Kokemuksia Ubiquitin reitittimistä (ja muista verkkovermeistä).

[ztec]

Osaisko joku ohjeistaa tumpulalle ipv6 toimimaan EdgeRouter-X-5-Port, Gui puolellta vähän kaikki koitettu en vaan onnistu
Operaattorina DNA

Just tänään sääsin urakalla ER-12P mallin kanssa. Kyllä on säätämistä kiesus sentään. Nyt kaikki on periaatteessa kunnossa, mutta en oo vielä käytännössä testannut. 6in4 IPv6 käytössä.

 

[Glengoyle]

Valitettavasti en itse onnistunut, ztec jos vinkkejä löytyy tai löysit kunnollisen ohjeen, jostain niin laita vaikka yv

 

[ztec]

Valitettavasti en itse onnistunut, ztec jos vinkkejä löytyy tai löysit kunnollisen ohjeen, jostain niin laita vaikka yv

Tiivistetään toi niin, että ei GUI:n puolelta onnistu mitenkään. Tänään taistelin kanssa taas pitkään kun asiat ei toimi ja on epäselviä jne... Heti kun suosiolla lopetin GUI:n käyttämisen ja siirryin tutkimaan konfiguraatio filettä ja iptablessia niin asiat lähti selviämään hyvää vauhtia.

Tuntuu että se GUI on pelkkää trollausta. Se on aivan surkeasti toteutettu ja varmaan just asenteella, tehdään tähän jotain sontaa, että saadaan myytyä tätä avuttomille. Joten aina kun sitä käyttää tuntuu vaan ampuvan itseään jalkaan. Pakko toi on konffata ssh:lla.

IPv6 (tunnelbroker) meni ihan heittämällä, kun vaan tajusin, että mm. IPv6 palomuurisäännöt ei muuten näy GUI:n puolella ollenkaan. Laitan kaikki IPv6 konfigit valmiiksi, mutta jätän RA:t veke. Silloin IPv6:n voi ottaa käyttöön laitteisiin tarvittaessa, mutta sitä ei kannata käyttää muuten, koska on hitaampi ja epäluotettavampi. Samoin laitteet kannattaa konfiguroida käyttämään IPv4:sta IPv6:n sijaan, jos molemmat on samaan aikaan tarjolla. Tuon konfigin olen tehnyt osaan laitteista, mutta en kaikkiin. Joten siksi en halua niille IPv6 osoitetta ollenkaan.

 

[Monty68]

Heinoa, että Ubiquiti korjasi multisite ongelman UniFi Controllereissa. Pelkäsin jo, että asiakkaat ja ostajat alkaa hermostua ja vaihtaa merkkiä.

 

[kryptonian]

Heinoa, että Ubiquiti korjasi multisite ongelman UniFi Controllereissa. Pelkäsin jo, että asiakkaat ja ostajat alkaa hermostua ja vaihtaa merkkiä.

Moni hermostu jo ja aikovat vaihtaa heti seuraavan laitteiston päivityksen yhteydessä.

 

[Algron28]

Minustakin aika erikoista että tuollainen "ongelma" olisi päässyt alunperin firman omasta laaduntarkastuksesta läpi. Eiköhän kyseessä ollut tarkoituksellinen ominaisuuden poisto joka vaivihkaa peruttiin nousseen paskamyrskyn seurauksena ja kuitattiin bugina. Ubi varmaan ounasteli, että osa käyttäjistä kitisee, mutta tuskin oletti näin isoa valituksen määrää.

 

[DivX]

En haluaisi luoda uutta ketjua yhtä EdgeRouter-X -kysymystä varten, enkä löytänyt googlella vastausta, joten osaisiko joku auttaa tässä ketjussa. Resetoiko firmwaren päivittäminen tuon EdgeRouterin tehdasasetuksiin? Tehdasasetuksissahan DHCP ei tässä ole päällä ja minulle tuo staattisten ip-osoitteiden kanssa kikkailu on vähän rasittavaa. Osaisin varautua tuohon. Tällä hetkellä purkissa pyörii ilmeisesti jo antiikkiseksi luokiteltava versio 1.8.5

 

[kryptonian]

En haluaisi luoda uutta ketjua yhtä EdgeRouter-X -kysymystä varten, enkä löytänyt googlella vastausta, joten osaisiko joku auttaa tässä ketjussa. Resetoiko firmwaren päivittäminen tuon EdgeRouterin tehdasasetuksiin? Tehdasasetuksissahan DHCP ei tässä ole päällä ja minulle tuo staattisten ip-osoitteiden kanssa kikkailu on vähän rasittavaa. Osaisin varautua tuohon. Tällä hetkellä purkissa pyörii ilmeisesti jo antiikkiseksi luokiteltava versio 1.8.5

Päivityksen ei pitäisi kajoa asetuksiin millään tavoin, mutta suositeltavaa ottaa varmuuskopio boot.config tiedostosta ihan varmuuden vuoksi. Uusin firmis EdgeRouter-X:lle tällä hetkellä on: v2.0.9-hotfix.1, julkaistu 03.02.2021.

