[Opgelost] Unifi en Plex: issues en alternatieven?

[m4v3r1ck]

Even terug: In de DMZ van de EB staat het MAC adres van de WAN poort van de USG. Daarmee is dus het subnet van de EB helemaal niet van belang. Zolang het subnet dat aan de EB kant gebruikt wordt (192.168.2.x)  anders is dan het subnet van je USG LAN (192.168.1.x) is dat dus geen enkel probleem.

Check!

Je VPN werkt, dus de DMZ instelling van je EB is goed. Daar hoef je niets aan te passen. Ga niet weer met subnets aan het wisselen.

Was ik niet echt van plan hoor, want de enige tweak die ik nog moet doen is die voor Plex Media Server en voor de rest werkt alles - voor zover nu bekend - alles prima!

Port-forwards moeten alleen gedefinieerd worden in de USG, nergens anders.
Ik heb diverse port-forwards in de USG die probleemloos werken.

Ik heb alle - ook oude 192.168.2.x subnet - port forwards uit mijn EBv10 verwijderd, dus deze is nu helemaal leeg:



In de USG heb ik nu alleen de port forward 32400 - 192.168.1.125 (NAS) ingesteld. De poorten 5000 en 5001 werken ook niet voor 192.168.1.125.

Wat wel heel belangrijk is: Je moet niet testen of het werkt door vanuit je eigen netwerk het externe netwerk IP adres te benaderen, want dat werkt dus niet. Je moet dus echt testen vanaf een extern netwerk.

Testjes die je kunt doen:
- Probeer eens een andere port forward. Bijvoorbeeld door tijdelijk DSM van je NAS (poort 5000, 5001) te forwarden. Werkt dat wel? Blokkeer je niets in de firewall van je NAS?
- Sluit een computer aan op het EB netwerk in subnet 192.168.2.x, en probeer daar of je via het IP adres van de WAN poort van je USG de Plex Server kunt benaderen.

Ik test met de PLEX app voor iOS via 4G, dus extern. Die werkt via 3/4G ook niet. Echter als ik mijn VPN in iOS aan zet, dan krijg ik wel netjes verbinding - via 3/4G - verbinding met de Plex Media Server op mijn NAS.

EDIT: in de app komt er bij de naam van mijn Server dan wel - INTERN - te staan.

[Hofstede]

Klinkt misschien raar, maar herstart de USG gewoon eens. Ik meen me een bug te herinneren waardoor port-forwards na provisioning niet direct actief worden maar na een herstart wel.

Overigens is via VPN natuurlijk wel de meest veilige manier.

[Hofstede]

Wat je ook nog kunt doen:

Login op je USG via SSH

Geef het commando :

configure

Dan kom je in de edit mode van de USG.

Dan het commando:

show firewall name WAN_IN

Dan moet je een regel zien met:

 rule 3003 {
     action accept
     description "Naam van portforward"
     destination {
         address IP adres NAS
         port Poort nummer van Plex
     }
     log enable
     protocol tcp
 }

[Hofstede]

Of:

Inloggen op USG en dan commando:

show log | grep WAN_IN

geven

Dan moet je als het goed is logging zien van het feit dat er vanuit WAN een verbinding is geopend naar je NAS
Iets als:

Jan 25 15:48:41 USG kernel: [WAN_IN-3003-A]IN=eth0 OUT=eth1 MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.xx DST=192.168.1.125 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=14991 DF PROTO=TCP SPT=36116 DPT=poort Plex WINDOW=29200 RES=0x00 SYN URGP=0

of

show log | grep 192.168.1.125

zou ook moeten werken

[m4v3r1ck]

Klinkt misschien raar, maar herstart de USG gewoon eens. Ik meen me een bug te herinneren waardoor port-forwards na provisioning niet direct actief worden maar na een herstart wel.

Een herstart gedaan - met permissie van de SLA houder ;-) - maar helaas maakt dat de PMS niet van buitenaf benaderbaar.

Overigens is via VPN natuurlijk wel de meest veilige manier.

Wat zijn de mogelijke veiligheidsissues als ik mijn VPN ga delen met derden?

Je later genoemde commando's in SSH ga ik zo direct doen. Als het delen van een VPN geen issue is, dan heb ik iig dat als alternatief. Dat zou mooi zijn!

 

[Hofstede]

Ik zou je VPN nooit delen met anderen.

[m4v3r1ck]

Bij een volgend inloggen via ssh krijg ik een nieuw inlogscherm te zien. @Hofstede is dit wat jij laatst bedoelde over mijn firmware versie van mijn USG en dus ook de versie van EdgeOS?

Code: [Selecteer]

  ___ ___      .__________.__
 |   |   |____ |__\_  ____/__|
 |   |   /    \|  ||  __) |  |   (c) 2010-2017
 |   |  |   |  \  ||  \   |  |   Ubiquiti Networks, Inc.
 |______|___|  /__||__/   |__|
            |_/                  http://www.ubnt.com

      Welcome to EdgeOS on UniFi Security Gateway!

*NOTE*: Configuration changes made here are not persistent.
They will be overwritten by the controller on next provision.
[/quote]

 8)

[Hofstede]

- Die WAN LOCAL firewall regel is absoluut niet nodig. Kun je beter weghalen.

