Kaksois-NAT:in välttäminen kytkemällä toinen reititin siltaavaan tilaan

Liittynyt
20.07.2020
Viestejä
17
Tässä harmillisen kujalla reitittimen siltaukseen liittyvästä asiasta ja kaikki apu olisi tervetullutta...

Verkkolaitteisto: 5G-kotireitittimenäni on Teltonika RUTX50 ja sen kylkiäisenä on ROG Rapture GT-AXE16000 –reititin. Liittymänä melko nopea mobiililaajakaista operaattorilta — ulkoreitittimen jätin pois (tähän on syy). Tuohon Teltonikan laitteeseen siis menee operaattorin SIM-kortti ja yhteys tulee siihen langattomasti.

Haluaisin käyttää molempia reitittimiä, mutta kaksois-NAT:in välttääkseni aikomuksenani olisi käyttää RUTX50:tä pelkkänä "tyhmänä" modeemina, joka muodostaa yhteyden Internetiin, kun taas GT-AXE16000 olisi vuorostaan NAT-reitittävässä tilassa ja yhdistäisi laitteet Wi-Fi-verkkoon. Tämän pitäisi onnistua siten, että RUTX50 laitetaan siltaavaan tilaan (bridge mode) ja kytketään ethernet-johdolla GT-AXE16000:n WAN-porttiin (nettipiuha siis on kytkettynä RUTX50:n LAN-portista GT-AXE16000:n WAN-porttiin) — sama menettely siis kuin tässä videossa, vaikka siinä laitteet eivät ole samoja. Tämän lisäksi tulen sammuttamaan RUTX50:sta Wi-Fin ja kytkemään kaikki verkkolaitteeni nimenomaan GT-AXE16000:een.

Ongelmana on RUTX50:n webkäyttöliittymän muutama hämmentävä kohta... Kun käyttöliittymässä siirrytään kohtaan Network > Interfaces > General, niin siellä on lueteltuna lan, wan6, wan, mob1s1a1 sekä mob1s2a1. Hävettää tunnustaa, etten oikein ymmärrä, miten wan ja mob1s1a1 eroavat toisistaan ja mitä niillä ihan täsmälleen tarkoitetaan tässä asiayhteydessä. Jos käsitän oikein, niin mob1s1a1 on SIM1, kun taas mob1s2a1 on SIM2. Itse käytän laitteessa vain yhtä SIM-korttia, mikä selittäisi sen, että mob1s1a1 kohdalla lukee Status: Up, kun taas mob1s2a1 osalta lukee Status: Down.

RUTX50_Network_Interfaces.png


Riittääköhän RUTX50:n siltaukseen ihan se, että mob1s1a1 muokataan seuraavalla tavalla: Network > Interfaces > General > mob1s1a1 > Mode: Bridge? Vai edellyttääköhän laitteen siltaavaan tilaan kytkeminen muutakin? Teltonikan yleisiä siltausohjeita löytyy mm. seuraavasta osoitteesta: Mobile Bridge mode troubleshooting - Teltonika Networks Wiki
Kuten sanottu, nuo ohjeet eivät ole laitekohtaisia, joten niistä saattaa mennä vain enemmän sekaisin.

MOB1S1A1_Bridging.png


Rustasin jo aiheesta kysymyksen Teltonikan yhteisöön, mutta kysytään asiasta varmuuden vuoksi täältäkin...
 
Viimeksi muokattu:
Olettaisin, että riittää. Itsellä ei ole ko. laitteesta kokemusta, joskin jostain muista mobiilireitittimistä. Oletan lyhenteen mob1s1a1 tarkoittavan mobile1 sim1 antenna1. Eli varmaan ko laitteen 1. simkortti joka käyttää 1. antennia. Todennäköisesti tuossa vehkeessä on vain 1 antenni jaettuna 2:lle modeemille, eli molemmat eivät voi olla samaan aikaan käytössä. Jos tuo siltaus onnistuu, pitäisi sun Asuksen reitittimen saada WAN interfacelleen ko mobiililiittymän ip.
 
