Redelijk eenvoudig aansluiten eigen router (Edgerouter-4) inclusief TV

  • 15 mei 2021
  • 3 reacties
  • 73 Bekeken

Reputatie 1

Ik ben pas een paar weken klant van T-Mobile en heb mijn netwerk prima draaien op een eigen router (Ubiquity Edgerouter-4) en dat ging eigenlijk heel eenvoudig. Hoofdzaak is dat je van de glasaansluiting afblijft en alles aansluit op de mediaconverter met minimaal een Cat5e ethernetkabel.

Ik haal de volle snelheid van 1 Gb en heb 2 TV kastjes gewoon aangesloten op het interne netwerk werken. Voor wie dat interessant vindt of het zelf wil proberen, hierbij mijn eerste handleiding:

  1. Start door de normale installatie (Media Converter => ZYXEL Router) minstens een uur aangesloten te laten. Tip: maak verbinding met de ZYXEL router via een netwerkkabel, test de snelheid, bezoek een paar websites etc. Dit is nodig omdat de mediaconverter (waar de glasvezelkabel inzit) bij T-Mobile geregistreerd moet worden (ik denk via het MAC adres oid.)
  2. Zorg ook dat je TV kastje(s) werkt.
  3. Sla de laatste configuratie van de Edgerouter-4 veilig op als je dat nodig hebt.
  4. Zet de Edgerouter-4 terug naar fabrieksinstellingen. Sluit je werkstation met een ethernetkabel (je krijgt een heel lange bij je T-Mobile pakket) aan op Eht0 van de Edgerouter en kies een handmatige instelling in plaats van DHCP (bijvoorbeeld 192.168.1.22 / 255.255.255.0) en log via je browser aan op 192.168.1.1 (ubnt/ubnt)
  5. Kies de wizzard WAN-2LAN2 en vul het volgende in:
  6. De TV werkt nu ook via VLAN 300 dus daar heb je geen moeilijke toestanden meer mee.

  7. Tip: je mag de vinkjes bij de firewall IPv4 en IPv6 uit laten, ik heb ze per ongeluk aan gelaten (is pas een klein probleem als je eigen servers draait die je extern wilt benaderen)

  8. Je moet zelf weten of je een nieuwe user met een beter wachtwoord dan “ ubnt”  wilt aanmaken. Ik zou het wel doen 🙂 Kies dan hierboven: “Create new admin user”

  9. Tik op Apply en zorg dat de Edgerouter opnieuw gaat starten.

  10. Haal de ethernetkabel met je werkstation uit Eth0 en doe deze in Eth1. Zet de DHCP weer terug naar automatisch.

  11. Doe de ZYXEL Router uit en haal de ethernetkabel die van de mediaconverter loopt naar de Zyxel router los uit de WAN aansluiting en doe die in Eth0 van de Edgerouter.

  12. Wacht een paar minuten terwijl de Edgerouter herstart.

  13. Nu zou je Internet moeten hebben. Test de snelheid etc.

  14. Maak de rest van de Edgerouter configuratie af zoals je hem zelf wilt hebben (Dat is voor iedereen anders natuurlijk) vergeet niet een DHCP service op Eth1 in te stellen.

Help, het werkt niet:

  1. Log aan op je router (dan weet je ook dat je werkstation een IP-adres heeft gekregen via DHCP)
  2. Controleer in de Edgerouter of je WAN (Eth0) een IP-adres heeft gekregen. Zo ja, dan zou je internet moeten hebben via Eth1.
  3. Zo niet: zet de Mediaconverter even uit. Wacht een minuut en zet hem weer aan Er zouden 3 groene lampjes moeten branden en probeer opnieuw of je nu wel internet hebt.
  4. Herstart de Edgerouter (stroom eraf even wachten en sttroom weer aansluiten) en probeer opnieuw of je nu wel internet hebt.
  5. Haal de kabel uit Eth0 van de Edgerouter en steek die terug in de WAN aansluiting van de ZYXEL. Schakel de ZYXEL weer in, sluit je werkstation daarop aan en kijk of het daar wel (weer) werkt. Zo ja, dan heb je hierboven wellicht een fout gemaakt. Het beste is om dan even helemaal opnieuw te beginnen.

Hopelijk is dit nuttig. Als er vragen zijn, dan hoor ik het graag en zal ik mijn best doen te helpen.


