Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  440 68025


Har disse nettverkene/vlan i Unifi. Alle har IGMP snooping aktivert. I EdgeRouter er ikke LAN (192.168.3.0/24) tildelt VLAN. Unifi og EdgeOS snakker jo ikke sammen så litt vanskelig å samkjøre alt der.

Trodde ikke det skulle bety noe når jeg hentet ut VLAN101 før EdgeRouter (direkte fra FMG), men hvis VLAN ikke er tagget fra FMG så kan kanskje det være litt av problemet. Jeg har tildelt VLAN101 på port med IPTV fra FMG som igjen trunkes til neste switch før det hentes ut på port til Q22 som untagged VLAN101. Dette vil kanskje ikke fungere på den måten da - og kanskje det er en del av problemet.
Sist endret av cregeland; 13. desember 2020 kl. 21:49.
Det at bildet fryser etter 10-20 sekund tyder på problem med multicast trafikk. For å feilsøke kan du prøve å koble vekk alt annet fra switchen enn Q22 og FMG. Fungerer det?

Det ligger jo også fungerende oppsett som Truunde har lagt ut for egderouter her inne på tråden, slik at FMG kan tas helt vekk.
For de det gjelder, ser ut til at IPv6 kom tilbake en gang i går eller forgårs for de to altibox-instansene som plutselig ikke fikk tildelt adresser.
Nå med ny IPv6-range (!!).. Tydeligvis ikke helt stabilt enda dette. Men det er vel forsåvidt også udokumentert, de skriver jo fremdeles bare om Rapid Deployment på altibox.no .
Sitat av fbt Vis innlegg
Det ligger jo også fungerende oppsett som Truunde har lagt ut for egderouter her inne på tråden, slik at FMG kan tas helt vekk.
Vis hele sitatet...
Takk for tips. Det hakker fortsatt med alt utstyr frakoblet switchen bortsett fra Q22.

Har også fått god hjelp av @Olstig mtp mulig oppsett for EdgeRouter X. Jeg ser nå at ER-X SFP kanskje kan bli litt svak på en 500/500 linje. Jeg har som sagt EdgeRouter 6P i dag. Denne har som kjent ikke hardware switch men ellers grei mtp power. Litt dumt å måtte kjøpe en ny ER-12 til 2500kr hvis det er mulig å få til et oppsett som fungerer med ER-6P.

Er det en dårlig løsning å bruke ER-6P som router og så ha Unifi8P switcher under? Eneste forskjell fra oppsettet med ER-X-SFP blir vel at jeg har Switch under ER-6P som øker antall porter ut mot nettverket - istedenfor at jeg får flere porter tilgjengelige direkte i ER-X-SFP?

Det er kanskje vanskeligere å få til routingen? Legger ved running config på EdgeRouteren slik det er i dag - kanskje noe her som tilsier at det skulle hakke? Hvis det ikke er mulig å få til så får jeg handle en ER12 og sette fiberen rett i den.

ER-6P er koblet som følger med FMG i bridge mode:
ETH0 - FMG port 3 (Internet)
ETH1 - FMG port 1 (IPTV)
ETH2 - LAN1 (Mitt private LAN)
ETH3 - LAN2 (Hybel i kjelleren)
ETH4 - Ikke i bruk
ETH5 - Ikke i bruk

Tanken med firewall reglene er å isolere LAN1 fra LAN2 men fortsatt ha mulighet for IPTV og litt switch config/Unifi. Jeg antar det er mye rot i firewall da jeg ikke har god kunnskap på dette.

Her er config:

