Kokemuksia Ubiquitin reitittimistä (ja muista verkkovermeistä).

Ei ole juu, olen puhunutkin 4G:n lisäpalvelustani joka suhteessa joka on nimeltään 'Julkinen IP'.
Sen osoite kun on julkinen sekä vaihtuva.
Mainitsinkin aiemmin ettei kiinteätä IP:tä ole saatavilla ainakaan tälle Elisan 4G:lle (ei ainakaan ole valittavissa ko. palvelua).
 
Ei ole juu, olen puhunutkin 4G:n lisäpalvelustani joka suhteessa joka on nimeltään 'Julkinen IP'.
Sen osoite kun on julkinen sekä vaihtuva.
Mainitsinkin aiemmin ettei kiinteätä IP:tä ole saatavilla ainakaan tälle Elisan 4G:lle (ei ainakaan ole valittavissa ko. palvelua).
Yrityksille ainakin saa kaikilta. Ehkä ovat halunneet rajoittaa yksityisille. DNA ja Telia pitäisi vielä tarjota.
 
Telialta saa yhteyspiste+ palvelun mobiililaajakaistoihin joka on julkinen kiinteä IP. Saatavana myös yksityishenkilöillekkin.
 
firewall { all-ping enable broadcast-ping disable ipv6-name WANv6_IN { default-action drop description "WAN inbound traffic forwarded to LAN" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } ipv6-name WANv6_LOCAL { default-action drop description "WAN inbound traffic to the router" enable-default-log rule 10 { action accept description "Allow established/related sessions" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable modify mullvad_route { rule 10 { action modify description mullvad-vpn modify { table 1 } source { address 192.168.1.0/24 } } } name WAN_IN { default-action drop description "WAN to internal" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } } name WAN_LOCAL { default-action drop description "WAN to router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 21 { action accept description "Accept Wireguard" destination { port 51820 } log disable protocol udp } rule 30 { action accept } } name WG_IN { default-action accept description "" } name WG_LOCAL { default-action accept description "" enable-default-log rule 1 { action accept description Wireguard destination { port 51820 } log enable protocol tcp_udp } } options { mss-clamp { interface-type wg mss 1380 } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { address dhcp description Internet duplex auto firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } speed auto } ethernet eth1 { address 192.168.1.1/24 description Local duplex auto speed auto } ethernet eth2 { address 192.168.2.1/24 description "Local 2" duplex auto speed auto } loopback lo { } wireguard wg0 { address MULLVAD ADDRESS/32 listen-port 51820 mtu 1420 peer PEER KEY GIVEN BY MULLVAD { allowed-ips 0.0.0.0/0 endpoint ENDPOINT ADDRESS GIVEN BY MULLVAD persistent-keepalive 25 } private-key PRIVATE KEY GIVEN BY MULLVAD route-allowed-ips false } } protocols { static { table 1 { description "table to force wg0:mullvad" interface-route 0.0.0.0/0 { next-hop-interface wg0 { } } route 0.0.0.0/0 { blackhole { distance 255 } } } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN1 { authoritative enable subnet 192.168.1.0/24 { default-router 192.168.1.1 dns-server 192.168.1.1 lease 86400 start 192.168.1.38 { stop 192.168.1.243 } } } shared-network-name LAN2 { authoritative enable subnet 192.168.2.0/24 { default-router 192.168.2.1 dns-server 192.168.2.1 lease 86400 start 192.168.2.38 { stop 192.168.2.243 } } } static-arp disable use-dnsmasq disable } dns { forwarding { cache-size 10000 listen-on eth1 listen-on eth2 } } gui { http-port 80 https-port 443 older-ciphers enable } nat { rule 5000 { description mullvad-nat outbound-interface wg0 source { address 192.168.1.0/24 } type masquerade } rule 5010 { description "masquerade for WAN" outbound-interface eth0 type masquerade } rule 5222 { description "masquerade for wg0" destination { } log disable outbound-interface wg0 protocol all type masquerade } } ssh { port 22 protocol-version v2 } } system { host-name sanitized login { user sanitized { authentication { encrypted-password sanitized } level admin } } ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone UTC } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v2.0.8-hotfix.1.5278088.200305.1640 */
Voisin luvata pienen rahallisen korvauksen sille, joka saa selvitettyä kuinka saan ohjattua kaiken liikenteen ER-Liten läpi, WireGuardia käyttäen Mullvad VPN kautta internettiin.

Alkaa olla hiukset päästä jo revitty ja hermot menneet kun ei vain onnistu.


Miltäköhän reititystaulut näyttää?

CLI:ssä:
ip route

Itselläni on wireguard käytössä, mutta niin päin, että saan maailmalla ollessani mobiililaitteiden liikenteen kiertämään kotiverkon kautta.

Sinun tapauksessasi ei ymmärtääkseni tarvitse palomuuriin tehdä wg:lle aukkoa, koska yhteyden muodostus on aina sisäverkosta palveluntarjoajan suuntaan.
 
Yritän saada Telian IPTV toimimaan EdgeRouter Pro reitittimen läpi, mutta aika vaikeaa se on. Yhden toimivan konfiguraation olen saanut aikaan, mutta se ahmii 3 porttia reitittimestä, vain yhden IPTV-boksin takia. Osa puhuu, että käytä IGMP:tä, mutta aika heikosti on toiminut, vika voi tietysti olla konfiguraatiossa. Nyt minulla on tyhmiä kytkimiä tai hubeja, joiden kautta olen laittanut dataa kulkemaan, että pääsen vakoilemaan liikennettä. Yksi PC vakoilee kaikkea liikennettä. Nyt jo näen, että IPTV kuvadataliikenteestä suurin osa IPTV datasta kulkee UDP portilla 5555 ja välillä vilahtaa portti UDP 52777 tai UDP 52778. IP-numerot ei vastaa yhtään, minun laitetta, mutta IPTV dataa liikutellaankin eri IP-numeroilla, kuin normaali dataa. Tietysti olisi ihan kiva, jos joku olisi jo keksinyt toimivan konfiguraation EdgeRouter Pro reitittimelle. EdgeRouter X:n konfiguraatiot ei kelpaa, koska ne ei ole välttämättä yhteensopivia. Saatan keksiä ratkaisun, mutta ensin tarvitsen tietoa siitä miten IPTV toimii, mitään en voi luvata, koska en vielä tiedä mitä kaikkea on asetettu esteeksi. Saatan nähdä salasanojakin, mutta se ei ole ollut minun tarkoitus tai ainakin ennen olen nähnyt. Tarkoitus on saada tietoliikenne toimimaan oikein. 20 vuotta sitten osasin jo tämän vakoilun. Voin lukea suoraan keräämästäni liikenteestä mitä on lähetetty ja vastaanotettu, jos sitä ei ole salattu nettiliikenteessä. Voi tietysti olla vaarallista kertoa, että näin voi tehdä, mutta se on ainoa vaihtoehto, jos ongelmat ei selviä. Telian modeemista tulee IGMP v2 liikennettä, mutta EdgeRouter käyttää IGMP v3 liikennettä. IGMP:stä on olemassa versiot 1,2 ja 3.

IGMP v2 on alaspäin yhteensopiva IGMP v1 kanssa, jos en ole väärin ymmärtänyt, mutta IGMP v3 ei sitä ole enää ole. Luin firmware päivitysten release tietoja ja version 1.8.5 kohdalla lukee "[IGMP proxy] Apply patch for IGMPv3 support". Mietin, että olisiko vanhoissa firmware versiossa IGMPv2. Osassa muiden valmistajien reitittimiä tuon IGMP version voi valita, mutta mites on asianlaita EdgeRouter reitittimissä?

Osassa IGMP Proxy konfiguraatio esimerkeissä IPTV:tä varten on vilahtanut firmware versio 1.6.0 ja nyt mennään jo versiossa 2.0.8-hotfix.1, eli kyse on silloin useita vuosia vanhasta ongelmasta, jos tämä on se ongelma, miksi IPTV ei toimi.

Tämä tilanne on ihan mahdotonta edes ratkaista igmproxy konfiguraatiolla, jos IGMP v2 ei toimi mitenkään IGMP v3:n kanssa, koska Telian IPTV käyttää IGMP v2:sta, mutta jos vanhoissa EdgeRouterin firmwareissa olisi käytössä IGMP v2, niin sitten toiminta voisi olla mahdollista lataamalla ikivanha firmware EdgeRouter reitittimeen. On aika outoa päivittämistä, jos tämmöiset asiat on jätetty huomioimatta firmware:ssa, koska on valmistajia joiden reitittimissä voi ihan suoraan valita käytetäänkö IGMP v1, v2 tai v3:sta.

Tämä asia selviää ja varmistuu tietysti kokeilemalla ikivanhaa firmware versiota.

Aloin nyt kokeilemaan EdgeRouter Pro:ssa on nyt kaikkein vanhin firmware, eli v1.3.0 ja konfiguroin kaiken alusta, niin nyt paljastuu se onko vika ja ongelmat siinä mitä aloin epäillä, jos IGMPv2 löytyy, eikä IGMPv3 niin voi olla jotain toivoa, että IPTV data lähtee kulkemaan ja kuva näkyy Telian IPTV boksissa ja jonkin päivityksen kohdalla IPTV lakkaa toimimasta, koska IGMP protokollaan on kajottu, muuttamalla se ei yhteensopivaksi IGMPv2:n kanssa.
 
Viimeksi muokattu:
Miltäköhän reititystaulut näyttää?

CLI:ssä:
ip route

Itselläni on wireguard käytössä, mutta niin päin, että saan maailmalla ollessani mobiililaitteiden liikenteen kiertämään kotiverkon kautta.

Sinun tapauksessasi ei ymmärtääkseni tarvitse palomuuriin tehdä wg:lle aukkoa, koska yhteyden muodostus on aina sisäverkosta palveluntarjoajan suuntaan.

1593464476426.png


Tuoltahan tuo näyttää
 
1593464476426.png


Tuoltahan tuo näyttää

Äkkiseltään sanoisin, että ainakin osa ongelmaa on, että tuosta 0.0.0.0 reitistä puuttuu netmask, jolloin se tulkitaan vain yhdeksi osoitteeksi ja ei siis täsmää minkään kanssa. Kokeilepas muuttaa reitiksi 0.0.0.0/0, jolloin se mätsää kaikkiin osoitteisiin.
 
Äkkiseltään sanoisin, että ainakin osa ongelmaa on, että tuosta 0.0.0.0 reitistä puuttuu netmask, jolloin se tulkitaan vain yhdeksi osoitteeksi ja ei siis täsmää minkään kanssa. Kokeilepas muuttaa reitiksi 0.0.0.0/0, jolloin se mätsää kaikkiin osoitteisiin.

Tarkoitus olisi siis, että kaikki yhteys kiertäisi tuon wg0 kautta. Mitenkäs muutan tuon reitin kuten kerroit?
 
Tarkoitus olisi siis, että kaikki yhteys kiertäisi tuon wg0 kautta. Mitenkäs muutan tuon reitin kuten kerroit?

Nyt kun tarkemmin tavasin tuota konffia, niin se näyttäisi olevan kyllä kunnossa (olettaen, että olit itse sensuroinut nuo keyt ja ip:t konffista, eikä konffissa oikeasti lue avainten tilalla esim "PRIVATE KEY GIVEN BY MULLVAD" vaan se oikea Mullvadilta saamasi avain. )

Oletko kokeillut, toimiiko Mullvadin pään pingaus Edgerouterista käsin?

Laitapas myös mitä tulee, kun Edgerouterin CLI:ssä laittaa:
sudo wg show
 
Viimeksi muokattu:
Omaa julkista IP:tä ei IMHO kannattais hirveenä julkisesti levitellä...
Olenko mä ainoa joka hymyili ääneen tälle lauseelle?

Julkinen IP kun on noin lähtökohtaisesti julkinen.

Ei sen oman IP osoitteen kertomisesta foorumilla ole sen suurempaa haittaa, koska sen palomuurin turvallisuus tullaan testaamaan jokatapauksessa jonkun toimesta ja todennäköisesti vieläpä melko usein. Eikä se tilanne muutu siitä miksikään vaikka IP osoite olisi kiinteäkin.
 
Olenko mä ainoa joka hymyili ääneen tälle lauseelle?

Julkinen IP kun on noin lähtökohtaisesti julkinen.

Ei sen oman IP osoitteen kertomisesta foorumilla ole sen suurempaa haittaa, koska sen palomuurin turvallisuus tullaan testaamaan jokatapauksessa jonkun toimesta ja todennäköisesti vieläpä melko usein. Eikä se tilanne muutu siitä miksikään vaikka IP osoite olisi kiinteäkin.
Paitsi että voi olla suurempaa haittaa, jos joku syystä tai toisesta haluaa vaikka DDoSsata sinun IP-osoitetta. (Se on yleistä esim pelaajien keskuudessa.) Julkista IP:tä ei kannata siis paljastella ellei siihen ole konkreettista syytä.
 
Ainakin aikoinaan ongelma telian kanssa oli, että se ip-tv boksi oletti saavansa dhcp optiona urlin josta voi kattoa onko firmikseen päivitystä saatavilla?
 
Paitsi että voi olla suurempaa haittaa, jos joku syystä tai toisesta haluaa vaikka DDoSsata sinun IP-osoitetta. (Se on yleistä esim pelaajien keskuudessa.) Julkista IP:tä ei kannata siis paljastella ellei siihen ole konkreettista syytä.
No kyllähän jonkun henkilön IP osoitteen selvittäminen mahdollista on. Ei se nyt mitään ihan mahdotonta salapöiisityötä edellytä, jos sen piilottamiseksi ei erikseen näe mitään vaivaa.
 
Vähän menee offtopicin puolelle mutta IP on nimeen tai auton rekisteritunnukseen verrattavissa oleva henkilötieto
 
Vähän menee offtopicin puolelle mutta IP on nimeen tai auton rekisteritunnukseen verrattavissa oleva henkilötieto
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
 
No kyllähän jonkun henkilön IP osoitteen selvittäminen mahdollista on. Ei se nyt mitään ihan mahdotonta salapöiisityötä edellytä, jos sen piilottamiseksi ei erikseen näe mitään vaivaa.
Kukaan ei väittänyt etteikö se ole teknisesti mahdollista. Sen selvittäminen vaikeutuu merkittävästi, ellei sitä itse mainosta, tai tee sen kyselijälle yhteistyöpalvelusta.
 
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx

No ei se mun keksintö ole :D
 
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
Ei se aina ihan noinkaan yksinkertaista ole. Ainakaan kaikilla. Esimerkkinä itsellä tasan sama ip ollut jo 8 kk:tta. Ja jos nyt vaikka pistetään jonkinmoinen veto pystyyn ja tarkistetaan asia vaikka vuoden päästä, niin sama ip on ja pysyy ellei reititin ole useampaa päivää pois päältä.

Ei kaikki asiat ole aina tasan niin yksinkertaisia, kun moni luulee. Riippuu aina tietysti tekniikasta, mutta edelleen ei kaikkissa asioissa voida vetää samoja lopputuloksia.

Siihen en ota kantaa, että kannattaako omaa ip:tä julkisesti huudella, jos ei ole jotain kaupallista sen takana tai muuta vastaava.
 
Eri asia jos olisi kiinteä IP niin sitä en minäkään yhtään kertaa laittaisi näkyville.

Piti tossa modeemi resetoida kun meni jumiin kun muutin sillatusta > dhcp:lle ja takaisin sillatuksi jonkun ajan kuluttua. Nyt julkinen IP:ni on 80.xxx.xxx.xxx, joka tulee siis sillatun motukan läpi reitittimelle asti jonka ER-X:n dhcp jakaa IP:t LANiini (192.168.x.x.). Muutamalle pelille on portit avattu että on peleissä Open Nat (NAT1).

Toki sitä nyt toinna hirveesti huudella mutta itselle aika sama kun se muuttuu, toi uusi motukka vasta toukokuussa hommattu ja tämä Edge Router X viime kuussa niin on tässä ollut kymmeniä resettejä näin alkuun kun värkkien sielunelämään perehtynyt ja asia tiedossa.

Vakio Ubiquitin palomuuri asetukset (Wan In + Wan Local) sekä itse olen lisännyt purkista blockaukset P2P, Proxyes tunnels sekä Remote_Access_Terminals pyynnöille. UPnP ja se "automaattinen" palomuuri toiminto pois päältä myös.
 
Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
Todennäköisesti jälkimmäinen oli 100.64.x.x/10, joka ei ole julkinen IP ollenkaan, vaan cgnat-osoite: IPv4 - Wikipedia
Sanon todennäköisesti siksi, että millään mobiilioperaattorilla Suomessa ei taida olla julkisia 100.x.x.x-alkuisia osoitteita.
 
Uniform APt mitkä menee EOL ja sitten ensimmäisen vuoden jälkeen tippuu controlleri tuki.

Lopetetaankohan näiden tuki teknisten ominaisuuksien vanhenemisen takia (pelkkä 802.11n tuki, luultavasti hitaammat ja vanhemmat piirisarjat) vai ihan vaan iän puolesta? Näiden AC versiotkaan (UAP-AC-LITE, UAP-AC-PRO jne) ei iän puolesta kovin paljon uudempia ole mutta toisaalta korvaavia mallejakaan (Wifi 6) ei ole vielä edes julkaistu, joten tuskin ihan heti on tuki loppumassa.

Edit: Nojoo, onhan nuo joiden tuki päättyy olleet Legacy tuotteita jo vuosia eikä niitä ole valmistettukaan aikoihin, eli ihan luontevaa hankkiutua niistä eroon asennuksissa.
 
Viimeksi muokattu:
Auttakaas miestä mäessä typerän kysymyksen kaa; edgerouter x:ään jos haluaa jonkun blacklistin niin se ymmärtääkseni annetaan Pi-holen GUI:ssa, eikö? Jos näin on niin onko tuolla listalla ja DNS-palvelulla mitään tekemistä toistensa kaa? Eli mistä tiliään mikä mun kannattaa tai pitää ottaa? Quad9, OpenDNS jne?

entäs oletteko pärjänneet vain yhdellä listalla (joka päivittää itsensä?) vaisyötättekö pi holelle useita listoja?

ja viimeisin muttei vähäisin;jossain luki että HTTPS-sivujen latausten kanssa tulisi ongelmaa, oletteko huomanneet moista?
kiitos!
 
Offtopic: Youtube videot auttaa paljon. Mitä niitä katsellut niin useita listoja käyttävät, yhdelläkin videolla oli tyypillä yli 2 miljoonaa DNS osoitetta Black listallaan.
 
Seuraava on kirjoitettu jäätävän vitutuksen kourissa kun päätä oli ensin hakattu pari tuntia seinään joten laitan sen spoilereihin. Ubi kokemus kuitenkin tämänkin.

Vaihdoin uskollisesti palvelleen Edgerouter ER-X-SFP laitteen ER-4seen. ER-4 konffautui kuin unelma ja lähti heti vörkkelehtimään.

Tämän jälkeen oli tarkoitus siirtää vapautunut X korvaamaan ER-PoE5 joka on toiminut hallintaverkon reitittimenä ja joka käy arveluttavan kuumana.

Koska laitetilassa oli lämmin nappasin yliheiton jälkeen ER-X mukaan ja vedin koneen ääressä tehdasresettiin. Wizardin heitin pohjalle. Sitä Ubi näyttää aina muutenkin suosittelevan aloittamisessa. Sen jälkeen perus konffaus joka koostui lähinnä VLAN lisäykset ja IP. Reititin on siis koonnut eri hallinta VLANien liikenteen ja reitittänyt ne keskenään sekä toiminut käytävänä internettiin. Ei siis mutkikas konffit. Jätin jopa palomuurin säädön siihen että laite oli paikallaan. Ilman palomuurisäännöissä olevaa estoa reititinhän reitittää vapaasti liikenteen interfacesta toiseen.

Noo, koska liikenne tulee pääasiassa VLAN trunkkeina niin en testaillut sitä pöydän ääressä kun se olisi ollut työlästä. Kävin virittelemässä laitteen paikalleen ja kaikki näytti ulkoisesti toimivan. Mutta kun pääsin takaisin koneelle niin iloinen data ei liikkunutkaan, niin VLANien välillä kuin VLANeista internettiin. Kaikki VLAN interface IP kyllä vastasivat pingiin, kaikista pääsi käsiksi hallintaan jopa WAN sai IP osoitteen mutta reititys minkää näistä välillä ei toiminut. Konffia koitin tarkistella mutta mitään poikkeavaa en löytänyt. Palomuurissa on vain ne pari perus sääntöä jotka ovat aina ennen toimineet suoraan. Jopa Routingissa näytti kaikki oikealta ja reitittimestä pystyi kyllä pingaamaan kaikkea, jopa internettiä. Vika tuntui olevan siis reitityksessä jonka toimia automaattisesti kun kyseessä on reitittimen omat interfacet.

Netistä koitin kaivella vastaavia kokemuksia ja näytti siltä ainakin joskus aikaan ER-X (jossa mediatekin prossa) laitteen VLANien välisissä reitityksissä on ollut ongelmaa mutta koska mitään vuoden sisällä kirjoitettua en löytänyt oletin vian olevan korjattu. Softa reitittimessä oli kuitenkin uusin 2.0.8-hotfix1.

Ei muuta kuin tehdas reset ja uudestaan päätyen samaan tilanteeseen. Aikani naksutelin kaikki vähänkään sopivat wizardit läpi eräässä vaiheessa tuo sitten jostain syystä lähtikin toimimaa kun koitti WAN+2LAN wizardilla. Olin jo melkein tuominnut romun hajonneeksi. Konffi on hyvin samanlainen kuin aikaisemmin, ainoana poikkeuksena että otin WAN piuhan irti wizardin ajaksi ja että WAN on ETH1 (kun se aikaisemmin oli ETH0)

Loppuun täytyy vielä ihmetellä miksi nuo kaikki edgerouterissa olevat wizardid on niin älykökköjä. Esim WAN+2LAN wizardissa IP alueen vaihto ei ole wizardissa mahdollista kun se taas muissa wizardeissa on. Muutenkin esim portteja voi wizardissa määritellä rajoitetusti. Muuten Wizard kohdassa on jostain syystä myös VPN status valinta joka klikattaessa näyttää listan ja kertoo että read only, muutokset tehtävä VPN välilehdellä.

Tämän jälkeen voi todella sanoa etten yhtään ihmettele että Ubin oma foorumi on täynnä todella ihmeellisiä ongelmia käyttäjillä. Harmi vain että moneen kysymykseen sieltä ei tunnut oikein vastausta saavan.
 
Mikäs tässä nyt menee väärin, yritys on siis se että puttyllä asentais ip-holen Edgerouteriin. Oon selaimen GUI:n kautta tarkistanu et käyttäjätunnukseni on admin-oikeuksilla varustettu.

1595607416325.png
 
Mikäs tässä nyt menee väärin, yritys on siis se että puttyllä asentais ip-holen Edgerouteriin. Oon selaimen GUI:n kautta tarkistanu et käyttäjätunnukseni on admin-oikeuksilla varustettu.

1595607416325.png

Mistä tullut käsitys että tuon voisi asentaa suoraan edgerouteriin? Vaikka siellä debian pohjalla onkin niin aika riisuttu sellainen eikä tosiaan ole tarkoitettu erillisten softien asenteluun. Ei siis mikään ihme ettei pakettireposta löydy paketteja. Hyvin harvassa hakemistossa edes säilyy muuttunut data joten melko tuhoontuomittu yritys saada onnistumaan.
 
Muutenkin palomuurien epäviralliset puukotukset ovat aina tulella leikkimistä.

Imo jos kaipaa vähänkin enemmän ominaisuuksia, jättäisin EdgeRouterit suosiolla väliin ja ottaisin pfSensen sen tilalle. pfSensen pfBlockerNG on huomattavasti tehokkaampi suodattaja kuin PiHole.
 
Mistä tullut käsitys että tuon voisi asentaa suoraan edgerouteriin? Vaikka siellä debian pohjalla onkin niin aika riisuttu sellainen eikä tosiaan ole tarkoitettu erillisten softien asenteluun. Ei siis mikään ihme ettei pakettireposta löydy paketteja. Hyvin harvassa hakemistossa edes säilyy muuttunut data joten melko tuhoontuomittu yritys saada onnistumaan.

Oon ymmärtänyt että pitäs mennä ns. heittämällä, kts. esim:
 
Oon ymmärtänyt että pitäs mennä ns. heittämällä, kts. esim:
Siis, tuossahan opastetaan tekemään uudelleen ohjaus Edgerouterista erilliseen Pi-holeen (kaikki DNS kyselyt porttiin 53), jolla sitten hoidetaan se mainosten poistaminen. Ei siinä todellakaan asenneta mitään itse Edgerouteriin, eihän tuollaista mainita sanallakaan tuossa artikkelissa. Mistä olet sellaisen käsityksen saanut?

This guide will show you how to use your Ubiquiti EdgeRouter X to redirect any devices that have hard-coded DNS to your Pi-hole so that your Pi-hole can block ads and tracking on those devices.
 
Juu toi Pi-hole asennetaan johonkin koneeseen joka sitten pyörittää sitä DNS Serveriä jonka Pi-Hole tekee ja jonka kautta sitten kaikki liikenne maailmalle kulkee.
 
Sori, tais tulla väärä linkki mut niin tai näin, olinpa väärissä kuvitelmissa tosiaan että pi-hole menis about mihin vaan Linuxiin joka EdgeOS myös on. Mutta eipäs sitten... kiitti tästä infosta!
 
Sori, tais tulla väärä linkki mut niin tai näin, olinpa väärissä kuvitelmissa tosiaan että pi-hole menis about mihin vaan Linuxiin joka EdgeOS myös on. Mutta eipäs sitten... kiitti tästä infosta!
Entäpä jos korjaat sen putkimerkin jälkeisen shellin käynnistymään myös roottioikeuksin?

Koodi:
sudo curl -sSL https://install.pi-hole.net | sudo bash
 
Tuskin tosiaan saa pi-holen asennettua Ubiquitin laitteeseen, mutta kai se teoriassa voisi olla mahdollista. Ei varmasti kuitenkaan onnistu suoraan pelkällä asennus-skriptillä. Virallinen tuki ei ole kovin laaja:
Raspbian: Jessie/Stretch, Ubuntu: 16.04 / 16.10, Debian: 8 / 9, Fedora 27, 28, 29, CentOS: 7 (not ARM)

Mutta koska pi-hole on avointa lähdekoodia, saa sen kyllä teoriassa käännettyä ties mille alustalle. Itse sain jonkinmoisella työllä ensin asennettua Ubuntun Dlinkin armel-pohjaiselle verkkolevylaittelle. Pi-holen asennuskin lopulta vielä onnistui, mutta eipä se sitten enää suostunut käynnistymään. Ehkä olisi voinut onnistua, mutta päädyin kuitenkin ajamaan sitä ihan raspilla, niin on vakioasennus, ja saa päivityksetkin suoraan ilman monen tunnin vääntöä.
 
Aiemmin kyselin samasta aiheesta täällä, mutta nyt vasta tulee ajankohtaiseksi päivitys, joten varmistan ettei mitään uutta ja parempaa ole ilmestynyt tällä saralla. Lisäksi kysyn suosituksia sopivaksi wlan laitteeksi.

Eli, suunnitelma olisi korvata 1000/1000mbps FTTH liittymän kuitupäätelaite jollakin yksinkertaisella palikalla, ja kun kiinteää IP:tä ei ole, ja operaattori jakaa max 5 IP:tä, niin uudessa palikassa pitää varmaan olla nat, joka lötynee tästä: Ubiquiti EdgeRouter X-SFP -reititin 88,90

- Pitäisi olla luotettavatoiminen laite mutta suht edullisti. Löytyykö mahdollisesti nykyisin parempia suosituksia edullisissa laitteissa?
- SFP liitäntä tietty pitää olla,
- WLAN on tarpeeton, sen hankin erillisenä laitteena, siitä lisää alempana.
- LAN-liitäntöjä ainakin 4kpl, mieluummin 5.

Tässä pitää varmaankin yhä itse kytkeä HW-nat päälle jotta kulkua löytyy?

Entä mikä olisi sopiva wlan laite (POE) sfp-routterin perään? Sanotaanko näin, että wlan laite + routteri sfp liitännällä pitäisi mahtua n. 200 eur hintaluokkaan.

Ubiquitilta löytyisi ilmeisesti ihan hyviä wlan-laitteita kelpo nopeuksilla ja hyvällä peitoalueella? Lite ja pro mallit saattaisi sopia budjettiin, millaisia eroja näiden välillä on kun ajatellaan käytännön toimivuutta, sekä nopeutta ja paittoaluetta?
 
Viimeksi muokattu:
Tarvitsee joo. Jos meinaat tehdä jotain QoS:ssää linkille niin ER-X ei ole sitten siihen se juttu.
 
Olethan tietoinen että ER-X kykenee gigan nopeuteen vain yhteen suuntaan kerrallaan? itse laittaisin symmetrisen 1Gb yhteyden päähän suosiolla Edgerouter 4:n. Itsellä 1000/100 yhteys joten tuo ER-X vielä menettelee, mutta jo tämän yhteyden kanssa huomaa ajoittain että troughput alkaa loppua auttamatta.
 
Olethan tietoinen että ER-X kykenee gigan nopeuteen vain yhteen suuntaan kerrallaan? itse laittaisin symmetrisen 1Gb yhteyden päähän suosiolla Edgerouter 4:n. Itsellä 1000/100 yhteys joten tuo ER-X vielä menettelee, mutta jo tämän yhteyden kanssa huomaa ajoittain että troughput alkaa loppua auttamatta.

Tietoinen olen tästä, mutta taitaa hinnat pompsahtaa sen verran reilusti jos haluaa samaan aikaan kumpaankin suuntaan gigan kulkemaan?
Mutta laitan alustavasti harkintaan tuonkin vaihtoehdon.

Edit, jaa no ei se nyt "niin paljon" kalliimpi taida ollakaan. https://www.dustin.fi/product/5011057959/edgerouter-er-4
Mutta tuossa taitaa lan portit käydä vähiin (3kpl), eikä kiinnostaisi lisätä kytkintä perään, vaan pitää systeemi minimissä.
Taitaa sitten seuraava vaihtoehto olla ER-6 https://www.dustin.fi/product/5011070582/edgerouter-er-6-poe

Hmph ja hinnatkin oli näköjään ilman ALV :poop:
 
Viimeksi muokattu:
Joo hinnat pompsahtaa kyllä. Tarviset myös kytkimen tuon ER4 kaveriksi, mutta jos haluat liittymästäsi kaiken irti niin budjettia on pakko kasvattaa, tai tyytyä kompromisseihin.

Mulla on UAP Lite kaksi kerroksisessa ok talossa, alakerrassa (reilu 100m2) toimii hyvin mutta yläkertaan on hieman heikko kuuluvuus, mutta toimii kyllä eikä ole katkonut. nopeudet jää yläkerrassa 200mbps tienoille. Tuostakin tietysti pääsisi kun laittaisin yläkertaan toisen.
 
Edgerouter 4:lla muistaakseni nopeudet tippuvat, jos siinä kytkee kytkinominaisuuden käyttöön.
 
Itsellä vaihtui USG 3P nyt pfsense boxiin. Kulkee giganen bitti IPS ja muut herkut päällä ongelmitta. Ei Ubiquiti vain saa aikaiseksi hyvää korvaajaa ja featureita hallintaan. Nyt alkaneet myös AP:t viimeaikoina pätkimään, liekö joku 0 QA päivitys taas ryssinyt jotain? Alkanut käydä mielessä jos vaihtaisi unifit Aruban IA accesspointeihin ja ehkä ER sarjan poe kytkimiin, pitää vielä miettiä.
 
Joo hinnat pompsahtaa kyllä. Tarviset myös kytkimen tuon ER4 kaveriksi, mutta jos haluat liittymästäsi kaiken irti niin budjettia on pakko kasvattaa, tai tyytyä kompromisseihin.

Mulla on UAP Lite kaksi kerroksisessa ok talossa, alakerrassa (reilu 100m2) toimii hyvin mutta yläkertaan on hieman heikko kuuluvuus, mutta toimii kyllä eikä ole katkonut. nopeudet jää yläkerrassa 200mbps tienoille. Tuostakin tietysti pääsisi kun laittaisin yläkertaan toisen.
Täällä tulossa hieman vastaava, 10x12m pohjalla 2krs okt, johon varaan kattoihin paikat UAP:lle. Onko joku syy, ettet ole tuota laittanut yläkertaan? Jaksaakohan yhteys puskea läpi lattian?
 