3 reacties

Reputatie 4
Badge +2

Hoi @utrecht56 ,

Allereerst natuurlijk welkom op de Community van T-Mobile! 🙌 Een superhandige guide en mooi artikel. Ik weet zeker dat hier veel mensen wat aan gaan hebben. Voel je vooral vrij om hier je Thuis van te maken. Ook zijn wij er voor jou! 

Reputatie 2

Hoi @utrecht56 

Even een kleine comment. Je wilt de firewall op eth0 wel degelijk aan laten staan. Dit is namelijk je wan interface. Als je daarop de firewall uitzet kan het hele internet alle poorten op je router zelf benaderen. Denk hierbij aan ssh, http en https voor de webinterface, misschien snmp en de ubnt discovery bende. Dit wil je echt dichthebben staan ;-)

 

En gezien we toch bezig zijn dan hierbij ook maar even mijn config. Ik gebruik zelf de webinterface niet. Nog sterker, die staat uitgeschakelt omdat ik dat ding al meerdere malen m’n config heb zien vern**ken in het verleden.

Een ander puntje is dat ik voor m’n AP op poort eth1 vlan tagging gebruik om het guest vlan (17) te scheiden van het private vlan (16). Het enige verkeer dat vanuit vlan 17 naar 16 mag zijn dns requests naar de pihole en verkeer op udp poort 67 naar de router zelf. Dit laatste is nodig voor dhcp.

In principe kunnen syncookies ook disabled worden gezien er geen poorten naar de router zelf open staan. En send-redirects kunnen eigenlijk ook uit gezien ik hier maar 1 router heb en een beetje fatsoenlijk ingerichte machine deze toch niet zondermeer accepteert.

 

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name guest-to-in {
        default-action drop
        rule 10 {
            action accept
            destination {
                address 172.16.16.3
                port 53
            }
            protocol tcp_udp
        }
        rule 20 {
            action drop
            destination {
                address 172.16.16.0/24
            }
            protocol all
        }
        rule 30 {
            action accept
        }
    }
    name guest-to-local {
        default-action drop
        rule 10 {
            action accept
            destination {
                port 67
            }
            protocol udp
        }
    }
    name ipv4-from-wan {
        default-action drop
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        duplex auto
        speed auto
        vif 300 {
            address dhcp
            firewall {
                in {
                    name ipv4-from-wan
                }
                local {
                    name ipv4-from-wan
                }
            }
        }
    }
    ethernet eth1 {
        duplex auto
        speed auto
    }
    ethernet eth2 {
        duplex auto
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        mtu 1500
        switch-port {
            interface eth1 {
                vlan {
                    vid 16
                    vid 17
                }
            }
            interface eth2 {
                vlan {
                    pvid 16
                }
            }
            interface eth3 {
                vlan {
                    pvid 16
                }
            }
            interface eth4 {
                vlan {
                    pvid 16
                }
            }
            vlan-aware enable
        }
        vif 16 {
            address 172.16.16.1/24
        }
        vif 17 {
            address 172.16.17.1/24
            firewall {
                in {
                    name guest-to-in
                }
                local {
                    name guest-to-local
                }
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name vlan16 {
            authoritative enable
            subnet 172.16.16.0/24 {
                default-router 172.16.16.1
                dns-server 172.16.16.3
                domain-name example.com
                lease 3600
                start 172.16.16.128 {
                    stop 172.16.16.254
                }
            }
        }
        shared-network-name vlan17 {
            authoritative disable
            subnet 172.16.17.0/24 {
                default-router 172.16.17.1
                dns-server 172.16.16.3
                lease 3600
                start 172.16.17.128 {
                    stop 172.16.17.254
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 3000
            dhcp eth0.300
            except-interface eth0.300
            system
        }
    }
    nat {
        rule 5010 {
            outbound-interface eth0.300
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    ubnt-discover-server {
        disable
    }
    unms {
        disable
    }
}
system {
    host-name router
    login {
        user XXX {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
}

Reputatie 1

@Marty_J Dank voor je opbouwend kritiek. Ja, je heb indardaad gelijk over de filewall. Je moet in ieder geval IPV4 aan laten staan. Als het kan, pas ik dat aan. Dank ook voor jouw setup maar ik mis de kennis om die helamaal te snappen. :-) In ieder geval werkt mijn setup prima in mijn huis en ook mijn firewall.

Reageer