Huomioi kuitenkin, että osalla ihmisistä tuntuu olevan kovin suuri halua käyttää 1.X versioita, ja sitäkin käsittääkseni päivtetään. Uusin v1 on v1.10.11, julkaistu 11.03.2020.

 

[Tege]

En tiedä kyllä mitä Unifilla on ajateltu. Ipsec tunneli linkkaa automaattinen ensimmäiseen laniin mitä on tehty. Tätä ei voi hallinnan kautta vaihtaa että voisi rakentaa tunnelin toiseen laniin.

Jotain kiertoteitä voisi olla jossain?

 

[kryptonian]

En tiedä kyllä mitä Unifilla on ajateltu. Ipsec tunneli linkkaa automaattinen ensimmäiseen laniin mitä on tehty. Tätä ei voi hallinnan kautta vaihtaa että voisi rakentaa tunnelin toiseen laniin.

Jotain kiertoteitä voisi olla jossain?

EdgeRouterilla vaiko millä laitteella?

 

[Tege]

EdgeRouterilla vaiko millä laitteella?

USG Pro 4.

 

[DivX]

Päivityksen ei pitäisi kajoa asetuksiin millään tavoin, mutta suositeltavaa ottaa varmuuskopio boot.config tiedostosta ihan varmuuden vuoksi. Uusin firmis EdgeRouter-X:lle tällä hetkellä on: v2.0.9-hotfix.1, julkaistu 03.02.2021.

Huomioi kuitenkin, että osalla ihmisistä tuntuu olevan kovin suuri halua käyttää 1.X versioita, ja sitäkin käsittääkseni päivtetään. Uusin v1 on v1.10.11, julkaistu 11.03.2020.

Osaatko sanoa mihin tuo 1.X -versioiden käytön halukkuus perustuu? Ei minulla sinänsä mikään pakko tätä päivitystä ole tehdä tuohon kakkosversioon, jos niiden kanssa on jotain ongelmia. Olen kokeilemassa load balancing -setuppia vdsl-linjan ja 4g-modeemin kanssa ja ajattelin että uusimmalla firmiksellä säästyisin mahdollisilta vanhoilta bugeilta.

 

[kryptonian]

Osaatko sanoa mihin tuo 1.X -versioiden käytön halukkuus perustuu? Ei minulla sinänsä mikään pakko tätä päivitystä ole tehdä tuohon kakkosversioon, jos niiden kanssa on jotain ongelmia. Olen kokeilemassa load balancing -setuppia vdsl-linjan ja 4g-modeemin kanssa ja ajattelin että uusimmalla firmiksellä säästyisin mahdollisilta vanhoilta bugeilta.

Osaisinpa vastata tuohon. En yhtään osaa sanoa, itsellä on v2.0.8 ainakin toiminut joka purkissa ihan hyvin vaikka osa niistä onkin datacenter ympäristössä, esim ER-4.
Vielä en ole päivittänyt kaikista uusimaan kun itselläni on myös ER-12, jossa uusimmalla firmiksellä ei ainakaan VLAN hw accel ei toimi ER-12:ssa.

Muistelen, ettei load balacing setuppia kannata välttämättä tehdä jossei ole operaattorien verkon puolelta tehty, koska siinä menee helposti liikenne ihan oudosti. Itselläni on tarkoituksena laittaa 4G ainoastaan failoveriksi.

 

[kryptonian]

USG Pro 4.

Siihen en valitettavasti osaa sanoa mitään.

 

[Tege]

Siihen en valitettavasti osaa sanoa mitään.

Juu tiedän. Ei osaa suoraan unifin foorumit sanoa. Joku outo aivopieru käynyt Unifilla että eivät ole tuoneet mahdollisuutta lisätä controllerin kautta toista subnettia vaan menee aina sillä ensimmäisellä. Pitää tutkia ssh läpi mitä löytyy.

 

[kryptonian]

Jotenkin tämä ei osaa enää yllättää.

 

[Tege]

Jotenkin tämä ei osaa enää yllättää.

Uskon. Kiertotie on toki vaihtaa ipsec routed basediin mutta tuotanto käynnissä niin ei aina heti tuosta vaan voi säätää.

 

[Grazer]

Taloyhtiön Fidelix pitäisi palomuurata, jotta huoltoyhtiö pääsee siihen etänä käsiksi. Ajattelin ensin Netgate SG1100:sta muuriksi/VPN-palvelimeksi, mutta tämä varmaan ajaa asiansa yhtä hyvin?