Kode

firewall {                                                                      
    all-ping enable                                                             
    broadcast-ping disable                                                      
    group {                                                                     
        network-group LAN_NETWORKS {                                            
            description "RCF1918 Ranges"                                        
            network 192.168.3.0/24                                              
            network 192.168.4.0/24                                             
        }                                                                       
    }                                                                           
    ipv6-receive-redirects disable                                              
    ipv6-src-route disable                                                      
    ip-src-route disable                                                        
    log-martians enable                                                         
    name LAN2_IN {                                                      
        default-action accept                                                   
        description "guest to lan/wan"                                          
        rule 10 {                                                               
            action accept                                                       
            description "allow AP management LAN2"                      
            destination {
                address 192.168.3.0/24
            }
            log disable
            protocol all
            source {
                address 192.168.4.2
            }
        }
        rule 20 {
            action accept
            description "allow switch management LAN2"
            destination {
                address 192.168.3.0/24
            }
            log disable
            protocol all
            source {
                address 192.168.4.99
            }
        }
        rule 30 {
            action drop
            description "drop guest to lan"
            destination {
                group {
                    network-group LAN_NETWORKS
                }
            }
            log disable
            protocol all
        }
    }
    name LAN2_LOCAL {
        default-action drop
        description "guest to router"
        rule 1 {
            action accept
            description "allow dns"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 2 {
            action accept
            description "allow dhcp"
            destination {
                port 67
            }
            log disable
            protocol tcp_udp
        }
        rule 4 {
            action accept
            description "allow plex"
            destination {
                port 18573
            }
            log disable
            protocol tcp_udp
        }
        rule 5 {
            action accept
            description "Allow router config"
            destination {
                port https
            }
            log disable
            protocol tcp_udp
        }
    }
    name LAN1_IN {
        default-action accept
        rule 10 {
            action accept
            description "allow AP management LAN2"
            destination {
                address 192.168.4.2
            }
            log disable
            protocol all
        }
        rule 30 {
            action accept
            description "allow switch management LAN2"
            destination {
                address 192.168.4.99
            }
            log disable
            protocol all
        }
        rule 50 {
            action accept
            description "allow LAN access from VPN"
            destination {
                address 192.168.3.0/24
            }
            log disable
            protocol all
            source {
                address 192.168.3.0/24
            }
        }
        rule 60 {
            action drop
            description "drop guest to lan"
            destination {
                group {
                    network-group LAN_NETWORKS
                }
            }
            log disable
            protocol all
        }
        rule 61 {
            action accept
            description "Allow Unifi Controller access"
            destination {
                address 192.168.3.200
            }
            log disable
            protocol all
            source {
            }
        }
    }
    name LAN1_LOCAL {
        default-action accept
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "TEST-Allow IPTV Multicast UDP"
            destination {
                address 239.0.0.0/8
            }
            disable
            log disable
            protocol udp
            source {
                address 192.168.0.0/24
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 40 {
            action accept
            description "Allow IGMP"
            log disable
            protocol igmp
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "TEST-Allow IPTV Multicast UDP"
            destination {
                address 239.0.0.0/8
            }
            disable
            log disable
            protocol udp
            source {
                address 192.168.0.0/24
            }
        }
        rule 20 {
            action accept
            description "TEST-Allow IGMP"
            log disable
            protocol igmp
        }
        rule 30 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 50 {
            action accept
            description ike
            destination {
                port 500
            }
            log disable
            protocol udp
        }
        rule 60 {
            action accept
            description esp
            log disable
            protocol esp
        }
        rule 70 {
            action accept
            description nat-t
            destination {
                port 4500
            }
            log disable
            protocol udp
        }
        rule 80 {
            action accept
            description l2tp
            destination {
                port 1701
            }
            ipsec {
                match-ipsec
            }
            log disable
            protocol udp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description "Altibox Internet Uplink"
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server update
        }
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        address dhcp
        description "Altibox IPTV Uplink"
        dhcp-options {
            default-route no-update
            default-route-distance 210
            name-server update
        }
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        address 192.168.3.1/24
        description "LAN1"
        duplex auto
        firewall {
            in {
                name LAN1_IN
            }
            local {
                name LAN1_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        address 192.168.4.1/24
        description "LAN2"
        duplex auto
        firewall {
            in {
                name LAN2_IN
            }
            local {
                name LAN2_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        disable
        duplex auto
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat disable
    rule 1 {
        description "Servicename"
        forward-to {
            address 192.168.4.123
            port 32450
        }
        original-port 32450
        protocol tcp_udp
    }
    wan-interface eth0
}
protocols {
    igmp-proxy {
        interface eth1 {
            alt-subnet 172.21.0.0/16
            alt-subnet 10.133.0.0/16
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 172.21.0.0/16
            alt-subnet 10.133.0.0/16
            role downstream
            threshold 1
        }
        interface eth3 {
            alt-subnet 172.21.0.0/16
            alt-subnet 10.133.0.0/16
            role downstream
            threshold 1
        }        
	interface eth4 {
            role disabled
            threshold 1
        }
        interface l2tp0 {
            role disabled
            threshold 1
        }
    }
    static {
        route 10.133.0.0/16 {
            next-hop 192.168.0.1 {
            }
        }
        route 172.21.0.0/16 {
            next-hop 192.168.0.1 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.3.0/24 {
                default-router 192.168.3.1
                dns-server 192.168.3.1
                dns-server 92.220.228.70
                lease 86400
                start 192.168.3.100 {
                    stop 192.168.3.254
                }
                unifi-controller 192.168.3.200
            }
        }
        shared-network-name LAN2 {
            authoritative disable
            subnet 192.168.4.0/24 {
                default-router 192.168.4.1
                dns-server 192.168.4.1
                dns-server 92.220.228.70
                lease 86400
                start 192.168.4.100 {
                    stop 192.168.4.254
                }
		unifi-controller 192.168.3.200
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 1500
            listen-on eth2
            listen-on eth3
            listen-on eth4
            name-server 92.220.228.70
            name-server 109.247.114.4
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            destination {
                address 0.0.0.0/0
            }
            log disable
            outbound-interface eth0
            protocol all
            type masquerade
        }
        rule 5011 {
            description "masquerade for IPTV"
            destination {
                address 172.21.0.0/16
            }
            log disable
            outbound-interface eth1
            protocol all
            type masquerade
        }
        rule 5012 {
            description "masquerade for IPTV#2"
            destination {
                address 10.133.0.0/16
            }
            log disable
            outbound-interface eth1
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
    upnp {
        listen-on eth2 {
            outbound-interface eth0
        }
        listen-on eth3 {
            outbound-interface eth0
        }
        listen-on eth4 {
            outbound-interface eth0
        }
    }
}
system {
    host-name Ubuquiti
    login {
        user admin{
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name ""
            level admin
        }
        user ubnt {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name ""
            level admin
        }
    }
    name-server 92.220.228.70
    name-server 109.247.114.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Oslo
    traffic-analysis {
        dpi enable
        export enable
    }
}
traffic-control {
    smart-queue Standard {
        download {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 480mbit
        }
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 480mbit
        }
        wan-interface eth0
    }
}
Sitat av cregeland Vis innlegg
Takk for tips. Det hakker fortsatt med alt utstyr frakoblet switchen bortsett fra Q22.

Har også fått god hjelp av @Olstig mtp mulig oppsett for EdgeRouter X. Jeg ser nå at ER-X SFP kanskje kan bli litt svak på en 500/500 linje. Jeg har som sagt EdgeRouter 6P i dag. Denne har som kjent ikke hardware switch men ellers grei mtp power. Litt dumt å måtte kjøpe en ny ER-12 til 2500kr hvis det er mulig å få til et oppsett som fungerer med ER-6P.

Er det en dårlig løsning å bruke ER-6P som router og så ha Unifi8P switcher under? Eneste forskjell fra oppsettet med ER-X-SFP blir vel at jeg har Switch under ER-6P som øker antall porter ut mot nettverket - istedenfor at jeg får flere porter tilgjengelige direkte i ER-X-SFP?

Det er kanskje vanskeligere å få til routingen? Legger ved running config på EdgeRouteren slik det er i dag - kanskje noe her som tilsier at det skulle hakke? Hvis det ikke er mulig å få til så får jeg handle en ER12 og sette fiberen rett i den.

ER-6P er koblet som følger med FMG i bridge mode:
ETH0 - FMG port 3 (Internet)
ETH1 - FMG port 1 (IPTV)
ETH2 - LAN1 (Mitt private LAN)
ETH3 - LAN2 (Hybel i kjelleren)
ETH4 - Ikke i bruk
ETH5 - Ikke i bruk

Tanken med firewall reglene er å isolere LAN1 fra LAN2 men fortsatt ha mulighet for IPTV og litt switch config/Unifi. Jeg antar det er mye rot i firewall da jeg ikke har god kunnskap på dette.

Her er config:
Vis hele sitatet...
Det skal være en god løsning med ER6-p som router og unifi switcher koblet på denne. Aldri testet å koble iptv port på en fmg inn i egen router, men du må nå hvertfall sjekke brannmurreglene dine. Du har tillatt igmp på wan_local men ikke fra lan1/2 -> local

Du kan også se litt på igmp-proxy configen din. Ta bort alt-subnet på downstream interfacene. Så kan du sette alt-subnet til 0.0.0.0/0 på upstream interfacet, ellers blir det bare mer config å endre på dersom det kommer flere prefix med senere.
Sist endret av Trrunde; 15. desember 2020 kl. 20:30. Grunn: lagt til kommentar på igmp-proxy config.
Mange takk @Trrunde. Jeg la til Allow IGMP på LAN1_LOCAL og LAN2_LOCAL. Kan se ut som det har gjort en forskjell men skal teste litt til før jeg erklærer problemet som løst.

Angående igmp-proxy config; hva skjer når jeg setter alt-subnet til 0.0.0.0/0 på upstream? Vil ikke det sende all igmp trafikk til eth1 (IPTV uplink)? Kan det få uheldige følger for andre tjenester/klienter eller er det kun Q22 som benytter seg av igmp proxy? Dette kan jeg lite om så setter stor pris på kunnskapen dere bidrar med her
Takk for tips. Det hakker fortsatt med alt utstyr frakoblet switchen bortsett fra Q22.
Vis hele sitatet...
Når bildet hakket med alt koblet vekk fra switchen utenom Q22 og FMG kan det være noe feil i config av switch. Er storm control eller port isolation aktivert på noen av switch portene i UniFi. Det bør isåfall deaktiveres. Ellers vet jeg ikke, men hvis det nå fungerer med IPTV inn på eth1 på edgerouter og bildet ikke hakker er jo det vel og bra da

Sitat av cregeland Vis innlegg
Angående igmp-proxy config; hva skjer når jeg setter alt-subnet til 0.0.0.0/0 på upstream? Vil ikke det sende all igmp trafikk til eth1 (IPTV uplink)? Kan det få uheldige følger for andre tjenester/klienter eller er det kun Q22 som benytter seg av igmp proxy? Dette kan jeg lite om så setter stor pris på kunnskapen dere bidrar med her
Vis hele sitatet...
Så vidt jeg vet vil IGMP proxy sørge for at multicast trafikk blir videresendt fra upstream til downstream, men kun til de enhetene som ber om det, altså kun til Q22. Kan sjekke at multicast trafikk blir mottatt med følgende kommando på edgerouter:

show ip multicast mfc
show ip multicast interfaces
hiv på dette her så får du dualstack ipv6 også, så kan du la være å holde på med portforwarding og åpne i fw direkte mot enhetene dine.

set interfaces ethernet eth0 dhcpv6-pd pd 1 interface lo host-address '::1'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface lo prefix-id ':0'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth2 host-address '::1'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth2 prefix-id ':1'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth2 service slaac
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth3 host-address '::1'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth3 prefix-id ':2'
set interfaces ethernet eth0 dhcpv6-pd pd 1 interface eth3 service slaac
set interfaces ethernet eth0 dhcpv6-pd pd 1 prefix-length 56
set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable

set firewall ipv6-name WANv6_IN default-action drop
set firewall ipv6-name WANv6_IN description 'WAN inbound traffic forwarded to LAN'
set firewall ipv6-name WANv6_IN enable-default-log
set firewall ipv6-name WANv6_IN rule 10 action accept
set firewall ipv6-name WANv6_IN rule 10 description 'Allow established/related sessions'
set firewall ipv6-name WANv6_IN rule 10 state established enable
set firewall ipv6-name WANv6_IN rule 10 state related enable
set firewall ipv6-name WANv6_IN rule 20 action drop
set firewall ipv6-name WANv6_IN rule 20 description 'Drop invalid state'
set firewall ipv6-name WANv6_IN rule 20 state invalid enable

set firewall ipv6-name WANv6_LOCAL default-action drop
set firewall ipv6-name WANv6_LOCAL description 'WAN inbound traffic to the router'
set firewall ipv6-name WANv6_LOCAL enable-default-log
set firewall ipv6-name WANv6_LOCAL rule 10 action accept
set firewall ipv6-name WANv6_LOCAL rule 10 description 'Allow established/related sessions'
set firewall ipv6-name WANv6_LOCAL rule 10 state established enable
set firewall ipv6-name WANv6_LOCAL rule 10 state related enable
set firewall ipv6-name WANv6_LOCAL rule 20 action drop
set firewall ipv6-name WANv6_LOCAL rule 20 description 'Drop invalid state'
set firewall ipv6-name WANv6_LOCAL rule 20 state invalid enable

set firewall ipv6-name WANv6_LOCAL rule 30 action accept
set firewall ipv6-name WANv6_LOCAL rule 30 description 'Allow IPv6 icmp'
set firewall ipv6-name WANv6_LOCAL rule 30 protocol ipv6-icmp
set firewall ipv6-name WANv6_LOCAL rule 40 action accept
set firewall ipv6-name WANv6_LOCAL rule 40 description 'allow dhcpv6'
set firewall ipv6-name WANv6_LOCAL rule 40 destination port 546
set firewall ipv6-name WANv6_LOCAL rule 40 protocol udp
set firewall ipv6-name WANv6_LOCAL rule 40 source port 547

set interfaces ethernet eth0 firewall in ipv6-name WANv6_IN
set interfaces ethernet eth0 firewall local ipv6-name WANv6_LOCAL
Nyeste hjemmesentralen er da installert hos meg.
Den er satt opp rett ved tven så jeg har kabel mot alle dingser i tv benken (xboxen, chromecast,tven, reciever etc), men til pcen har jeg enda Wifi.

Jeg testet litt rundt og ser at på wifi får jeg faktisk bedre hastighet (samt 1ms i ping) ved bruk av kun hjemmesentralen.
Jeg hadde en google wifi boks liggende og denne fikk jeg høyere ms (2ms) og rundt 350mb opp\ned (når jeg får 550\500 ved tilkobling til hjemmesentral)

Hadde for all del trodd at en google wifi boks skulle være raskere og bedre en hjemmesentralen selv?
Andre som har erfaring her?

Eventuelt hvilken router ville dere kjørt med altibox sitt opplegg? vurderer å legge kabel til pcen så usikker om jeg skal kjøpe "top notch" wifi router eller bare vente til jeg får lagt opp kabel..
Sitat av MrMidget Vis innlegg
Nyeste hjemmesentralen er da installert hos meg.
Den er satt opp rett ved tven så jeg har kabel mot alle dingser i tv benken (xboxen, chromecast,tven, reciever etc), men til pcen har jeg enda Wifi.

Jeg testet litt rundt og ser at på wifi får jeg faktisk bedre hastighet (samt 1ms i ping) ved bruk av kun hjemmesentralen.
Jeg hadde en google wifi boks liggende og denne fikk jeg høyere ms (2ms) og rundt 350mb opp\ned (når jeg får 550\500 ved tilkobling til hjemmesentral)

Hadde for all del trodd at en google wifi boks skulle være raskere og bedre en hjemmesentralen selv?
Andre som har erfaring her?

Eventuelt hvilken router ville dere kjørt med altibox sitt opplegg? vurderer å legge kabel til pcen så usikker om jeg skal kjøpe "top notch" wifi router eller bare vente til jeg får lagt opp kabel..
Vis hele sitatet...
Hvilken linje hadde du tidligere når du brukte google wifi? Forsøk å kjøre en speedtest direkte i den appen du bruker for å sette opp google wifi og se om hastigheten endrer seg etterpå.
Testet med samme linje (altså 500\500)
Speedtest direkte fra chrome og appen fra windows store

Hastigheten via google wifi appen viste faktisk høyere nå når jeg tenker meg om ja..
Rart at det skal være såpass stor forskjell på pc-en da.

Wifi kortet på pcen er på hovedkortet (XI Code motherboard, 2x2 802.11ac Wi-Fi)
Sitat av MrMidget Vis innlegg
Testet med samme linje (altså 500\500)
Speedtest direkte fra chrome og appen fra windows store

Hastigheten via google wifi appen viste faktisk høyere nå når jeg tenker meg om ja..
Rart at det skal være såpass stor forskjell på pc-en da.

Wifi kortet på pcen er på hovedkortet (XI Code motherboard, 2x2 802.11ac Wi-Fi)
Vis hele sitatet...
Jeg hadde selv google nest wifi og kjørte speedtest. fikk langt ifra 500 ned. men gjerne 500 opp.. koblet jeg med til wifi og brukte speedtest fikk jeg 500/500.. gjennom nest boksen. så tror det er noe rart med målingene på de google boksene
Nytt oppsett her. Netgate SG-2100 med pfSense.
Den har SFP port, så kjører fiber rett i.
Byttet ut en gammel stasjonær pc med denne og alt virker.
Hjemmesentralen til Altibox ligger fremdeles på hylla og støver ned
Sitat av Trrunde Vis innlegg
hiv på dette her så får du dualstack ipv6 også, så kan du la være å holde på med portforwarding og åpne i fw direkte mot enhetene dine.
Vis hele sitatet...
Mange takk igjen Trrunde. Jeg skal sette dette opp så snart jeg får kontroll på IPTV.

Sitat av cregeland Vis innlegg
Jeg la til Allow IGMP på LAN1_LOCAL og LAN2_LOCAL. Kan se ut som det har gjort en forskjell men skal teste litt til før jeg erklærer problemet som løst.
Vis hele sitatet...
Det ser ut til at gleden dessverre var kortvarig. IPTV hakker fortsatt. Har lagt til Allow IGMP protocol og Allow Multicast UDP protocol på LAN1_LOCAL og LAN2_LOCAL. LAN1_LOCAL har forøvrig Default Action som "Accept" så da bør vel ikke firewall være et problem der med mindre en annen rule spesifikt blokkerer disse protokollene?

Har også endret "alt-subnet" til 0.0.0.0/0 under igmp-proxy på eth1 (IPTV) upstream og fjernet "alt-subnet" på alle downstream interfaces.