Tässä harmillisen kujalla reitittimen siltaukseen liittyvästä asiasta ja kaikki apu olisi tervetullutta...

Verkkolaitteisto: 5G-kotireitittimenäni on Teltonika RUTX50 ja sen kylkiäisenä on ROG Rapture GT-AXE16000 –reititin. Liittymänä melko nopea mobiililaajakaista operaattorilta — ulkoreitittimen jätin pois (tähän on syy). Tuohon Teltonikan laitteeseen siis menee operaattorin SIM-kortti ja yhteys tulee siihen langattomasti.

Haluaisin käyttää molempia reitittimiä, mutta kaksois-NAT:in välttääkseni aikomuksenani olisi käyttää RUTX50:tä pelkkänä "tyhmänä" modeemina, joka muodostaa yhteyden Internetiin, kun taas GT-AXE16000 olisi vuorostaan NAT-reitittävässä tilassa ja yhdistäisi laitteet Wi-Fi-verkkoon. Tämän pitäisi onnistua siten, että RUTX50 laitetaan siltaavaan tilaan (bridge mode) ja kytketään ethernet-johdolla GT-AXE16000:n WAN-porttiin (nettipiuha siis on kytkettynä RUTX50:n LAN-portista GT-AXE16000:n WAN-porttiin) — sama menettely siis kuin tässä videossa, vaikka siinä laitteet eivät ole samoja. Tämän lisäksi tulen sammuttamaan RUTX50:sta Wi-Fin ja kytkemään kaikki verkkolaitteeni nimenomaan GT-AXE16000:een.

Ongelmana on RUTX50:n webkäyttöliittymän muutama hämmentävä kohta... Kun käyttöliittymässä siirrytään kohtaan Network > Interfaces > General, niin siellä on lueteltuna lan, wan6, wan, mob1s1a1 sekä mob1s2a1. Hävettää tunnustaa, etten oikein ymmärrä, miten wan ja mob1s1a1 eroavat toisistaan ja mitä niillä ihan täsmälleen tarkoitetaan tässä asiayhteydessä. Jos käsitän oikein, niin mob1s1a1 on SIM1, kun taas mob1s2a1 on SIM2. Itse käytän laitteessa vain yhtä SIM-korttia, mikä selittäisi sen, että mob1s1a1 kohdalla lukee Status: Up, kun taas mob1s2a1 osalta lukee Status: Down.

RUTX50_Network_Interfaces.png


Riittääköhän RUTX50:n siltaukseen ihan se, että mob1s1a1 muokataan seuraavalla tavalla: Network > Interfaces > General > mob1s1a1 > Mode: Bridge? Vai edellyttääköhän laitteen siltaavaan tilaan kytkeminen muutakin? Teltonikan yleisiä siltausohjeita löytyy mm. seuraavasta osoitteesta: Mobile Bridge mode troubleshooting - Teltonika Networks Wiki
Kuten sanottu, nuo ohjeet eivät ole laitekohtaisia, joten niistä saattaa mennä vain enemmän sekaisin.

MOB1S1A1_Bridging.png


Rustasin jo aiheesta kysymyksen Teltonikan yhteisöön, mutta kysytään asiasta varmuuden vuoksi täältäkin...
Mielestäni pitäisi mennä ihan noin kuin ajattelitkin. Noita Teltonikoita on satoja tullut konffailtua vuosien varrella mutta vain 2 on siltamoodiin tullut laitettua niin ei ihan tarkkaan ulkoa muista. Tosiaan nuo interfacet ovat vähän hämääviä aluksi kun on kauhea kasa erilaisia ja sitten ne on toisaalla sidottu toisiinsa eikä mistään ihan selkeästi näe mikä on yhteydessä mihinkäkin ellei käy etsimässä ja lisähämmennystä ainakin joissakin firmwareissa aiheutti vielä se että langallinen wan oli nimeltään wan ja sen lisäksi oli toinen wan jossa oli yhdistetty ethernet-wan ja mobiili-wan.

Tosiaan tuo mob1s1a1 on SIM1 ensimmäisessä modeemissa (eli ainoassa, tuossa kun ei ole toista modeemia) ja mob1s2a1 on SIM-paikka numero 2. Jos laitteessa olisi toinenkin modeemi niin niiden nimet olisivat mob2-alkuisia muistaakseni.

Niin, ja kun sammutat wifin, niin muista sammuttaa sekä interface että radio, molemmat saa sammutetua erikseen. Ei se sinänsä haittaa jos se radiopuoli jää päälle mutta turhaan kuluttaa sähköä sun muita resursseja.
 
Olen harkinnut tota RUTX50:stä. Onko vakaa ja toimiva laite? Ja ilmeisesti hyvin pystyy säätämään kaikkia asetuksia verrattuna operaattoreiden kytkymodeemeihin?
 
Olen harkinnut tota RUTX50:stä. Onko vakaa ja toimiva laite? Ja ilmeisesti hyvin pystyy säätämään kaikkia asetuksia verrattuna operaattoreiden kytkymodeemeihin?
Itsellä ei ole vielä kokemusta kuin kahdesta RUTX50 -laitteesta mutta aikaisempia malleja on duunissa käytössä satoja ja niiden perusteella Teltonikat ovat ihan ok laitteita. Muistaa vaan ensimmäisenä päivittää firmiksen, ainakin tuossa RUTX50 oli tehtaalta tullessaan aika buginen firmis mutta päivityksen jälkeen on ollut ihan ok. Kaikenlaista säädettävää löytyy kyllä niin että riittää, asetuksia löytyy vähän kaikkeen. Yhtenä kätevänä ominaisuutena voisi mainita esimerkiksi mobiilisignaaliarvojen saamisen SNMP:n yli vaikkapa johonkin visualisointisoftaan että saa piirrettyä kivoja käppyröitä.
 
Kävin kytkemässä RUTX50:n käyttöliittymästä mob1s1a1:n siltaavaan tilaan ja käynnistin laitteen uudelleen.

Niin, ja kun sammutat wifin, niin muista sammuttaa sekä interface että radio, molemmat saa sammutetua erikseen. Ei se sinänsä haittaa jos se radiopuoli jää päälle mutta turhaan kuluttaa sähköä sun muita resursseja.

Sekä interfacet että radiot on nyt laitettu pois päältä RUTX50:stä.
WiFi_Status.png


GT-AXE16000 on nyt otettu käyttöön:
-luotu siihen omat Wi-Fi-yhteydet eli määritetty niihin nimi, salasana ja suojaus
-vaihdettu admin-käyttäjän salasana
-ajettu laitteeseen firmware-päivitys
-otettu pois päältä potentiaalisia riskejä aiheuttavia ominaisuuksia kuten UPnP ja WPS
-kytketty laitteen WAN-portti RJ45-kaapelilla RUTX50:n LAN-porttiin.

Nettiyhteys toimii kyllä. RUTX50:n IP-osoite on nyt 192.168.1.1 ja siltauksesta huolimatta laitteen käyttöliittymään pääsee selaimella em. IP:llä.
GT-AXE16000 sai IP-osoitteen 192.168.50.1 (nähtävästi ASUS-reitittimien IP-osoitteet ovat ensisijaisesti joko 192.168.1.1 tai 192.168.50.1 ja kun kerta tuo ensimmäinen oli jo käytössä niin laite sai jälkimmäisen). Laitteen webkäyttöliittymään pääsee ongelmitta. GT-AXE16000:n jakamat IP:t ovat muotoa 192.168.50.x — testasin, että MAC-osoitteen avulla saa määritettyä haluamilleen laitteille kuten verkkotulostimille aina saman IP:n.

Jos tuo siltaus onnistuu, pitäisi sun Asuksen reitittimen saada WAN interfacelleen ko mobiililiittymän ip.

