Huawei 4g reititin, kirjautumissivu pois? -RATKAISTU

[Pakana]

Huawein mobiilireititin ohjaa kaikki sivut omalle kirjautumissivulleen silloin kun 4g on alhana. Miten tuon saa pois?

Ongelma on siinä kun tuo on multiwan systeemissä kiinni, ja nykyisellään jos 4g putoaa pois kokonaan se ei ohjaa liikennettä toisen wan portin kautta vaan täräyttää satunnaisesti sen huawein sivun, joka käytännössä ilmenee turvallisuusvirhe ilmoituksina https sivuilla.

 

[mikajh]

Tuskin mitenkään. Multi-WAN -reittimen vaan pitää pudottaa ko. Huawei pois WAN-listasta siksi aikaa, että tokenee ja alkaa kuso kulkea testihostiin. Perusjuttu esim. pfSense:ssä tai OPNsense:ssä

 

[Pakana]

Tuo ubiquitin edgerouterin takana, tosin ei ole ainoa multiwan laite jonka kanssa tuo on ongelma. Se huawein toiminta on jotenkin niin salakavalaa ettei nuo reitittimet tajua ettei sillä ole enää oikeasti internet yhteyttä.

E: väärä ubiquiti

 

[Piitu]

Kai se multi-WAN on konffattu pollaamaan jotain osoitetta 4G-yhteyden "toisella" puolella, eikä sen Huawein omaa sisäistä IP-osoitetta?

 

[Satelite]

Millätapaa multiwan toteutettu? Sekö ajatuksena että netti tulee normaalisti wan portin kautta mutta jos se menee poikki niin tarkoitus ois että mokkula vaihtaisi silloin 4G perään? vai onko joku erillinen multiwan-reititin käytössä?

 

[Pakana]

Enhän mä nyt enää muista mitä kaikkea niissä asetuksissa on. Tuossa ubiquitissa se on ihan sillä wizardilla luotu loadbalancing multiwan systeemi.

Mun mielestä se ongelma on siinä että tuo huawei vastaa jotain vaikka sen pollauksen lähettääkin johonkin internet osoitteeseen, eikä ubiquiti siten tajua ettei siellä olekaan nettiä.

 

[Pakana]

Mikkäköhän sen "kirjautumissivun" nimi olisi englanniksi? kun ei oikein keksi millä tuota lähtisi etsimään..

 

[Satelite]

Enhän mä nyt enää muista mitä kaikkea niissä asetuksissa on. Tuossa ubiquitissa se on ihan sillä wizardilla luotu loadbalancing multiwan systeemi.

Mun mielestä se ongelma on siinä että tuo huawei vastaa jotain vaikka sen pollauksen lähettääkin johonkin internet osoitteeseen, eikä ubiquiti siten tajua ettei siellä olekaan nettiä.

Onko esim mokkulalle laitettu ennen ip-passtroughta eri ip osoite ja pool kuin mitä reitittimellä on... esim. reititin 192.168.1.1/24 ja mokkula 192.168.0.1/24. Vai onko sulla mokkula reitittävänä eli tupla-nat on silloin käytössä joka aiheuttaa varmasti ongelmia.

 

[Pakana]

Onko esim mokkulalle laitettu ennen ip-passtroughta eri ip osoite ja pool kuin mitä reitittimellä on... esim. reititin 192.168.1.1/24 ja mokkula 192.168.0.1/24. Vai onko sulla mokkula reitittävänä eli tupla-nat on silloin käytössä joka aiheuttaa varmasti ongelmia.

Verkot ovat eri osoiteavaruuksissa.

Onhan siinä tuplanatti (tai oikeastaan tripla, koska julkista ip:tä ei ole 4g:ssäkään), mutta ei se itsessään ongelmaa aiheuta, vaan se että tuo huawein reititin antaa esim osoitteella www.google.fi sen oman etusivunsa jos 4g on alhaalla. Silloin kun kummatkin nettiyhteydet toimii normaalisti kaikki pelaa aivan odotetulla tavalla, eli nykyisellään loadbalancing toimii hienosti mutta se varayhteys toiminnallisuus tökkii, joka tekee häiriöistä käytännössä tuplasti todennäköisempiä kuin perinteisellä yhdellä wanilla toteutettuna.

