Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 6

Ubiquiti logo (75 pix) Ubiquiti Networks heeft een zesde hotfix voor versie 2.0.9 van de firmware voor de EdgeMax EdgeRouter uitgebracht. De EdgeRouters kenmerken zich door uitgebreide instelmogelijkheden, maar vergen wel enige netwerkkennis om het goed draaiend te krijgen. Ook zijn lang niet alle instellingen via de gui aan te passen en moet je dus via de commandline aan de gang. De releasenotes voor deze uitgave, die melding maken van het verhelpen van een enkel beveiligingsprobleem, kunnen hieronder worden gevonden.

Overview
The ER-X/ER-X-SFP/ER-10X/EP-R6 has more limited storage, and in some cases, an upgrade may fail due to not enough space. If this happens, remove the old backup image first (using delete system image CLI command, see here for more details) before doing an upgrade.
Bugfixes

Fix disclosed security issue. (see here for more information)

Downloads
EdgeRouter firmware can be installed via CLI, WebGUI or UNMS. Detailed installation instruction is available here.

ER-X, ER-10X, ER-X-SFP and EP-R6

ERLite-3 and ERPoe-5

ER-8, ERPro-8 and EP-R8

ER-4, ER-6P, ER-12 and ER-12P

ER-8-XG

Ubiquiti EdgeMAX EdgeSwitch

Reacties (55)

sHiKoRa 1 februari 2023 08:30

Ik heb de firmware nu een week zonder problemen op mijn EdgeRouter 10X draaien. Ik heb wel het gevoel dat de ontwikkeling uit Edge range is.

Een "probleem" waar ik tegen aanloop is dat (zover ik weet) ER10X alleen L2TP IPSsec ondersteund en dat in laatste Android versies (meen 12) de ondersteuning juist gehaald is. Heeft iemand hier een oplossing voor gevonden (buiten een PiVPN oid)?

SpeedyFC @sHiKoRa • 1 februari 2023 08:37

Ik draai zelf al een tijdje WireGuard op mijn ERX via dit project: https://github.com/WireGuard/wireguard-vyatta-ubnt

UTMachine @SpeedyFC • 1 februari 2023 08:43

De cpu van de edgerouter is niet zo snel, ik heb de software op een pi4 gegooid en port forwarding aangezet.

SlasZ @UTMachine • 1 februari 2023 08:46

Zelfs op een USG Pro-4 met OpenVPN dan is de snelheid en stabiliteit ver te zoeken. Zelfs met update naar laatste OpenVPN & OpenSSL versies. Misschien dat Wireguard minder CPU intensief is, niet geprobeerd.
Dan ook maar met portforward alles op mijn server gezet en werkt feilloos.

lenwar

@SlasZ • 1 februari 2023 09:02

OpenVPN en Wireguard zijn wel echt heel anders qua performance en CPU-gebruik. Ik gebruik nu al een paar jaar Wireguard op m'n USG3'tje. Nooit problemen mee gehad.

OpenVPN biedt natuurlijk bepaalde functionaliteit die WireGuard niet heeft (clients op afstand beheren, sleutelrotatie, enz, enz, enz ; veelal zaken die vooral voor zakelijk gebruik echt van belang zijn), maar voor huis-tuin-keuken-gebruik (lan naar lan, 'inbellen' vanaf je telefoon, enz) is WireGuard (naar mijn mening) echt de betere oplossing.

xirixiz @lenwar • 1 februari 2023 09:53

Ik heb daar idd ook nooit problemen mee gehad op mijn USG3. Onlangs ben ik gaan experimenteren met een Edgerouter X die ik nog had liggen. Ik heb daar OpenWRT opgezet en ik moet zeggen dat het goed werkt. Helaas is de power niet helemaal meer van deze tijd. Wanneer ik SQM aanzet om bufferbloat te voorkomen, dan "hangt" de snelheid slechts op 100mbps op een 1gbps verbinding. Binnenkort gaan het hele spul eruit en ga ik op zoek naar een krachtiger apparaat.

lenwar

@xirixiz • 1 februari 2023 09:59

En hoe functioneerd WireGuard op die Edgerouter?

Ik zou persoonlijk niet weten waarom ik voor mijn gebruik nog naar OpenVPN of een andere oplossing zou gaan. Ik gebruikte vroeger altijd OpenVPN op allerlei apparatuur (van pi's tot 'servertjes' (oude desktops), maar toen ik WireGuard is probeerde (toen het nog allemaal heel prematuur was) was ik eigenlijk direct verkocht. Het is zo simpel op te zetten en snel en functioneel voldoet het 100% voor mijn gebruik ('inbellen' en een paar VPS'en in m'n LAN trekken)

xirixiz @lenwar • 1 februari 2023 11:22

Werkt als een zonnetje, zelfde als op de USG3. Ik ben ook al een tijd over, maar als backup heb ik vanuit het verleden ook nog een OpenVPN setup draaien op mijn NAS, maar die kan ik eigenlijk wel opruimen. WG werkt super!