Ik heb hier zelf even getest met de Plex Server. Ik heb de port-forward met poort 32400 opengezet en getest van buitenaf.
Als ik dan van extern via een webbrowser <mijn WAN ip>:32400 open dan krijg ik keurig Plex op mijn NAS te zien. Dus de port-forward van buitenaf werkt.
Alleen blijft de Plex server zelf beweren dat het niet werkt. Kortom: de detectie in Plex dat hij van buitenaf bereikbaar is werkt niet goed waarschijnlijk vanwege de Double NAT.
Zet ik op de USG UPnP aan zodat de Plex Server zelf de port-forward aanmaakt dan werkt het wel goed.

[m4v3r1ck]

- Die WAN LOCAL firewall regel is absoluut niet nodig. Kun je beter weghalen.

Oke, ik kreeg eerst geen connectie via de Terminal op 192.168.1.1.

Ik heb hier zelf even getest met de Plex Server. Ik heb de port-forward met poort 32400 opengezet en getest van buitenaf. Als ik dan van extern via een webbrowser <mijn WAN ip>:32400 open dan krijg ik keurig Plex op mijn NAS te zien. Dus de port-forward van buitenaf werkt.
Alleen blijft de Plex server zelf beweren dat het niet werkt. Kortom: de detectie in Plex dat hij van buitenaf bereikbaar is werkt niet goed waarschijnlijk vanwege de Double NAT.

Ik heb inderdaad ook gemerkt, dat die connectie via poort 32400 soms wel 10-20 seconden een groene check heeft, om vervolgens weer op rood te springen.

Zet ik op de USG UPnP aan zodat de Plex Server zelf de port-forward aanmaakt dan werkt het wel goed.

Nu natuurlijk de vraag, hoe veilig is het openzetten van de UPnP in de USG met een dubbele NAT. Op mijn EBv10 heb ik die 'service voor de buitenwereld' nooit aanstaan, of wordt deze USG UPnP nu 'beschermt' door de EBv10?

 

[Hofstede]

Nee, upnp blijft kwetsbaar en ik zou het dus nooit aanzetten.
Maar goed, ik zou ook de Plex Media server nooit naar internet toe openzetten. Je weet bijvoorbeeld niet wat voor “handige achterdeurtjes” de makers van Plex in hun software hebben zitten. Ik ben beroepshalve super achterdochtig wat dat betreft...

[m4v3r1ck]

^^^^ Bedankt weer voor al je hulp tijdens deze nieuwe exercitie! 

Kan ik bijvoorbeeld voor familieleden verschillende VPN-users - die in het 192.168.0.1/24 subnet zitten - aanmaken, zodat ze toch vanuit huis kunnen streamen op hun TV, vanaf mijn PMS? Ze krijgen dan toch allemaal eigen wachtwoorden en een pre-share key? Of denk ik te simpel nu...

 

[dvandonkelaar]

Nu natuurlijk de vraag, hoe veilig is het openzetten van de UPnP in de USG met een dubbele NAT. Op mijn EBv10 heb ik die 'service voor de buitenwereld' nooit aanstaan, of wordt deze USG UPnP nu 'beschermt' door de EBv10?

Mooi dat het nu werkt, maar ik zou UPnP dus ook nooit aanzetten. Alhoewel er gediscussieerd kan worden of de Plex Media Server van buitenaf benaderbaar moet zijn zou ik, als ik jou was, toch kijken naar een oplossing. Ik wil je graag helpen, maar dit topic is ondertussen veel te lang geworden om goed de informatie terug te kunnen lezen. Wellicht zien we daardoor dingen over het hoofd.

[Hofstede]

@dvandonkelaar : Ik ben het helemaal met je eens, UPnP is uit den boze.
Uit mijn testen blijkt gewoon dat het een Plex probleem is.

- Als je Plex via UPnP zelf de poort laat openzetten dan werkt de detectie van de externe verbinding in Plex goed.
- Als je UPnP uitzet en exact dezelfde port-forwarding handmatig instelt werkt de detectie niet.

Terwijl volgens de logging de USG al het netwerk verkeer correct afhandelt en door laat.

Het is blijkbaar ook geen uniek Unifi probleem, je ziet het ook bij andere merken. Maar blijkbaar is het niet iets dat Plex op wil lossen.

Je zou het dataverkeer dat door de USG gaat kunnen sniffen om precies te vergelijken waar het fout gaat, maar dat is mij eerlijk gezegd te veel werk.

[mchp92]

Dit is nav de Plex subdiscussie op de (bijna allerlangste) thread over Unifi thuisnetwerk.

Ik lees in die discussie dat Plex issues geeft met oa Unifi (probleem lijkt breder dan alleen unifi)

@m4v3r1ck:
Waarom niet Kodi als alternatief?




Sent from my iPhone using Tapatalk

[m4v3r1ck]

^^^^ Ik laat het even aan @Birdy over of dit topic niet ook in het PMS subForum thuishoort. Ik zal zeker even naar KODI gaan kijken. Thnx!

Ikzelf heb het idee dat Plex iets wil zeggen met dit gedoe, zie ook de opmerkingen van @Hofstede over de connectiviteit icm UniFi / andere merken netwerken en/of gateways...