Syy siihen miksi mä en haluaisi kytkeä tuota siltaavaan tilaan on se että mukulat on muutaman kerran menneet ronkkimaan tuota 4g reititintä jotai ei oikein voi mihkään lukittuun komeroonkaan jemmata, vaan se on vaan ikkunalaudalla. jos se olisi reitittävänä ja mainitut mukulat (tai talon isäntä itse) menevät tökkäämään sen takaisin vaan johonkin rasiaan jokin random sisäverkon laite saakin jonain satunnaisena hetkenä julkisen ip osoitteen. (Ja mukuloiden koulutus ei ole mulle mikään vaihtoehto, kun kyseessä ei ole onneksi omat mukulat). Kun reititin on reitittävänä, tuo ei nyt varsinaista vaaraa aiheuta vaikka sisäverkko alkaakin sekoilemaan.

 

[mikajh]

load-balance route-test puuttuu konffista?

 

[Pakana]

load-balance route-test puuttuu konffista?

En kyllä osaa vastata tuohon. Onko se ubiquitin wizardilla luotuna automaattisesti päällä?

Sen verran siinä on kyllä tolkkua että jos huawei on oikeesti jumissa (esim kun sitä paistetaan tulikuuman patterin päällä) niin se osaa reitittää kaiken liikenteen dsl:n kautta.

Sen multiwanin toteuttaa siis ubiquiti edgerouter x-sfp reititin. Tuossa aiemmassa viestissä luki väärin.

 

[Satelite]

Verkot ovat eri osoiteavaruuksissa.

Onhan siinä tuplanatti (tai oikeastaan tripla, koska julkista ip:tä ei ole 4g:ssäkään), mutta ei se itsessään ongelmaa aiheuta, vaan se että tuo huawein reititin antaa esim osoitteella www.google.fi sen oman etusivunsa jos 4g on alhaalla. Silloin kun kummatkin nettiyhteydet toimii normaalisti kaikki pelaa aivan odotetulla tavalla, eli nykyisellään loadbalancing toimii hienosti mutta se varayhteys toiminnallisuus tökkii, joka tekee häiriöistä käytännössä tuplasti todennäköisempiä kuin perinteisellä yhdellä wanilla toteutettuna.

Syy siihen miksi mä en haluaisi kytkeä tuota siltaavaan tilaan on se että mukulat on muutaman kerran menneet ronkkimaan tuota 4g reititintä jotai ei oikein voi mihkään lukittuun komeroonkaan jemmata, vaan se on vaan ikkunalaudalla. jos se olisi reitittävänä ja mainitut mukulat (tai talon isäntä itse) menevät tökkäämään sen takaisin vaan johonkin rasiaan jokin random sisäverkon laite saakin jonain satunnaisena hetkenä julkisen ip osoitteen. (Ja mukuloiden koulutus ei ole mulle mikään vaihtoehto, kun kyseessä ei ole onneksi omat mukulat). Kun reititin on reitittävänä, tuo ei nyt varsinaista vaaraa aiheuta vaikka sisäverkko alkaakin sekoilemaan.

Nyt on kyllä sellainen viritys että jos pelkästään tripla-nat löytyy niin veikkaan että tuo sivu on pienin ongelmista. Kyllä tuo useampi natti samassa verkossa peräkkäin aiheuttaa aika paljon ongelmia.

 

[mikajh]

Onko se ubiquitin wizardilla luotuna automaattisesti päällä?

Ehkä tämä komento näyttää:
show load-balance watchdog

 

[Pakana]

Nyt on kyllä sellainen viritys että jos pelkästään tripla-nat löytyy niin veikkaan että tuo sivu on pienin ongelmista. Kyllä tuo useampi natti samassa verkossa peräkkäin aiheuttaa aika paljon ongelmia.

Eiköhän suurin osa mobiililaajakaistaliittymistä suomessa jotka toimivat kodin internetinä ole tuplanatin takana, julkinen ip ososite on aika usein maksullinen lisäpalvelu, eikä siitä kovin moni maksa extraa. Ja viritys tuo nyt on tietysti kun on jokin multiwan jouduttu rakentamaan, mutta minkäs teet kun kunnollista ja luotettavaa nettiyhteyttä ei ole saatavilla.

Mä en oikein tajua mikä tuossa natissa nyt olisi se ongelma, ja kuten mainittu, siinä ei käytännössä mitään ongelmaa ole silloin kun yhteys on kunnossa. Yhteyksiä ei tietysti pysty avaamaan kuin sisältä, mutta se nyt on jokatapauksessa ihan normaalia, vaikkei optimi tilanne olekaan. Ei siellä ole myöskään ipv6 käytössä, joka sekään ei ole optimi tilanne, mutta en ole jaksanut alkaa pohtimaan miten tuon multiwanin olisin ipv6:lla saanut toteutettua.

Tosin sen juuri tajusin että jos siinä on se triplanatti, niin eihän se 4g modeemi siltaavanakaan anna julkista osoitetta, joten sen suhteen tuo voisikin toimia.. Täytyy tosiaan tarkistaa mikä osoite sieltä oikeasti irtoaa siltaavana. Ja että se huawei ei yhteyden kadotessa muuta itseään takaisin reitittäväksi.

Ehkä tämä komento näyttää:
show load-balance watchdog

Täytyy tuo kokeilla kun pääsen taas käsiksi siihen reitittimeen.

 

[Satelite]

Eiköhän suurin osa mobiililaajakaistaliittymistä suomessa jotka toimivat kodin internetinä ole tuplanatin takana, julkinen ip ososite on aika usein maksullinen lisäpalvelu, eikä siitä kovin moni maksa extraa. Ja viritys tuo nyt on tietysti kun on jokin multiwan jouduttu rakentamaan, mutta minkäs teet kun kunnollista ja luotettavaa nettiyhteyttä ei ole saatavilla.

Mä en oikein tajua mikä tuossa natissa nyt olisi se ongelma, ja kuten mainittu, siinä ei käytännössä mitään ongelmaa ole silloin kun yhteys on kunnossa. Yhteyksiä ei tietysti pysty avaamaan kuin sisältä, mutta se nyt on jokatapauksessa ihan normaalia, vaikkei optimi tilanne olekaan. Ei siellä ole myöskään ipv6 käytössä, joka sekään ei ole optimi tilanne, mutta en ole jaksanut alkaa pohtimaan miten tuon multiwanin olisin ipv6:lla saanut toteutettua.

Tosin sen juuri tajusin että jos siinä on se triplanatti, niin eihän se 4g modeemi siltaavanakaan anna julkista osoitetta, joten sen suhteen tuo voisikin toimia.. Täytyy tosiaan tarkistaa mikä osoite sieltä oikeasti irtoaa siltaavana. Ja että se huawei ei yhteyden kadotessa muuta itseään takaisin reitittäväksi.



Täytyy tuo kokeilla kun pääsen taas käsiksi siihen reitittimeen.

Ennen julkinen ip maksoi... enää ei paitsi Telialla jolla nyt moni asia on muutenkin ei niin hyvin toimiva sekä riistohinnoiteltu. Kyllä se nat aiheuttaa paljon ongelmia muunmuassa peleissä. 4G siltaavana antaa julkisen ip osoitteen mutta ip-passtrough tilassa jonka vuoksi täytyy tehdä pieniä säätöjä mm. reitittimen sekä mokkulan ip-alueisiin ennen ip-passtrough päällelaittoa.

 

[Pakana]

Ennen julkinen ip maksoi... enää ei paitsi Telialla jolla nyt moni asia on muutenkin ei niin hyvin toimiva sekä riistohinnoiteltu. Kyllä se nat aiheuttaa paljon ongelmia muunmuassa peleissä. 4G siltaavana antaa julkisen ip osoitteen mutta ip-passtrough tilassa jonka vuoksi täytyy tehdä pieniä säätöjä mm. reitittimen sekä mokkulan ip-alueisiin ennen ip-passtrough päällelaittoa.

Siis eikö se huawein 4g reititin anna siltaavassa tilassa sitä julkista ip osoitetta ihan normaalisti dhcp:llä, vaan vaatii jotain käsisäätöä?

 

[Satelite]

Siis eikö se huawein 4g reititin anna siltaavassa tilassa sitä julkista ip osoitetta ihan normaalisti dhcp:llä, vaan vaatii jotain käsisäätöä?

dhcp ja julkinen ip on kaksi eri asiaa...

 

[Pakana]

dhcp ja julkinen ip on kaksi eri asiaa...

?

Dhcp sen julkisenkin ip:n perinteisesti on antanut.

 

[dot1q]

Riippuu operaattorista. Mobiilit on melko usein privaatti osoitteilla, eikä julkisesti reitittyvällä IP-osoittella.

 

[Satelite]

Riippuu operaattorista. Mobiilit on melko usein privaatti osoitteilla, eikä julkisesti reitittyvällä IP-osoittella.

Ei melko usein vaan vakiona ovat natattuja mutta pienellä asetusmuutoksella saa kyllä julkisen osoitteen. Nykyään taitaa kaikilta palveluntarjoajilta saada ilmaisen julkisen osoitteen, kiinteä julkinen ip osoite on sit eri tarina.

 

[Pakana]

Ehkä tämä komento näyttää:
show load-balance watchdog

Näyttäisi vaihtikoira olevan toiminnassa:

ine@ubnt:~$ show load-balance watchdog                                   
Group G                                                                         
  eth0                                                                         
  status: Running                                                               
  pings: 16                                                                     
  fails: 0                                                                     
  run fails: 0/3                                                               
  route drops: 474                                                             
  ping gateway: ping.ubnt.com - REACHABLE                                       
  last route drop   : Tue Feb  1 15:30:14 2022                                 
  last route recover: Tue Feb  1 15:30:46 2022                                 
                                                                                
  eth1                                                                         
  status: Running                                                               
  pings: 19815                                                                 
  fails: 37                                                                     
  run fails: 0/3                                                               
  route drops: 0                                                               
  ping gateway: ping.ubnt.com - REACHABLE

 

[mikajh]

Kumpiko se Huawei noista nyt sitten on, eth0 vai eth1? Seuraavaksi tuota pitäisi testata vaikka niin, että Huawein hallinnasta data pois päältä. Sitten UI:n pitäisi todeta, että toinen route noista on nurin ja ohjata liikenne pelkästään toimivaan. Sinä aikana ennen kuin route on dropattu, voi tietysti päätyä http/s yhteysyrityksiä Huawei:lle
Eli uudestaan tuo komento, silloin kun aiheutettu vika on päällä

 

[Pakana]

Mä oon 99% varma että huawei on eth1 takana.

Ei ollut eilen illalla aikaa syventyä tuohon.. Itsekin jo aivoittelin että otan simkortin lennossa pois huaweista ja siten luon sen vikatilanteen. Ihan siis siksi että jos sen yhteyden käsin katkaiseminen saa aikaan sen että se ajattelee että tää on haluttu tilanne eikä ala tyrkyttämään sitä omaa sivuaan.

 

[jessenic]

Näyttäisi vaihtikoira olevan toiminnassa:

ine@ubnt:~$ show load-balance watchdog                                 
Group G                                                                       
  eth0                                                                       
  status: Running                                                             
  pings: 16                                                                   
  fails: 0                                                                   
  run fails: 0/3                                                             
  route drops: 474                                                           
  ping gateway: ping.ubnt.com - REACHABLE                                     
  last route drop   : Tue Feb  1 15:30:14 2022                               
  last route recover: Tue Feb  1 15:30:46 2022                               
                                                                              
  eth1                                                                       
  status: Running                                                             
  pings: 19815                                                               
  fails: 37                                                                   
  run fails: 0/3                                                             
  route drops: 0                                                             
  ping gateway: ping.ubnt.com - REACHABLE

Kokeileppa vaihtaa pingaamaan vaikka cloudflarea 1.0.0.1 osoitteessa. Jos se Huawei vaihtaakin vaan DNS:llä oman osoitteensa nettisivujen tilalle, jos netti poikki. Tai oikeastaan vielä parempi, jos vaihdat vaan Ubiquitista WAN DNS:n vaikka tuoksi 1.0.0.1 ja toiseksi vaikka Googlen 8.8.8.8

 

[Pakana]

Kokeileppa vaihtaa pingaamaan vaikka cloudflarea 1.0.0.1 osoitteessa. Jos se Huawei vaihtaakin vaan DNS:llä oman osoitteensa nettisivujen tilalle, jos netti poikki. Tai oikeastaan vielä parempi, jos vaihdat vaan Ubiquitista WAN DNS:n vaikka tuoksi 1.0.0.1 ja toiseksi vaikka Googlen 8.8.8.8

Tuossa on muuten ajatusta, jonkun tuollaisen jiponhan se todennäköisesti tekeee että voi minkä tahansa osoitteen ohjata omalle etusivulleen..

 

[Pakana]

Ei melko usein vaan vakiona ovat natattuja mutta pienellä asetusmuutoksella saa kyllä julkisen osoitteen. Nykyään taitaa kaikilta palveluntarjoajilta saada ilmaisen julkisen osoitteen, kiinteä julkinen ip osoite on sit eri tarina.

Mitä taikatemppuja tuolle pitäisi tehdä että tuon julkisen ip:n saisi toimimaan?

Huawein asetuksista kun vääntää päälle siltaavan tilan, niin sen jälkeen mitä? Jos reitittimeen laittaa ip osoitteen haun tavalliseen tapaan dhcp:llä haettavaksi se ei osoitetta saa. Huawihin on kytkettynä vain tuo reitittimen ethernet kaapeli, ja wlan on disabloitu.

e: Kyseessä siis Huawei B715s-23c

e2: kävin tökkäämässä läppärin siihen modeemiin kiinni.. antaa vain ipv6 osoitteen, ei lainkaan ipv4 osoitetta normaalilla dhcpclientin pyynnöllä..

e3: Okei. Löysin vian. Huawein dhcp palvelu pitää olla päällä että se pystyy jakamaan tuon julkisen ipv4 osoitteen. ipv6 osoitteen se jakaa nätisti vaikka dhcp olisikin pois päältä.
Tuo julkinen ip toimii muutenkin hieman erikoisesti, se on ilmeisesti jokin virtuaalinen ip osoite joka kuljetetaan kahden natin läpi, traceroutella näkyy ketjussa edelleen tuo huawein sisäverkon ip 192.168.100.1 ja elisan 10.-sarjan yksityinen ip ennen ensimmäisät julkisen avaruuden osoitetta.

 

[Pakana]

Muutaman tunnin nyt tänään tuota räpläsin, ja vaikuttaisi että tuo alkuperäinen kirjautusmissivuongelma on korjaantunut.

Päivitin firmiksen kun siihen näköjään löytyi uudempi versio. Uudempi firmis muutti tuon load-balancing watchdogin pingaamaan 8.8.8.8 ip osoitetta suoraan tuon ping.ubnt.com:n sijaan.

Päivitin laitteen oman DNS:n suoraan tuolle 1.0.0.1 ja 8.8.8.8. Siellä oli tosiaan huawein 192.168.100.1 ensisijaisena.

Asetin kummatkin nettiyhteydet siltaavaksi, niin että edgerouterilla on nyt kaksi julkista ip osoitetta.

En nyt ihan 100varma ole siitä mikä näistä oli se ratkaiseva, ainakin tuo load-balansing watchdog nykyisellään reagoi melkoisen vikkelästi tuohon toisen yhteyden kaatumiseen.