Meller2012

@xirixiz • 1 februari 2023 15:37

Ik kan je dan een Friendlyarm nanopi r4s aanbevelen.
Dat is een 6 core routertje met 2x 2ghz en 4x 1.5ghz
Die doet met openwrt en sqm (zonder hardware offloading) 1gbps en heeft nog ruimte over.

Jerie

@Meller2012 • 1 februari 2023 19:33

Zonder hardware offloading saturate een ER-L ook 1 gbit.

Meller2012

@Jerie • 2 februari 2023 14:44

Met SQM aan?

Chris.nl @Meller2012 • 18 maart 2023 23:54

Nog bedankt voor de tip. De NanoPi r4s met OpenWRT bevalt prima! 'k Heb um nu een maand en EdgeOS geen moment gemist.

xirixiz @Meller2012 • 27 april 2023 21:18

Nice! Daar heb ik toevallig naar gekeken maar mij er nog onvoldoende in verdiept. Het enige nadeel vind ik dat de R4S alleen met SD card werkt en niet met eMMC. Ik heb slechte ervaringen met devices die met een SD card werken. Ik zie wel dat de r4se eMMC heeft, maar dat is niet supported door OpenWRT helaas.

Hoe dan ook is de nanopi r4s een erg mooi/interessant device!

[Reactie gewijzigd door xirixiz op 22 juli 2024 13:58]

Hertog_JB @xirixiz • 27 april 2023 12:48

@xirixiz
Zelf in bezit van een 10x (weet niet of dat hetzelfde is als de X die jij hebt, is er ergens een ‘how to’ te vinden voor de 10X? Of ik zoek verkeerd maar kan het voor de 10x niet vinden.

xirixiz @Hertog_JB • 27 april 2023 21:16

Inderdaad. Ik zie wel wat dingen voorbij komen: https://forum.openwrt.org...router-10x-support/108222, maar ik zie geen official support mbt OpenWRT helaas....

Hertog_JB @xirixiz • 28 april 2023 17:38

Dank je wel @xirixiz
Die toevallig ook gezien. Jammer dat de interface niet echt jofel is, cli duurt me te lang nl. Updates doen ze helaas niet meer.
Doet overigens wel prima z’n werk i.c.m. KPN iTV en internet. Eens kijken voor een vervanger.

Jerie

@UTMachine • 1 februari 2023 19:31

Er is niet 'de' EdgeRouter, er zijn meerdere modellen met verschillende hardware. Op een ER-L werkt Wireguard prima, OpenVPN kost simpelweg meer resources, hogere latency, en lagere throughput. Niet voor niets reageert @SpeedyFC met Wireguard als suggestie.

Rene2322 @sHiKoRa • 1 februari 2023 15:48

Probleem had ik ook. De onder Android 11 aangemaakte L2TP/IPSec werkt nog wel, maar kan niet worden gewijzigd of gedupliceerd.
Ik heb nu sinds een half jaar op mijn ERL3 een VPN server configuratie op basis van IKEv2 draaien. Op mijn mobiele telefoon gebruik ik daarbij strongSwan.
Hierbij expliciet het IKEv2 algoritme op "aes256-sha1-modp1024" en het IPSec/ESP algoritme op "aes256-sha1".
Deze road warrior setup geeft mij toegang tot alle apparatuur in mijn eigen lokale netwerk. Performance (up- en download) ben ik niet bekend mee. Is ook niet mijn gebruiksdoel.
Wat ik zelf nog lastig vind is het feit dat ik, vanaf een Windows laptop ook de devices zie van het netwerk waaruit ik de verbinding maak. Dit heet volgens mij Split Tunneling. Ondanks dat ik aangeef de gateway van de server te willen gebruiken kan ik 192.168.1.150 niet bereiken wanneer in het andere netwerk ook een 192.168.1.150 is. Vanaf mijn Android telefoon heb ik dit issue niet.

.oisyn Moderator Devschuur® @Rene2322 • 2 februari 2023 14:57

De onder Android 11 aangemaakte L2TP/IPSec werkt nog wel, maar kan niet worden gewijzigd of gedupliceerd.

Bij mij stopte hij zelfs met werken. Dat was de hele reden dat ik in het IKEv2 alternatief ben gedoken.