Kun tarkastelin RUTX50:n käyttöliittymästä mob1s1a1:stä niin sen IP näkyisi olevan sama kuin GT-AXE16000:n WAN IP.

RUTX50_MOB1S1A1_Status.png


ASUS_GTAXE16000_Status.png


Edit: Noita kaikkia ei olisi tarvinnutkaan sutata...

Tässä on tosin yhä ainakin kaksi ongelmaa:

1) Kun ajan tracerouten yhdeltä Linux-koneistani, joka on kytketty GT-AXE16000:n LAN-porttiin, niin sain seuraavan tuloksen:

Bash:
****@****-*****:~$ traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 64 hops max
  1   192.168.50.1  1,359ms  1,968ms  2,056ms
  2   192.168.1.1  2,981ms  1,902ms  1,939ms
  3   172.20.32.53  44,015ms  *  24,617ms
  4   172.20.32.54  22,538ms  25,102ms  25,301ms
  5   62.78.117.15  24,393ms  25,838ms  23,973ms
  6   142.250.169.179  29,440ms  29,971ms  31,659ms
  7   142.250.174.234  24,813ms  34,210ms  25,755ms
  8   *  *  *
  9   8.8.8.8  30,065ms  30,443ms  21,794ms

Ensimmäisenä on tuo GT-AXE16000, jonka IP on 192.168.50.1, mutta jos kerta RUTX50 on siltaavassa tilassa, niin pitäisikö tuota toista hyppyä edes näkyä? Tuohan 192.168.1.1 on RUTX50.

2) GT-AXE16000 sisältää Trend Micron AiProtection-ominaisuuden, joka näyttäisi olevan antivirussofta, jonka mm. pitäisi pystyä estämään haitallisia sivustoja. Tätä ominaisuutta voitaneen verrata F-Securen SENSE-WiFi-reitittimeen, joka voi olla vallan mainio lisäturva, mutta joka herättää yksityisyyteen ja tietosuojaan liittyviä epäilyjä. Esimerkiksi jos etätyöskentelen kotoa käsin ja muodostan yrityksen omalla VPN-ratkaisulla suojatun etäyhteyden yrityksen sisäverkkoon, niin pääseekö Trend Micro analysoimaan tietoliikennettäni? Jos pääsee, niin näkeekö se tässä tapauksessa datan kryptatussa vai kryptaamattomassa muodossa? Tuon AiProtectionin kyllä saa pois päältä.
 
Teoriassa tuon siltaamisen pitäisi riittää, käytännössähän sen huomaat onko siinä tuplanattia tms. Jos muodostat ipsec vpn:än koneelta virman muurille, on yhteys kryptattu niin että sun asus ei sitä näe. Samalla tavalla se ei myöskään näe esim. HTTPS sivustoille ottamiesi yhteyksien sisältöä, koska ne ovat salattuja.

1679595535593.png


Satunnainen kuva netistä hakusanalla "aiprotection", tuo malicious website blocking todennäköisesti lähinnä katsoo, mihin sivustoihin koitat olla yhteydessä, ja jos ne mätsää johonkin Asuksen tunnettuihin haitallisiin sivuihin, niin yhteys estetään. En osaa sanoa onko tuo DNS-pohjainen vai webbiyhteyksiin liittyvä. Two-way IPS on joku Asuksen oma IPS hässäkkä, saattaa ehkä jotain tehdä, mutta sama homma kuin edellisissä, eli ei tuo reititin näe salattua liikennettä, toimii vaan salaamattomalle liikenteelle. Ei siis pysty puuttumaan haitalliseen liikenteeseen, jos se menee vaikka HTTPS liikenteenä.

Kai noita voi laittaa päälle, mutta kannattaa huomioida, että saattaa vaikuttaa laitteen suorituskykyyn.
 

Statistiikka

Viestiketjuista
258 399
Viestejä
4 489 785
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom