1 internet liittymä , joka sisältää 2 eri verkkoa kotona

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja Vauhtimursu, 14.09.2018.

  1. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    En tiedä miten otsikon voi muotoilla paremmin, mutta muokkaillaan näitä kun viisaammat neuvoo :)

    Eli tarkoituksena on tavalliseen tapaan yhdellä internet liittymällä toteuttaa 2 eri verkkoa kotona. Toteuttamis tapoja on varmasti monia, mutta käyn tässä läpi tämän oman suunnitelman kokonaisuudessaan.
    Tarkoitus on saada lasten verkko erilleen omasta verkosta , useastakin syystä.

    Laitteistot alkaa olemaan kasassa pikkuhiljaa.
    - Ciscon kaapelimodeemi(reitittävä)
    - Edgerouter x reititin
    - Lasten reititin (tämän vielä ostan välittömästi kun tulee WPA3 laitteita saataville)
    - 2kpl tyhmiä kytkimiä

    Ciscon kaapeli modeemi tarkoitus laittaa siltaavaksi ja edgerouter ciscoon kiinni. Siitä eteenpäin sitten kuvien mukaisen suunnitelman mukaan.


    [​IMG]


    [​IMG]


    [​IMG]

    Kiitos jo kaikille auttaneille, @Lagittaja sekä @=JP= lle kuvista sekä kaikille jotka on vääntäny rautalankaa tuossa toisessa aiheessa jo aiemmin.
    reitittimeen esto tietyille sivustoille
    Melko kattavasti jo käyty tätä asiaa läpi, ja tästähän se vasta alkaa :)

    Edgerouter varmasti tuottaa pientä päänvaivaa kun sen konffailua alkaa opettelemaan. Sekin oli yksi syy miksi avasin tälle erillisen aiheen ja jos joku miettii samoja asioita niin ehkä tästä saa jotain neuvoa alkuun.
     
    Viimeksi muokattu: 14.09.2018
  2. Stanley H. Tweedle

    Stanley H. Tweedle

    Viestejä:
    1 574
    Rekisteröitynyt:
    18.10.2016
    Mä tykkään helpoista ja simppeleistä ratkaisuista:

    Edgerouterin wizardista voi alkuasennuksessa valita kaksi erillistä verkkoa omille porteilleen :tup:

    Lagittaja voi sitten antaa perusteellisemman vastauksen. Arvostan tyypin perusteellisuutta ja viitseliäisyyttä :)
     
    Vauhtimursu tykkää tästä.
  3. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    :)

    Tuo ainakin mietityttää että miten tuon ps4 saa pois "tuplanatin" takaa pois. Kun laitteistot on säädöissä ehkä uskallaudun telkkarinki laittaa verkkoon.

    Jääkö ciscoon palomuurit käyttöön kun sen asettaa siltaavaksi, osahan toiminnoista lakkaa toimimasta. Vai onko edgerouterissa oma palomuurinsa joka kannattaa pitää käytössä ?
     
  4. Stanley H. Tweedle

    Stanley H. Tweedle

    Viestejä:
    1 574
    Rekisteröitynyt:
    18.10.2016
    - Ciscon palomuuri jää siltaavassa tilassa pois käytöstä.
    - Edgerouterissa on palomuuri ja se on siinä hyvässä paikassa, muita palomuureja ei tarvita.
    - Tukiasemamoodissa ei ole NAT tai palomuuri päällä, vaan verkon määritykset tulevat suoraan Edgerouterilta.
     
  5. hatih

    hatih

    Viestejä:
    371
    Rekisteröitynyt:
    22.10.2016
    En ole verkkojen kanssa niin paljoa leikkinyt että alkaisin ohjeita antamaan mutta periaattessahan tuo ei vaadi kuin modeemin, edgeroutterin, kytkimen joka osaa VLANit ja langattoman tukiaseman. Määritellään kummallekin verkolle oma VLAN ja konffauksen jälkeen kytkimeen kytketty laite menee siihen verkkoon jonka VLAN porttiin on määritetty. Kunhan langaton tukiasema tukee sitä tällä saataisiin samalla kummallekin verkolle oma WLAN.
     
  6. Stanley H. Tweedle

    Stanley H. Tweedle

    Viestejä:
    1 574
    Rekisteröitynyt:
    18.10.2016
    Ei tarvitse tässä tapauksessa VLANia ymmärtäviä kytkimiä, kun Edgerouterista vetää kaapelit omista porteistaan "aikuisten kytkimelle" ja "lasten tukiasemalle".
     
  7. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Ei tällaiseen VLANeja tosiaan tarvitse sekoittaa ellei sitten halua toteuttaa WLANia yhdellä tukiasemalla joka palvelee molempia sisäverkkoja kahdella eri SSID:llä.
    Eikä niitä hallittuja kytkimiäkään tarvitse jos esim ER-X:n ylimääräiset 3 porttia riittää muulle kun eth0 menee modeemille ja eth4 tukiasemalle eli eth1-3 jää sitten kahden eri verkon käyttöön esim tavallisille tyhmille kytkimille joihin sitten kytketään tietokoneita sun muita langallisia laitteita.

     
  8. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Ei tämä helppoa ole ainakaan. Edgerouteriin ei pääse edes käsiksi.Cisco siltaavaksi, siitä lan 1 portista johto edgerouterille, ja netti katoaa koneesta kun tietokone on kiinni edgerouterin etho 1 lan.

    Eli 1kpl johto cisco lan 1 -> edgerouter etho 0 , Poe IN kohtaan ja siitä seuraavaksi -> Etho:sestä 1 lan johto , tietokoneeseen. Koitin ilman siltausta tai siltaavana tuolla ciscolla ja aina kun laittaa edgen väliin tulos on että hallintasivulle ei pääse, kun netti katoaa kokonaan. Oisko vinkkiä miten tuolla täytyis web sivuhallintaan nyt päästä ?

    Koitin webbihallintaan myös päästä jos laitan johdot pykäliä kauemmas eli ei tuohon Poe IN reikään, vaan etho 1 ja etho 2 kohtii, ei auttanu. Tuskin toimii 3, 4 kohdillakaan joten turha koittaa ?

    Valot syttyy kyllä edgessä kun johtoja siirtelee, hallintaan en ole päässy edes vahingossa. Oon resetoinu jo edgeäkin, ciscoa useampaan otteeseen palautellu tehdas asetuksia mutta. Mitään muuta ei ole kiinni nyt tällä hetkellä kuin cisco ja edgerouter sekä 1kpl tietokone. Ciscolla pääsee nettiin, mutta heti kun edgerouterin laittaa väliin niin tuo netti tosiaan katoaa.

    edgen osoite 192.168.1.1 kokeiltu http ja https
    cisco siltaavana oli eri, 192.168.100.1 ja olen näppäillyt osoitteet oikein.
     
    Viimeksi muokattu: 19.09.2018
  9. Dalle

    Dalle

    Viestejä:
    129
    Rekisteröitynyt:
    17.10.2016
    Et siis ole päässyt ollenkaan säätämään edgerouterin conffeja? Eli on vielä defaultit? Jos näin niin ensin pitää asettaa tietokoneen ip osoitteeksi jokin 192.168.1.0/24 avaruudesta ja yhdistää tietokone Ethernet kaapelilla Edgerouter eth0 porttiin. Sitten pääset hallinta sivulle selaimella osoitteella https://192.168.1.1. Voit tehdä tarvittavat conffit ensin ja vasta viimeiseksi yhdistää ciscosta johdon edgerouterin eth0 porttiin.

    Täällä esim ohjeet: EdgeRouter - Beginners Guide to EdgeRouter
     
    Stanley H. Tweedle tykkää tästä.
  10. Stanley H. Tweedle

    Stanley H. Tweedle

    Viestejä:
    1 574
    Rekisteröitynyt:
    18.10.2016
    Joo edgerouter ei toimi heittämällä kuten yleensä on totuttu, vaan vaatii asetukset ensin. Joskus niitä manuaaleja on vaan pakko lukea :D
     
  11. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Ah, kiitos varmistuksesta. Just plaraan ja kerään netin off tilaan muistioon ohjeita miten suoriutua.
    löysin kanssa tämän linkin EdgeRouter - Beginners Guide to EdgeRouter
    jossa näkyy olevan just tuo ohje että pitää oman koneen osoitetta räpeltää. On ollu "manuaali" koko ajan auki mutta ei siinä vaan mainita tämmöistä seikkaa että täytyy oman koneen verkkoasetuksia muutella :D Vasta kun kaivoin nuo toiset ohjeet verkosta niin alkas hiipimään epäilys että ei sen olekkaan noin tarkoitus toimia vaan nyt oli jotain muuta.

    Noh, uus yritys .. Eli edgerouterin ei tarvitse saada verkkokaapelia ciscolta lainkaan ensi konffeille ? Riittää kun jos laitan nyt virtajohdon seinään ja läppäristä 1kpl rj-45 ainoastaan edgeen ja muutan läppärin asetuksia hieman niin pitäis toimia ?

    Epätoivo meinas jo hiipiä puseroon tässä vaiheessa , kiitos todella nopeista vastauksista !!!!!!!!

    Purkasin turhaan koko kämpästä netin kaikilta :D
     
    Viimeksi muokattu: 19.09.2018
  12. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Noniin, nythän se menikin heittämällä sisään. Ei vaan ole nettiä nyt että sais firmwaren päivitettyä. Joo no, jatketaas tutkiskelua saako tuosta kalua mitenkään.
     
  13. Dalle

    Dalle

    Viestejä:
    129
    Rekisteröitynyt:
    17.10.2016
    Jep, Edgerouter vaan virroissa ja eth0 portista rj-45 kaapeli läppäriin. Läppärin asetuksista (langallisten verkkokortin) sitten ip vaikka 192.168.1.10. Läppäri voi olla WLANissa kiinni samalla jos haluaa internetiin päästä (ja se WLAN on vielä saatavilla)
     
  14. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Saanko asetettua tuon edgen tavalla että pääsen myöhemmin "helpommin" käsiksi asetuksiin verkossa olevalla koneella esim osoitteeseen 192.168.1.1 ? Tarkoitan ettei tarvi näitä koneen asetuksia alkaa muutteleen jne. Tai, no. Toisaalta se on varmaan ihan hyvä jos jättää tuon asetuksen tolleensa. Kyllä kai tikultakin onnistuu se firmware asentaa ?
     
  15. Dalle

    Dalle

    Viestejä:
    129
    Rekisteröitynyt:
    17.10.2016
    Juu, kyllä sinne pääsee esim yllä olevan kuvan osoitteilla aikuisten verkosta kun ottaa yhteyden https://192.168.30.1
     
  16. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Ai ei mitään mainita?
    upload_2018-9-19_20-20-44.png
    upload_2018-9-19_20-21-51.png
    1. Kytke piuha koneestasi eth0
    2. määritä koneellesi staattinen IP 192.168.1.X alueella
    3. surffaa 192.168.1.1 osoitteeseen
    4. ???
    5. Profit

    Ja eihän sitä firmware tiedostoa ilman nettiä ladata, heti seuraavalla sivulla ohjeessa on suora linkki lataussivustolle mistä sen firmwaren saa ladattua.
    upload_2018-9-19_20-23-42.png

    Lataa paketti valmiiksi ja kun olet ER-X:n webkonffissa kiinni niin klikkaa alavasemmalta System, rullaa alaspäin alaspäin niin oikeasta laidasta löytyy "Upgrade System Image".
    upload_2018-9-19_20-24-20.png

    Aja päivitys sisään ja odottele että purkki on taas pystyssä.
    Eli kun siis ensimmäistä kertaa kirjaudutaan purkkiin sisälle ja purkki on oletus asetuksilla niin se ehdottaa wizardia, tämän voi ohittaa ja päivittää sen firmwaren ensin.
    Sen jälkeen kun on päivitetty ja olet taas purkissa sisällä niin oikeasta yläreunasta löytyy Wizards nappi.
    Kun olet wizardin kliksutellut läpi ja purkki käynnistyy uudelleen niin siirrä se oman koneesi johto esim eth1 ja kytke ciscosta tuleva johto eth0.

    Pro tip: wizardissa "User setup" kohdassa valitse "create new admin user". Eli luot uuden admin käyttäjän ja oletus ubnt/ubnt tunnukset poistetaan. Oletus tunnuksia ei tule käyttää missään nimessä ("keep existing user" vaihtoehto) enkä myöskään suosittele ubnt käyttäjänimen käyttämistä eri salasanan kanssa ("use default user" vaihtoehto). Ihan turha ottaa riskiä sen oletus käyttäjänimen kanssa..
     
  17. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Tuosta laittamastani linkistä ymmärsin suoraan mistä on kyse, manuaalista ei ihan hiffannu. Mutta se siitä. Oli ohjeet, mutta sais olla aloittijalle hieman helpommat.

    Aika kiva kyllä tuo edgerouter. Tässä nyt tainnu olohuoneen kulmauksessa vierähtää useampi päivä tuota laitetta tutkaillessa. Alku oli hankalaa mutta nyt on päästy jo siihen pisteeseen että netti kulkee jopa edgen ollessa "välissä" johtoineen päivineen. Tuo oletus käyttäjä ubnt ja salasana on ihan selvähomma että vaihtoon meni ensimmäisenä. Onnistui sekin mainiosti jo parin kolmen yrityksen jälkeen...Wizardista ihmettelin pitkään niitä vaihtoehtoja kunnes tajusin ottaa "täpän" pois use only 1 lan kohdasta jolloin hommasta tuli selkeämpää. Koittelin varmaan wizardin jokaisen vaihtoehdon läpi kunnes tuli tuo "ahaa" elämys ja voittaja olo.

    Eth0 menee ciscoon tällä hetkellä (ja se on sillattuna), eth1 on lasten reitittimessä, ja loput eth2,3,4 jää minun käyttööni. Sain siis luotua luultavasti, 2 eri verkkoa mikä ollu tavoitteena. Edelleen vaan tuosta lasten reitittimen päässä olevalla tietokoneella pääsee edgeOS etusivulle joten onko ne siltikin samaa verkkoa ? Noh, ehkä joku osaa kertoa kuuluuko sen tuolla tavoin mennäkkin että pääsee hyppimään ristiin rastiin laitteita.

    Sitten lasten reitittimestä menin ja koklasin laittaa sen AP:eeksi. Voi paska, hyvinhän se toimi mutta eihän sinne asetuksiin enää löytäny millään. Kaikki dns ja omat asettamat estot hävis myös jolloinka päätin että parempi palauttaa se "normaaliin" tilaan. Jonka myös tein sitten. Hetken kaivoin netistä apua että löysin hallintaan joka ei ollukkaan enää yllätys yllätys aikaisemmin määrittämäni ... ööö default gateway ? No se 192.168.xx.xx osoite jokatapauksessa jolla asetuksiin pääsee.

    Ainakin muuten, edgerouterissa sain dns asetukset säädettyä niin että opendns family shield on toiminnassa lasten reitittimen kautta kaikkiin laitteisiin. (Tämä oli hyvä juttu), ja omaan verkkooni ihan ISP tarjoama vakio DNS tulee tällä hetkellä. Kätevää.

    Mutta tämä oli juuri sitä mitä hain. Erittäin tyytyväinen olen tuohon edgerouteriin. Kaikki on kyllä vaikeaa, mutta eiköhän se tästä ala sujumaan. Nyt mietin tuota palomuuria, asetuksia on vaikka miten paljon kaikenlaista. Oletuspaloomuuri on nyt käytössä, eli wan_in ja oisko se ollu wan_local joissa on sääntöjä.

    Täytyyköhän noille lan puolelle tehdä myös omat sääntönsä ? Vai onko tuo pätevä tuolla oletusasetuksella , tuo muuri siis ?
    Haluaisin kyllä vetää sitä kireämmälle mutta miten ? Varsinkin lasten puolen muuria vois hieman kiristellä mikäli tarttee ?

    Asentelin tosiaan käyttöjärjestelmät koneisiin puhtaat kaikkiin, nollailin ciscot ym laitteet ja lisäsin edgen mukaan peliin. Nyt ei pitäisi siis oman verkon saastua jos lapset tuijottaa pornoa tai klikkailee epämääräisiä linkkejä yms yms ?

    Voi olla että puhun taas mitä sattuu näiden termien kohdalla, olen vaan niin sekaisin tästä opiskelusta kun monta päivää selvittäny kaikenlaista asiaa.
     
  18. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Nyt kun on ottanu etäisyyttä hieman tuohon edgeen on ollu aikaa pelailla lasten kanssa eripelejä. Mutta onkin ilmeentyny isohkoa "lagimista". Pingit huitelee taivaissa ajoittain ja pelit nykii ajottain kovasti. Mistäs tuota lähtis purkamaan kun aiemmin ei tuota ole esiintyny. Muuten yhteys toiminu hyvin ja nopeustestit näyttäny hyviä tuloksia eikä mitään ongelmaa missään. Nyt kaipaan apua todella tuohon ongelmaan.
     
  19. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Et maininnut mitkä verkot loit joten oletan että aikuisten verkko on 192.168.20.0/24 ja lasten verkko on 192.168.30.0/24.

    ---

    Minulla meni nyt hieman ohi että missä tilassa se lasten reititin on tällä hetkellä? Aluksi oli reitittävänä, sitten kokeilit AP mutta kaikki asetuksesi meni pois ja vaihdoit takaisin? Eli se on nyt reitittävänä?

    Jos se lasten reititin on
    a) Tukiasema moodissa: lasten reititin ottaa DHCP:llä itselleen osoitteen DHCP palvelimelta eli ER-X:ltä. Katso DHCP palvelimen lease listasta se osoite: lasten reitittimen hallintasivu löytyy sieltä.
    Tukiasema moodissa pitäisi kyllä pystyä asettamaan myös manuaalisesti se mistä se hallintasivu löytyy. Eli jos lasten DHCP alue on esimerkiksi 192.168.30.100 - 192.168.30.200 mitä tietokoneet jne käyttää mutta haluat että tukiasema löytyy aina esim 192.168.30.10 osoitteesta niin tukiaseman asetuksien syövereistä pitäisi löytyä staattinen IP asetus jolla voit määrittää sen hallintasivun IP:n manuaalisesti.
    upload_2018-9-23_15-3-47.png
    Ja lasten reititin on tässä tapauksessa kytkettynä ER-X:ään (eli aloituspostauksen kuva 1 tai 2).
    Mahdolliset säädöt tehdään ER-X:ssä kuten esim OpenDNS pakotus ynnämuut. (WLAN aiheiset säädöt tietenkin tehdään siinä lasten reitittimessä..)

    b) Reitittävänä: siinä tapauksessa sinulla on tupla NAT. Cisco siltaava >> ER-X NAT >> Lasten reititin NAT.
    Jos haluat pitää lasten reitittimen tässä tilassa ja tehdä siinä haluamasi säädöt niin sitten kytke se lasten reititin suoraan siihen Ciscoon. (Eli aloituspostauksen kuva 3)
    Tupla NATista voi johtua nämä "järkyttävän suuret pingit" ja muu "lagiminen".

    Mitä haluat? Haluatko että Edgerouterilla säädetään kaikki (lasten reititin tukiasemamoodiin) vai haluatko että voit tehdä haluamasi säädöt lasten reitittimessä erikseen (lasten reititin reitittävänä)? Valitse a tai b ja kytke ne vempaimet vastaavasti.

    P.S. "Laitoin AP moodiin ja kaikki asettamani estot sun muut jutut hävisi" Noh, niin hävisi. Tukiasemamoodissa reititin ei enää reititä vaan toimii vain tukiasemana ja tyhmänä kytkimenä.

    ---

    Jos haluat että Edgerouterissa tehdään kaikki niin vastaavasti sitten se ER-X:n konfiguraatio vaatii vähän sitä sörkkimistä. Ja sen että se lasten reititin on tukiasema moodissa. Kyllä, ne omat asetuksesi siinä lasten purkissa katoaa mutta kaikki mitä voit tehdä siinä voidaan tehdä ER-X:ssä.

    Oletuksena se palomuuri sallii verkkojen välisen liikenteen. Se pitää siis estää ja tämä ohje sisältää kaiken mitä tarvitset.
    EdgeRouter - How to Create a Guest\LAN Firewall Rule

    Mutta älä implementoi sitä sanasta sanaan...

    Ensinnäkin tuossa ohjeessa GUEST verkko eristetään kaikesta muusta täysin, myös ns. itsestään. (Miksi? No, siinä puhutaan vierasverkosta. Esim menet kahvilaan ja siellä on julkinen WLAN, jos se on tehty oikein niin et näe muita WLANissa kiinni olevia laitteita, et pysty pingaamaan niitä tai tekemään yhtään mitään muuta kuin käyttämään internettiä. Tämä mitä sinä haluat on hieman eri juttu mutta ei nyt niin kaukana kuitenkaan eli tuota ohjetta voi käyttää pohjana.)

    Toiseksi, tuossa ohjeessa interfacet on toisinpäin kuin sinulla:
    ohjeessa eth0 = WAN / eth1 = "aikuisten verkko" (LAN) / eth2 = "lasten verkko" (GUEST)
    sinulla eth0 = WAN / eth1 = "lasten verkko" ("GUEST") / eth2-4 = "aikuisten verkko" (LAN)
    Eli lue mitä siinä kerrotaan ja sovella omaan verkkoosi. Ohjeen eth2 = sinun eth1 jos se lasten reititin on siinä portissa kiinni.

    Kolmanneksi tuosta ohjeesta puuttuu sääntöjen kohdalla established & related kohdat.
    Yksinkertaistettuna siis established/related sääntöjen kanssa jos sinä puhut lasten verkkoon niin sieltä voidaan vastata. Esimerkiksi aikuisten PC pingaa lasten PC:tä, ilman tätä lasten PC:n vastaus pingiin ei pääse perille. Tai se lasten reititin purkki joka elää lasten verkossa, jos haluat päästä käsiksi siihen omasta verkostasi niin sen purkin pitää pystyä vastaamaan sinulle.

    Ja neljänneksi tuossa ohjeessa on typo ihan lopussa, kohta numero 7 jossa sanotaan että GUEST_LOCAL pitäisi liittää "WAN" interfaceen. Siinä pitäisi lukea eth2 (kuten sen alapuolella on) eikä WAN.

    Jos vain haluat konfiguraation sisään niin pääset helpoimmalla komentorivin kautta copy pastettamalla komentoja yksi rivi kerrallaan.
    Vaihtoehtoisesti käytä tätä alla olevaa vain apuna ja tee itse GUI:n kautta.

    Klikkaa system, rullaa alaspäin ja vasemmalla puolella "back up config" kohdasta otat varmuuskopion ennenkuin rupeat tekemään yhtään mitään muuta.

    Koodi:
    # 1a ER-X:n GUI:ssa klikkaa CLI tai ota SSH yhteys ER-X:ään esim Puttyllä
    # 1b Kirjaudu sisään käyttäjätunnuksella ja salasanalla
    # 1c Mene konfigurointi tilaan configure komennolla
    configure
    
    # 2. Configure the LAN_NETWORKS network group.
    
    set firewall group network-group LAN_NETWORKS description 'Aikuisten verkko'
    set firewall group network-group LAN_NETWORKS network 192.168.20.0/24
    
    # Tässä nyt siis määritettiin että LAN_NETWORKS on synonyymi 192.168.20.0/24 verkolle eli aikuisten verkolle
    
    # 3. Configure the GUEST_IN firewall policy.
    
    set firewall name GUEST_IN default-action accept
    set firewall name GUEST_IN description 'guest to lan/wan'
    
    set firewall name GUEST_IN rule 10 action accept
    set firewall name GUEST_IN rule 10 log disable
    set firewall name GUEST_IN rule 10 protocol all
    set firewall name GUEST_IN rule 10 state established enable
    set firewall name GUEST_IN rule 10 state related enable
    
    set firewall name GUEST_IN rule 20 action drop
    set firewall name GUEST_IN rule 20 log disable
    set firewall name GUEST_IN rule 20 description 'drop guest to lan'
    set firewall name GUEST_IN rule 20 destination group network-group LAN_NETWORKS
    set firewall name GUEST_IN rule 20 protocol all
    
    # Tässä määritettiin ensin GUEST_IN niminen firewall policy joka oletuksena hyväksyy paketin, ensimmäinen sääntö hyväksyy paketit jotka on established tai related ja jos ne ei ole established tai related niin toinen sääntö tiputtaa kaikki paketit jotka on menossa aikuisten verkkoa kohti.
    
    # 4. Configure the GUEST_LOCAL firewall policy.
    
    set firewall name GUEST_LOCAL default-action drop
    set firewall name GUEST_LOCAL description 'guest to router'
    
    set firewall name GUEST_LOCAL rule 10 action accept
    set firewall name GUEST_LOCAL rule 10 description dns
    set firewall name GUEST_LOCAL rule 10 log disable
    set firewall name GUEST_LOCAL rule 10 protocol tcp_udp
    set firewall name GUEST_LOCAL rule 10 destination port 53
    
    set firewall name GUEST_LOCAL rule 20 action accept
    set firewall name GUEST_LOCAL rule 20 description dhcp
    set firewall name GUEST_LOCAL rule 20 log disable
    set firewall name GUEST_LOCAL rule 20 protocol udp
    set firewall name GUEST_LOCAL rule 20 destination port 67,68
    
    set firewall name GUEST_LOCAL rule 30 action accept
    set firewall name GUEST_LOCAL rule 30 description Established_related
    set firewall name GUEST_LOCAL rule 30 log disable
    set firewall name GUEST_LOCAL rule 30 protocol all
    set firewall name GUEST_LOCAL rule 30 state established enable
    set firewall name GUEST_LOCAL rule 30 state related enable
    
    # Tässä määritettiin ensin GUEST_LOCAL niminen firewall policy joka oletuksena tiputtaa paketin mutta ensimmäinen sääntö hyväksyy DNS paketit, toinen sääntö hyväksyy DHCP paketit ja kolmas sääntö hyväksyy established tai related paketit.
    
    # 5. Attach the firewall policies to the eth1 interface in the inbound and local direction.
    
    set interfaces ethernet eth1 firewall in name GUEST_IN
    set interfaces ethernet eth1 firewall local name GUEST_LOCAL
    
    # Ja tässä lopuksi liitetään GUEST_IN ja GUEST_LOCAL palomuuri säännöt eth1 interfaceen.
    
    # Lisäksi jokaisessa säännössä log disable ottaa login pois päältä. Jos haluat niin esim GUEST_IN rule 20 kohdalla voit vaihtaa log disable > log enable jos haluat kirjata logiin kaikki mahdolliset kerrat kun tämä sääntö tiputtaa paketin mutta en itse ainakaan saa tuosta mitään kiksejä.
    
    # 6. Ota asetukset käyttöön
    commit
    # 7. Tallenna asetukset
    save
    # 8. Poistu configure tilasta
    exit
    # 9. Sulje CLI ikkuna tai Puttyssä kirjoita exit niin se SSH yhteys sulkeutuu.
    Joku minua enemmän palomuureista tietävä voisi tehdä sanity checkin mutta aikalailla näin ne pitäisi olla. Lähes vastaavat säännöt jne kuin minulla vierasverkon kanssa, suurimpana erona vain se että network-group kohdistettu vain siihen aikuisten verkkoon eikä muihin verkkoihin. (Ja se että minä käytän VLANeja.)
    Eli lasten verkon laitteiden pitäisi pysty juttelemaan keskenään ihan normaalisti.

    Ja tässä kohtaa kun nämä säännöt on käytössä niin se lasten reititin pitäisi olla jo siinä tukiasemamoodissa että voit testailla toimiiko estot.
    ---

    Lisäksi rajoittaisin ER-X:n hallinnan
    set service gui listen-address 192.168.20.1 (gui vastaa vain .20.1 osoitteesta eli jos kersat yrittää avata .30.1 heidän verkosta päin niin eivät saa auki)
    set service gui older-ciphers disable (tietoturva juttu, pakottaa https yhteyden käyttämään uudempia ja vahvempia koodeja. Jos käytät antiikkista selainta niin sitten ei ehkä kannata tätä laittaa.)

    set service ssh listen-address 192.168.20.1 (SSH vastaa vain .20.1 osoitteesta eli......)
    set service ssh protocol-version v2 (tietoturva juttu taas, SSH toimii vain uudemmalla ja turvallisemmalla protokolla versio 2:lla)

    Huom: älä sitten lukitse itseäsi purkista pihalle! Näillä se onnistuu helposti.

    ---

    Jos ei jo ole niin mene lasten verkon DHCP palvelimen asetuksiin ja pistä OpenDNS FamilyShield IP DNS1 kenttään ja jätä DNS2 kenttä tyhjäksi.
    upload_2018-9-23_18-30-21.png
    Sitten Firewall/NAT > NAT > Add Destination NAT Rule.

    Tämän pitäisi ainakin teoriassa toimia. En nyt jaksa itse sitä testata kun minulla on eth1-4 kaikki switch0:ssa kiinni ja tietääkseni jos wizardissa ottaa ruksin pois sen "use only 1 LAN" kohdalla niin silloin eth2-4 on switch0:ssa kiinni mutta eth1 ei ole.
    Voit tämän varmistaa hallintasivulla: mene Dashboard, listassa pitäisi alimpana olla interface switch0, klikkaa Actions > Config, mene Vlan välilehdelle ja tietääkseni siinä pitäisi olla: ei ruksia eth0 tai eth1 kohdassa mutta eth2/3/4 on ruksitettu. Jos näin niin "inbound interface eth1" vaihtoehto alla olevassa DNAT konffissa pitäisi toimia.​
    upload_2018-9-23_21-57-21.png
    DNAT säännön toimivuuden voit testata esim omalla koneellasi Windowsin komentokehotteessa 'nslookup www.pornhub.com 8.8.8.8' ja sitten sama lasten koneella. Omalla koneellasi pitäisi vastaus olla oikea kun taas lasten koneella (vaikka DNS palvelimen vaihtaisi manuaalisesti verkkokortin asetuksista) pitäisi tulla 146.112.61.106 tjsp joka on OpenDNS:n IP osoite. Tai ihan vain kokeilet aukaista sen sivun.​

    Näin lasten verkon toosat saavat DHCP palvelimelta ohjeen käyttää OpenDNS FamilyShieldiä ja jos yrittävät kiertää tämän niin sitten DNAT sääntö ohjaa sen DNS kyselyn OpenDNS:n palvelimelle. Mutta sinä itse voit käyttää mitä tahansa DNS palvelinta omassa verkossasi ja katsoa pokea jos siltä tuntuu.

    ---

    Jos haluat ymmärtää palomuuri jne sääntöjä miten ne IN, OUT ja LOCAL "virtaa" reitittimen sisällä niin tässä aika hieno esimerkki Ubnt:n EdgeRouter keskustelualueelta, tämän kuvan tehnyt BranoB niminen käyttäjä.
    upload_2018-9-23_19-21-45.png
    Tuota kuvaa joutunee tuijottamaan hetken aikaa.. Älä huoli, en minäkään ymmärrä palomuuri sääntöjä 100%:sesti ja ihan rehellisesti käytän muiden ohjeita tukena. Mutta kun tuosta kuvasta ymmärtää mitä ne in, out ja local tarkoittaa ja mikä suunta niillä on niin olet jo hyvin pitkällä. Ja sitten kun katsoo ER-X:n vakio palomuuria ja katsoo miten ne istuu tuohon kuvaan niin saa jonkinlaisen käsityksen siitä mitä ne tekee. (Vakio palomuuri säännöt on siis täysin riittävät peruskäyttäjille, siitä ei tarvitse murehtia.)
     
    Viimeksi muokattu: 23.09.2018
    Vauhtimursu ja DiZeX tykkäävät tästä.
  20. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Mahtava kirjoitus, kiitos. Menee taas pari pv mukavasti lueskellessa että ymmärtää jotain. Tuossa toitkin pari tärkeää juttua esille kun etsiskelin tuota esim. miten saan blokattua muut hallinnasta ja vain pidettyä sen edgen vain tietyn tietokoneen hallittavana. Kunhan ei lukitse itseään ulos joo. Youtubesta etsiskelly kanssa noita videoita ja niissä tehdään noita taikaloitsuja just tuolla CLI / komento(se musta ikkuna) , mutta en itse uskaltanu vielä yrittää yhtään mitään ennenkuin täältä saa suomeksi hieman perehdytystä :)

    Ja lagiminenhan johtuu just ilmeisesti tuosta router modesta lasten reitittimestä kun taitaa olla tupla nat ym vielä käytössä(ymmärsin tuonki joo jälkikäteen heti). Myös omassa pelikonsolissa mikä edgessä kiinni (playstation 4, minun verkossa) on myös luultavasti tuplaNAT , ja siihen joutuu edgestä tekemään jotain koska ps4:sta ei ole mahdollista ainakaan säätää mitään. En vain tiedä että mitä. En vain nyt tätä kirjoittaessa muista otitko siihen jo tuossa kantaa, niinkuin sanoin niin täytyy nyt ajatuksella lueskella ennenkuin tekee yhtään mitään

    Ei kyllä kaduta että tuon edgerouter x osti, tässä oppii kyllä hienoja asioita ja ehkä joskus pärjää vielä "omillaan"

    Kiitos @Lagittaja erittäin kattavasta & selkeästä vastauksesta jälleen kerran. Tuo viimeinen kuva on kova ! :D

    Pystyyköhän edgessä vielä nuo verkkojen osoitteet vaihtamaan jälkikäteen, koska ne ei tosiaan menny ihan suunnitellusti ...
     
  21. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Eipä mitään. Jos ihmettelet ettei kukaan vastaa kysymykseesi niin kyllä niitä luetaan. Tällä kertaa meni pari päivää että sain aikaiseksi vääntää tekstiä :D

    Tarkennettakoon nyt vielä että tällä listen-address loitsulla määritetään että mistä IP osoitteesta se hallintasivu löytyy. Ei niinkään sitä että minkä tietokoneen hallittavana se on.
    Eli jos on vaikkapa 192.168.20.0/24 ja 192.168.30.0/24 verkot niin oletuksena se hallintasivu löytyy 20.1 ja 30.1 osoitteista. Oli sinulla mikä tahansa määrä verkkoja, vaikka kymmenen eri verkkoa niin oletuksena se hallintasivu löytyy näistä jokaisesta.
    Jos listen-address osoitteeksi asetetaan ainoastaan 192.168.20.1 niin tämä hallintasivu löytyy ainoastaan tästä osoitteesta ja jos nämä kaksi verkkoa on eristetty toisistaan niin ainoastaan 192.168.20.0/24 verkossa olevat tietokoneet pystyvät aukaisemaan tämän sivun.
    Jos sitä hallintaa haluaa rajoittaa entistä enemmän niin se onnistuu palomuuri säännöillä. Jos katsot sitä viimeistä kuvaa niin ihmettele siitä mistä löytyy GUI ja jos vilkaiset palomuuri sääntöjä mitä listasin edellisessä viestissä niin siellä on guest säännöissä sallittuna DNS ja DHCP joiden sijainti on myös...

    Siitä en vielä maininnut mitään.

    PS4:n kohdalla NAT Type vaihtoehtoja on kolme. Type 1 on suoraan internetissä, Type 2 on reitittimen takana ja portit auki kun taas Type 3 on reitittimen takana ja portit ei ole auki.
    Todennäköisesti sinulla PS4 ulisee siitä että se NAT Type on 3.
    Voit joko tehdä niin että asetat PS4:lle staattisen IP:n ja port forwarding säännöt.
    Tai sitten käytät upnp2:sta joka puhkoo automaattisesti palomuuriin reikiä että esimerkiksi PS4:n tarvitsemat portit aukeaa automaagisesti.
    Itse käytän upnp2:sta ja jos sinua ei upnp:n mahdolliset riskit haittaa (Google kertoo lisää) niin käytä sitä.

    Mene hallintasivulle, oikealla ylänurkassa config tree, vasemmassa laidassa laajenna service kohta klikkaamalla nuolesta ja sitten laajenna upnp2 klikkaamalla taas nuolesta.
    Jos sinulla eth2-4 oli kiinni switch0:ssa ja eth1 on erillään (kts. edellinen postaukseni) niin listen-on kenttiin tarvitset switch0 ja eth1, nat-pmp ja secure-mode kenttiin molempiin enable ja wan kenttään eth0.
    upload_2018-9-24_15-16-13.png
    Klikkaa preview jonka jälkeen ikkuna hyppää esiin jossa näkyy muutokset ja voit hutaista Apply jos haluat tehdä muutokset.
    Näillä pitäisi PS4:n NAT Type 3 vaihtua NAT Type 2.

    Tässä lisäsin myös eth1:sen kun oletan että lapsilla on myös jotain pelikonsoleita tjsp jotka haluavat päästä nettiin.
    Jos haluat manuaalisesti sallia portit mitkä pääsee läpi lapsilla niin voit sen tehdä tai jos et halua käyttää upnp2 niin sitten port forwarding säännöt manuaalisesti. Google kertoo lisää.

    Joo, tämä on kyllä hieno laite varsinkin hinnaltaan siihen nähden mitä sillä voi tehdä tai mitä sillä voi oppia.

    Tottahan toki.

    Mene ensin Services > DHCP server ja luo uudet DHCP palvelimet niille verkkoalueille mitä haluat käyttää
    Esimerkiksi
    upload_2018-9-24_15-52-48.png upload_2018-9-24_15-53-57.png
    Sen jälkeen mene dashboardiin, klikkaa eth1 actions, config ja vaihda IP osoite siitä nykyisestä esim 192.168.30.1/24 ja save.
    Sama sitten sen switch0 kohdalla, actions, config, muuta IP esim 192.168.20.1/24 ja save.
    upload_2018-9-24_16-3-19.png
    Jossain tässä kohtaa sitten se yhteys hallintasivuun menee jojoon koska muutit sen interfacen IP osoitteen. Olit yhteydessä esim 192.168.1.1 mutta se ei ole enää olemassa tämän jälkeen...
    Se DHCP palvelimen luonti ensin ennenkuin menet ja muutat interfacen IP osoitetta varmistaa sen että jahka kone tajuaa hakea uutta IP osoitetta (tai manuaalisesti Windows komentorivillä ipconfig /release ja ipconfig /renew tai käytät verkkokorttia pois päältä) niin se hakee ja saa sen IP osoitteen siltä DHCP palvelimelta mikä juuri luotiin ja sitten se hallintasivu pitäisi löytyä esim 192.168.20.1 osoitteesta kun koneesi on taas kiinni verkossa.
    Lopuksi voit sitten poistaa ne vanhat DHCP palvelimet listasta.

    Edit: Nämä ainakin pitäisi olla ainoat asiat joita pitää muuttaa ellet sitten ole säätänyt jotain muita syvempiä juttuja. Testaisin tämän itse mutta ei juuri nyt huvita ruveta sörkkimään kun itse olen säätänyt hieman pidemmälle.


    P.S. Jos joku muu lukee tätä IP:n muutos juttua ja leikkii VLANien kanssa niin suosittelen vahvasti että otatte jonkin interfacen irti switch0:sta esim eth3, annatte sille eth3 interfacelle IP:n (ihan sama mikä) ja vaikka DHCP palvelinkin sille IP alueelle jos siltä tuntuu. Ja teette ne VLAN konffit sen interfacen kautta eli siinä kun kohtaa kun poistatte switch0:lta IP:n valmistautuessanne luomaan switch0.1 vlanin niin ette vahingossa lukitse itseänne purkista pihalle jos teette jotain väärin :D
     
    Viimeksi muokattu: 24.09.2018
  22. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Kiitos nopeasta vastauksesta tuohon ps4 hommaan. Mutta joo, en suinkaan odota samantien vastausta, meillä kaikilla on muutakin elämää kuin tämä aihe keskuteluineen :) Kärsivällisyys on kova sana ja jääpähän vastauksen venyessa hieman enemmän aikaa lueskella rauhassa ennenkuin mennään hirveästi asioissa eteenpäin :)

    Kiitos.

    edit: Tässäkin on tälle viikolle taas riittävästi hommaa.
     
  23. kuukie

    kuukie

    Viestejä:
    18
    Rekisteröitynyt:
    09.03.2017
    Tuohon ps4 hommaan suosittelen itse DHCP:lla staattista IP-osoitetta pleikkareille ja access listilla UPNP2 sallimista vain noista pleikkareidein osoitteista. Eipähän random laitteet enää availe itselleen portteja verkosta jos UPNP2 päätät käyttää.

    Itsellä kotona 2x PS4 ja ER-X niin UPNP2 hoitaa homman moitteetta. Manuaalisella portforwardilla kun ei oikein onnistu saman portin ohjaaminen kahteen eri konsoliin ja luonnollisesti et konsoleita voi konffata käyttämään eri portteja.
     
    Lagittaja tykkää tästä.
  24. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Joo, onhan tuo se "paras" tapa. En nyt tuota tässä kohtaa maininnut kun ajattelin pitää yksinkertaisena (ja muutenkin tuli aivopieru, tietenkin usean konsolin kanssa port forwardit ei oikein onnistu järkevästi..).

    Mutta jos joku jäi miettimään mitä/miten niin:
    Ubiquiti Networks Community
    Nämä voi toteuttaa komentoriviltä tai sitten sen config treen kauttakin jos ei komentoriviä halua käyttää

    Yksinkertainen esimerkki konfiguraatio tuon linkin takaisen perusteella voisi olla vaikkapa jotain tähän suuntaan olettaen että playstationien staattiset IP:t on esimerkiksi 192.168.20.130 ja 192.168.30.130

    Koodi:
    # show service upnp2
     acl {
         rule 200 {
             action allow
             description "Allow adult PS4"
             external-port 1024-65535
             local-port 0-65535
             subnet 192.168.20.130/32
         }
         rule 300 {
             action allow
             description "Allow children PS4"
             external-port 1024-65535
             local-port 0-65535
             subnet 192.168.30.130/32
         }
         rule 9000 {
             action deny
             description "Deny all"
             external-port 0-65535
             local-port 0-65535
             subnet 0.0.0.0/0
         }
    }
    listen-on switch0
    listen-on eth1
    nat-pmp enable
    secure-mode enable
    wan eth0
    Eli tässä
    sääntö 200 sallii: external portit 1024-65535, local portit 0-65535 osoitteelle 192.168.20.130
    sääntö 300 sallii: external portit 1024-65535, local portit 0-65535 osoitteelle 192.168.30.130
    sääntö 9000 estää: external portit 0-65535, local portit 0-65535 mistä tahansa osoitteesta

    Jos tuo viimeinen esto sääntö kuulostaa oudolta niin nämä käsitellään/luetaan järjestyksessä: jos jompi kumpi .130 yrittää avata portteja upnp:llä niin se onnistuu mutta jos jokin muu yrittää niin sitten se ei onnistu.

    Ja kuten sanoin, nämä käsitellään järjestyksessä, eli jos halutaan estää jotain tiettyä jommalle kummalle niin sitten se kielto sääntö pitää olla pienemmällä sääntö numerolla kuin se salliva sääntö.
    Eli jos halutaan estää portti 12345 vaikkapa .30.130 osoitteelle niin em. esimerkin perusteella tämän deny säännön numero pitäisi olla 299 tai pienempi jolloin se tulee ennen tätä sääntöä numero 300 joka muuten sallisi tämän portin.

    Lisäksi, sääntöjen numerot voi olla jotain 1-9999 väliltä. Eli jos rupeaa rakentamaan tällaista sääntö listaa niin antakaa itsellenne tarpeeksi tilaa.
    Mikään ei estä tekemästä esim nuo ylläolevat kolme sääntöä numeroilla 1, 2 ja 3. Mutta jos tarvitsetkin neljännen säännön niin hups, ei sinulla ole tilaa koska viimeinen sääntö 3 on se kaiken blokkaava tiesulku. Joten joudut säätämään kaikkien muiden sääntöjen numeroita.
    Eli aloittaa esim noilla 200, 300 jne suuruisilla sääntönumeroilla (+ deny all jonnekin loppuun) niin en usko että peruskäyttäjältä loppuu numerot kesken.
    Tässäkin asiassa siis kannattaa etukäteen vähän miettiä että mitä haluaa tehdä.
     
  25. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017

    Sain kokeiltua muutamia juttuja, kokeilin tuota upnp2:sta myös mutta palauttelin nyt kuitenkin edelliset asetukset vielä kun huomasin että tuo ps4 onkin NAT 2 tyyppiä. Mutta sitten menin tähän kohtaan jonka lainasin ylempää ja on tuossa quotessa.

    192.168.20.1 <- Vaihdoin tuon tilalle vain tuon oikean osoitteen jokaiseen kohtaan kun näitä komentoja kävin läpi.

    CLI ,
    tämä oli ainoa joka ei kelvannu komentona.
    set service gui older-ciphers disable
    The specified configuration node is not valid
    Set failed
    [edit]

    set service gui listen-address 192.168.20.1 , päättelin että tämä on se joka lukitsee minut pihalle jos laitan väärin. Joten tarkkaan katsoin laittamani osoitteen että on oikea, mutta lopputuloksen voi jokainen arvata miten kävi :)
    Nojoo, siis sehän lukitsi mut kaikilla vermeillä nyt luultavasti ulos quista. Ei pääse lasten eikä omasta verkosta hallintasivulle ? Taitaa olla resetin paikka ja lähteä alusta ? Tiedän että varoitit, mutta koitin silti.
     
  26. DiZeX

    DiZeX

    Viestejä:
    18
    Rekisteröitynyt:
    19.06.2017
    Mikä tietokoneesi IP-osoite on nyt tällä hetkellä? Jos se on 192.168.20.XXX, niin kyllä sinun pitäisi päästä koneeltasi hallintasivulle osoitteeseen 192.168.20.1. Jos tietokoneesi IP:n kolmas numerosarja on muu kuin 20, niin sinun olisi pitänyt laittaa tuo "set service gui listen-address 192.168.YYY.1" jossa YYY on se tietokoneesi IP-osoitteen kolmas numerosarja..
     
  27. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    NAT Type 2 on siis hyvä. Se tarkoittaa että portit aukeaa ja esim online pelit jne toimii.

    Jännä, minulla tuo toimii. Tosin ajelen edelleen 1.9.7 firmiksellä :vihellys: Onkohan se komento poistettu jos nämä vanhat cipherit on poistettu päivityksen yhteydessä? En tiedä.
    upload_2018-9-25_19-25-28.png
    Pläräilin kaikki 1.9.7-1.10.6 väliset release notet läpi enkä löytänyt mitään mainintaa että tuohon liittyen. Ainoa cipher aiheinen muutos oli 1.10.5:ssä joka disabloi heikon ARCFOUR cipherin SSH yhteyksillä. Mutta se nyt ei kuitenkaan liity GUI:hin.

    Jos laitoit sen IP:n oikein ja otit muutokset käytöön niin yksi vaihtoehto on että jostain syystä se gui service ei lähtenyt uudestaan käyntiin.
    Eli kun näitä gui service asetuksia (esim listen-address) asetetaan tai muutetaan tai poistetaan niin se gui service käynnistetään uudelleen automaagisesti.
    upload_2018-9-25_19-31-35.png

    Eli olisikohan nyt jostain syystä gui service jäänyt jumiin?
    Eli oletko kokeillut käynnistää reitittimen uudelleen :rofl: (saisi tuon servicen SSH:nkin kautta käynnistettyä uudelleen mutta virrat pois helpompi..)

    P.S. Tein muuten virheen, mainitsin tämän asian noiden palomuuri sääntöjen lopussa mutta ehkä minun olisi pitänyt mainita tämä ihan erikseen.
    Kun komentorivillä tehdään jotain niin muutokset eivät tule voimaan samantien, lisäksi tarvitaan komentoja commit ja save.
    Commit tarkoittaa että asetukset otetaan käyttöön ja save että asetukset tallennetaan.
    Jos asetukset ottaa käyttöön mutta niitä ei tallenneta niin tekemäsi muutokset katoavat seuraavan käynnistyksen yhteydessä.
    Ja jos ei käytetä edes commit komentoa ennenkuin poistutaan komentoriviltä niin mitään muutoksia ei tietenkään tapahdu..​
    Eli esimerkiksi asetan gui listen-address osoitteen, otan muutokset käyttöön ja tallennan muutokset
    1. set service gui listen-address x.x.x.x
    2. commit
    3. save
     
  28. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Huh, vetäsin virrat pois edgestä ja taas toimii. Eli oli jumiin jääny. Commit olin laittanu (varmuudella) ja näköjään unohtanu save komennon mikä oli pelastava tekijä tällä kertaa :)

    Eli kaikki nuo muutokset kumoutui kun olin unohtanu save kirjottaa ? Täytyypä nyt tutkailla hieman mitä kaikkea tuli töpeksittyä ja mistä jatkais taas. Mutta kiitos hyvästä neuvosta !
     
  29. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Hyvä että toimii. Et kertonut mikä se reitittimen IP ja sinun koneen IP oli niin paha sanoa että oliko nyt vain jäänyt jumiin vai oliko tullut typo mutta jos olet 100% varma että asetit sen listen-address IP:n oikein niin todennäköisin vaihtoehto on se että gui service jäi jumiin / ei käynnistynyt uudelleen.

    Ja kyllä, kaikki muutokset mitä teit komentorivin kautta olivat kyllä käytössä koska annoit sen commit komennon mutta koska et ollut syöttänyt save komentoa niin nämä asetukset oli voimassa vain keskusmuistissa.
    Eli kun annetaan komento save niin ER tallentaa sen voimassa olevan konfiguraation config.boot nimiseen tiedostoon joka löytyy /config/ polusta. Ja se reitittimen konfiguraatio ladataan tästä tiedostosta aina käynnistyksen yhteydessä.
    upload_2018-9-25_21-18-36.png

    Tulevaisuuden varalta suosittelen tutustumaan miten SSH yhteys luodaan kun kerta olet jo vähän siihen komentoriviin tutustunut sen "CLI" kautta.

    Eli asenna Download PuTTY - a free SSH and telnet client for Windows (tai mikä tahansa ssh ohjelma minkä haluat, minä nyt satun käyttämään puttyä. Nettiselaimiinkin saa nykyään SSH lisäosia niin ei tarvitse erillistä sovellusta..)

    Kun avaat Puttyn niin sieltä aukeaa tämän näköinen ikkuna
    upload_2018-9-25_20-28-30.png

    Host name/IP kenttään syötetään IP johon halutaan yhdistää (reitittimen IP eli sama minkä syötät selaimen osoiteriville kun menet hallintasivuille)
    Ja sen alapuolelta valitaan SSH täppä.
    Lopuksi painetaan "open".

    Nyt kun luot Puttyllä SSH yhteyttä Edgerouteriin ensimmäistä kertaa niin Putty herjaa sinulle "security alert" viestillä.
    Lyhyesti sanottuna Putty on paniikissa koska hän ei ole tavannut Edgerouteria ennen ja antaa nyt sinulle kolme vaihtoehtoa.
    Yes: Avaa yhteys ja tallenna Edgerouterin "avain" = et näe herjaa jatkossa
    No: Avaa yhteys mutta älä tallenna Edgerouterin "avainta" = näet herjan taas seuraavan kerran kun avaat yhteyttä
    Cancel: Pitääkö tämä selittää?

    Valitse siis yes joten kun seuraavan kerran luot SSH yhteyden Edgerouteriin niin et näe tätä herjaa.
    Seuraavaksi näet ruudulla "login as:" tekstin eli kirjoita käyttäjätunnuksesi ja paina enter.
    Seuraavaksi näet tervetuloa viestin ynnämuuta, lopussa "password:" eli kirjoita salasanasi ja paina enter.
    Tästä eteenpäin kaikki näyttää ja toimii tietääkseni samallalailla kuin hallintasivujen "CLI" ikkunasta.

    P.S. Pro tip: kun olet ER:n komentorivillä ("CLI" tai SSH) niin kokeile mitä tapahtuu TAB napista (caps lockin yläpuolella). Eli kokeile mitä tapahtuu jos painat sitä kerran ja mitä tapahtuu kun painat toisen kerran perään. Tai mitä tapahtuu jos kirjoitat komentoa mutta et ole kirjoittanut komentoa vielä täysin loppuun ja hutaiset TABia. Välilyöntiä ja myös enteriä käytetään muutenkin kuin lisäämään välejä tai suorittamaan komentoja, kokeile esim show configuration komennon kanssa mitä välilyönti ja enter tekee.
     
  30. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Tutustuin tuohon puttyyn, kiitos helpoista ja hyvistä neuvoista. Homma oli helppo, jopa helpompi kuin luulin. CLI ja putty taitaa ajaa saman asian. Olin tuota aikaisemmin joskus ajatellutkin että mikä ihmeen ssh yhteys kun siitä on ollu paljon puhetta tälläkin foorumilla erinäisissä jutuissa. Mutta nyt pääsin itsekkin kokeilemaan. Mahtavaa. Rohkenin kyllä epäröimättä kokeilla kun jonkun verran yrittäny käyttää linuxin päätettä, tosin hyvin vähä mutta yritän kumminkin. Tällä työskentely koneella käytän linuxia ja muuten sitten pelikoneet ym laitteet on joko windows ps4 tms. Ipconfig & ifconfig siis tuttua kauraa mutta eipä sitä osaa kun hyvin pienen murto osan kaikesta mahdollisesta ja verkkotekniikka kiinnostaa itseä paljon / tietoturva asiat...

    Aloittelijaksi silti vielä itseni mieluusti laitan, ei tässä kielimuurin takia hirveä vauhti ole oppimisessa ollut(googlen avulla), tosin nyt @Lagittaja n perusteellinen neuvonta äidinkielellä tekee kyllä asiat helpohkon oloiseksi mikä on mahtavaa.

    Täytyy nyt mennä pari postausta taaksepäin ja kerrata vielä tuota palomuuri osiota kuvineen kaikkineen. Mutta kiitos suuresti hienoista neuvoista KAIKILLE tasapuolisesti.

    Ne luodut verkot muuten on 192.168.1.1 on eth2 eli aikuisten verkko, ja 192.168.5.1 (lasten verkko) eth1 ja wan=eth0 , yritän järkeistää tuota itselle mutta tuommoisiksi ne nyt valikoitui tuota wizardia kokeiltaessa, siksi kysyinkin että voiko noita vielä muutella. Jos laitan nuo osoitteet 192.168.20.1 --- 192.168.30.1 niin riittääkö laitteiden uudelleen käynnistys siihen että kaikki pitäs toimia ?
     
  31. Lagittaja

    Lagittaja

    Viestejä:
    1 389
    Rekisteröitynyt:
    05.11.2016
    Kyllä, "CLI" ja SSH yhteys esim Puttyn (Putty on siis "SSH client") kautta on käytännössä sama asia. Sitä hallintasivun "CLI" vaihtoehtoa voi ajatella nettisivuun integroituna Puttynä.
    Erona nyt tietenkin on se että sitä CLI vaihtoehtoa voi käyttää vain sen hallintasivun kautta kun taas SSH yhteyden voi luoda mistä tahansa laitteesta tai sovelluksesta.

    Kyllähän ne tosiaan voi muuttaa jos siltä tuntuu. Mutta ei sillä nyt suurta merkitystä ole mitkä osoitealueet sinulla on käytössä. Oma asiasi haluatko vaihtaa. Itse nyt tähän hätään jättäisin ne niinkuin on ja keskittyisin muuhun jos ne ei sinua häiritse.
    Suoraan GUI:n kautta tämä vaihto tehty vaikeaksi kun jos katsoo Services > DHCP Server ja valitsee jonkun näistä palvelimista niin kaikkea muuta saa muutettua paitsi sen subnetin :facepalm: Eli jos haluaa tehdä tämän vaihdon pelkästään GUI:n kautta niin pitää luoda uusi DHCP palvelin..
    Päivitin äsken 1.9.7 > 1.10.6. Näköjään edelleen sama "ominaisuus" ettei sitä subnettiä saa muokattua GUI:sta suoraan..​
    Kun taas jos tehdään komentorivin tai config treen kautta säätöjä DHCP palvelimeen niin sieltä näitä saa muokata ihan miten lystää.
     
    Vauhtimursu tykkää tästä.
  32. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Hei muuten.

    Miten saadaan kun, tähän saakka lasten reititin blockas mm. Hacks, Cheats , sanastoa eikä päästäny sivuille ollenkaan, riitti kun reititin haistoi tuon sanan jossain välissä www linkissä tai googlen linkissä niin sensuuri iski välittömästi. Nyt sama pitäis toteuttaa tuolla edgeroutella, mutta mistä lähden liikkeelle. Google tietenkin, mutta millä haulla esimerkiksi ?

    Ja onhan se nyt vielä niin että laitteet ei saa julkista ip osoitetta jotka on edgerouterissa kiinni ? Tätäkin käsiteltiinn jo tuossa aiemmassa aiheessa aikaisemmin , mutta varmista(N) nyt vielä sen että ymmärrän oikein.



    - Edit : Saako edgerouteria logittamaan esim kuka on sisäänkirjautunu web hallintasivulle, tai ottanu ssh yhteyden , tai jotain vastaavanlaista ? Ilman että suljen itseäni ulos purkista :D
    - Edit 2: Lisäsin N kirjaimen mikä oli jääny pois, lause kuulosti jo melkein vaativalta ilman tuota N kirjainta joka ei ollu tarkoitus.

    - Edit 3: Lisäsin nyt myös teeveen verkkoon, eth3 paikalle. Teeveessä tuskin on minkäänlaisesta tietoturvasta hajuakaan , joten mitä asetuksia vois tehdä tuohon edgerouteriin että voi rauhallisin mielin pitää tuota verkossa kiinni jatkossakin ?

    - Edit 4: Olen ajatellu säästää tuon viimeisen eth4 portin NAS palvelimelle, mutta se on PoE reikä ilmeisesti. Voiko siihen laittaa ihan tavallisen rj-45 ilman että tuleva nassi kärähtää välittömästi tai jotain muuta kamalaa :( Meinasin teeveetä siihen mutta en uskaltanu :)

    Vastaan editoimalla tähän itselleni vielä tuohon kohtaan Edit 4 : JOS, ymmärsin oikein Poe on kytkettynä Off, eli sen pitäis toimia normaalina lan porttina tällä hetkellä. Eli voin huoletta laittaa siihen kiinni mitä vain mikä tarvitsee verkkoyhteyden.

    Teeveeseen sen verran lisään että otan tuon pois netistä nyt jokatapauksessa, ei mitään käytännön hyötyä pitää verkossa kiinni muuta kuin päivitykset tarkistaessa satunnaisesti kun jaksaa. Tuohan oli aivan järjetön nuo kaikki ehdot mitkä ois pitäny hyväksyä, jotta sais smarttv ominaisuudet käyttöön. "Vakoillaan teitä 247 ja esitetään mainoksia miten huvittaa ja levitetään tietosi ympäri mailmaa kaikille jotka niitä älyää edes vähäki kysyä" , ei kiitos.
     
    Viimeksi muokattu: 29.09.2018
  33. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Olisko tämä oikea tie alkaa kyhäilemään block listaa edgerouteriin ?
    EdgeRouter - Create a Firewall Rule using Deep Packet Inspection (DPI)
    Ohjeet on ilmeisesti molempiin GUI sekä SSH jos haluaa jompaa kumpaa käyttää , vai pitääkö sittenkin tehdä molemmissa eikä jokotai ?

    Tuossa asetetaan DPI enable , ja luodaan palomuurisääntö facebookille(ehkä). Tuleeko tuossa mitään ristoriitoja entisten asetusten kanssa tai jotain jos teen tuon mukaan noita block sääntöjä ?

    Tähän astiset säännöthän on aikalailla vakiot wizardin kautta luotuna eikä taida olla ainuttakaan itseluotua sääntöä missään vielä, (rohkeuden puute).
     
  34. Vauhtimursu

    Vauhtimursu

    Viestejä:
    196
    Rekisteröitynyt:
    30.07.2017
    Keräsin rohkeutta ja koitin GUI kohtaa matkia omiin asetuksiin täsmälleen ohjeiden mukaan. Homma toimii hyvin, blockkaa instagramit, facebookit twitterit , eli oikeastaan koko somen. En tiedä onko tuo toteutus hyvä ja oikea edgerouterin asetusten kannalta katsottuna.... Mutta tuo ei vaan ollu se mitä hain. Nyt pitäis saada vastaavanlainen kyhäelmä, mutta hacks , aimbot , cheat ym virussanat luotua mutta en osaa soveltaa tuota ohjetta siihen.

    Sielä on nyt sääntöjä firewallissa 5 ja 3 , voiko niitä olla useampi luotuna ? Ja yritin muuten enabloida login kun edge droppaa paketin, mistä tuon login löytää ?