Performance (up- en download) ben ik niet bekend mee. Is ook niet mijn gebruiksdoel.

Ik haal ongeveer 300 mbit met ipsec HW offloading op mijn ER-4. Zelfs sneller dan L2TP, want die L2TP laag moest in software worden afgehandeld

Ondanks dat ik aangeef de gateway van de server te willen gebruiken kan ik 192.168.1.150 niet bereiken wanneer in het andere netwerk ook een 192.168.1.150 is. Vanaf mijn Android telefoon heb ik dit issue niet.

Is dat niet gewoon een subnet conflict? Het zal allicht werken als je specifiek de interface kan opgeven van je verbinding, maar over het algemeen werken apps niet zo. En dan moet Windows dus maar raden welke je bedoelt, en dan hangt het af van de metric van de verschillende subnets.

Ik ben geen netwerk guru, maar de enige (?) en iig makkelijkste oplossing lijkt me om gewoon een andere range te selecteren voor je thuisnetwerk.

[Reactie gewijzigd door .oisyn op 22 juli 2024 13:58]

UTMachine @sHiKoRa • 1 februari 2023 08:41

Klopt, nieuwe features komen niet meer. Zelfde probleem voor de USG, deze vervang ik tzt door zelfbouw (OPNsense). De nieuwere producten zijn toch wat minder.

lenwar

@sHiKoRa • 1 februari 2023 08:48

Afhankelijk van wat je functionele gebruik is zou je WireGuard kunnen overwegen. De WireGuard ontwikkelaars hebben een package gemaakt voor edgeos. (( die kan je dus direct op je router installeren ))

https://github.com/WireGu.../EdgeOS-and-Unifi-Gateway

https://github.com/WireGu...leases/tag/1.0.20220627-1

Je hebt voor jouw apparaat de E50-variant nodig:
https://github.com/WireGu...rd-vyatta-ubnt/issues/132

.oisyn Moderator Devschuur® @sHiKoRa • 1 februari 2023 09:55

Ik heb onlangs IKEv2 werkend gekregen op mijn ER-4, kan me niet voorstellen dat de ER-10X dat niet ondersteunt. Je kunt via de (web)config een strongswan configfiletje voor IKE instellen, maar je moet wel even via SSH of SFTP de config file zelf aanmaken/uploaden.

Het certificaat is nog wel een dingetje. Je kunt in principe een self-signed CA cert aanmaken, die een cert voor je VPN server laten genereren, maar dan moet je de CA cert wel installeren op de devices die gebruik willen maken van de VPN anders accepteren ze de verbinding niet (om logische redenen).

Ik heb 'm uiteindelijk een cert laten verkrijgen via Let's Encrypt, dan werkt IKEv2 gewoon op willekeurige devices, alleen er zit een bug in de VPN client van iig de Samsung implementatie op Android waardoor hij geen verbinding wil maken. Maar de strongswan android client werkt wel gewoon (die sowieso wel aan te raden is terwijl je ermee zit te klooien want dan heb je een clientside log)

oxxi @sHiKoRa • 1 februari 2023 21:18

Toevallig vorige week dit probleem opgelost met een PiVPN (lite) dicht getimmerd en met OpenVPN op laptop en Smartphone.

UTMachine 1 februari 2023 08:20

Dezelfde bug is gefixt in de USG, maar als je geen IPv6 gebruikt, is deze fix minder interessant.

lenwar

@UTMachine • 1 februari 2023 08:30

En daarnaast moet de ‘aanvaller’ ook direct op de WAN poort aangesloten zijn. Veel mensen hebben wel iets van een modem er tussen zitten.
Maar goed. Het is wel een belangrijke update als zodanig natuurlijk

praseodymium @lenwar • 1 februari 2023 08:47

De aanvaller moet in hetzelfde broadcast domain zitten, dus een kabelmodem in bridge mode bied geen bescherming. Sterker nog, in oude kabelnetwerken waar het broadcast domain bestaat uit alle aansluitingen in een straat/wijk kunnen je buren mogelijk deze kwetsbaarheid misbruiken.

Dark Angel 58 @praseodymium • 1 februari 2023 09:07

De aanvaller moet in hetzelfde broadcast domain zitten, dus een kabelmodem in bridge mode bied geen bescherming. Sterker nog, in oude kabelnetwerken waar het broadcast domain bestaat uit alle aansluitingen in een straat/wijk kunnen je buren mogelijk deze kwetsbaarheid misbruiken.

Interessant... maar wie beheert broadcast domain? van internet provider? Ziggo?

rvt1 @praseodymium • 1 februari 2023 09:20

Ik kan mij nog goed herinneren, een jaar of 22 geleden dat we net kabel kregen dat je prima all computers and printers van de buurt op je scherm zag komen… ik geloof dat je zelf ook een printje kon maken… dat was snel dicht gezet…

Jerie

@rvt1 • 1 februari 2023 19:37

Klopt toen gebruikte men nog token ring en bovendien SMB en NBD waren niet gefirewalled.

webside007 1 februari 2023 10:41

ik heb een Edgerouter lite-3.
Met wat zou ik die kunnen vervangen? Heb een router zonder wifi nodig...

Madshark

@webside007 • 1 februari 2023 21:33

Als je zelf iets in elkaar wilt sleutelen, zou je bijv zon doosje als dit kunnen overwegen, en daarop de firewall naar keuze (OPNsense, PfSense, Untangle, OpenWRT, RouterOS, etc, etc) installeren.
De Jasper Lake CPU bied veel performance voor laag verbruik (hier 6 watt gemiddeld), en je hebt meteen een aantal 2.5GBe poortjes.

webside007 @Madshark • 1 februari 2023 22:09

tnx!

PLCC @webside007 • 1 februari 2023 11:32

Waarom zou je die vervangen?
Wat is het probleem?

webside007 @PLCC • 1 februari 2023 11:34

vrij oud en niet krachtig (genoeg).
Weinig updates van fabrikant (nieuwe features, etc).
Is er geen vervangmodel/upgrade?

gastje01 @webside007 • 1 februari 2023 11:33

Ik heb er zelf geen ervaring mee, maar je kunt er OpenWRT op draaien, volgens mij wordt dat nog wel actief bijgehouden.

webside007 @gastje01 • 1 februari 2023 11:46

ah zo, en waar is daarvan info te vinden aub? Iemand ervaring?
Ik ga ook een googelen

EDIT: blijbaar zou OpenWRT/LEDE de hardware acceleration niet ondersteunen, dus snelheid is crap

[Reactie gewijzigd door webside007 op 22 juli 2024 13:58]

xirixiz @webside007 • 1 februari 2023 12:35

Werkt prima op de ER-X, ook hardware acceleration. Alleen icm SQM is het niet vooruit te branden.
Ik weet niet welke chipset de ER3-Lite heeft, ik vermoed dat daar het probleem in zit vwb hardware acceleration.

webside007 @xirixiz • 1 februari 2023 13:29

ok bedankt

Raymond Deen @webside007 • 1 februari 2023 13:48

Bij de USG (toch vergelijkbaar met de ER-3 geloof ik) is hardware acceleratie inderdaad het grote probleem. Zodra je intrusion detection/protection aanzet dan kakt de snelheid volledig in.

Jerie

@Raymond Deen • 1 februari 2023 19:43

Dat probleem heb ik op EdgeOS ook.

xirixiz @Jerie • 2 februari 2023 13:45

Ja, inderdaad, dat is een probleem met beide apparaten. Jammer dat er niet echt betaalbare waardige vervangers zijn met iets meer power.

balblas 1 februari 2023 08:59

Een alternatief voor de Edgerouters is om Vyos te draaien op eigen hardware, bijvoorbeeld de APU2E4 van PC Engines

Vyos is een open source fork van Vyatta, waar de firmware van de Edgerouters ook op gebaseerd is. Vyos wordt echter nog actief onderhouden, wat niet echt geldt voor de fork op de Edgerouters.

Vyos heeft echter geen GUI en is volledig CLI based. Ook RTSP wordt (nog) niet ondersteund, wat problemen geeft bij IPTV, met name bij terugkijken. IGMP Proxy werkt wel, dus live IPTV is geen probleem.

lenwar

@balblas • 1 februari 2023 11:12

Dat ziet er interessant uit.
Het enige nadeel van 'op eigen hardware' draaien blijf ik toch altijd het dingetje stroomverbruik en formaat. Ik heb in het verleden wel zelf van mini-pc'tjes routers gemaakt. An sich al echt leuk om te doen, maar onder aan de streep had ik er veel moeite mee om het ook een beetje stroom-efficiënt te krijgen.

Edit: En ik zie nu pas je linkje naar de hardware. Dat is wel een goede. Misschien toch is naar kijken dan

[Reactie gewijzigd door lenwar op 22 juli 2024 13:58]

gastje01 @lenwar • 1 februari 2023 11:31

Ik heb precies dit bordje draaien op pfSense. Als je de onnauwkeurigheid van de meetmethode (zigbee stekker) even vergeet, zit ik tussen de 5-8 watt. Dat is in dezelfde range en vaak nog zuiniger dan de USG die hij vervangen heeft.

Madshark

@lenwar • 1 februari 2023 12:15

Energie verbruik is tegenwoordig niet echt een issue meer. Zo'n Odroid H3 verbruikt nog geen 10watt (hier 6 watt met Untangle), en dat is doorgaans zuiniger dan een bijv. Ubiquiti router, maar wel een stuk krachtiger.

webside007 @Madshark • 1 februari 2023 13:36

Odroid H3+ ziet er goed uit.
Gebruikt iemand dit als router/firewall?

Madshark

@webside007 • 1 februari 2023 14:00

Ja ik

Je hebt overigens ook nog de intussen welbekende Kingnovy's en de soortgelijken. Hebben meer poortjes, wel dezelfde CPU.
https://www.amazon.nl/Kin...t-Barebone/dp/B0BMLFT67C/

webside007 @Madshark • 1 februari 2023 14:43

ah ok.
Ik luister

Dus jij gebruikt een H3+
met wat voor opties/extras (behuizing, ...)?
En wat draai je erop?

Madshark

@webside007 • 1 februari 2023 21:21

Ik gebruik de H3, dus de non plus versie, omdat deze eigenlijk al een flinke overkill is voor mijn huidige gigabit glasvezel, en hiernaast nog net iets zuiniger is dan de H3+
Zowel de board als de behuizing heb ik van SoS solutions. Daar heb ik dan nog 2 DDR4 modules ingestoken van een oude laptop.

Ik gebruik hem met Arista Untangle erg mooi pakket wat heel veel informatie laat zien over je internet traffic. Een thuislicentie is redelijk goedkoop, er zitten best toffe features in. Hiernaast draait dit op een Linux kernel, wat voor mij een stevig performance pluspunt is, gezien andere populaire software firewalls op BSD gebaseerd zijn. BSD kan geen multithreading doen op PPPOE verbindingen zoals mijn glasvezel aansluiting.

[Reactie gewijzigd door Madshark op 22 juli 2024 13:58]

webside007 @Madshark • 1 februari 2023 22:06

Nice! Bedankt voor de uitleg $_/-\o_$

analog_ @Madshark • 1 februari 2023 18:38

ik heb het niemand zien doen maar intel 225 heeft dpdk ondersteuning. die zou dus wirerate kunnen gaan gegeven de juiste software.

Madshark

@analog_ • 1 februari 2023 21:27

Ik haal op het moment netto zo'n 875mbit via SMB over een OpenVPN verbinding, met de CPUload op <15% naar een NAS elders in de EU.
Voor de rest is mijn glasvezel eigenlijk de bottleneck, inclusief alle toeters en bellen

Jerie

@balblas • 1 februari 2023 19:42

Dat is een alternatief maar ik zou voor een router met OPNsense gaan, en voor een WLAN AP bijvoorbeeld een Unifi dingetje (Linux-based).

Bijvoorbeeld PC Engines, FriendlyARM (al elders aanbevolen), of Turris Mox is prima prijs/kwaliteit. De laatste is wat duurder maar ook modulair.

oef! 1 februari 2023 09:45

Heeft iemand een link naar de support periode/lifecycle van deze routers? Ik ben tevreden met m'n ER4 maar eenmaal deprecated hoef ik hem niet meer.

boers706

7 februari 2023 07:43

Deze update zorgt er voor dat terugkijken via KPN IPTV niet meer werkt (Edgerouter 4). Ook kan de software van het IPTV kastje niet opnieuw geinstalleerd worden. Terug naar 2.09 hotfix 5 en alles werkt weer.

Op dit item kan niet meer gereageerd worden.

Versienummer	2.0.9 hotfix 6
Releasestatus	Final
Website	Ubiquiti
Download	https://community.ui.com/releases/EdgeMAX-EdgeRouter-Firmware-v2-0-9-hotfix-6/63aa2542-db99-4f2d-8be2-0717dd2452de
Licentietype	Freeware

07-'23	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 7	21
02-'23	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 6	55
12-'22	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 5	38
07-'22	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 4	15
06-'21	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 2	6
02-'21	Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 1	8
11-'20	Ubiquiti EdgeMAX EdgeRouter 2.0.9	23
06-'19	Ubiquiti EdgeMAX EdgeRouter 2.0.3	17
03-'19	Ubiquiti EdgeMAX EdgeRouter 1.10.9	8
10-'18	Ubiquiti EdgeMAX EdgeRouter 1.10.7	7

Firmware-update: Ubiquiti EdgeMAX EdgeRouter 2.0.9 hotfix 6

Update-historie

Lees meer

Reacties (55)

Sorteer op:

Weergave: