1 internet liittymä , joka sisältää 2 eri verkkoa kotona

  • Keskustelun aloittaja Vauhtimursu
  • Aloitettu
V

Vauhtimursu

Vieras (tunnus poistettu)
En tiedä miten otsikon voi muotoilla paremmin, mutta muokkaillaan näitä kun viisaammat neuvoo :)

Eli tarkoituksena on tavalliseen tapaan yhdellä internet liittymällä toteuttaa 2 eri verkkoa kotona. Toteuttamis tapoja on varmasti monia, mutta käyn tässä läpi tämän oman suunnitelman kokonaisuudessaan.
Tarkoitus on saada lasten verkko erilleen omasta verkosta , useastakin syystä.

Laitteistot alkaa olemaan kasassa pikkuhiljaa.
- Ciscon kaapelimodeemi(reitittävä)
- Edgerouter x reititin
- Lasten reititin (tämän vielä ostan välittömästi kun tulee WPA3 laitteita saataville)
- 2kpl tyhmiä kytkimiä

Ciscon kaapeli modeemi tarkoitus laittaa siltaavaksi ja edgerouter ciscoon kiinni. Siitä eteenpäin sitten kuvien mukaisen suunnitelman mukaan.










Kiitos jo kaikille auttaneille, @Lagittaja sekä @=JP= lle kuvista sekä kaikille jotka on vääntäny rautalankaa tuossa toisessa aiheessa jo aiemmin.
reitittimeen esto tietyille sivustoille
Melko kattavasti jo käyty tätä asiaa läpi, ja tästähän se vasta alkaa :)

Edgerouter varmasti tuottaa pientä päänvaivaa kun sen konffailua alkaa opettelemaan. Sekin oli yksi syy miksi avasin tälle erillisen aiheen ja jos joku miettii samoja asioita niin ehkä tästä saa jotain neuvoa alkuun.
 
Viimeksi muokannut ylläpidon jäsen:
Liittynyt
18.10.2016
Viestejä
2 576
Mä tykkään helpoista ja simppeleistä ratkaisuista:

Edgerouterin wizardista voi alkuasennuksessa valita kaksi erillistä verkkoa omille porteilleen :tup:

Lagittaja voi sitten antaa perusteellisemman vastauksen. Arvostan tyypin perusteellisuutta ja viitseliäisyyttä :)
 
V

Vauhtimursu

Vieras (tunnus poistettu)
:)

Tuo ainakin mietityttää että miten tuon ps4 saa pois "tuplanatin" takaa pois. Kun laitteistot on säädöissä ehkä uskallaudun telkkarinki laittaa verkkoon.

Jääkö ciscoon palomuurit käyttöön kun sen asettaa siltaavaksi, osahan toiminnoista lakkaa toimimasta. Vai onko edgerouterissa oma palomuurinsa joka kannattaa pitää käytössä ?
 
Liittynyt
18.10.2016
Viestejä
2 576
- Ciscon palomuuri jää siltaavassa tilassa pois käytöstä.
- Edgerouterissa on palomuuri ja se on siinä hyvässä paikassa, muita palomuureja ei tarvita.
- Tukiasemamoodissa ei ole NAT tai palomuuri päällä, vaan verkon määritykset tulevat suoraan Edgerouterilta.
 
Liittynyt
22.10.2016
Viestejä
1 630
En ole verkkojen kanssa niin paljoa leikkinyt että alkaisin ohjeita antamaan mutta periaattessahan tuo ei vaadi kuin modeemin, edgeroutterin, kytkimen joka osaa VLANit ja langattoman tukiaseman. Määritellään kummallekin verkolle oma VLAN ja konffauksen jälkeen kytkimeen kytketty laite menee siihen verkkoon jonka VLAN porttiin on määritetty. Kunhan langaton tukiasema tukee sitä tällä saataisiin samalla kummallekin verkolle oma WLAN.
 
Liittynyt
18.10.2016
Viestejä
2 576
En ole verkkojen kanssa niin paljoa leikkinyt että alkaisin ohjeita antamaan mutta periaattessahan tuo ei vaadi kuin modeemin, edgeroutterin, kytkimen joka osaa VLANit ja langattoman tukiaseman. Määritellään kummallekin verkolle oma VLAN ja konffauksen jälkeen kytkimeen kytketty laite menee siihen verkkoon jonka VLAN porttiin on määritetty. Kunhan langaton tukiasema tukee sitä tällä saataisiin samalla kummallekin verkolle oma WLAN.
Ei tarvitse tässä tapauksessa VLANia ymmärtäviä kytkimiä, kun Edgerouterista vetää kaapelit omista porteistaan "aikuisten kytkimelle" ja "lasten tukiasemalle".
 
Liittynyt
05.11.2016
Viestejä
2 133
Ei tällaiseen VLANeja tosiaan tarvitse sekoittaa ellei sitten halua toteuttaa WLANia yhdellä tukiasemalla joka palvelee molempia sisäverkkoja kahdella eri SSID:llä.
Eikä niitä hallittuja kytkimiäkään tarvitse jos esim ER-X:n ylimääräiset 3 porttia riittää muulle kun eth0 menee modeemille ja eth4 tukiasemalle eli eth1-3 jää sitten kahden eri verkon käyttöön esim tavallisille tyhmille kytkimille joihin sitten kytketään tietokoneita sun muita langallisia laitteita.

Jos minä olisin rakentamassa tällaisen verkon jossa pitäisi olla kaksi erillistä verkkoa eristettynä toisistaan ja pitäisi olla WLANia jne niin tekisin sen näin.
Tämä menee astetta monimutkaisemman näköiseksi mutta kyllä se siitä..
En vedellyt mitään nuolia ethX porteista kytkimiin tai kytkimistä koneisiin jne että pysyisi vähän siistimmän näköisenä.



Eli Cisco on edelleen sillattuna. (Enkä näköjään vieläkään korjannut tuota typoa..)
Edgerouter X kytketään Ciscoon ja se hoitaa reitityksen.
ER-X:ään luodaan VLANit (Virtual LAN) 1 ja 2.
VLAN1:ssä elää aikuisten verkko 192.168.20.0/24 avaruudessa.
VLAN2:ssa elää lasten verkko 192.168.30.0/24 avaruudessa.​
Palomuuriin luodaan säännöt jotka yksinkertaisesti sanottuna estää liikenteen VLAN2 -> VLAN1.
NATtiin luodaan sääntö joka "tarkkailee" VLAN2 liikennettä ja jos tulee DNS kysely niin se ohjataan OpenDNS FamilyShield palvelimelle.

eth1 määritetään VLAN1, untagged
eth2 määritetään VLAN2, tagged
eth4 määritetään VLAN1 untagged ja VLAN 2 tagged. (Violetti väri kuvaa sinistä ja punaista, en yhtäkkiä keksinyt miten draw.io:ssa saisi sin-pun katkoviivan)

eth1:ssä on aikuisten kytkin
eth2:ssa on lasten kytkin
eth4:ssä on kaikkien käyttämä tukiasema

Tukiasemaan luodaan kaksi SSID:tä
Aikuisten langaton ja sille ei esim Ubiquiti Unifi tukiaseman kohdalla tarvitse määrittää erikseen mitään VLANia koska VLAN1 on se oletus VLAN.
En tiedä toimisiko tämä nykyisen lasten langattoman reitittimen kanssa kun ainakin yleensä "tukiasema moodissa" kytkin pysyy myös aktiivisena. Jos se kytkin pysyy aktiivisena niin sitten pitäisi pystyä siinä purkissa asettamaan VLAN id:t niille porteille koska muuten penskat pääsisi niiden porttien kautta VLAN1:een.​
Lasten langaton ja sille määritetään VLAN id 2.​

Mitä tällä saavutetaan on se että lasten PC ja lasten puhelin voi jutella keskenään mutta esim lasten PC ei voi jutella aikuisten PC:n kanssa.
Mutta lasten puhelin ja aikuisten puhelin voivat käyttää samaa langatonta tukiasemaa, ovat vain eri "verkossa" (SSID), mutta eivät voi keskustella keskenään.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Ei tämä helppoa ole ainakaan. Edgerouteriin ei pääse edes käsiksi.Cisco siltaavaksi, siitä lan 1 portista johto edgerouterille, ja netti katoaa koneesta kun tietokone on kiinni edgerouterin etho 1 lan.

Eli 1kpl johto cisco lan 1 -> edgerouter etho 0 , Poe IN kohtaan ja siitä seuraavaksi -> Etho:sestä 1 lan johto , tietokoneeseen. Koitin ilman siltausta tai siltaavana tuolla ciscolla ja aina kun laittaa edgen väliin tulos on että hallintasivulle ei pääse, kun netti katoaa kokonaan. Oisko vinkkiä miten tuolla täytyis web sivuhallintaan nyt päästä ?

Koitin webbihallintaan myös päästä jos laitan johdot pykäliä kauemmas eli ei tuohon Poe IN reikään, vaan etho 1 ja etho 2 kohtii, ei auttanu. Tuskin toimii 3, 4 kohdillakaan joten turha koittaa ?

Valot syttyy kyllä edgessä kun johtoja siirtelee, hallintaan en ole päässy edes vahingossa. Oon resetoinu jo edgeäkin, ciscoa useampaan otteeseen palautellu tehdas asetuksia mutta. Mitään muuta ei ole kiinni nyt tällä hetkellä kuin cisco ja edgerouter sekä 1kpl tietokone. Ciscolla pääsee nettiin, mutta heti kun edgerouterin laittaa väliin niin tuo netti tosiaan katoaa.

edgen osoite 192.168.1.1 kokeiltu http ja https
cisco siltaavana oli eri, 192.168.100.1 ja olen näppäillyt osoitteet oikein.
 
Viimeksi muokannut ylläpidon jäsen:
Liittynyt
17.10.2016
Viestejä
311
Ei tämä helppoa ole ainakaan. Edgerouteriin ei pääse edes käsiksi.Cisco siltaavaksi, siitä lan 1 portista johto edgerouterille, ja netti katoaa koneesta kun tietokone on kiinni edgerouterin etho 1 lan.

Eli 1kpl johto cisco lan 1 -> edgerouter etho 0 , Poe IN kohtaan ja siitä seuraavaksi -> Etho:sestä 1 lan johto , tietokoneeseen. Koitin ilman siltausta tai siltaavana tuolla ciscolla ja aina kun laittaa edgen väliin tulos on että hallintasivulle ei pääse, kun netti katoaa kokonaan. Oisko vinkkiä miten tuolla täytyis web sivuhallintaan nyt päästä ?