Security Gateway - Ubiquiti Store United States

Reliable security with high‐performance routing technology.

store.ui.com

Onko tuosta OpenVPN server yhtä helppo säätää tulille kuin Pfsensestä/OPNSensestä/IPFiresta?

EDIT: Ja saahan tuohon Dyndns:n konffattua? Tuota ajattelin https://www.nsupdate.info/

 

[kryptonian]

Taloyhtiön Fidelix pitäisi palomuurata, jotta huoltoyhtiö pääsee siihen etänä käsiksi. Ajattelin ensin Netgate SG1100:sta muuriksi/VPN-palvelimeksi, mutta tämä varmaan ajaa asiansa yhtä hyvin?

Security Gateway - Ubiquiti Store United States

Reliable security with high‐performance routing technology.

store.ui.com

Onko tuosta OpenVPN server yhtä helppo säätää tulille kuin Pfsensestä/OPNSensestä/IPFiresta?

EDIT: Ja saahan tuohon Dyndns:n konffattua? Tuota ajattelin https://www.nsupdate.info/

Ota mielummin Netgate laite kun USG.
Itsellä ei pahemmin kokemusta mutta kuullut USG:sta huonoa enemmän kun hyvää.

 

[Tege]

Taloyhtiön Fidelix pitäisi palomuurata, jotta huoltoyhtiö pääsee siihen etänä käsiksi. Ajattelin ensin Netgate SG1100:sta muuriksi/VPN-palvelimeksi, mutta tämä varmaan ajaa asiansa yhtä hyvin?

Security Gateway - Ubiquiti Store United States

Reliable security with high‐performance routing technology.

store.ui.com

Onko tuosta OpenVPN server yhtä helppo säätää tulille kuin Pfsensestä/OPNSensestä/IPFiresta?

EDIT: Ja saahan tuohon Dyndns:n konffattua? Tuota ajattelin https://www.nsupdate.info/

Sisäänrakennettua OpenVPN serveriä ei näissä ole.

https://community.ui.com/questions/OpenVPN-Setup-and-Configuration-on-UniFi-Security-Gateway-Step-by-Step-Guide/2a12e083-03fe-47de-be21-36e7cbba6ccb

 

[escalibur]

Taloyhtiön Fidelix pitäisi palomuurata, jotta huoltoyhtiö pääsee siihen etänä käsiksi. Ajattelin ensin Netgate SG1100:sta muuriksi/VPN-palvelimeksi, mutta tämä varmaan ajaa asiansa yhtä hyvin?

Security Gateway - Ubiquiti Store United States

Reliable security with high‐performance routing technology.

store.ui.com

Onko tuosta OpenVPN server yhtä helppo säätää tulille kuin Pfsensestä/OPNSensestä/IPFiresta?

EDIT: Ja saahan tuohon Dyndns:n konffattua? Tuota ajattelin https://www.nsupdate.info/

Netgate/pfSense lienee valovuoden verran edellä Unifin reitittimistä, joiden VPN-puoleen ei panostettu pitkään aikaan.

 

[Grazer]

Menee vähän ketjun aiheesta ohi, mutta mistähän tuota SG-1100:sta näppärimmin saisi. Amazonit, Ebayt ym. näyttää ei oota. Toki kun firmalle menee niin kysäisen varmaan BCC Solutionsista, joka mainostaa olevan Netgaten maahantuoja.

 

[jessenic]

Taloyhtiön Fidelix pitäisi palomuurata, jotta huoltoyhtiö pääsee siihen etänä käsiksi. Ajattelin ensin Netgate SG1100:sta muuriksi/VPN-palvelimeksi, mutta tämä varmaan ajaa asiansa yhtä hyvin?

Security Gateway - Ubiquiti Store United States

Reliable security with high‐performance routing technology.

store.ui.com

Onko tuosta OpenVPN server yhtä helppo säätää tulille kuin Pfsensestä/OPNSensestä/IPFiresta?

EDIT: Ja saahan tuohon Dyndns:n konffattua? Tuota ajattelin https://www.nsupdate.info/

Itse laittaisin Tosiboxin, helpoin ja säätövapain vaihtoehto. Ei toki halvin, muttei myöskään kk-maksua.

 

[DivX]

Osaisinpa vastata tuohon. En yhtään osaa sanoa, itsellä on v2.0.8 ainakin toiminut joka purkissa ihan hyvin vaikka osa niistä onkin datacenter ympäristössä, esim ER-4.
Vielä en ole päivittänyt kaikista uusimaan kun itselläni on myös ER-12, jossa uusimmalla firmiksellä ei ainakaan VLAN hw accel ei toimi ER-12:ssa.

Muistelen, ettei load balacing setuppia kannata välttämättä tehdä jossei ole operaattorien verkon puolelta tehty, koska siinä menee helposti liikenne ihan oudosti. Itselläni on tarkoituksena laittaa 4G ainoastaan failoveriksi.

Jätin nyt tuon ER-X:n version päivittämättä kun muistini oli pettänyt ja oli se sentään jo 1.10.x. Myös tuo load balancing setuppi meni sisäänrakennetulla wizardilla ihan nätisti sisään ja sain laitettua 50M 4G-yhteyden tämän 50M vdsl:n rinnalle. Mitä tänään ehdin testailla, niin ainakin nuo useampaa pakettia rinnakkain lataavat sovellukset (Steam, Xbox Live) toimivat kivasti, välillä 50M - 100M. Ihan jatkuvaa täyden kaistan yhdistelyä tuo ei ollut tietenkään mobiiliverkon ailahtelun takia , mutta nopeusetu on kuitenkin keskimäärin lähellä kaksinkertaista verrattuna pelkkään paukkulankaan.

 

[kryptonian]

Menee vähän ketjun aiheesta ohi, mutta mistähän tuota SG-1100:sta näppärimmin saisi. Amazonit, Ebayt ym. näyttää ei oota. Toki kun firmalle menee niin kysäisen varmaan BCC Solutionsista, joka mainostaa olevan Netgaten maahantuoja.

Onko mitään tietoa hinnasta ja siitä saako kuluttujana ostettua BCC Solutionilta?

 

[GJ]

Itse laittaisin Tosiboxin, helpoin ja säätövapain vaihtoehto. Ei toki halvin, muttei myöskään kk-maksua.

Tosiboxia käytetään paljon uusissa taloyhtiöissä, vahva suositus sille.

 

[Monty68]

Osaatko sanoa mihin tuo 1.X -versioiden käytön halukkuus perustuu? Ei minulla sinänsä mikään pakko tätä päivitystä ole tehdä tuohon kakkosversioon, jos niiden kanssa on jotain ongelmia. Olen kokeilemassa load balancing -setuppia vdsl-linjan ja 4g-modeemin kanssa ja ajattelin että uusimmalla firmiksellä säästyisin mahdollisilta vanhoilta bugeilta.

Minulla on EdgeRouter Pro ja load balancing käytössä. Ensimmäinen virhe on käyttää operaattoreiden DNS palvelimia, joilta yhteys on ostettu, eli DNS palvelimet pitää olla ulkopuolisen tahon palvelimia tai yhteydet sekoaa. Porteista joihin kytketään internet yhteydet joutuu estämään DNS palvelinasetus päivityksen, mutta ennen sitä on hyvä selvittää mitä DNS palvelimia haluaa käyttää.

Esimerkiksi, kun kirjaudut vaikka PuTTY ohjelmalla EdgeRouter:n sisään, niin sieltä voi, myös muutella asetuksia, jos osaa. Itsellä siellä lukee ensimmäisen portin kohdalla, johon yhteysmodeemi on kytketty "name-server no-update", eli tuo on tärkeä asetus, koska operaattoreiden DNS palvelimia ei pysty käyttämään load-balance konfiguraatiossa. En tiedä miksi, mutta näin se on ja DNS palvelimet pitää määritellä eripaikassa, eli ne määritellään EdgeRouter:n aliverkkoasetuksissa ja system asetuksissa, ne voi olla vaikka googlen tai jonkun muun DNS palvelin IP-numerot, mutta ei operaattorin, jolta internet yhteydet on ostettu. Yhteysmodeemit sekoaa, jos tuota ei tee load-balance konfiguraatiossa.

    ethernet eth0 {
        address dhcp
        description WAN
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }

Itse käytän uusinta firmware versiota, koska en halua, että EdgeRouter:ssa on haavoittuvuuksia, jotka on jo tiedossa. Vanhojen firmware versioiden käyttäminen on riskialtista. Konfiguraatio kannattaa ennen tuohon ryhtymistä tallentaa ja nimetä se järkevästi, jotta tietää mikä se on ja minkä firmware version konfiguraatio sen on. Vanhan firmwaren voi ladata, myös ubiquitin sivuilta, jos haluaa palata vanhaan.

Tuossa on tarvittavat komennot jolla tuon operaattorin DNS palvelinten estoasetuksen saa tehtyä esimerkiksi eth0 porttiin, johon internet yhteys on kytketty:

configure
set interfaces ethernet eth0 dhcp-options name-server no-update
commit
save

Laitetaan vielä varmuudeksi tähän se, jos haluaa poistaa kyseisen asetuksen, niin komennot on:

configure
delete interfaces ethernet eth0 dhcp-options name-server
commit
save

Oletusasetuksena update on päällä.

 

[DivX]

Minulla on EdgeRouter Pro ja load balancing käytössä. Ensimmäinen virhe on käyttää operaattoreiden DNS palvelimia, joilta yhteys on ostettu, eli DNS palvelimet pitää olla ulkopuolisen tahon palvelimia tai yhteydet sekoaa. Porteista joihin kytketään internet yhteydet joutuu estämään DNS palvelinasetus päivityksen, mutta ennen sitä on hyvä selvittää mitä DNS palvelimia haluaa käyttää.

Esimerkiksi, kun kirjaudut vaikka PuTTY ohjelmalla EdgeRouter:n sisään, niin sieltä voi, myös muutella asetuksia, jos osaa. Itsellä siellä lukee ensimmäisen portin kohdalla, johon yhteysmodeemi on kytketty "name-server no-update", eli tuo on tärkeä asetus, koska operaattoreiden DNS palvelimia ei pysty käyttämään load-balance konfiguraatiossa. En tiedä miksi, mutta näin se on ja DNS palvelimet pitää määritellä eripaikassa, eli ne määritellään EdgeRouter:n aliverkkoasetuksissa ja system asetuksissa, ne voi olla vaikka googlen tai jonkun muun DNS palvelin IP-numerot, mutta ei operaattorin, jolta internet yhteydet on ostettu. Yhteysmodeemit sekoaa, jos tuota ei tee load-balance konfiguraatiossa.

    ethernet eth0 {
        address dhcp
        description WAN
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }

Itse käytän uusinta firmware versiota, koska en halua, että EdgeRouter:ssa on haavoittuvuuksia, jotka on jo tiedossa. Vanhojen firmware versioiden käyttäminen on riskialtista. Konfiguraatio kannattaa ennen tuohon ryhtymistä tallentaa ja nimetä se järkevästi, jotta tietää mikä se on ja minkä firmware version konfiguraatio sen on. Vanhan firmwaren voi ladata, myös ubiquitin sivuilta, jos haluaa palata vanhaan.

Tuossa on tarvittavat komennot jolla tuon operaattorin DNS palvelinten estoasetuksen saa tehtyä esimerkiksi eth0 porttiin, johon internet yhteys on kytketty:

configure
set interfaces ethernet eth0 dhcp-options name-server no-update
commit
save

Laitetaan vielä varmuudeksi tähän se, jos haluaa poistaa kyseisen asetuksen, niin komennot on:

configure
delete interfaces ethernet eth0 dhcp-options name-server
commit
save

Oletusasetuksena update on päällä.

Kiitos vinkeistä. DNS:n olenkin järjestelmän asetuksista asettanut vanhasta tottumuksesta. Pitääkö siis sen lisäksi tehdä vielä tuo no-update asetus jokaiselle WAN-portille erikseen?
Täältä olen tosiaan tuon järjestelmän DNS:n asettanut:

 

[Algron28]

Kiitos vinkeistä. DNS:n olenkin järjestelmän asetuksista asettanut vanhasta tottumuksesta. Pitääkö siis sen lisäksi tehdä vielä tuo no-update asetus jokaiselle WAN-portille erikseen?
Täältä olen tosiaan tuon järjestelmän DNS:n asettanut:

Eikös tuo system nameserver ole se reitittimen itsensä käyttämä ja se voi olla eri kuin se mitä se tarjoaa sisäverkkoon.

 

[DivX]

Eikös tuo system nameserver ole se reitittimen itsensä käyttämä ja se voi olla eri kuin se mitä se tarjoaa sisäverkkoon.

Ahaa, tätä en tiennytkään. Jo tuon asetuksen itsensä etsiminen oli jo aikamoisen salapoliisityön takana ja googlettamalla löysin tämän ohjeen - ilmeisesti se on sitten väärin. Olen siis vasta muutaman kuukauden käyttänyt tätä ER-X:ää, joten näköjään oppimista on. Löysin nyt tällaisen ohjeen, joka lomittuu tuohon @Monty68 vastaukseen. Laajensin tuon ohjeen käyttämään molempia WAN-porttejani ja ainakin toistaiseksi netti edelleen toimii, joten en onnistunut rikkomaan mitään. En tiedä miten tätä nimipalvelimen todellista toimintaa pystyisi testaamaan.

Tämä konffi nyt purkissani - eth0 (vdsl) ja eth1 (4G):

configure
    delete system name-server
    set system name-server 127.0.0.1
    set interfaces ethernet eth0 dhcp-options name-server no-update
    set interfaces ethernet eth1 dhcp-options name-server no-update
    set service dns forwarding options strict-order
    set service dns forwarding name-server 1.1.1.1
    set service dns forwarding name-server 1.0.0.1
    commit
    save
exit
release dhcp interface eth0
renew dhcp interface eth0
release dhcp interface eth1
renew dhcp interface eth1

show dns forwarding nameservers
    -----------------------------------------------
       Nameservers configured for DNS forwarding
    -----------------------------------------------
    0.0.0.0 available via 'statically configured'
    1.1.1.1 available via 'statically configured'

 

[Monty68]

Ahaa, tätä en tiennytkään. Jo tuon asetuksen itsensä etsiminen oli jo aikamoisen salapoliisityön takana ja googlettamalla löysin tämän ohjeen - ilmeisesti se on sitten väärin. Olen siis vasta muutaman kuukauden käyttänyt tätä ER-X:ää, joten näköjään oppimista on. Löysin nyt tällaisen ohjeen, joka lomittuu tuohon @Monty68 vastaukseen. Laajensin tuon ohjeen käyttämään molempia WAN-porttejani ja ainakin toistaiseksi netti edelleen toimii, joten en onnistunut rikkomaan mitään. En tiedä miten tätä nimipalvelimen todellista toimintaa pystyisi testaamaan.

Tämä konffi nyt purkissani - eth0 (vdsl) ja eth1 (4G):

configure
    delete system name-server
    set system name-server 127.0.0.1
    set interfaces ethernet eth0 dhcp-options name-server no-update
    set interfaces ethernet eth1 dhcp-options name-server no-update
    set service dns forwarding options strict-order
    set service dns forwarding name-server 1.1.1.1
    set service dns forwarding name-server 1.0.0.1
    commit
    save
exit
release dhcp interface eth0
renew dhcp interface eth0
release dhcp interface eth1
renew dhcp interface eth1

show dns forwarding nameservers
    -----------------------------------------------
       Nameservers configured for DNS forwarding
    -----------------------------------------------
    0.0.0.0 available via 'statically configured'
    1.1.1.1 available via 'statically configured'

On, myös jakosuhde asetus, jos ei käytä failover ominaisuutta, vaan kahta yhteyttä samanaikaisesti. Esimerkiksi tiedostojen latausnopeudet saattaa nousta. Itse oletan, että weight arvojen yhteen laskettu summa pitäisi olla 100. Oletuksena se on 50, jos on kaksi yhteyttä, eli molemmissa porteissa on 50, mutta esimerkiksi arvot 67 ja 33 kelpaa, koska niistä tulee 100. Täytyy myöntää, että en ole failover tilaa käyttänyt ja en tiedä pitääkö siinäkin määritellä jakosuhde. Tuossa on se mitä minulla on nyt käytössä.

load-balance {
    group G {
        exclude-local-dns disable
        flush-on-active enable
        gateway-update-interval 20
        interface eth0 {
            weight 74
        }
        interface eth1 {
            weight 26
        }
        lb-local enable
        lb-local-metric-change disable
    }
}

Itse aloitin load-balance konfiguraation tekemisen katsomalla vanhan videon, mutta siinä ei varoiteltu tai kerrottu DNS palvelin ongelmista. Itsellä ei ole failover tila käytössä.

 

[DivX]

Itse aloitin load-balance konfiguraation tekemisen katsomalla vanhan videon, mutta siinä ei varoiteltu tai kerrottu DNS palvelin ongelmista. Itsellä ei ole failover tila käytössä.

Joo itsekään en käytä tuota failoveria, sillä tavoite oli nimenomaan parantaa latausnopeuksia, sillä paukkulankaa pitkin ei tule enempää kuin 50M. Tein perusasetukset ensin tuon "Load balancing" -velhon kautta jättäen "failover only" täpän laittamatta. Laitoin siihen perään sitten nuo DNS-säädöt. En ole osannut oikein miettiä miten tuota balansointia pitäisi soveltaa saadakseni täyden hyödyn tästä omasta setistä - defaulttinahan tuo tosiaan on 50/50.

 

[taikamuki]

Minkälainen homma Edgerouterilla on ottaa ipv6 käyttöön jos sellainen joskus sattuu operaattorille tulemaan? Perusasetukset edgerouterilla onnistuu mutta ipv6 itsessäänkin on vielä vähän mukavuusalueen ulkopuolella. Vai onko homma oleellisesti helpompi jollain kuluttajareitittimellä ja minkälaiset palomuurit niissä on sitten outofthebox?

Ei nyt sinänsä liity ubiquitin tuotteisiin, mutta itse olen aina pitänyt hyvänä tapana laittaa tietyille laitteille staattiset ip-osoitteet (kuten esimerkiksi tulostimet) paremman toimivuuden toivossa, unohdetaanko tämä ipv6-verkossa?

 

[kryptonian]

Minkälainen homma Edgerouterilla on ottaa ipv6 käyttöön jos sellainen joskus sattuu operaattorille tulemaan? Perusasetukset edgerouterilla onnistuu mutta ipv6 itsessäänkin on vielä vähän mukavuusalueen ulkopuolella. Vai onko homma oleellisesti helpompi jollain kuluttajareitittimellä ja minkälaiset palomuurit niissä on sitten outofthebox?

Käytännössä EdgeRouterin UI kannattaa täysin unohtaa kun sitä configuroi, mutta pitäisi onnistua suhteellisen helposti mikäli operaattori tekee sen oikein eli tarjoaa sen DHCPv6-PD:n kautta.
Palomuuria ei ole oletuksena lainkaan IPv6:delle.

Ei nyt sinänsä liity ubiquitin tuotteisiin, mutta itse olen aina pitänyt hyvänä tapana laittaa tietyille laitteille staattiset ip-osoitteet (kuten esimerkiksi tulostimet) paremman toimivuuden toivossa, unohdetaanko tämä ipv6-verkossa?

Vielä ei ole tullut yhtäkään tulostinta vastaan, joka edes tukisi IPv6:tta.

 

[Pakana]

Kysymys taisi olla että unohdetaanko staattisen ipv6 osoitteen käyttö.

 

[kryptonian]

Kysymys taisi olla että unohdetaanko staattisen ipv6 osoitteen käyttö.

Voihan sitäkin edelleen käyttää, mutta suurimmaksi osaksi se on todennäköisemmin unohdettu kun laitteet generoi itse oman osoitteensa MAC:n perusteella.

 

[ztec]

USG Pro 4.

ER-12 vermeellä IPsec tunnelin sisältö linkkaantuu itseasiassa WAN:iin, eli WAN_IN säännöt pitää tehdä liikenteelle. Kun taas itse tunneli (se ulkopuoli) on sitten WAN_LOCAL:in kautta.

Olihan tuossa tunkkaamista ja pakko sanoa, että dokumentointi oli sika huonoa, olematonta, ja toimimaan sai vaan ahkeralla kokeilemisella, foorumien selaamisella, mietiskelemisellä, haarukoinnilla ja tulosten kirjaamisella. Tosi työlästä touhua. Taisi mennä täysi viikko palomuurin konfiguroinnissa.

Edit, jatkot.

Minkälainen homma Edgerouterilla on ottaa ipv6 käyttöön jos sellainen joskus sattuu operaattorille tulemaan? Perusasetukset edgerouterilla onnistuu mutta ipv6 itsessäänkin on vielä vähän mukavuusalueen ulkopuolella. Vai onko homma oleellisesti helpompi jollain kuluttajareitittimellä ja minkälaiset palomuurit niissä on sitten outofthebox?

IPv6 meni tosi helposti, mutta kuten samip tuossa sanoi, niin kaikki vaan konfiggiin suoraan. Myös tunneloituna toimii helposti ja hyvin, eli jos haluaa käyttää 6rd / 6in4 tunneleita, niin no problem. Esim he.net / kuusitunneli.fi

 

[Tege]

ER-12 vermeellä IPsec tunnelin sisältö linkkaantuu itseasiassa WAN:iin, eli WAN_IN säännöt pitää tehdä liikenteelle. Kun taas itse tunneli (se ulkopuoli) on sitten WAN_LOCAL:in kautta.

Olihan tuossa tunkkaamista ja pakko sanoa, että dokumentointi oli sika huonoa, olematonta, ja toimimaan sai vaan ahkeralla kokeilemisella, foorumien selaamisella, mietiskelemisellä, haarukoinnilla ja tulosten kirjaamisella. Tosi työlästä touhua. Taisi mennä täysi viikko palomuurin konfiguroinnissa.

Eikö tällöin ole kyseessä rule pohjainen tunneli?

 

[ztec]

Eikö tällöin ole kyseessä rule pohjainen tunneli?

Kyllä route, eli ei vti tunneli. VTI:tä en ole kosaan käyttänyt, mutta se on ilmeisesti monipuolisempi optio. Toisaalta, IPsec tunneleissa on se hauska puoli, että vaikuttaa siltä, että noilla IP osoitteilla jotka siihen syötetään ei ole mitään tekemistä tunnelin kanssa, vaan reitityksen kanssa, vaikka ne onkin niputettu saman UI:n alle. Sen sijaan, että luo monta pientä tunnelia, voi luoda yhden tunnelin eri maskilla ja se toimii ihan yhtä hyvin. - Kai nämäkin on jossain dokumentoituna, että mitä voi tehdä miten ja miksi niin voi tehdä. Mutta taitaa olla että 99,99% käyttäjistä ei kyllä tiedä miten noi hommat toimii.

configure
...

Tuosta puuttuu DNS:n logitus. DNS logit ja valvonta on ihan yhtä tärkeää kuin muukin palomuuraus. Varsinkin tuolla esimerkki konfiguraatiolla palomuurin voi helposti ohittaa kuka tahansa esimerkiksi käyttäen ilmaista dnskv.com palvelua, eikä siitä jää edes merkintöjä logiin, jos logi ei kerran ole käytössä.[/CODE][/QUOTE]

 

[Richard]

Onko tullut vastaan tapauksia missä tukarin 2,4 GHz -verkko hajoaa? Jostain syystä mikään laite ei saa kunnolla vakaata yhteyttä, vaan pätkii ja yhteys on epäluotettava. 5 GHz on ok. Kyseessä siis nanoHD ja mitä tilalle?

 

[surina]

Onko tullut vastaan tapauksia missä tukarin 2,4 GHz -verkko hajoaa? Jostain syystä mikään laite ei saa kunnolla vakaata yhteyttä, vaan pätkii ja yhteys on epäluotettava. 5 GHz on ok. Kyseessä siis nanoHD ja mitä tilalle?

Tässä taannoin tuli päivitys, joka rikkoi juuri 5 Ghz verkon ja laitteet yhdistivät vain 2.4 Ghz verkkoon.
En tiedä onko viimeisimmässä päivityksessä jo korjattu.
Näkyy omassa nanoHDssa olevan vielä 4.3.21 firmware, jossa molemmat verkot toimii.

 

[escalibur]

Onko tullut vastaan tapauksia missä tukarin 2,4 GHz -verkko hajoaa? Jostain syystä mikään laite ei saa kunnolla vakaata yhteyttä, vaan pätkii ja yhteys on epäluotettava. 5 GHz on ok. Kyseessä siis nanoHD ja mitä tilalle?

Ettei vaan kyse olisi ruuhkaisista kanavista ja tai kantaman riittämättömyydestä?

 

[Richard]

Tässä taannoin tuli päivitys, joka rikkoi juuri 5 Ghz verkon ja laitteet yhdistivät vain 2.4 Ghz verkkoon.
En tiedä onko viimeisimmässä päivityksessä jo korjattu.
Näkyy omassa nanoHDssa olevan vielä 4.3.21 firmware, jossa molemmat verkot toimii.

Uusin 5.43.23.12533 on sisässä.

 

[Richard]

Ettei vaan kyse olisi ruuhkaisista kanavista ja tai kantaman riittämättömyydestä?

Transmit power low/medium, autoakin kokeiltu. Ainoastaan yksi tukari kanavalla 1, kokeiltu 6/11. Näköyhteys laitteiden välillä, etäisyyttä korkeintaan pari metriä.

Samsungin luuri, LG:n OLED TV ja Roborock-roboimuri oireileivia asiakkaita.

 

[surina]

Uusin 5.43.23.12533 on sisässä.

Ubiquitin software release sivuilta pääsee lukemaan kyseisestä päivityksestä - > Linkki
näkyy olevan monta sivua asiaa ja paljon ongelmia mm. nanoHDlla.

 

[Richard]

No hemmetti, kokeillaans vanhempaa. Ennen kyllä toiminu! Nakkaanpa 5.43.19 sisään.

 

[Richard]

Vanhalla firmiksellä homma toimii. Ainoa ongelma on Samsungin luuri joka syö akun jos liittyy wifiin kun käyttää lokaatiota kokoajan, mutta pistetään se sen softan piikkiin.

 

[Algron28]

Ubiquiti näyttää päivittäneen verkkosivunsa. Edgemax näyttää olevan sysätty aika sivuosaan ja pitää todellakin kaivaa löytääkseen kyseisen sarjan vehkeet. Tosin itse olen jo pidemmän aikaa ounastellut että Edgemax sarja tullaan jossain vaiheessa, jos ei nyt dumppaamaan kokonaan niin siirtämään taka alalle. Samoin community osiota ei kyllä enää juuri mainosteta ja ehkä ihan hyvästä syystä.(Se kun ei ole hyvää mainosta Ubille)

 

[kryptonian]

Mutta mikä olis sopiva korvike EdgeRoutereille? Unifi sarjan laitteet kun ei sovellu DataCenter käyttöön ja tarvitsisi tukea Wireguardia.

 

[Algron28]

Itsellä ainakin oli tarkoitus alkaa pikkuhiljaa tutustumaan Mikrotikin kamppeisiin. Lukeman perusteella niissä on omat ongelmansa, mutta on alkanut tuntumaan Ubin kohdalla että jos Unifi ei riitä omaan käyttöntarkoituksiin niin Ubilta ei pitkä aikaista vaihtoehtoa löydy.