Sitat av fbt Vis innlegg
Når bildet hakket med alt koblet vekk fra switchen utenom Q22 og FMG kan det være noe feil i config av switch. Er storm control eller port isolation aktivert på noen av switch portene i UniFi. Det bør isåfall deaktiveres. Ellers vet jeg ikke, men hvis det nå fungerer med IPTV inn på eth1 på edgerouter og bildet ikke hakker er jo det vel og bra da

Så vidt jeg vet vil IGMP proxy sørge for at multicast trafikk blir videresendt fra upstream til downstream, men kun til de enhetene som ber om det, altså kun til Q22. Kan sjekke at multicast trafikk blir mottatt med følgende kommando på edgerouter:

show ip multicast mfc
show ip multicast interfaces
Vis hele sitatet...
Takk @fbt, storm control er av og det er ingen port isolation. Legger ved screenshot fra de 2 kommandoene. Ser det står en del "Wrong" på 192.168.3.109 (Q22)



Setter stor pris på all hjelpen jeg får her
Sist endret av cregeland; 16. desember 2020 kl. 12:47.
Prøvd noe så enkelt som omstart av switch. Eventuelt prøvd å tilbakestille til fabrikk instillinger.

https://www.altibox.no/privat/kundes...ng-via-switch/
En stund fungerte det å restarte switch innimellom - da kunne det fungere greit et par dager. De siste månedene har ikke det gjort noen forskjell. Factory defaults er også prøvd - noe ufrivillig siden UniFi switchen tok kvelden og måtte erstattes for et par uker siden. Samme oppførsel som på den gamle Switchen.

Når jeg hadde alt-subnet 0.0.0.0/0 på igmp-proxy upstream så fikk jeg mange packets i "Wrong" kolonnen. Dette er synlig på screenshot i min forrige post.

Når jeg satte igmp-proxy tilbake til 172.21.0.0/16 og 10.133.0.0/16 på upstream og downstream får jeg 0 packets under "Wrong" kolonnen. Synes likevel datamengden er lav til å være en IPTV stream. Det har kanskje sin forklaring i at streamen hakker og det må trykkes pause-play for å gå tilbake til unicast. Da vil vel ikke data inkluderes i multicast stats.

Slik jeg forstår det er vel igmp-proxy config riktig i og med at det går pakker til riktig IP range'en på ETH1. Får dere som har et fungerende oppsett større mengder pakker/data under show ip multicast mfc - og får dere noen pakker under "Wrong" kolonnen?

For info tilhører ingen av ip adressene på de nederste 7 linjene (de uten eth1/eth4) i "show ip multicast mfc" dekodere. 192.168.0.159 er IP på ETH1 som er koblet til FMG port 1 for IPTV. Da gjenstår bare 192.168.3.236 som er en Samsung TV og 192.168.4.103 som er en PC.



Sist endret av cregeland; 17. desember 2020 kl. 13:05. Grunn: screenshot
Adressene på igmp-proxy, er du sikker på de er riktig iht. hvor du befinner deg? Trrunde har et script på github som henter de riktige men dette scriptet må du kjøre på edgerouteren.

Dersom du har fått ip på vlan 101 ville jeg tatt en backup and routeren, kjørt scriptet og sett hvilen route den fant. Så ville jeg endret config fra backup med de routene, og deretter lastet opp denne backup igjen.
Kanskje en ide og fjerne brannmur LAN1 og LAN2 mens du feilsøker på dette.

Hva med dekoder rett inn i edgerouter eth2 eller eth3, funker det?
Sitat av Olstig Vis innlegg
Adressene på igmp-proxy, er du sikker på de er riktig iht. hvor du befinner deg? Trrunde har et script på github som henter de riktige men dette scriptet må du kjøre på edgerouteren.
Vis hele sitatet...
Det kan jeg prøve - men vil det fungere siden jeg i dette oppsettet ikke bruker VLAN (kun igmp-proxy og routing). Får IP på ETH1 fra FMG port 3 (192.168.0.x) uten å ha konfigurert VLAN. Fiber rett på Edgerouter 6P var jo ikke så lurt siden den ikke har hardware switching - så da er det vel å unngå VLAN switching og heller bruke routing som er riktig?

Sitat av fbt Vis innlegg
Kanskje en ide og fjerne brannmur LAN1 og LAN2 mens du feilsøker på dette.

Hva med dekoder rett inn i edgerouter eth2 eller eth3, funker det?
Vis hele sitatet...
Prøvde akkurat Q22 direkte på ETH2. Det hakker etter 15-20 sekunder. TV2 hakker konsekvent etter 15-20 sek mens TV2 Nyhetskanalen ser ut til å fungere fint. Merkelig. Kan i hvert fall foreløpig utelukke switchene som kilde til problemet.

Kan prøve å fjerne brannmuren. Hva skjer hvis jeg fjerner ETH2 interface bindingen mot LAN1_LOCAL og LAN1_IN firewall ruleset? Vil det bli accept all eller drop all?

Jeg har forresten Lyse som Altibox leverandør hvis det betyr noe mtp routingene.
Sist endret av cregeland; 17. desember 2020 kl. 23:56. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av cregeland Vis innlegg
Det kan jeg prøve - men vil det fungere siden jeg i dette oppsettet ikke bruker VLAN (kun igmp-proxy og routing). Får IP på ETH1 fra FMG port 3 (192.168.0.x) uten å ha konfigurert VLAN. Fiber rett på Edgerouter 6P var jo ikke så lurt siden den ikke har hardware switching - så da er det vel å unngå VLAN switching og heller bruke routing som er riktig?



Prøvde akkurat Q22 direkte på ETH2. Det hakker etter 15-20 sekunder. TV2 hakker konsekvent etter 15-20 sek mens TV2 Nyhetskanalen ser ut til å fungere fint. Merkelig. Kan i hvert fall foreløpig utelukke switchene som kilde til problemet.

Kan prøve å fjerne brannmuren. Hva skjer hvis jeg fjerner ETH2 interface bindingen mot LAN1_LOCAL og LAN1_IN firewall ruleset? Vil det bli accept all eller drop all?

Jeg har forresten Lyse som Altibox leverandør hvis det betyr noe mtp routingene.
Vis hele sitatet...

Dere blander sammen ting nå. Så lenge FMG står koblet til skal du ikke forholde deg til vlan i det hele tatt på edgerouter.
Det virker som du har en eller flere switcher koblet på edgerouteren din allerede? (kanskje en til ditt nett og en til leiligheten?)
Oppsettet ditt vil nok fungere bedre om fiberen går direkte i ER6 og denne får ipadresse på vlan 101 og 102 direkte.
Takk igjen - setter stor pris på dette.

Men vil fiber i ER6 med VLAN være en bra løsning siden ER6P ikke har hardware offload på switching?

For å få et fungerende oppsett med fiber direkte i EdgeRouter og IP på VLAN 101 / 102 så må vel f.eks ETH2 (LAN1) switches sammen med f.eks ETH5.101 og ETH5.102 (Fiber uplink vlan 101 og 102). På samme måte må ETH3 (LAN2) switches med de samme VLAN´ene men holdes adskilt fra LAN1. Beklager hvis dette er grunnleggende feil forståelse av oppsettet.
Sitat av cregeland Vis innlegg
Takk igjen - setter stor pris på dette.

Men vil fiber i ER6 med VLAN være en bra løsning siden ER6P ikke har hardware offload på switching?

For å få et fungerende oppsett med fiber direkte i EdgeRouter og IP på VLAN 101 / 102 så må vel f.eks ETH2 (LAN1) switches sammen med f.eks ETH5.101 og ETH5.102 (Fiber uplink vlan 101 og 102). På samme måte må ETH3 (LAN2) switches med de samme VLAN´ene men holdes adskilt fra LAN1. Beklager hvis dette er grunnleggende feil forståelse av oppsettet.
Vis hele sitatet...

for å få et fungerende oppsett må du ikke "switche sammen" noe.
Dersom sfp interfacet = eth5 så blir det noe ala dette:
eth5.101 - vlan for tv, her får du 10.166.x.x
eth5.102 - vlan for internett, her får du 92.221.x.x

eth2 - eget nett, bruk et eget valgt rfc1918 subnet, f.eks 192.168.3.0/24 og koblet på en switch for utstyret ditt
eth3 - leilighet/hybel - bruk et eget valgt rfc1918 subnet, f.eks 192.168.4.0/24 og koblet på en switch for utstyr i leiligheten.

igmp-proxy upstream interface blir eth5.101 og to downstream interface, eth2 og eth3

All switching blir nå utført på switcher koblet på eth2 og 3, routing blir utført på er6-p
Edit:
Leste gjennom scriptet ditt en gang til @Trrunde og hvis jeg forstår det riktig så kan det se ut som jeg ikke trenger å switche portene men fortsetter å bruke routing og igmp-proxy. Switching synes kun nødvendig dersom jeg skal ha det samme ut fra alle portene på EdgeRouter bortsett fra fiber uplink. Det trenger jo ikke jeg som har 1 switch til meg og 1 switch til hybelen.

F.eks noe i denne duren?:

Kode

 
set port-forward auto-firewall enable
set port-forward hairpin-nat enable
set port-forward lan-interface switch0   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
set port-forward wan-interface eth0.102

set protocols igmp-proxy interface eth0.101 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0.101 role upstream
set protocols igmp-proxy interface eth0.101 threshold 1
set protocols igmp-proxy interface switch0 role downstream   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
set protocols igmp-proxy interface switch0 threshold 1   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
mye mulig fmg har fast optikk, i såfall må du finne kompatibel sfp å sette inn, er ikke så lett som å bare flytte sfp fra hjemmesentralen.

Sitat av cregeland Vis innlegg
Edit:
Leste gjennom scriptet ditt en gang til @Trrunde og hvis jeg forstår det riktig så kan det se ut som jeg ikke trenger å switche portene men fortsetter å bruke routing og igmp-proxy. Switching synes kun nødvendig dersom jeg skal ha det samme ut fra alle portene på EdgeRouter bortsett fra fiber uplink. Det trenger jo ikke jeg som har 1 switch til meg og 1 switch til hybelen.

F.eks noe i denne duren?:

Kode

 
set port-forward auto-firewall enable
set port-forward hairpin-nat enable
set port-forward lan-interface switch0   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
set port-forward wan-interface eth0.102

set protocols igmp-proxy interface eth0.101 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0.101 role upstream
set protocols igmp-proxy interface eth0.101 threshold 1
set protocols igmp-proxy interface switch0 role downstream   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
set protocols igmp-proxy interface switch0 threshold 1   <— HER SETTER JEG ETH2 OG ETH3 ISTEDENFOR
Vis hele sitatet...
Der configen sier switch0 må du ha erstatte dette med to linjer, en med eth2 og en med eth3, dersom det er her du kobler til dine switcher.
Sist endret av Trrunde; 18. desember 2020 kl. 00:40. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Flott, takk. Da får jeg prøve å bytte til fiber direkte i EdgeRouter. Tenker å bestille denne til å sette i EdgeRouteren: https://www.fs.com/de-en/products/74514.html.

Bestiller da en custom versjon med Ubiquiti koding og SC connector. Håper det blir en god løsning.
Sitat av cregeland Vis innlegg
Flott, takk. Da får jeg prøve å bytte til fiber direkte i EdgeRouter. Tenker å bestille denne til å sette i EdgeRouteren: https://www.fs.com/de-en/products/74514.html.

Bestiller da en custom versjon med Ubiquiti koding og SC connector. Håper det blir en god løsning.
Vis hele sitatet...
Hvilken hjemmesentral har du? Når jeg byttet til VGM fulgte det med en løs i esken som fungerte fint med edgerouteren
Sitat av cregeland Vis innlegg
Flott, takk. Da får jeg prøve å bytte til fiber direkte i EdgeRouter. Tenker å bestille denne til å sette i EdgeRouteren: https://www.fs.com/de-en/products/74514.html.

Bestiller da en custom versjon med Ubiquiti koding og SC connector. Håper det blir en god løsning.
Vis hele sitatet...
Det burde funke det.

Sitat av Olstig Vis innlegg
Hvilken hjemmesentral har du? Når jeg byttet til VGM fulgte det med en løs i esken som fungerte fint med edgerouteren
Vis hele sitatet...
han skrev i en post tidligere at det var FMG, mener på at fmg ikke har sfp.
Sist endret av Trrunde; 18. desember 2020 kl. 21:20. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Olstig Vis innlegg
Hvilken hjemmesentral har du? Når jeg byttet til VGM fulgte det med en løs i esken som fungerte fint med edgerouteren
Vis hele sitatet...
Har FMG, har ikke sett at det er mulig å ta ut SFP.

Edit:

Et lite oppfølgingsspørsmål før jeg setter igang med å rive ut FMG. Vil jeg risikere problemer dersom Altibox kommer med oppdateringer som krever endringer i config på FMG? Har lest noe om at det ikke bare er å koble på FMG igjen dersom EdgeRouteren crasher. Visstnok noe om at IP knyttes til MAC som blir spoofet i EdgeRouter. Må kanskje vente til DHCP leasen utløper og så reconnecte FMG i så tilfellle.
Sist endret av cregeland; 18. desember 2020 kl. 21:26. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av cregeland Vis innlegg
Har FMG, har ikke sett at det er mulig å ta ut SFP.

Edit:

Et lite oppfølgingsspørsmål før jeg setter igang med å rive ut FMG. Vil jeg risikere problemer dersom Altibox kommer med oppdateringer som krever endringer i config på FMG? Har lest noe om at det ikke bare er å koble på FMG igjen dersom EdgeRouteren crasher. Visstnok noe om at IP knyttes til MAC som blir spoofet i EdgeRouter. Må kanskje vente til DHCP leasen utløper og så reconnecte FMG i så tilfellle.
Vis hele sitatet...
Jeg fikk noen problemer med min edgerouter en gang. (Kjøpte en defekt på Finn) Var bare å koble tilbake hjemmesentral igjen og alt var tilbake som normalt..

Ip får du automatisk fra altibox. Og den siste tiden har jeg fått flere nye ip-adresser fra dem på min edgerouter. Det skjer automatisk..

Eneste jeg har tenkt meg kan bli et problem var om de plutselig endret routene til iptv. Men forsto at det ikke er noe som skjer helt uten videre.
▼ ... over en uke senere ... ▼
Flere som har fått trøbbel med IPTV? Altibox har vært nede i mitt område nesten to dager. Da det var oppe og gå igjen funket internett fint, men kun NRK på IPTV, får ikke opp meny eller annen funksjonalitet på dekoder (Q22) heller. Feilmelding: "TV tjenesten er for tiden utilgjengelig". Alt fungerte da jeg koblet om til FMG-sentralen og Q22 rett i den. Vet ikke om routene til IPTV er endret?

Har fiber rett inn i ER4 og splittet ut i vlan til switch som sender ut i huset. Funket topp foruten endring av route i september 2020.
Sist endret av andert; 1. januar 2021 kl. 14:09.
ikke noen endringer i prefix som brukes, sjekk at du fremdeles har samme ipadresse på vlan 101, dersom du har blitt flyttet til en annen uplink node kan det hende du må peke om de statiske routene dine til ny gw.
dersom du kjører show ip route og ikke ser de to routene dine statisk i route tabellen tyder det på at du har pekt mot feil gw adresse.
Var ny gateway adresse, ja. Ser ut til å funke som det skal nå.
Hei,

Hva er det man skal se etter når man skal kjøpe SFP for å få fiber rett inn i ruter? Har Unifi Dream Machine Pro, men det er jo en jungel av SFP man kan kjøpe..
Jeg har bestilt denne: https://www.fs.com/de-en/products/74514.html

Den er da bestilt med SC connector og Ubiquiti config. Mener den skal passe både på EdgeRouter og UDM Pro - men har ikke fått den enda så ikke garantert
Sitat av makaroni Vis innlegg
Hei,

Hva er det man skal se etter når man skal kjøpe SFP for å få fiber rett inn i ruter? Har Unifi Dream Machine Pro, men det er jo en jungel av SFP man kan kjøpe..
Vis hele sitatet...
Har du en mediaconverter fra før? Åpne den og se hva som står på den
Sitat av Olstig Vis innlegg
Har du en mediaconverter fra før? Åpne den og se hva som står på den
Vis hele sitatet...
Har en HET-3012W2A(SM-10)-DR idag. Planen var å kjøpe en SC-SC skjøt, legge den inni HET-3012 (god plass), kjøpe en lang patchesnor med SC konnektor og så en SFP inn i UDM-P

Åpna opp mediakonverteren, og der står det
CTS D3155-9SCWD1A
Speed Dual Rate, WDM 10km, TX/RX : 1310/1550

Så var det å finne noe som ligner dette i jungelen med SFP da.
Ser den cregeland linker til er 20km - er dette maks lengde, og kan jeg bruke denne selv om mediakonverteren jeg har idag er 10km?
Ellers så skjønner jeg at TX/RX må stemme overens med mediakonverter jeg har idag, og den må være kompatibel med min leverandør av utstyret, som er Ubiquiti.
Plug må også stemme overens, jeg har SC UPC.

https://www.fs.com/de-en/products/74...attribute=2949
Da skal vel denne stemme med mediakonverter jeg har idag?

Takk for all hjelp.
Jeg erstattet fiber inn i FMG med disse to for å koble fiber rett inn i ER4 (funket også med forrige setup som var fiber inn i ES24Lite og eth til ERPoe5):

https://www.fs.com/de-en/products/39135.html

https://www.fs.com/de-en/products/40469.html
Sist endret av andert; 3. januar 2021 kl. 10:20.
Sitat av makaroni Vis innlegg
Har en HET-3012W2A(SM-10)-DR idag. Planen var å kjøpe en SC-SC skjøt, legge den inni HET-3012 (god plass), kjøpe en lang patchesnor med SC konnektor og så en SFP inn i UDM-P

Åpna opp mediakonverteren, og der står det
CTS D3155-9SCWD1A
Speed Dual Rate, WDM 10km, TX/RX : 1310/1550

Så var det å finne noe som ligner dette i jungelen med SFP da.
Ser den cregeland linker til er 20km - er dette maks lengde, og kan jeg bruke denne selv om mediakonverteren jeg har idag er 10km?
Ellers så skjønner jeg at TX/RX må stemme overens med mediakonverter jeg har idag, og den må være kompatibel med min leverandør av utstyret, som er Ubiquiti.
Plug må også stemme overens, jeg har SC UPC.

https://www.fs.com/de-en/products/74...attribute=2949
Da skal vel denne stemme med mediakonverter jeg har idag?

Takk for all hjelp.
Vis hele sitatet...
Så lenge sfp har samme spec som mediakonverteren din TX/RX : 1310/1550
Du kan bruke den du har bestilt da ja
Sist endret av Olstig; 3. januar 2021 kl. 13:56.
▼ ... over en uke senere ... ▼
Sitat av Trrunde Vis innlegg
mye mulig fmg har fast optikk, i såfall må du finne kompatibel sfp å sette inn, er ikke så lett som å bare flytte sfp fra hjemmesentralen.

Der configen sier switch0 må du ha erstatte dette med to linjer, en med eth2 og en med eth3, dersom det er her du kobler til dine switcher.
Vis hele sitatet...
Da har jeg fått installert SFP på eth5 (edgerouter 6P). Har fått IP på vlan101 og vlan102 (inkl ipv6 på vlan102). Jeg har brukt oppskriften din på github Trrunde (tusen takk). Mulig jeg har misforstått men skulle ikke da static routes bli satt automatisk med dhcp option på vlan101 - eller er det helt feil? Jeg får ikke TV på Q22 med mindre jeg legger inn static routes manuelt - og disse kan vel endre seg fra tid til annen.

Er det da riktig å sette de 2 static routene manuelt eller er det noe med bruk av scriptet som ikke fungerer i configen min?

Nesten i mål nå
det enkleste er å sette dem opp statisk, scriptet installerer også default route via vlan 101 og det blir problemer.
Det er ikke ofte subnet som må routes over vlan 101 endres, det har til nå kun skjedd en eneste gang.
Takk for svar. Dette blir da altså riktig?

Sitat av cregeland Vis innlegg
Takk for svar. Dette blir da altså riktig?

Vis hele sitatet...
Velkommen i klubben
Hei!

Kan jeg gjøre slik som bildet viser ?


1 hus, 2 leiligheter. Lyse altibox FMG i bridgemode -> switch -> 2 routere med forskjellige ip range ( 1 i hver leilighet da de begge ønsker å bruke egen router. )

Pros/Cons ? Vil det i det hele tatt fungere ? Hvis ikke, kan noen gi råd om hvordan ?

Mange takk
Sitat av ParaTorMal Vis innlegg
Hei!

Kan jeg gjøre slik som bildet viser ?


1 hus, 2 leiligheter. Lyse altibox FMG i bridgemode -> switch -> 2 routere med forskjellige ip range ( 1 i hver leilighet da de begge ønsker å bruke egen router. )

Pros/Cons ? Vil det i det hele tatt fungere ? Hvis ikke, kan noen gi råd om hvordan ?

Mange takk
Vis hele sitatet...

nei, du får bare en offentlig ipadresse. Så da blir det kun internett på en av routerne.
Trodde det var selve hjemmesentralen som hadde denne offentlige ip adressen, og at man da ved hjelp av å sette hver router etter med fast lokal ip at man ville få videre kontakt.

Men da vet jeg det. Takk
Sitat av ParaTorMal Vis innlegg
Trodde det var selve hjemmesentralen som hadde denne offentlige ip adressen, og at man da ved hjelp av å sette hver router etter med fast lokal ip at man ville få videre kontakt.

Men da vet jeg det. Takk
Vis hele sitatet...
dersom hjemmesentralen er i routed modus stemmer dette. Men i tegningen din skrev du bridge mode.
Sitat av ParaTorMal Vis innlegg
Hei!

Kan jeg gjøre slik som bildet viser ?


1 hus, 2 leiligheter. Lyse altibox FMG i bridgemode -> switch -> 2 routere med forskjellige ip range ( 1 i hver leilighet da de begge ønsker å bruke egen router. )

Pros/Cons ? Vil det i det hele tatt fungere ? Hvis ikke, kan noen gi råd om hvordan ?

Mange takk
Vis hele sitatet...
Bytt ut switchen du har i tegningen etter FMGen med en router og bytt ut routerene i leilighetene med switcher, så slipper du dobbel-NAT.
Er det noen som har forsøkt å ta med VLAN103 for telefoni (usikker på om det er riktig vlan)? Vil det la seg gjøre i EdgeRouter når man nå har fiber direkte til Eth5 (SFP) - kan kanskje hente dette ut som et VLAN og sende det untagged til telefonen?

Update: Det ser ut til at jeg får IP på VLAN100 (10.92.35.xxx/19). Jeg må kanskje kjenne til IP rangen som skal routes på VLAN100 da.
Sist endret av cregeland; 19. januar 2021 kl. 23:41. Grunn: Automatisk sammenslåing med etterfølgende innlegg.