Koitin webbihallintaan myös päästä jos laitan johdot pykäliä kauemmas eli ei tuohon Poe IN reikään, vaan etho 1 ja etho 2 kohtii, ei auttanu. Tuskin toimii 3, 4 kohdillakaan joten turha koittaa ?

Valot syttyy kyllä edgessä kun johtoja siirtelee, hallintaan en ole päässy edes vahingossa. Oon resetoinu jo edgeäkin, ciscoa useampaan otteeseen palautellu tehdas asetuksia mutta. Mitään muuta ei ole kiinni nyt tällä hetkellä kuin cisco ja edgerouter sekä 1kpl tietokone. Ciscolla pääsee nettiin, mutta heti kun edgerouterin laittaa väliin niin tuo netti tosiaan katoaa.

edgen osoite 192.168.1.1 kokeiltu http ja https
cisco siltaavana oli eri, 192.168.100.1 ja olen näppäillyt osoitteet oikein.
Et siis ole päässyt ollenkaan säätämään edgerouterin conffeja? Eli on vielä defaultit? Jos näin niin ensin pitää asettaa tietokoneen ip osoitteeksi jokin 192.168.1.0/24 avaruudesta ja yhdistää tietokone Ethernet kaapelilla Edgerouter eth0 porttiin. Sitten pääset hallinta sivulle selaimella osoitteella https://192.168.1.1. Voit tehdä tarvittavat conffit ensin ja vasta viimeiseksi yhdistää ciscosta johdon edgerouterin eth0 porttiin.

Täällä esim ohjeet: EdgeRouter - Beginners Guide to EdgeRouter
 
Liittynyt
18.10.2016
Viestejä
2 576
Joo edgerouter ei toimi heittämällä kuten yleensä on totuttu, vaan vaatii asetukset ensin. Joskus niitä manuaaleja on vaan pakko lukea :D
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Ah, kiitos varmistuksesta. Just plaraan ja kerään netin off tilaan muistioon ohjeita miten suoriutua.
löysin kanssa tämän linkin EdgeRouter - Beginners Guide to EdgeRouter
jossa näkyy olevan just tuo ohje että pitää oman koneen osoitetta räpeltää. On ollu "manuaali" koko ajan auki mutta ei siinä vaan mainita tämmöistä seikkaa että täytyy oman koneen verkkoasetuksia muutella :D Vasta kun kaivoin nuo toiset ohjeet verkosta niin alkas hiipimään epäilys että ei sen olekkaan noin tarkoitus toimia vaan nyt oli jotain muuta.

Noh, uus yritys .. Eli edgerouterin ei tarvitse saada verkkokaapelia ciscolta lainkaan ensi konffeille ? Riittää kun jos laitan nyt virtajohdon seinään ja läppäristä 1kpl rj-45 ainoastaan edgeen ja muutan läppärin asetuksia hieman niin pitäis toimia ?

Epätoivo meinas jo hiipiä puseroon tässä vaiheessa , kiitos todella nopeista vastauksista !!!!!!!!

Purkasin turhaan koko kämpästä netin kaikilta :D
 
Viimeksi muokannut ylläpidon jäsen:
V

Vauhtimursu

Vieras (tunnus poistettu)
Noniin, nythän se menikin heittämällä sisään. Ei vaan ole nettiä nyt että sais firmwaren päivitettyä. Joo no, jatketaas tutkiskelua saako tuosta kalua mitenkään.
 
Liittynyt
17.10.2016
Viestejä
311
Jep, Edgerouter vaan virroissa ja eth0 portista rj-45 kaapeli läppäriin. Läppärin asetuksista (langallisten verkkokortin) sitten ip vaikka 192.168.1.10. Läppäri voi olla WLANissa kiinni samalla jos haluaa internetiin päästä (ja se WLAN on vielä saatavilla)
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Saanko asetettua tuon edgen tavalla että pääsen myöhemmin "helpommin" käsiksi asetuksiin verkossa olevalla koneella esim osoitteeseen 192.168.1.1 ? Tarkoitan ettei tarvi näitä koneen asetuksia alkaa muutteleen jne. Tai, no. Toisaalta se on varmaan ihan hyvä jos jättää tuon asetuksen tolleensa. Kyllä kai tikultakin onnistuu se firmware asentaa ?
 
Liittynyt
17.10.2016
Viestejä
311
Saanko asetettua tuon edgen tavalla että pääsen myöhemmin "helpommin" käsiksi asetuksiin verkossa olevalla koneella esim osoitteeseen 192.168.1.1 ? Tarkoitan ettei tarvi näitä koneen asetuksia alkaa muutteleen jne. Tai, no. Toisaalta se on varmaan ihan hyvä jos jättää tuon asetuksen tolleensa. Kyllä kai tikultakin onnistuu se firmware asentaa ?
Juu, kyllä sinne pääsee esim yllä olevan kuvan osoitteilla aikuisten verkosta kun ottaa yhteyden https://192.168.30.1
 
Liittynyt
05.11.2016
Viestejä
2 133
Ai ei mitään mainita?
upload_2018-9-19_20-20-44.png
upload_2018-9-19_20-21-51.png
1. Kytke piuha koneestasi eth0
2. määritä koneellesi staattinen IP 192.168.1.X alueella
3. surffaa 192.168.1.1 osoitteeseen
4. ???
5. Profit

Ja eihän sitä firmware tiedostoa ilman nettiä ladata, heti seuraavalla sivulla ohjeessa on suora linkki lataussivustolle mistä sen firmwaren saa ladattua.
upload_2018-9-19_20-23-42.png

Lataa paketti valmiiksi ja kun olet ER-X:n webkonffissa kiinni niin klikkaa alavasemmalta System, rullaa alaspäin alaspäin niin oikeasta laidasta löytyy "Upgrade System Image".
upload_2018-9-19_20-24-20.png

Aja päivitys sisään ja odottele että purkki on taas pystyssä.
Eli kun siis ensimmäistä kertaa kirjaudutaan purkkiin sisälle ja purkki on oletus asetuksilla niin se ehdottaa wizardia, tämän voi ohittaa ja päivittää sen firmwaren ensin.
Sen jälkeen kun on päivitetty ja olet taas purkissa sisällä niin oikeasta yläreunasta löytyy Wizards nappi.
Kun olet wizardin kliksutellut läpi ja purkki käynnistyy uudelleen niin siirrä se oman koneesi johto esim eth1 ja kytke ciscosta tuleva johto eth0.

Pro tip: wizardissa "User setup" kohdassa valitse "create new admin user". Eli luot uuden admin käyttäjän ja oletus ubnt/ubnt tunnukset poistetaan. Oletus tunnuksia ei tule käyttää missään nimessä ("keep existing user" vaihtoehto) enkä myöskään suosittele ubnt käyttäjänimen käyttämistä eri salasanan kanssa ("use default user" vaihtoehto). Ihan turha ottaa riskiä sen oletus käyttäjänimen kanssa..
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Tuosta laittamastani linkistä ymmärsin suoraan mistä on kyse, manuaalista ei ihan hiffannu. Mutta se siitä. Oli ohjeet, mutta sais olla aloittijalle hieman helpommat.

Aika kiva kyllä tuo edgerouter. Tässä nyt tainnu olohuoneen kulmauksessa vierähtää useampi päivä tuota laitetta tutkaillessa. Alku oli hankalaa mutta nyt on päästy jo siihen pisteeseen että netti kulkee jopa edgen ollessa "välissä" johtoineen päivineen. Tuo oletus käyttäjä ubnt ja salasana on ihan selvähomma että vaihtoon meni ensimmäisenä. Onnistui sekin mainiosti jo parin kolmen yrityksen jälkeen...Wizardista ihmettelin pitkään niitä vaihtoehtoja kunnes tajusin ottaa "täpän" pois use only 1 lan kohdasta jolloin hommasta tuli selkeämpää. Koittelin varmaan wizardin jokaisen vaihtoehdon läpi kunnes tuli tuo "ahaa" elämys ja voittaja olo.

Eth0 menee ciscoon tällä hetkellä (ja se on sillattuna), eth1 on lasten reitittimessä, ja loput eth2,3,4 jää minun käyttööni. Sain siis luotua luultavasti, 2 eri verkkoa mikä ollu tavoitteena. Edelleen vaan tuosta lasten reitittimen päässä olevalla tietokoneella pääsee edgeOS etusivulle joten onko ne siltikin samaa verkkoa ? Noh, ehkä joku osaa kertoa kuuluuko sen tuolla tavoin mennäkkin että pääsee hyppimään ristiin rastiin laitteita.

Sitten lasten reitittimestä menin ja koklasin laittaa sen AP:eeksi. Voi paska, hyvinhän se toimi mutta eihän sinne asetuksiin enää löytäny millään. Kaikki dns ja omat asettamat estot hävis myös jolloinka päätin että parempi palauttaa se "normaaliin" tilaan. Jonka myös tein sitten. Hetken kaivoin netistä apua että löysin hallintaan joka ei ollukkaan enää yllätys yllätys aikaisemmin määrittämäni ... ööö default gateway ? No se 192.168.xx.xx osoite jokatapauksessa jolla asetuksiin pääsee.

Ainakin muuten, edgerouterissa sain dns asetukset säädettyä niin että opendns family shield on toiminnassa lasten reitittimen kautta kaikkiin laitteisiin. (Tämä oli hyvä juttu), ja omaan verkkooni ihan ISP tarjoama vakio DNS tulee tällä hetkellä. Kätevää.

Mutta tämä oli juuri sitä mitä hain. Erittäin tyytyväinen olen tuohon edgerouteriin. Kaikki on kyllä vaikeaa, mutta eiköhän se tästä ala sujumaan. Nyt mietin tuota palomuuria, asetuksia on vaikka miten paljon kaikenlaista. Oletuspaloomuuri on nyt käytössä, eli wan_in ja oisko se ollu wan_local joissa on sääntöjä.

Täytyyköhän noille lan puolelle tehdä myös omat sääntönsä ? Vai onko tuo pätevä tuolla oletusasetuksella , tuo muuri siis ?
Haluaisin kyllä vetää sitä kireämmälle mutta miten ? Varsinkin lasten puolen muuria vois hieman kiristellä mikäli tarttee ?

Asentelin tosiaan käyttöjärjestelmät koneisiin puhtaat kaikkiin, nollailin ciscot ym laitteet ja lisäsin edgen mukaan peliin. Nyt ei pitäisi siis oman verkon saastua jos lapset tuijottaa pornoa tai klikkailee epämääräisiä linkkejä yms yms ?

Voi olla että puhun taas mitä sattuu näiden termien kohdalla, olen vaan niin sekaisin tästä opiskelusta kun monta päivää selvittäny kaikenlaista asiaa.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Nyt kun on ottanu etäisyyttä hieman tuohon edgeen on ollu aikaa pelailla lasten kanssa eripelejä. Mutta onkin ilmeentyny isohkoa "lagimista". Pingit huitelee taivaissa ajoittain ja pelit nykii ajottain kovasti. Mistäs tuota lähtis purkamaan kun aiemmin ei tuota ole esiintyny. Muuten yhteys toiminu hyvin ja nopeustestit näyttäny hyviä tuloksia eikä mitään ongelmaa missään. Nyt kaipaan apua todella tuohon ongelmaan.
 
Liittynyt
05.11.2016
Viestejä
2 133
Et maininnut mitkä verkot loit joten oletan että aikuisten verkko on 192.168.20.0/24 ja lasten verkko on 192.168.30.0/24.

---

Minulla meni nyt hieman ohi että missä tilassa se lasten reititin on tällä hetkellä? Aluksi oli reitittävänä, sitten kokeilit AP mutta kaikki asetuksesi meni pois ja vaihdoit takaisin? Eli se on nyt reitittävänä?

Jos se lasten reititin on
a) Tukiasema moodissa: lasten reititin ottaa DHCP:llä itselleen osoitteen DHCP palvelimelta eli ER-X:ltä. Katso DHCP palvelimen lease listasta se osoite: lasten reitittimen hallintasivu löytyy sieltä.
Tukiasema moodissa pitäisi kyllä pystyä asettamaan myös manuaalisesti se mistä se hallintasivu löytyy. Eli jos lasten DHCP alue on esimerkiksi 192.168.30.100 - 192.168.30.200 mitä tietokoneet jne käyttää mutta haluat että tukiasema löytyy aina esim 192.168.30.10 osoitteesta niin tukiaseman asetuksien syövereistä pitäisi löytyä staattinen IP asetus jolla voit määrittää sen hallintasivun IP:n manuaalisesti.
upload_2018-9-23_15-3-47.png
Ja lasten reititin on tässä tapauksessa kytkettynä ER-X:ään (eli aloituspostauksen kuva 1 tai 2).
Mahdolliset säädöt tehdään ER-X:ssä kuten esim OpenDNS pakotus ynnämuut. (WLAN aiheiset säädöt tietenkin tehdään siinä lasten reitittimessä..)

b) Reitittävänä: siinä tapauksessa sinulla on tupla NAT. Cisco siltaava >> ER-X NAT >> Lasten reititin NAT.
Jos haluat pitää lasten reitittimen tässä tilassa ja tehdä siinä haluamasi säädöt niin sitten kytke se lasten reititin suoraan siihen Ciscoon. (Eli aloituspostauksen kuva 3)
Tupla NATista voi johtua nämä "järkyttävän suuret pingit" ja muu "lagiminen".

Mitä haluat? Haluatko että Edgerouterilla säädetään kaikki (lasten reititin tukiasemamoodiin) vai haluatko että voit tehdä haluamasi säädöt lasten reitittimessä erikseen (lasten reititin reitittävänä)? Valitse a tai b ja kytke ne vempaimet vastaavasti.

P.S. "Laitoin AP moodiin ja kaikki asettamani estot sun muut jutut hävisi" Noh, niin hävisi. Tukiasemamoodissa reititin ei enää reititä vaan toimii vain tukiasemana ja tyhmänä kytkimenä.

---

Jos haluat että Edgerouterissa tehdään kaikki niin vastaavasti sitten se ER-X:n konfiguraatio vaatii vähän sitä sörkkimistä. Ja sen että se lasten reititin on tukiasema moodissa. Kyllä, ne omat asetuksesi siinä lasten purkissa katoaa mutta kaikki mitä voit tehdä siinä voidaan tehdä ER-X:ssä.

Oletuksena se palomuuri sallii verkkojen välisen liikenteen. Se pitää siis estää ja tämä ohje sisältää kaiken mitä tarvitset.
EdgeRouter - How to Create a Guest\LAN Firewall Rule

Mutta älä implementoi sitä sanasta sanaan...

Ensinnäkin tuossa ohjeessa GUEST verkko eristetään kaikesta muusta täysin, myös ns. itsestään. (Miksi? No, siinä puhutaan vierasverkosta. Esim menet kahvilaan ja siellä on julkinen WLAN, jos se on tehty oikein niin et näe muita WLANissa kiinni olevia laitteita, et pysty pingaamaan niitä tai tekemään yhtään mitään muuta kuin käyttämään internettiä. Tämä mitä sinä haluat on hieman eri juttu mutta ei nyt niin kaukana kuitenkaan eli tuota ohjetta voi käyttää pohjana.)

Toiseksi, tuossa ohjeessa interfacet on toisinpäin kuin sinulla:
ohjeessa eth0 = WAN / eth1 = "aikuisten verkko" (LAN) / eth2 = "lasten verkko" (GUEST)
sinulla eth0 = WAN / eth1 = "lasten verkko" ("GUEST") / eth2-4 = "aikuisten verkko" (LAN)
Eli lue mitä siinä kerrotaan ja sovella omaan verkkoosi. Ohjeen eth2 = sinun eth1 jos se lasten reititin on siinä portissa kiinni.

Kolmanneksi tuosta ohjeesta puuttuu sääntöjen kohdalla established & related kohdat.
Yksinkertaistettuna siis established/related sääntöjen kanssa jos sinä puhut lasten verkkoon niin sieltä voidaan vastata. Esimerkiksi aikuisten PC pingaa lasten PC:tä, ilman tätä lasten PC:n vastaus pingiin ei pääse perille. Tai se lasten reititin purkki joka elää lasten verkossa, jos haluat päästä käsiksi siihen omasta verkostasi niin sen purkin pitää pystyä vastaamaan sinulle.

Ja neljänneksi tuossa ohjeessa on typo ihan lopussa, kohta numero 7 jossa sanotaan että GUEST_LOCAL pitäisi liittää "WAN" interfaceen. Siinä pitäisi lukea eth2 (kuten sen alapuolella on) eikä WAN.

Jos vain haluat konfiguraation sisään niin pääset helpoimmalla komentorivin kautta copy pastettamalla komentoja yksi rivi kerrallaan.
Vaihtoehtoisesti käytä tätä alla olevaa vain apuna ja tee itse GUI:n kautta.

Klikkaa system, rullaa alaspäin ja vasemmalla puolella "back up config" kohdasta otat varmuuskopion ennenkuin rupeat tekemään yhtään mitään muuta.

Koodi:
# 1a ER-X:n GUI:ssa klikkaa CLI tai ota SSH yhteys ER-X:ään esim Puttyllä
# 1b Kirjaudu sisään käyttäjätunnuksella ja salasanalla
# 1c Mene konfigurointi tilaan configure komennolla
configure

# 2. Configure the LAN_NETWORKS network group.

set firewall group network-group LAN_NETWORKS description 'Aikuisten verkko'
set firewall group network-group LAN_NETWORKS network 192.168.20.0/24

# Tässä nyt siis määritettiin että LAN_NETWORKS on synonyymi 192.168.20.0/24 verkolle eli aikuisten verkolle

# 3. Configure the GUEST_IN firewall policy.

set firewall name GUEST_IN default-action accept
set firewall name GUEST_IN description 'guest to lan/wan'

set firewall name GUEST_IN rule 10 action accept
set firewall name GUEST_IN rule 10 log disable
set firewall name GUEST_IN rule 10 protocol all
set firewall name GUEST_IN rule 10 state established enable
set firewall name GUEST_IN rule 10 state related enable

set firewall name GUEST_IN rule 20 action drop
set firewall name GUEST_IN rule 20 log disable
set firewall name GUEST_IN rule 20 description 'drop guest to lan'
set firewall name GUEST_IN rule 20 destination group network-group LAN_NETWORKS
set firewall name GUEST_IN rule 20 protocol all

# Tässä määritettiin ensin GUEST_IN niminen firewall policy joka oletuksena hyväksyy paketin, ensimmäinen sääntö hyväksyy paketit jotka on established tai related ja jos ne ei ole established tai related niin toinen sääntö tiputtaa kaikki paketit jotka on menossa aikuisten verkkoa kohti.

# 4. Configure the GUEST_LOCAL firewall policy.

set firewall name GUEST_LOCAL default-action drop
set firewall name GUEST_LOCAL description 'guest to router'

set firewall name GUEST_LOCAL rule 10 action accept
set firewall name GUEST_LOCAL rule 10 description dns
set firewall name GUEST_LOCAL rule 10 log disable
set firewall name GUEST_LOCAL rule 10 protocol tcp_udp
set firewall name GUEST_LOCAL rule 10 destination port 53

set firewall name GUEST_LOCAL rule 20 action accept
set firewall name GUEST_LOCAL rule 20 description dhcp
set firewall name GUEST_LOCAL rule 20 log disable
set firewall name GUEST_LOCAL rule 20 protocol udp
set firewall name GUEST_LOCAL rule 20 destination port 67,68

set firewall name GUEST_LOCAL rule 30 action accept
set firewall name GUEST_LOCAL rule 30 description Established_related
set firewall name GUEST_LOCAL rule 30 log disable
set firewall name GUEST_LOCAL rule 30 protocol all
set firewall name GUEST_LOCAL rule 30 state established enable
set firewall name GUEST_LOCAL rule 30 state related enable

# Tässä määritettiin ensin GUEST_LOCAL niminen firewall policy joka oletuksena tiputtaa paketin mutta ensimmäinen sääntö hyväksyy DNS paketit, toinen sääntö hyväksyy DHCP paketit ja kolmas sääntö hyväksyy established tai related paketit.

# 5. Attach the firewall policies to the eth1 interface in the inbound and local direction.

set interfaces ethernet eth1 firewall in name GUEST_IN
set interfaces ethernet eth1 firewall local name GUEST_LOCAL

# Ja tässä lopuksi liitetään GUEST_IN ja GUEST_LOCAL palomuuri säännöt eth1 interfaceen.

# Lisäksi jokaisessa säännössä log disable ottaa login pois päältä. Jos haluat niin esim GUEST_IN rule 20 kohdalla voit vaihtaa log disable > log enable jos haluat kirjata logiin kaikki mahdolliset kerrat kun tämä sääntö tiputtaa paketin mutta en itse ainakaan saa tuosta mitään kiksejä.

# 6. Ota asetukset käyttöön
commit
# 7. Tallenna asetukset
save
# 8. Poistu configure tilasta
exit
# 9. Sulje CLI ikkuna tai Puttyssä kirjoita exit niin se SSH yhteys sulkeutuu.
Joku minua enemmän palomuureista tietävä voisi tehdä sanity checkin mutta aikalailla näin ne pitäisi olla. Lähes vastaavat säännöt jne kuin minulla vierasverkon kanssa, suurimpana erona vain se että network-group kohdistettu vain siihen aikuisten verkkoon eikä muihin verkkoihin. (Ja se että minä käytän VLANeja.)
Eli lasten verkon laitteiden pitäisi pysty juttelemaan keskenään ihan normaalisti.

Ja tässä kohtaa kun nämä säännöt on käytössä niin se lasten reititin pitäisi olla jo siinä tukiasemamoodissa että voit testailla toimiiko estot.
---

Lisäksi rajoittaisin ER-X:n hallinnan
set service gui listen-address 192.168.20.1 (gui vastaa vain .20.1 osoitteesta eli jos kersat yrittää avata .30.1 heidän verkosta päin niin eivät saa auki)
set service gui older-ciphers disable (tietoturva juttu, pakottaa https yhteyden käyttämään uudempia ja vahvempia koodeja. Jos käytät antiikkista selainta niin sitten ei ehkä kannata tätä laittaa.)

set service ssh listen-address 192.168.20.1 (SSH vastaa vain .20.1 osoitteesta eli......)
set service ssh protocol-version v2 (tietoturva juttu taas, SSH toimii vain uudemmalla ja turvallisemmalla protokolla versio 2:lla)

Huom: älä sitten lukitse itseäsi purkista pihalle! Näillä se onnistuu helposti.

---

Jos ei jo ole niin mene lasten verkon DHCP palvelimen asetuksiin ja pistä OpenDNS FamilyShield IP DNS1 kenttään ja jätä DNS2 kenttä tyhjäksi.
upload_2018-9-23_18-30-21.png
Sitten Firewall/NAT > NAT > Add Destination NAT Rule.

Tämän pitäisi ainakin teoriassa toimia. En nyt jaksa itse sitä testata kun minulla on eth1-4 kaikki switch0:ssa kiinni ja tietääkseni jos wizardissa ottaa ruksin pois sen "use only 1 LAN" kohdalla niin silloin eth2-4 on switch0:ssa kiinni mutta eth1 ei ole.
Voit tämän varmistaa hallintasivulla: mene Dashboard, listassa pitäisi alimpana olla interface switch0, klikkaa Actions > Config, mene Vlan välilehdelle ja tietääkseni siinä pitäisi olla: ei ruksia eth0 tai eth1 kohdassa mutta eth2/3/4 on ruksitettu. Jos näin niin "inbound interface eth1" vaihtoehto alla olevassa DNAT konffissa pitäisi toimia.​
upload_2018-9-23_21-57-21.png
DNAT säännön toimivuuden voit testata esim omalla koneellasi Windowsin komentokehotteessa 'nslookup www.pornhub.com 8.8.8.8' ja sitten sama lasten koneella. Omalla koneellasi pitäisi vastaus olla oikea kun taas lasten koneella (vaikka DNS palvelimen vaihtaisi manuaalisesti verkkokortin asetuksista) pitäisi tulla 146.112.61.106 tjsp joka on OpenDNS:n IP osoite. Tai ihan vain kokeilet aukaista sen sivun.​

Näin lasten verkon toosat saavat DHCP palvelimelta ohjeen käyttää OpenDNS FamilyShieldiä ja jos yrittävät kiertää tämän niin sitten DNAT sääntö ohjaa sen DNS kyselyn OpenDNS:n palvelimelle. Mutta sinä itse voit käyttää mitä tahansa DNS palvelinta omassa verkossasi ja katsoa pokea jos siltä tuntuu.

---

Jos haluat ymmärtää palomuuri jne sääntöjä miten ne IN, OUT ja LOCAL "virtaa" reitittimen sisällä niin tässä aika hieno esimerkki Ubnt:n EdgeRouter keskustelualueelta, tämän kuvan tehnyt BranoB niminen käyttäjä.
upload_2018-9-23_19-21-45.png
Tuota kuvaa joutunee tuijottamaan hetken aikaa.. Älä huoli, en minäkään ymmärrä palomuuri sääntöjä 100%:sesti ja ihan rehellisesti käytän muiden ohjeita tukena. Mutta kun tuosta kuvasta ymmärtää mitä ne in, out ja local tarkoittaa ja mikä suunta niillä on niin olet jo hyvin pitkällä. Ja sitten kun katsoo ER-X:n vakio palomuuria ja katsoo miten ne istuu tuohon kuvaan niin saa jonkinlaisen käsityksen siitä mitä ne tekee. (Vakio palomuuri säännöt on siis täysin riittävät peruskäyttäjille, siitä ei tarvitse murehtia.)
 
Viimeksi muokattu:
V

Vauhtimursu

Vieras (tunnus poistettu)
Mahtava kirjoitus, kiitos. Menee taas pari pv mukavasti lueskellessa että ymmärtää jotain. Tuossa toitkin pari tärkeää juttua esille kun etsiskelin tuota esim. miten saan blokattua muut hallinnasta ja vain pidettyä sen edgen vain tietyn tietokoneen hallittavana. Kunhan ei lukitse itseään ulos joo. Youtubesta etsiskelly kanssa noita videoita ja niissä tehdään noita taikaloitsuja just tuolla CLI / komento(se musta ikkuna) , mutta en itse uskaltanu vielä yrittää yhtään mitään ennenkuin täältä saa suomeksi hieman perehdytystä :)

Ja lagiminenhan johtuu just ilmeisesti tuosta router modesta lasten reitittimestä kun taitaa olla tupla nat ym vielä käytössä(ymmärsin tuonki joo jälkikäteen heti). Myös omassa pelikonsolissa mikä edgessä kiinni (playstation 4, minun verkossa) on myös luultavasti tuplaNAT , ja siihen joutuu edgestä tekemään jotain koska ps4:sta ei ole mahdollista ainakaan säätää mitään. En vain tiedä että mitä. En vain nyt tätä kirjoittaessa muista otitko siihen jo tuossa kantaa, niinkuin sanoin niin täytyy nyt ajatuksella lueskella ennenkuin tekee yhtään mitään

Ei kyllä kaduta että tuon edgerouter x osti, tässä oppii kyllä hienoja asioita ja ehkä joskus pärjää vielä "omillaan"

Kiitos @Lagittaja erittäin kattavasta & selkeästä vastauksesta jälleen kerran. Tuo viimeinen kuva on kova ! :D

Pystyyköhän edgessä vielä nuo verkkojen osoitteet vaihtamaan jälkikäteen, koska ne ei tosiaan menny ihan suunnitellusti ...
 
Liittynyt
05.11.2016
Viestejä
2 133
Eipä mitään. Jos ihmettelet ettei kukaan vastaa kysymykseesi niin kyllä niitä luetaan. Tällä kertaa meni pari päivää että sain aikaiseksi vääntää tekstiä :D

Tuossa toitkin pari tärkeää juttua esille kun etsiskelin tuota esim. miten saan blokattua muut hallinnasta ja vain pidettyä sen edgen vain tietyn tietokoneen hallittavana. Kunhan ei lukitse itseään ulos joo.
Tarkennettakoon nyt vielä että tällä listen-address loitsulla määritetään että mistä IP osoitteesta se hallintasivu löytyy. Ei niinkään sitä että minkä tietokoneen hallittavana se on.
Eli jos on vaikkapa 192.168.20.0/24 ja 192.168.30.0/24 verkot niin oletuksena se hallintasivu löytyy 20.1 ja 30.1 osoitteista. Oli sinulla mikä tahansa määrä verkkoja, vaikka kymmenen eri verkkoa niin oletuksena se hallintasivu löytyy näistä jokaisesta.
Jos listen-address osoitteeksi asetetaan ainoastaan 192.168.20.1 niin tämä hallintasivu löytyy ainoastaan tästä osoitteesta ja jos nämä kaksi verkkoa on eristetty toisistaan niin ainoastaan 192.168.20.0/24 verkossa olevat tietokoneet pystyvät aukaisemaan tämän sivun.
Jos sitä hallintaa haluaa rajoittaa entistä enemmän niin se onnistuu palomuuri säännöillä. Jos katsot sitä viimeistä kuvaa niin ihmettele siitä mistä löytyy GUI ja jos vilkaiset palomuuri sääntöjä mitä listasin edellisessä viestissä niin siellä on guest säännöissä sallittuna DNS ja DHCP joiden sijainti on myös...

Myös omassa pelikonsolissa mikä edgessä kiinni (playstation 4, minun verkossa) on myös luultavasti tuplaNAT , ja siihen joutuu edgestä tekemään jotain koska ps4:sta ei ole mahdollista ainakaan säätää mitään. En vain tiedä että mitä. En vain nyt tätä kirjoittaessa muista otitko siihen jo tuossa kantaa, niinkuin sanoin niin täytyy nyt ajatuksella lueskella ennenkuin tekee yhtään mitään
Siitä en vielä maininnut mitään.

PS4:n kohdalla NAT Type vaihtoehtoja on kolme. Type 1 on suoraan internetissä, Type 2 on reitittimen takana ja portit auki kun taas Type 3 on reitittimen takana ja portit ei ole auki.
Todennäköisesti sinulla PS4 ulisee siitä että se NAT Type on 3.
Voit joko tehdä niin että asetat PS4:lle staattisen IP:n ja port forwarding säännöt.
Tai sitten käytät upnp2:sta joka puhkoo automaattisesti palomuuriin reikiä että esimerkiksi PS4:n tarvitsemat portit aukeaa automaagisesti.
Itse käytän upnp2:sta ja jos sinua ei upnp:n mahdolliset riskit haittaa (Google kertoo lisää) niin käytä sitä.

Mene hallintasivulle, oikealla ylänurkassa config tree, vasemmassa laidassa laajenna service kohta klikkaamalla nuolesta ja sitten laajenna upnp2 klikkaamalla taas nuolesta.
Jos sinulla eth2-4 oli kiinni switch0:ssa ja eth1 on erillään (kts. edellinen postaukseni) niin listen-on kenttiin tarvitset switch0 ja eth1, nat-pmp ja secure-mode kenttiin molempiin enable ja wan kenttään eth0.
upload_2018-9-24_15-16-13.png
Klikkaa preview jonka jälkeen ikkuna hyppää esiin jossa näkyy muutokset ja voit hutaista Apply jos haluat tehdä muutokset.
Näillä pitäisi PS4:n NAT Type 3 vaihtua NAT Type 2.

Tässä lisäsin myös eth1:sen kun oletan että lapsilla on myös jotain pelikonsoleita tjsp jotka haluavat päästä nettiin.
Jos haluat manuaalisesti sallia portit mitkä pääsee läpi lapsilla niin voit sen tehdä tai jos et halua käyttää upnp2 niin sitten port forwarding säännöt manuaalisesti. Google kertoo lisää.

Ei kyllä kaduta että tuon edgerouter x osti, tässä oppii kyllä hienoja asioita ja ehkä joskus pärjää vielä "omillaan"
Joo, tämä on kyllä hieno laite varsinkin hinnaltaan siihen nähden mitä sillä voi tehdä tai mitä sillä voi oppia.

Pystyyköhän edgessä vielä nuo verkkojen osoitteet vaihtamaan jälkikäteen, koska ne ei tosiaan menny ihan suunnitellusti ...
Tottahan toki.

Mene ensin Services > DHCP server ja luo uudet DHCP palvelimet niille verkkoalueille mitä haluat käyttää
Esimerkiksi
upload_2018-9-24_15-52-48.pngupload_2018-9-24_15-53-57.png
Sen jälkeen mene dashboardiin, klikkaa eth1 actions, config ja vaihda IP osoite siitä nykyisestä esim 192.168.30.1/24 ja save.
Sama sitten sen switch0 kohdalla, actions, config, muuta IP esim 192.168.20.1/24 ja save.
upload_2018-9-24_16-3-19.png
Jossain tässä kohtaa sitten se yhteys hallintasivuun menee jojoon koska muutit sen interfacen IP osoitteen. Olit yhteydessä esim 192.168.1.1 mutta se ei ole enää olemassa tämän jälkeen...
Se DHCP palvelimen luonti ensin ennenkuin menet ja muutat interfacen IP osoitetta varmistaa sen että jahka kone tajuaa hakea uutta IP osoitetta (tai manuaalisesti Windows komentorivillä ipconfig /release ja ipconfig /renew tai käytät verkkokorttia pois päältä) niin se hakee ja saa sen IP osoitteen siltä DHCP palvelimelta mikä juuri luotiin ja sitten se hallintasivu pitäisi löytyä esim 192.168.20.1 osoitteesta kun koneesi on taas kiinni verkossa.
Lopuksi voit sitten poistaa ne vanhat DHCP palvelimet listasta.

Edit: Nämä ainakin pitäisi olla ainoat asiat joita pitää muuttaa ellet sitten ole säätänyt jotain muita syvempiä juttuja. Testaisin tämän itse mutta ei juuri nyt huvita ruveta sörkkimään kun itse olen säätänyt hieman pidemmälle.


P.S. Jos joku muu lukee tätä IP:n muutos juttua ja leikkii VLANien kanssa niin suosittelen vahvasti että otatte jonkin interfacen irti switch0:sta esim eth3, annatte sille eth3 interfacelle IP:n (ihan sama mikä) ja vaikka DHCP palvelinkin sille IP alueelle jos siltä tuntuu. Ja teette ne VLAN konffit sen interfacen kautta eli siinä kun kohtaa kun poistatte switch0:lta IP:n valmistautuessanne luomaan switch0.1 vlanin niin ette vahingossa lukitse itseänne purkista pihalle jos teette jotain väärin :D
 
Viimeksi muokattu:
V

Vauhtimursu

Vieras (tunnus poistettu)
Kiitos nopeasta vastauksesta tuohon ps4 hommaan. Mutta joo, en suinkaan odota samantien vastausta, meillä kaikilla on muutakin elämää kuin tämä aihe keskuteluineen :) Kärsivällisyys on kova sana ja jääpähän vastauksen venyessa hieman enemmän aikaa lueskella rauhassa ennenkuin mennään hirveästi asioissa eteenpäin :)

Kiitos.

edit: Tässäkin on tälle viikolle taas riittävästi hommaa.
 
Liittynyt
09.03.2017
Viestejä
254
Tuohon ps4 hommaan suosittelen itse DHCP:lla staattista IP-osoitetta pleikkareille ja access listilla UPNP2 sallimista vain noista pleikkareidein osoitteista. Eipähän random laitteet enää availe itselleen portteja verkosta jos UPNP2 päätät käyttää.

Itsellä kotona 2x PS4 ja ER-X niin UPNP2 hoitaa homman moitteetta. Manuaalisella portforwardilla kun ei oikein onnistu saman portin ohjaaminen kahteen eri konsoliin ja luonnollisesti et konsoleita voi konffata käyttämään eri portteja.
 
Liittynyt
05.11.2016
Viestejä
2 133
Joo, onhan tuo se "paras" tapa. En nyt tuota tässä kohtaa maininnut kun ajattelin pitää yksinkertaisena (ja muutenkin tuli aivopieru, tietenkin usean konsolin kanssa port forwardit ei oikein onnistu järkevästi..).

Mutta jos joku jäi miettimään mitä/miten niin:
Ubiquiti Networks Community
Nämä voi toteuttaa komentoriviltä tai sitten sen config treen kauttakin jos ei komentoriviä halua käyttää

Yksinkertainen esimerkki konfiguraatio tuon linkin takaisen perusteella voisi olla vaikkapa jotain tähän suuntaan olettaen että playstationien staattiset IP:t on esimerkiksi 192.168.20.130 ja 192.168.30.130

Koodi:
# show service upnp2
 acl {
     rule 200 {
         action allow
         description "Allow adult PS4"
         external-port 1024-65535
         local-port 0-65535
         subnet 192.168.20.130/32
     }
     rule 300 {
         action allow
         description "Allow children PS4"
         external-port 1024-65535
         local-port 0-65535
         subnet 192.168.30.130/32
     }
     rule 9000 {
         action deny
         description "Deny all"
         external-port 0-65535
         local-port 0-65535
         subnet 0.0.0.0/0
     }
}
listen-on switch0
listen-on eth1
nat-pmp enable
secure-mode enable
wan eth0
Eli tässä
sääntö 200 sallii: external portit 1024-65535, local portit 0-65535 osoitteelle 192.168.20.130
sääntö 300 sallii: external portit 1024-65535, local portit 0-65535 osoitteelle 192.168.30.130
sääntö 9000 estää: external portit 0-65535, local portit 0-65535 mistä tahansa osoitteesta

Jos tuo viimeinen esto sääntö kuulostaa oudolta niin nämä käsitellään/luetaan järjestyksessä: jos jompi kumpi .130 yrittää avata portteja upnp:llä niin se onnistuu mutta jos jokin muu yrittää niin sitten se ei onnistu.

Ja kuten sanoin, nämä käsitellään järjestyksessä, eli jos halutaan estää jotain tiettyä jommalle kummalle niin sitten se kielto sääntö pitää olla pienemmällä sääntö numerolla kuin se salliva sääntö.
Eli jos halutaan estää portti 12345 vaikkapa .30.130 osoitteelle niin em. esimerkin perusteella tämän deny säännön numero pitäisi olla 299 tai pienempi jolloin se tulee ennen tätä sääntöä numero 300 joka muuten sallisi tämän portin.

Lisäksi, sääntöjen numerot voi olla jotain 1-9999 väliltä. Eli jos rupeaa rakentamaan tällaista sääntö listaa niin antakaa itsellenne tarpeeksi tilaa.
Mikään ei estä tekemästä esim nuo ylläolevat kolme sääntöä numeroilla 1, 2 ja 3. Mutta jos tarvitsetkin neljännen säännön niin hups, ei sinulla ole tilaa koska viimeinen sääntö 3 on se kaiken blokkaava tiesulku. Joten joudut säätämään kaikkien muiden sääntöjen numeroita.
Eli aloittaa esim noilla 200, 300 jne suuruisilla sääntönumeroilla (+ deny all jonnekin loppuun) niin en usko että peruskäyttäjältä loppuu numerot kesken.
Tässäkin asiassa siis kannattaa etukäteen vähän miettiä että mitä haluaa tehdä.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Lisäksi rajoittaisin ER-X:n hallinnan
set service gui listen-address 192.168.20.1 (gui vastaa vain .20.1 osoitteesta eli jos kersat yrittää avata .30.1 heidän verkosta päin niin eivät saa auki)
set service gui older-ciphers disable (tietoturva juttu, pakottaa https yhteyden käyttämään uudempia ja vahvempia koodeja. Jos käytät antiikkista selainta niin sitten ei ehkä kannata tätä laittaa.)

set service ssh listen-address 192.168.20.1 (SSH vastaa vain .20.1 osoitteesta eli......)
set service ssh protocol-version v2 (tietoturva juttu taas, SSH toimii vain uudemmalla ja turvallisemmalla protokolla versio 2:lla)

Huom: älä sitten lukitse itseäsi purkista pihalle! Näillä se onnistuu helposti.

Sain kokeiltua muutamia juttuja, kokeilin tuota upnp2:sta myös mutta palauttelin nyt kuitenkin edelliset asetukset vielä kun huomasin että tuo ps4 onkin NAT 2 tyyppiä. Mutta sitten menin tähän kohtaan jonka lainasin ylempää ja on tuossa quotessa.

192.168.20.1 <- Vaihdoin tuon tilalle vain tuon oikean osoitteen jokaiseen kohtaan kun näitä komentoja kävin läpi.

CLI ,
tämä oli ainoa joka ei kelvannu komentona.
set service gui older-ciphers disable
The specified configuration node is not valid
Set failed
[edit]

set service gui listen-address 192.168.20.1 , päättelin että tämä on se joka lukitsee minut pihalle jos laitan väärin. Joten tarkkaan katsoin laittamani osoitteen että on oikea, mutta lopputuloksen voi jokainen arvata miten kävi :)
Nojoo, siis sehän lukitsi mut kaikilla vermeillä nyt luultavasti ulos quista. Ei pääse lasten eikä omasta verkosta hallintasivulle ? Taitaa olla resetin paikka ja lähteä alusta ? Tiedän että varoitit, mutta koitin silti.
 
Liittynyt
19.06.2017
Viestejä
101
set service gui listen-address 192.168.20.1 , päättelin että tämä on se joka lukitsee minut pihalle jos laitan väärin. Joten tarkkaan katsoin laittamani osoitteen että on oikea, mutta lopputuloksen voi jokainen arvata miten kävi :)
Nojoo, siis sehän lukitsi mut kaikilla vermeillä nyt luultavasti ulos quista. Ei pääse lasten eikä omasta verkosta hallintasivulle ? Taitaa olla resetin paikka ja lähteä alusta ? Tiedän että varoitit, mutta koitin silti.
Mikä tietokoneesi IP-osoite on nyt tällä hetkellä? Jos se on 192.168.20.XXX, niin kyllä sinun pitäisi päästä koneeltasi hallintasivulle osoitteeseen 192.168.20.1. Jos tietokoneesi IP:n kolmas numerosarja on muu kuin 20, niin sinun olisi pitänyt laittaa tuo "set service gui listen-address 192.168.YYY.1" jossa YYY on se tietokoneesi IP-osoitteen kolmas numerosarja..
 
Liittynyt
05.11.2016
Viestejä
2 133
Sain kokeiltua muutamia juttuja, kokeilin tuota upnp2:sta myös mutta palauttelin nyt kuitenkin edelliset asetukset vielä kun huomasin että tuo ps4 onkin NAT 2 tyyppiä.
NAT Type 2 on siis hyvä. Se tarkoittaa että portit aukeaa ja esim online pelit jne toimii.

set service gui older-ciphers disable
The specified configuration node is not valid
Set failed
[edit]
Jännä, minulla tuo toimii. Tosin ajelen edelleen 1.9.7 firmiksellä :vihellys: Onkohan se komento poistettu jos nämä vanhat cipherit on poistettu päivityksen yhteydessä? En tiedä.
upload_2018-9-25_19-25-28.png

Pläräilin kaikki 1.9.7-1.10.6 väliset release notet läpi enkä löytänyt mitään mainintaa että tuohon liittyen. Ainoa cipher aiheinen muutos oli 1.10.5:ssä joka disabloi heikon ARCFOUR cipherin SSH yhteyksillä. Mutta se nyt ei kuitenkaan liity GUI:hin.

set service gui listen-address 192.168.20.1 , päättelin että tämä on se joka lukitsee minut pihalle jos laitan väärin. Joten tarkkaan katsoin laittamani osoitteen että on oikea, mutta lopputuloksen voi jokainen arvata miten kävi :)
Nojoo, siis sehän lukitsi mut kaikilla vermeillä nyt luultavasti ulos quista. Ei pääse lasten eikä omasta verkosta hallintasivulle ? Taitaa olla resetin paikka ja lähteä alusta ? Tiedän että varoitit, mutta koitin silti.
Jos laitoit sen IP:n oikein ja otit muutokset käytöön niin yksi vaihtoehto on että jostain syystä se gui service ei lähtenyt uudestaan käyntiin.
Eli kun näitä gui service asetuksia (esim listen-address) asetetaan tai muutetaan tai poistetaan niin se gui service käynnistetään uudelleen automaagisesti.
upload_2018-9-25_19-31-35.png

Eli olisikohan nyt jostain syystä gui service jäänyt jumiin?
Eli oletko kokeillut käynnistää reitittimen uudelleen :rofl: (saisi tuon servicen SSH:nkin kautta käynnistettyä uudelleen mutta virrat pois helpompi..)

P.S. Tein muuten virheen, mainitsin tämän asian noiden palomuuri sääntöjen lopussa mutta ehkä minun olisi pitänyt mainita tämä ihan erikseen.
Kun komentorivillä tehdään jotain niin muutokset eivät tule voimaan samantien, lisäksi tarvitaan komentoja commit ja save.
Commit tarkoittaa että asetukset otetaan käyttöön ja save että asetukset tallennetaan.
Jos asetukset ottaa käyttöön mutta niitä ei tallenneta niin tekemäsi muutokset katoavat seuraavan käynnistyksen yhteydessä.
Ja jos ei käytetä edes commit komentoa ennenkuin poistutaan komentoriviltä niin mitään muutoksia ei tietenkään tapahdu..​
Eli esimerkiksi asetan gui listen-address osoitteen, otan muutokset käyttöön ja tallennan muutokset
1. set service gui listen-address x.x.x.x
2. commit
3. save
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Huh, vetäsin virrat pois edgestä ja taas toimii. Eli oli jumiin jääny. Commit olin laittanu (varmuudella) ja näköjään unohtanu save komennon mikä oli pelastava tekijä tällä kertaa :)

Eli kaikki nuo muutokset kumoutui kun olin unohtanu save kirjottaa ? Täytyypä nyt tutkailla hieman mitä kaikkea tuli töpeksittyä ja mistä jatkais taas. Mutta kiitos hyvästä neuvosta !
 
Liittynyt
05.11.2016
Viestejä
2 133
Huh, vetäsin virrat pois edgestä ja taas toimii. Eli oli jumiin jääny. Commit olin laittanu (varmuudella) ja näköjään unohtanu save komennon mikä oli pelastava tekijä tällä kertaa :)

Eli kaikki nuo muutokset kumoutui kun olin unohtanu save kirjottaa ? Täytyypä nyt tutkailla hieman mitä kaikkea tuli töpeksittyä ja mistä jatkais taas. Mutta kiitos hyvästä neuvosta !
Hyvä että toimii. Et kertonut mikä se reitittimen IP ja sinun koneen IP oli niin paha sanoa että oliko nyt vain jäänyt jumiin vai oliko tullut typo mutta jos olet 100% varma että asetit sen listen-address IP:n oikein niin todennäköisin vaihtoehto on se että gui service jäi jumiin / ei käynnistynyt uudelleen.

Ja kyllä, kaikki muutokset mitä teit komentorivin kautta olivat kyllä käytössä koska annoit sen commit komennon mutta koska et ollut syöttänyt save komentoa niin nämä asetukset oli voimassa vain keskusmuistissa.
Eli kun annetaan komento save niin ER tallentaa sen voimassa olevan konfiguraation config.boot nimiseen tiedostoon joka löytyy /config/ polusta. Ja se reitittimen konfiguraatio ladataan tästä tiedostosta aina käynnistyksen yhteydessä.
upload_2018-9-25_21-18-36.png


Tulevaisuuden varalta suosittelen tutustumaan miten SSH yhteys luodaan kun kerta olet jo vähän siihen komentoriviin tutustunut sen "CLI" kautta.

Eli asenna Download PuTTY - a free SSH and telnet client for Windows (tai mikä tahansa ssh ohjelma minkä haluat, minä nyt satun käyttämään puttyä. Nettiselaimiinkin saa nykyään SSH lisäosia niin ei tarvitse erillistä sovellusta..)

Kun avaat Puttyn niin sieltä aukeaa tämän näköinen ikkuna
upload_2018-9-25_20-28-30.png

Host name/IP kenttään syötetään IP johon halutaan yhdistää (reitittimen IP eli sama minkä syötät selaimen osoiteriville kun menet hallintasivuille)
Ja sen alapuolelta valitaan SSH täppä.
Lopuksi painetaan "open".

Nyt kun luot Puttyllä SSH yhteyttä Edgerouteriin ensimmäistä kertaa niin Putty herjaa sinulle "security alert" viestillä.
Lyhyesti sanottuna Putty on paniikissa koska hän ei ole tavannut Edgerouteria ennen ja antaa nyt sinulle kolme vaihtoehtoa.
Yes: Avaa yhteys ja tallenna Edgerouterin "avain" = et näe herjaa jatkossa
No: Avaa yhteys mutta älä tallenna Edgerouterin "avainta" = näet herjan taas seuraavan kerran kun avaat yhteyttä
Cancel: Pitääkö tämä selittää?

Valitse siis yes joten kun seuraavan kerran luot SSH yhteyden Edgerouteriin niin et näe tätä herjaa.
Seuraavaksi näet ruudulla "login as:" tekstin eli kirjoita käyttäjätunnuksesi ja paina enter.
Seuraavaksi näet tervetuloa viestin ynnämuuta, lopussa "password:" eli kirjoita salasanasi ja paina enter.
Tästä eteenpäin kaikki näyttää ja toimii tietääkseni samallalailla kuin hallintasivujen "CLI" ikkunasta.

P.S. Pro tip: kun olet ER:n komentorivillä ("CLI" tai SSH) niin kokeile mitä tapahtuu TAB napista (caps lockin yläpuolella). Eli kokeile mitä tapahtuu jos painat sitä kerran ja mitä tapahtuu kun painat toisen kerran perään. Tai mitä tapahtuu jos kirjoitat komentoa mutta et ole kirjoittanut komentoa vielä täysin loppuun ja hutaiset TABia. Välilyöntiä ja myös enteriä käytetään muutenkin kuin lisäämään välejä tai suorittamaan komentoja, kokeile esim show configuration komennon kanssa mitä välilyönti ja enter tekee.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Tutustuin tuohon puttyyn, kiitos helpoista ja hyvistä neuvoista. Homma oli helppo, jopa helpompi kuin luulin. CLI ja putty taitaa ajaa saman asian. Olin tuota aikaisemmin joskus ajatellutkin että mikä ihmeen ssh yhteys kun siitä on ollu paljon puhetta tälläkin foorumilla erinäisissä jutuissa. Mutta nyt pääsin itsekkin kokeilemaan. Mahtavaa. Rohkenin kyllä epäröimättä kokeilla kun jonkun verran yrittäny käyttää linuxin päätettä, tosin hyvin vähä mutta yritän kumminkin. Tällä työskentely koneella käytän linuxia ja muuten sitten pelikoneet ym laitteet on joko windows ps4 tms. Ipconfig & ifconfig siis tuttua kauraa mutta eipä sitä osaa kun hyvin pienen murto osan kaikesta mahdollisesta ja verkkotekniikka kiinnostaa itseä paljon / tietoturva asiat...

Aloittelijaksi silti vielä itseni mieluusti laitan, ei tässä kielimuurin takia hirveä vauhti ole oppimisessa ollut(googlen avulla), tosin nyt @Lagittaja n perusteellinen neuvonta äidinkielellä tekee kyllä asiat helpohkon oloiseksi mikä on mahtavaa.

Täytyy nyt mennä pari postausta taaksepäin ja kerrata vielä tuota palomuuri osiota kuvineen kaikkineen. Mutta kiitos suuresti hienoista neuvoista KAIKILLE tasapuolisesti.

Ne luodut verkot muuten on 192.168.1.1 on eth2 eli aikuisten verkko, ja 192.168.5.1 (lasten verkko) eth1 ja wan=eth0 , yritän järkeistää tuota itselle mutta tuommoisiksi ne nyt valikoitui tuota wizardia kokeiltaessa, siksi kysyinkin että voiko noita vielä muutella. Jos laitan nuo osoitteet 192.168.20.1 --- 192.168.30.1 niin riittääkö laitteiden uudelleen käynnistys siihen että kaikki pitäs toimia ?
 
Liittynyt
05.11.2016
Viestejä
2 133
Tutustuin tuohon puttyyn, kiitos helpoista ja hyvistä neuvoista. Homma oli helppo, jopa helpompi kuin luulin. CLI ja putty taitaa ajaa saman asian. Olin tuota aikaisemmin joskus ajatellutkin että mikä ihmeen ssh yhteys kun siitä on ollu paljon puhetta tälläkin foorumilla erinäisissä jutuissa. Mutta nyt pääsin itsekkin kokeilemaan. Mahtavaa. Rohkenin kyllä epäröimättä kokeilla kun jonkun verran yrittäny käyttää linuxin päätettä, tosin hyvin vähä mutta yritän kumminkin. Tällä työskentely koneella käytän linuxia ja muuten sitten pelikoneet ym laitteet on joko windows ps4 tms. Ipconfig & ifconfig siis tuttua kauraa mutta eipä sitä osaa kun hyvin pienen murto osan kaikesta mahdollisesta ja verkkotekniikka kiinnostaa itseä paljon / tietoturva asiat...
Kyllä, "CLI" ja SSH yhteys esim Puttyn (Putty on siis "SSH client") kautta on käytännössä sama asia. Sitä hallintasivun "CLI" vaihtoehtoa voi ajatella nettisivuun integroituna Puttynä.
Erona nyt tietenkin on se että sitä CLI vaihtoehtoa voi käyttää vain sen hallintasivun kautta kun taas SSH yhteyden voi luoda mistä tahansa laitteesta tai sovelluksesta.

Ne luodut verkot muuten on 192.168.1.1 on eth2 eli aikuisten verkko, ja 192.168.5.1 (lasten verkko) eth1 ja wan=eth0 , yritän järkeistää tuota itselle mutta tuommoisiksi ne nyt valikoitui tuota wizardia kokeiltaessa, siksi kysyinkin että voiko noita vielä muutella. Jos laitan nuo osoitteet 192.168.20.1 --- 192.168.30.1 niin riittääkö laitteiden uudelleen käynnistys siihen että kaikki pitäs toimia ?
Kyllähän ne tosiaan voi muuttaa jos siltä tuntuu. Mutta ei sillä nyt suurta merkitystä ole mitkä osoitealueet sinulla on käytössä. Oma asiasi haluatko vaihtaa. Itse nyt tähän hätään jättäisin ne niinkuin on ja keskittyisin muuhun jos ne ei sinua häiritse.
Suoraan GUI:n kautta tämä vaihto tehty vaikeaksi kun jos katsoo Services > DHCP Server ja valitsee jonkun näistä palvelimista niin kaikkea muuta saa muutettua paitsi sen subnetin :facepalm: Eli jos haluaa tehdä tämän vaihdon pelkästään GUI:n kautta niin pitää luoda uusi DHCP palvelin..
Päivitin äsken 1.9.7 > 1.10.6. Näköjään edelleen sama "ominaisuus" ettei sitä subnettiä saa muokattua GUI:sta suoraan..​
Kun taas jos tehdään komentorivin tai config treen kautta säätöjä DHCP palvelimeen niin sieltä näitä saa muokata ihan miten lystää.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Hei muuten.

Miten saadaan kun, tähän saakka lasten reititin blockas mm. Hacks, Cheats , sanastoa eikä päästäny sivuille ollenkaan, riitti kun reititin haistoi tuon sanan jossain välissä www linkissä tai googlen linkissä niin sensuuri iski välittömästi. Nyt sama pitäis toteuttaa tuolla edgeroutella, mutta mistä lähden liikkeelle. Google tietenkin, mutta millä haulla esimerkiksi ?

Ja onhan se nyt vielä niin että laitteet ei saa julkista ip osoitetta jotka on edgerouterissa kiinni ? Tätäkin käsiteltiinn jo tuossa aiemmassa aiheessa aikaisemmin , mutta varmista(N) nyt vielä sen että ymmärrän oikein.



- Edit : Saako edgerouteria logittamaan esim kuka on sisäänkirjautunu web hallintasivulle, tai ottanu ssh yhteyden , tai jotain vastaavanlaista ? Ilman että suljen itseäni ulos purkista :D
- Edit 2: Lisäsin N kirjaimen mikä oli jääny pois, lause kuulosti jo melkein vaativalta ilman tuota N kirjainta joka ei ollu tarkoitus.

- Edit 3: Lisäsin nyt myös teeveen verkkoon, eth3 paikalle. Teeveessä tuskin on minkäänlaisesta tietoturvasta hajuakaan , joten mitä asetuksia vois tehdä tuohon edgerouteriin että voi rauhallisin mielin pitää tuota verkossa kiinni jatkossakin ?

- Edit 4: Olen ajatellu säästää tuon viimeisen eth4 portin NAS palvelimelle, mutta se on PoE reikä ilmeisesti. Voiko siihen laittaa ihan tavallisen rj-45 ilman että tuleva nassi kärähtää välittömästi tai jotain muuta kamalaa :( Meinasin teeveetä siihen mutta en uskaltanu :)

Vastaan editoimalla tähän itselleni vielä tuohon kohtaan Edit 4 : JOS, ymmärsin oikein Poe on kytkettynä Off, eli sen pitäis toimia normaalina lan porttina tällä hetkellä. Eli voin huoletta laittaa siihen kiinni mitä vain mikä tarvitsee verkkoyhteyden.

Teeveeseen sen verran lisään että otan tuon pois netistä nyt jokatapauksessa, ei mitään käytännön hyötyä pitää verkossa kiinni muuta kuin päivitykset tarkistaessa satunnaisesti kun jaksaa. Tuohan oli aivan järjetön nuo kaikki ehdot mitkä ois pitäny hyväksyä, jotta sais smarttv ominaisuudet käyttöön. "Vakoillaan teitä 247 ja esitetään mainoksia miten huvittaa ja levitetään tietosi ympäri mailmaa kaikille jotka niitä älyää edes vähäki kysyä" , ei kiitos.
 
Viimeksi muokannut ylläpidon jäsen:
V

Vauhtimursu

Vieras (tunnus poistettu)
Olisko tämä oikea tie alkaa kyhäilemään block listaa edgerouteriin ?
EdgeRouter - Create a Firewall Rule using Deep Packet Inspection (DPI)
Ohjeet on ilmeisesti molempiin GUI sekä SSH jos haluaa jompaa kumpaa käyttää , vai pitääkö sittenkin tehdä molemmissa eikä jokotai ?

Tuossa asetetaan DPI enable , ja luodaan palomuurisääntö facebookille(ehkä). Tuleeko tuossa mitään ristoriitoja entisten asetusten kanssa tai jotain jos teen tuon mukaan noita block sääntöjä ?

Tähän astiset säännöthän on aikalailla vakiot wizardin kautta luotuna eikä taida olla ainuttakaan itseluotua sääntöä missään vielä, (rohkeuden puute).
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Keräsin rohkeutta ja koitin GUI kohtaa matkia omiin asetuksiin täsmälleen ohjeiden mukaan. Homma toimii hyvin, blockkaa instagramit, facebookit twitterit , eli oikeastaan koko somen. En tiedä onko tuo toteutus hyvä ja oikea edgerouterin asetusten kannalta katsottuna.... Mutta tuo ei vaan ollu se mitä hain. Nyt pitäis saada vastaavanlainen kyhäelmä, mutta hacks , aimbot , cheat ym virussanat luotua mutta en osaa soveltaa tuota ohjetta siihen.

Sielä on nyt sääntöjä firewallissa 5 ja 3 , voiko niitä olla useampi luotuna ? Ja yritin muuten enabloida login kun edge droppaa paketin, mistä tuon login löytää ?
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Hei taas.

Pakko kysästä näitä muutamaa asiaa uudelleen. Tein tuon ohjeen mukaan estot edgeen, toimi eli some kiellettiin. Yritin toistaa ohjetta ja estää eri asiat mutta samalla kaavalla, joka ei enää onnistunutkaan edgeltä. Eli ei suostunu tekemään uusia palomuuri sääntöjä enää toiselle "ryhmälle" eli vaikka pelit ryhmä. Jolloinka siis yritin blokata somen, ja pelit. Some onnistui mutta ei pelit enää. Tarkoitushan olis estää kaikenmaailman aimbot , hacks , ym tälläiset sivustot mutta miten ? En tuota somea ole blokkaamassa mutta se vain toimi tuon mallin mukaisesti enkä nyt osaa soveltaa tuota ohjetta mitenkään tuohon omaan tarkoitukseen.

Ja tuossa ylempänä mietin saiko tuota edgerouteria loggaamaan kirjautumiset hallintaan, ainakin sen hallinnan tai itse kirjautumisen pystyi kyllä muuttamaan. Mutta saako sitä jotenkin logittamaan jos tulee jostain eriskummallisesta osoitteesta esim kirjautumisyritys ?

Mistä sen login löytää, edelleen kateissa tuokin. Näihin kaipailisin kovasti vielä apua.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Joo, tuo vois olla hyvä. Mutta miten ? Disabloida SSH , mutta entäs web hallinta ? Tuonkin vois tehdä sitten vasta sitten kun on päässy sujuvaan yhteisymmärrykseen tuon laitteen kanssa :)
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Ties kuinka monennen kerran jo palauttelin edgerouteriin tehdas asetukset , lukenu tämän ja aloittanu alusta. No ei hirveän montaa kun välillä on ollut motivaatiokuukausia, mutta kuitenkin. Nyt viimesimmän jälkeen palaset loksahti paikoilleen.

Aikaisemmin ei onnistunu siksi kun tuo webguin CLI on vetäny joko jumiin commit sanan jälkeen tai muuta vastaava teknistä probleema ollu koko ajan CLI:n kanssa. Nyt tajusin viimein että en teekkään tuolla web hallinnan CLI:llä yhtään mitään , vaan aloitan kaiken alusta ja puttylla. Nyt parin päivän aikana jokaikinen komento puttyllä meni sujuvasti sisään, ilman ainuttakaan vastalausetta.

Lasten verkosta ei pääse millään laitteella tähän edgen hallintaan, enkä saanu suljettua itseänikään ulos hallinnasta.
Päätä hakannu seinään tuon kanssa niin useasti , mutta se tunne kun huomasin että täähän toimii <3 .
Putty oli vain toimivampi vaihtoehto kuin selaimen kautta CLI:llä. Se on paljon helpompaa tuo opettelu jos tuommoiset kuin CLI toimis niin ei tarvitsisi aina miettiä että mikähän nyt meni pieleen kun ei hyväksyny komentoa tms, se kyllä temppuili aivan kiusaksi asti. Teki mm. niin että commit sanan jälkeen katkas yhteyden, ja muutosten takia web hallinta jumissa, piti bootata boksi ja tehdä sama virhe uudelleen ja vielä kerran varmuuden vuoksi kolmaskin kerta kokeilla. Kaikenlaista sattumaa ja tapahtumaa tuossa on ollut. Kerran kävi niinki , että operaattorin järjestelmä tai erehdys poikkas netin vahingossa ja sattumalta samaan aikaan kun minä olin muutellu edgerouterin asetuksia. Kyllä mä hakkasin päätä seinään että näinkö jumiin tämän nyt sain, että mikään laite ei enää tajua mikä on internet. Kunnes tajusin lopulta soittaa operaattorille ja kysyä että mikä tilanne.

Mutta...Aivan järjettömän suuret kiitokset jokaiselle auttaneelle ihmiselle, erityisesti @Lagittaja joka jaksanu vääntää ratakiskoa minulle.

Mä luulen että palauttelen vielä tehdasasetukset, aloitan alusta ja teen vielä kertaalleen kaiken tähänastiset jutut. Sitten saa vähä aikaa olla jos kaikki toimii. Nyt toistaiseksi ainakin pelit ja vehkeet toimii kaikki. Katsellaan taas jos tulee jotain erikoista probleemaa..Ei muuta, blokkaan vielä ssh pääsyn webhallinasta ja sitten pitäis olla kaikki ok hetkeksi.
 
Viimeksi muokannut ylläpidon jäsen:
V

Vauhtimursu

Vieras (tunnus poistettu)
Jos haluat että Edgerouterissa tehdään kaikki niin vastaavasti sitten se ER-X:n konfiguraatio vaatii vähän sitä sörkkimistä. Ja sen että se lasten reititin on tukiasema moodissa. Kyllä, ne omat asetuksesi siinä lasten purkissa katoaa mutta kaikki mitä voit tehdä siinä voidaan tehdä ER-X:ssä.
Yritän kovasti sörkkiä mutta mutta :) "kaikki mitä voit tehdä siinä voidaan tehdä ER-X:ssä." En vain nyt osaa...

Oisko sinulla @Lagittaja tai joku muukin toki, vielä aikaa neuvoa miten nuo blokkaustoiminnot sais toimimaan. En saa nyt millään DPI kanssa blokkia toimimaan ja nyt sitten en tiedä miten uskaltaa putty:lla komennella kun on muita asetuksia myös (esim. dnssec).

Yritän saada microsoftin yhteydenottoja suljettua (paitsi microsoft update) , ei vaan toimi tällä qui ohjeella :
EdgeRouter - How to Create a Firewall Rule Using DPI
help.ubnt sivulle menee linkki.

Tuottaa nyt aivan järjetöntä päänvaivaa tuo blokkaus. Jos laitan dpi:llä blokin niin katkeaa vain koko netti eth1:seltä. Toinen ohje minkä löysin on tämmöinen :

Should be no need to reboot the route.
It maybe easier to block youtube using dns forwarding:

dns {
forwarding {
cache-size 300
listen-on eth0
listen-on switch0
name-server 8.8.8.8
name-server 8.8.4.4
options address=/.youtube.com/127.1.1.1
options address=/.facebook.com/127.1.1.1
}
}

jälkeenpäin tuon pitäisi omassa edgessä näyttää ehkä tältä :

dns {
forwarding {
[ cache-size ??? tämä taitaa olla jo määritettynä ]
listen-on eth1
name-server 1.1.1.1 [ nämäkin on määritetty jo entuudestaan ]
name-server 1.0.0.1
options address=/.youtube.com/127.1.1.1 [ mutta mikä ihme tämä on ? ]
options address=/.facebook.com/127.1.1.1
}
}

Ja miten nuo saa määritettyä ?
Tuo ohjeistus on Ubiquiti Networks Community

community.ubnt sivulta

Ei nyt löydy suoraa ohjeistusta miten yksinkertaisesti saa estettyä jotain osoitteita.
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Osaisko joku kertoa teinkö ihan sallitusti muutoksia palomuuri sääntöihin. Vai menikö ihan v*turalleen ( ainakin netti toimii vielä hyvin peleissäkin )

Irroitin switch0:sta portin eth4. Loin sille oman verkon, dhcp ym jutut ja kyllä, tuo 1 laite yhdistää siihen ihan oikein. Yritin myös eristää sen muista vain matkimalla tätä lagittajan ohjetta :

# 1a ER-X:n GUI:ssa klikkaa CLI tai ota SSH yhteys ER-X:ään esim Puttyllä
# 1b Kirjaudu sisään käyttäjätunnuksella ja salasanalla
# 1c Mene konfigurointi tilaan configure komennolla
configure

# 2. Configure the LAN_NETWORKS network group.

set firewall group network-group LAN_NETWORKS description 'Aikuisten verkko'
set firewall group network-group LAN_NETWORKS network 192.168.20.0/24

# Tässä nyt siis määritettiin että LAN_NETWORKS on synonyymi 192.168.20.0/24 verkolle eli aikuisten verkolle

# 3. Configure the GUEST_IN firewall policy.

set firewall name GUEST_IN default-action accept
set firewall name GUEST_IN description 'guest to lan/wan'

set firewall name GUEST_IN rule 10 action accept
set firewall name GUEST_IN rule 10 log disable
set firewall name GUEST_IN rule 10 protocol all
set firewall name GUEST_IN rule 10 state established enable
set firewall name GUEST_IN rule 10 state related enable

set firewall name GUEST_IN rule 20 action drop
set firewall name GUEST_IN rule 20 log disable
set firewall name GUEST_IN rule 20 description 'drop guest to lan'
set firewall name GUEST_IN rule 20 destination group network-group LAN_NETWORKS
set firewall name GUEST_IN rule 20 protocol all

# Tässä määritettiin ensin GUEST_IN niminen firewall policy joka oletuksena hyväksyy paketin, ensimmäinen sääntö hyväksyy paketit jotka on established tai related ja jos ne ei ole established tai related niin toinen sääntö tiputtaa kaikki paketit jotka on menossa aikuisten verkkoa kohti.

# 4. Configure the GUEST_LOCAL firewall policy.

set firewall name GUEST_LOCAL default-action drop
set firewall name GUEST_LOCAL description 'guest to router'

set firewall name GUEST_LOCAL rule 10 action accept
set firewall name GUEST_LOCAL rule 10 description dns
set firewall name GUEST_LOCAL rule 10 log disable
set firewall name GUEST_LOCAL rule 10 protocol tcp_udp
set firewall name GUEST_LOCAL rule 10 destination port 53

set firewall name GUEST_LOCAL rule 20 action accept
set firewall name GUEST_LOCAL rule 20 description dhcp
set firewall name GUEST_LOCAL rule 20 log disable
set firewall name GUEST_LOCAL rule 20 protocol udp
set firewall name GUEST_LOCAL rule 20 destination port 67,68

set firewall name GUEST_LOCAL rule 30 action accept
set firewall name GUEST_LOCAL rule 30 description Established_related
set firewall name GUEST_LOCAL rule 30 log disable
set firewall name GUEST_LOCAL rule 30 protocol all
set firewall name GUEST_LOCAL rule 30 state established enable
set firewall name GUEST_LOCAL rule 30 state related enable

# Tässä määritettiin ensin GUEST_LOCAL niminen firewall policy joka oletuksena tiputtaa paketin mutta ensimmäinen sääntö hyväksyy DNS paketit, toinen sääntö hyväksyy DHCP paketit ja kolmas sääntö hyväksyy established tai related paketit.

# 5. Attach the firewall policies to the eth1 interface in the inbound and local direction.

set interfaces ethernet eth1 firewall in name GUEST_IN
set interfaces ethernet eth1 firewall local name GUEST_LOCAL

# Ja tässä lopuksi liitetään GUEST_IN ja GUEST_LOCAL palomuuri säännöt eth1 interfaceen.

# Lisäksi jokaisessa säännössä log disable ottaa login pois päältä. Jos haluat niin esim GUEST_IN rule 20 kohdalla voit vaihtaa log disable > log enable jos haluat kirjata logiin kaikki mahdolliset kerrat kun tämä sääntö tiputtaa paketin mutta en itse ainakaan saa tuosta mitään kiksejä.

# 6. Ota asetukset käyttöön
commit
# 7. Tallenna asetukset
save
# 8. Poistu configure tilasta
exit
# 9. Sulje CLI ikkuna tai Puttyssä kirjoita exit niin se SSH yhteys sulkeutuu.
Muokkasin vain ensiksi joka ikiseen ohjeen kohtaan verkkoa kuvaavan sanan eli vaikka IOT_GUEST_LOCAL, eikä aikuisten verkko vaan IOT verkko jne. Liitin nuo myös eth4 inteface. Nyt palomuuri sääntöjä on luotuna tietenkin tuplamäärä, ja eristäminen mielestäni toimii niinkuin kaikkien kolmen eri verkkojen kohdalla niinkuin kuuluikin. Mitään herjausta en saanu missään vaiheessa ja näin sitten oletan että tuo toimis kyllä niinkuin tässä ollaan koko ajan tarkoitettu.

Osaisko joku kertoa onko tuo väärä tapa, oikea tapa tai joku ihan muu tapa ?

Kiitti ! Kyllä tuo niinkuin toimii ihan normaalisti , mutta jäin vain miettimään että olikohan tuo toteutustapa väärä..
 
V

Vauhtimursu

Vieras (tunnus poistettu)
Nyt on huonompi tilanne edgerouterissa päällä. Vaikka olen rajoittanut hallinnan, silti vpnnän takaa pääsee webgui hallintaan, mutta tuosta toisesta verkosta ei mikä on toisaalta ihan oikein, mutta ei pitäisi myöskään vpnnän takaa päästä ja tällä hetkellä pääsee.

En tahtoisi resetoida asetuksiakaan koska esimerkiksi dnssec ym säädöt toimii, mutta epäilen että tuo kolmannen verkon lisääminen ja sen säännöt on nyt ehkä sotkenu tuota edgerouteria.

Lisäksi rajoittaisin ER-X:n hallinnan
set service gui listen-address 192.168.20.1 (gui vastaa vain .20.1 osoitteesta eli jos kersat yrittää avata .30.1 heidän verkosta päin niin eivät saa auki)
set service gui older-ciphers disable (tietoturva juttu, pakottaa https yhteyden käyttämään uudempia ja vahvempia koodeja. Jos käytät antiikkista selainta niin sitten ei ehkä kannata tätä laittaa.)

set service ssh listen-address 192.168.20.1 (SSH vastaa vain .20.1 osoitteesta eli......)
set service ssh protocol-version v2 (tietoturva juttu taas, SSH toimii vain uudemmalla ja turvallisemmalla protokolla versio 2:lla)

Huom: älä sitten lukitse itseäsi purkista pihalle! Näillä se onnistuu helposti.
Nuo komennot kaikki paitsi ensimmäinen menee sujuvasti puttyllä, mutta ensimmäisen kohdalla kertoo vain että se on jo olemassa jo tuo asetus edgessä.

Mitäs tässä nyt kannattais tehdä ?
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 418
Viestejä
4 160 576
Jäsenet
70 408
Uusin jäsen
allun90

Hinta.fi

Ylös Bottom