan onderverdelen naar meerdere Vlan's en wordt hiermee switch0.4 aangemaakt voor iTV?

Linkje

Hoor het graag!


Het linkje werkt niet.

Je kunt ook de inhoud van de config.boot in een code object plaatsen.

Als je dat dan ook binnen een spoiler object doet dan houden we het topic leesbaar.


@wjb he bah, heel apart, hij haalt de http ervoor weg . . . . 

Nou ja goed, dan maar de suggestie uitvoeren!

 

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN IPv6 naar LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
icmpv6 {
type echo-request
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN IPv6 naar Router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN naar LAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN naar Router"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth11 {
description FTTH
duplex auto
mtu 1512
speed auto
vif 4 {
address dhcp
description "KPN IPTV"
dhcp-options {
client-option "send vendor-class-identifier "IPTV_RG";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
mtu 1500
}
vif 6 {
description "KPN Internet"
mtu 1508
pppoe 0 {
default-route auto
dhcpv6-pd {
no-dns
pd 0 {
interface switch0 {
host-address ::1
prefix-id :1
service slaac
}
prefix-length /48
}
rapid-commit enable
}
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
idle-timeout 180
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
enable {
}
}
mtu 1500
name-server auto
password ppp
user-id XX-XX-XX-XX-XX-XX@internet
}
}
}
ethernet eth1 {
description "Thuis netwerk poort 1"
duplex auto
mtu 1500
speed auto
}
ethernet eth2 {
description "Thuis netwerk poort 2"
duplex auto
mtu 1500
speed auto
}
ethernet eth3 {
description "Thuis netwerk poort 3"
duplex auto
mtu 1500
speed auto
}
ethernet eth4 {
description "Thuis netwerk poort 4"
duplex auto
mtu 1500
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.20.1/24
description "Thuis netwerk"
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth0 {
vlan {
pvid 30
vid 84
vid 120
vid 4
vid 2
vid 1
}
}
interface eth1 {
vlan {
pvid 30
vid 84
vid 120
vid 4
vid 2
vid 1
}
}
interface eth2 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth3 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth4 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth5 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth6 {
vlan {
vid 30
vid 84
vid 120
vid 2
}
}
interface eth7 {
vlan {
vid 30
vid 84
vid 120
vid 2
}
}
vlan-aware enable
}
vif 2 {
address 192.168.10.1/24
description MNGMT
}
vif 30 {
address 192.168.30.1/24
description Home
firewall {
out {
name HOME
}
}
mtu 1500
}
vif 84 {
address 192.168.84.1/24
description Security
firewall {
out {
name Secrity
}
}
mtu 1500
}
vif 120 {
address 192.168.120.1/24
description Server
firewall {
in {
}
local {
}
out {
name Servers
}
}
mtu 1500
}
}
}
protocols {
igmp-proxy {
interface switch0.4 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0.30 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
interface-route6 ::/0 {
next-hop-interface pppoe0 {
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option vendor-class-identifier code 60 = string;"
global-parameters "option broadcast-address code 28 = ip-address;"
hostfile-update disable
shared-network-name Home {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 192.168.30.1
lease 86400
start 192.168.30.50 {
stop 192.168.30.254
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 4000
listen-on switch0
name-server 195.121.1.34
name-server 195.121.1.66
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
options listen-address=192.168.2.254
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description IPTV
destination {
address 213.75.112.0/21
}
log disable
outbound-interface switch0.4
protocol all
source {
}
type masquerade
}
rule 5010 {
description Internet
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
telnet {
port 23
}
unms {
disable
}
}
system {
domain-name thuis.local
host-name Thuis
login {
user ubnt {
authentication {
plaintext-password "ubnt"
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.nl.pool.ntp.org {
}
server 1.nl.pool.ntp.org {
}
server ntp0.nl.net {
}
server ntp1.nl.net {
}
server time.kpn.net {
}
}
offload {
hwnat enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Amsterdam
traffic-analysis {
dpi disable
export disable
}
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.8.5142457.181120.1809 */

 

 


De outbound interface in rule 5000 (IPTV) moet eth11.4 zijn.

Ga je de TV ontvangers op vlan 30 aansluiten?

Ik zie geen dhcp servers voor de vlans anders dan vlan 30.

Ook de DNS forwarder moet voor de vlans geconfigureerd worden.


@wjb ah okay, had over het hoofd gezien dat die tule de outbound betreft. Ga ik aanpassen.

Ja en nee? Vlan 30 wordt mijn primaire thuis netwerk. Daar komen alle pc's e.d. op. Nam aan dat de stb ook een internet connectie nodig had voor Netflix e.d.?

Klopt dhcp voor de andere netwerken heb ik hier nog niet in staan. Wilde eerst het principe van IPTV en internet voor de ITV kastjes in de smiezen krijgen.

DNS forward ga ik ook nog even naar kijken.


 Vlan 30 wordt mijn primaire thuis netwerk. Daar komen alle pc's e.d. op.

Zelf gebruik ik voor het primaire netwerk geen vlan en ik raad jou aan dat ook te doen.

Dus switch0.30 wordt switch0 en de andere vlans laat je zoals ze.zijn.

Er is geen hardware offloading voor IPv6 i.c.m. vlans. Als je ooit er aan denkt om 1000Mbps te gaan contracteren en veel via IPv6 te gaan werken dan is hwardware offloading toch wel een vereiste.

Waar zijn die andere vlans eigenlijk voor bedoeld, wat voor een apparatuur wordtt daar op aangesloten?

 

Nam aan dat de stb ook een internet connectie nodig had voor Netflix e.d.?

Daarvoor hoeven ze niet op hetzelfde vlan te staan. Ik heb mijn primaire netwerk zonder vlan en de TV ontvangers staan bij mij op vlan 4. Zie ook het sreenshot in het startbericht van het topic "Gebruik een eigen router i.p.v. de Experia Box" waarbij mij eth2 de LAN poort is waar de switch voor mijn thuisnetwerk op aangesloten is.


Hoi @wjb ,

Heb inmiddels de outbound interface aangepast naar eth11.4.

Het DNS deel begrijp ik niet zo. ‘waar’ moet ik deze neer zetten?

Hieronder de code dusver. Heb wel de ip reserveringen, firewall rules en forwards eruit gelaten.

 

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN IPv6 naar LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
icmpv6 {
type echo-request
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN IPv6 naar Router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN naar LAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN naar Router"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth11 {
description FTTH
duplex auto
mtu 1512
speed auto
vif 4 {
address dhcp
description "KPN IPTV"
dhcp-options {
client-option "send vendor-class-identifier "IPTV_RG";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
mtu 1500
}
vif 6 {
description "KPN Internet"
mtu 1508
pppoe 0 {
default-route auto
dhcpv6-pd {
no-dns
pd 0 {
interface switch0 {
host-address ::1
prefix-id :1
service slaac
}
prefix-length /48
}
rapid-commit enable
}
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
idle-timeout 180
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
enable {
}
}
mtu 1500
name-server auto
password ppp
user-id XX-XX-XX-XX-XX-XX@internet
}
}
}
ethernet eth1 {
description "Thuis netwerk poort 1"
duplex auto
mtu 1500
speed auto
}
ethernet eth2 {
description "Thuis netwerk poort 2"
duplex auto
mtu 1500
speed auto
}
ethernet eth3 {
description "Thuis netwerk poort 3"
duplex auto
mtu 1500
speed auto
}
ethernet eth4 {
description "Thuis netwerk poort 4"
duplex auto
mtu 1500
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.20.1/24
description "Thuis netwerk"
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth0 {
vlan {
pvid 30
vid 84
vid 120
vid 4
vid 2
vid 1
}
}
interface eth1 {
vlan {
pvid 30
vid 84
vid 120
vid 4
vid 2
vid 1
}
}
interface eth2 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth3 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth4 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth5 {
vlan {
vid 30
vid 84
vid 120
vid 4
vid 2
}
}
interface eth6 {
vlan {
vid 30
vid 84
vid 120
vid 2
}
}
interface eth7 {
vlan {
vid 30
vid 84
vid 120
vid 2
}
}
vlan-aware enable
}
vif 2 {
address 192.168.10.1/24
description MNGMT
}
vif 30 {
address 192.168.30.1/24
description Home
firewall {
out {
name HOME
}
}
mtu 1500
}
vif 84 {
address 192.168.84.1/24
description Security
firewall {
out {
name Secrity
}
}
mtu 1500
}
vif 120 {
address 192.168.120.1/24
description Server
firewall {
in {
}
local {
}
out {
name Servers
}
}
mtu 1500
}
}
}
protocols {
igmp-proxy {
interface switch0.4 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface switch0.30 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
static {
interface-route6 ::/0 {
next-hop-interface pppoe0 {
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option vendor-class-identifier code 60 = string;"
global-parameters "option broadcast-address code 28 = ip-address;"
hostfile-update disable
shared-network-name Home {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 192.168.30.1
lease 86400
start 192.168.30.50 {
stop 192.168.30.254
}
}
}
shared-network-name MNGMT {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 1.1.1.1
lease 86400
start 192.168.10.10 {
stop 192.168.10.20
}
}
}
shared-network-name Security {
authoritative disable
subnet 192.168.84.0/24 {
default-router 192.168.84.1
dns-server 1.1.1.1
lease 86400
start 192.168.10.10 {
stop 192.168.10.30
}
}
}
shared-network-name Server {
authoritative disable
subnet 192.168.120.0/24 {
default-router 192.168.120.1
dns-server 1.1.1.1
lease 86400
start 192.168.10.10 {
stop 192.168.10.20
}
}
}
shared-network-name temp1 {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.1
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.0.1 {
stop 192.168.0.255
}
}
}
shared-network-name temp2 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.120.200
dns-server 1.1.1.1
lease 86400
start 192.168.1.1 {
stop 192.168.1.255
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 4000
listen-on switch0
name-server 195.121.1.34
name-server 195.121.1.66
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
options listen-address=192.168.2.254
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description IPTV
destination {
address 213.75.112.0/21
}
log disable
outbound-interface eth11.4
protocol all
source {
}
type masquerade
}
rule 5010 {
description Internet
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
telnet {
port 23
}
unms {
disable
}
}
system {
domain-name thuis.local
host-name Thuis
login {
user ubnt {
authentication {
plaintext-password "ubnt"
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.nl.pool.ntp.org {
}
server 1.nl.pool.ntp.org {
}
server ntp0.nl.net {
}
server ntp1.nl.net {
}
server time.kpn.net {
}
}
offload {
hwnat enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Amsterdam
traffic-analysis {
dpi disable
export disable
}
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.8.5142457.181120.1809 */

 

 


Zelf gebruik ik voor het primaire netwerk geen vlan en ik raad jou aan dat ook te doen.

Dus switch0.30 wordt switch0 en de andere vlans laat je zoals ze.zijn.

Er is geen hardware offloading voor IPv6 i.c.m. vlans. Als je ooit er aan denkt om 1000Mbps te gaan contracteren en veel via IPv6 te gaan werken dan is hwardware offloading toch wel een vereiste.

Waar zijn die andere vlans eigenlijk voor bedoeld, wat voor een apparatuur wordtt daar op aangesloten?

Ik heb een primaire Vlan omdat ik met mijn Vlan 30 mijn Vlan 84 en 120 beheer, en de netwerk apparatuur hier weer van scheid door die het primaire lan te laten gebruiken. Deze heeft dus toegang tot de andere Vlan's waarbij 84 en 120 geen toegang hebben tot elkaar. 84 wordt gebruikt voor CCTV en heeft helemaal geen internet toegang. op 120 draaien game servers, en ik wil dat iets meer secure hebben dat ik dat dus niet deel met mijn thuis netwerk. 

 

wjb schreef:

Daarvoor hoeven ze niet op hetzelfde vlan te staan. Ik heb mijn primaire netwerk zonder vlan en de TV ontvangers staan bij mij op vlan 4. Zie ook het sreenshot in het startbericht van het topic "Gebruik een eigen router i.p.v. de Experia Box" waarbij mij eth2 de LAN poort is waar de switch voor mijn thuisnetwerk op aangesloten is.

aha okay, dat had ik dus niet als dusdanig begrepen. Dus als ik vlan4 en de andere vlan's tag richting de managed switch welke IGMP heeft, dan hoef ik op de ITV poorten alleen maar Vlan 4 de untaggen en geen tagged internet vlan laten staan.


Bij de DNS forwarder moet elk vlan waarvoor bij de DHCP server de router zelf als DNS server wordt gedefinieerd als "listen-on" opgenomen worden.

Tevens moet de IP adressen van de router op die vlans bij "options listen-address" opgenomen worden.