Täällä tulossa hieman vastaava, 10x12m pohjalla 2krs okt, johon varaan kattoihin paikat UAP:lle. Onko joku syy, ettet ole tuota laittanut yläkertaan? Jaksaakohan yhteys puskea läpi lattian?

Ei mitään muuta syytä kuin etten ole nähnyt vielä tarpeelliseksi. Yläkerrassa WiFiä käyttää lähinnä puhelimet. Mulla tuossa yläkerran lattiarakenteessa on vielä alumiiniset lämmönluovutuslevyt jotka ilmeisesti haittaa entisestään signaalin kuulumista.

Haittatekijöistä huolimatta, kuten sanoin WiFillä yltää yläkerrassa sinne 200mbps nopeuksiin eikä yhteys ole koskaan katkeillu tms.

Tietysti paremmalla AP:llä jossa olisi beamforming pääsisi todennäköisesti parempiin tuloksiin, mutta meidän käytössä tuo Lite on ajanut asiansa paremmin kuin hyvin.
 
Mitenköhän lämpöisenä nuo pienemmät UniFi-härvelit (ja niiden mahdolliset virtalähteet) käy? Meinasin sähkökaappiin tunkea ja pohdin että tuleeko ongelmia.

Tarkoitus olisi laittaa kerrostaloasunnon verkotukset kerralla kuntoon ja hankkia seuraavanlainen setti:
USG
Kytkin (UniFi Switch Flex + PoE-injektori?)
Jokin AP, todennäköisesti nanoHD
Cloud Key gen. 2 ehkä myöhemmin, katotaan miten paljon alkaa säätäminen vituttamaan muuta kautta.

USG ja kytkin olisi tarkoitus tunkea sähkökaappiin missä myös huoneistojakamo sijaitsee, ja sieltä löytyy myös pari pistoketta mistä saa virrat molemmille laitteille tarvittaessa. Tavoitteena on pitää huoneiston puolelle tulevien johtojen määrä minimissä, ja toki myös sähkökaapin sisällä olisi ihan jees jos PoE:lla saa hommat toimimaan niin ei tarvii niin paljoa piuhaa tunkea sinne.

Kommentteja setupista ylipäätään, tai erityisesti ko. laitteiden lämpötiloista?

EDIT: Tajusinpas ettei UniFi Switch 8 60W mahdu korkeutensa puolesta tuonne kaappiin.
 
Viimeksi muokattu:
Mulla on sähkökaapissa USG ja mikrotikin kytkin (koska unifi ei mahdu), ja käyvät kuumana, mutta toimivat...
 
Mitenköhän lämpöisenä nuo pienemmät UniFi-härvelit (ja niiden mahdolliset virtalähteet) käy? Meinasin sähkökaappiin tunkea ja pohdin että tuleeko ongelmia.

Tarkoitus olisi laittaa kerrostaloasunnon verkotukset kerralla kuntoon ja hankkia seuraavanlainen setti:
USG
Kytkin (UniFi Switch Flex + PoE-injektori?)
Jokin AP, todennäköisesti nanoHD
Cloud Key gen. 2 ehkä myöhemmin, katotaan miten paljon alkaa säätäminen vituttamaan muuta kautta.

USG ja kytkin olisi tarkoitus tunkea sähkökaappiin missä myös huoneistojakamo sijaitsee, ja sieltä löytyy myös pari pistoketta mistä saa virrat molemmille laitteille tarvittaessa. Tavoitteena on pitää huoneiston puolelle tulevien johtojen määrä minimissä, ja toki myös sähkökaapin sisällä olisi ihan jees jos PoE:lla saa hommat toimimaan niin ei tarvii niin paljoa piuhaa tunkea sinne.

Kommentteja setupista ylipäätään, tai erityisesti ko. laitteiden lämpötiloista?

EDIT: Tajusinpas ettei UniFi Switch 8 60W mahdu korkeutensa puolesta tuonne kaappiin.

Yksi vaihtoehto on laittaa laitteet kaapin ulkopuolelle esimerkiksi oveen kiinni ja vetää vain kaapelit sisään oven alta. Itsellä on näin. Tosin mulla on kaappi piilossa, joten laitteet ei hyppää silmille.

Huomaa myös, että usg+switch flex+poe injektori kombolle tarvit kolme pistorasiaa. Ellet sitten sijoita injektoria ap:n luokse.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 647
Viestejä
4 553 117
Jäsenet
75 039
Uusin jäsen
neiti-jokunen

Hinta.fi

Back
Ylös Bottom