Kokemuksia Ubiquitin reitittimistä (ja muista verkkovermeistä).

Ihan kiva ois hommata noi Ubiquitin vehkeet viimeinkin kun nyt valokuitu kytketty mutta kertakaikkiaan mitään ei ole saatavilla. Tällästä settiä ajattelin mutta vain noita WiFI 6 LR:ä varastossa.

EdgeRouter X

Switch Lite 8 PoE

Access Point WiFi 6 Long-Range
Kannattaa seurata käytettyjen myynti-ilmoituksia eri sivustoilla, jos käytetty EdgeRouter kelpaa. Kahta muuta tuotetta ei välttämättä löydy kuin ainoastaan uutena ja avoimella toimitusajalla.
 
Dhcp:tä ei saa pois ennen kuin muuttaa pömpelin sillatuksi. Tällöin mesh kuolee ja jokainen ap on oma sillattu laitteensa,. Tohon mä en ole vielä valmis kun en osaa arvioida miten paljon tuo mesh parantaa dataperheen käyttökokemuksia.
Epäilin tätä koska oma tplinkin mesh systeemi toimii meshinä sillatussa tilassa, enkä keksinyt syytä miksi mesh ei voisi toimia(itselläkin toinen reititin hoitaa sitten reitittämisen), mutta totta tosiaan googlen meshi menettää tuon mesh ominaisuuden bridged modessa jostain syystä. :hmm:

Edit: Eikä tosiaan kannata tuosta mesh ominaisuudesta luopua. Ei yksi riitä isompaan asuntoon.
 
Viimeksi muokattu:
Ihan kiva ois hommata noi Ubiquitin vehkeet viimeinkin kun nyt valokuitu kytketty mutta kertakaikkiaan mitään ei ole saatavilla. Tällästä settiä ajattelin mutta vain noita WiFI 6 LR:ä varastossa.

EdgeRouter X

Switch Lite 8 PoE

Access Point WiFi 6 Long-Range

Edgerouter 4 ja 6P -mallia näyttäisi löytyvän ainakin Suomen kaupoista. Jos joskus on tarkoitus päivitellä gigaseen, niin nuo toimii ainakin sen kanssa mukavasti. Itsellä gigasen kanssa juurikin tuo ER 4.
 
Itsellä on ollut yli vuoden verran USG Pro 4 palomuuri kaikilla IPS toiminnoilla päällä ja noin 400Mb menee ainakin tuon läpi ongelmitta. Muurissa on kahden operaattorin yhteydet kytketty LB tilaan 1:1. Vaihtumassa mahdollisesti Dream Machine SE sitten joskus kun sellaisen saa kun on tarve saada 10Gb reititys toimimaan .
 
Miten tämä sitten korjattiin? Ajastetulla bootilla tai dhcp:n uusimisella?

Onko tämä joku meidän operaattoreiden erikoisuus vai miksi ulkomaisilta foorumeilta ei äkkiseltään löydy tukea asialle?
Itsellä on kanssa yhtenä yhteytenä Telia, mutta eri modeemi, eikä mitään tuollaista ongelmaa ole, eli epäilenkin että syy on modeemissa tai sen asetuksissa. Yhteys on toiminut, jos jotain vikaa on ollut, niin se on ollut Teliassa tai kaapelissa, jossa yhteys kulkee. Voi hyvinkin olla yhteysmodeemi kohtainen ongelma. Ainoastaan load-balance konfiguraatio asetukset ja kaksi eri internet yhteyttä saa kaiken sekoamaan, jos se on väärin konfiguroitu EdgeRouter:n, eli siinä kohtaa jopa yhteysmodeemit sekoaa. Load-balance konfiguraatiossa ei saa käyttää yhdenkään käytössä olevan operaattorin DNS-palvelimia ja on pakko valita täysin molemmista operaattoreista riippumattomat DNS-palvelimet.
 
Viimeksi muokattu:
Epäilin tätä koska oma tplinkin mesh systeemi toimii meshinä sillatussa tilassa, enkä keksinyt syytä miksi mesh ei voisi toimia(itselläkin toinen reititin hoitaa sitten reitittämisen), mutta totta tosiaan googlen meshi menettää tuon mesh ominaisuuden bridged modessa jostain syystä. :hmm:

Edit: Eikä tosiaan kannata tuosta mesh ominaisuudesta luopua. Ei yksi riitä isompaan asuntoon.

Joo tosiaan Googlella on nämä omat erikoisuudet. Vaihdoin oman google meshin ubiquitin kolmeen tukariin ja wifi-verkon kantavuus on heittämällä parempi kuin mitä googlella aikaiseksi sain. Siis heittämällä, ja google mesh-verkkoa olin säätänyt pitkään ja hartaasti testaten eri lokaatioita kiekoille.

Roamaamisen nopeus on myös hämmästyttävän ripeää, tähän toki vaikuttaa päätelaitteetkin. Yleensä puhelin tai läppäri on se minkä kanssa seilataan huoneesta toiseen ja tukarin vaihto toki nyt näkyy (mm. teams palavereissa), mutta swappi on loogista ja nopeaa. Meshissa tätä ei tietenkään näy kun liikutaan mesh-verkon alueella katkomatta sessiota.

Onnistuin haasteiden jälkeen lisäämään yhden google wifi ap:n osaksi langatonta verkkoa. Venytin tuolla langattoman verkon autotalliin, niin ei tarvinnut sinne enää uutta ubiquitin tukaria ostaa. Googlen purkit toimii lisäksi myös sillattuna niin, että sen purkin toisen lan-portin voi ottaa käyttöön. Tätä epäilin, mutta niin vaan hue-silta on toisessa portissa kiinni ja silta on saanut ubiquitin jakamasta dhcp-poolista iparin.
 
Itsellä on kanssa yhtenä yhteytenä Telia, mutta eri modeemi, eikä mitään tuollaista ongelmaa ole, eli epäilenkin että syy on modeemissa tai sen asetuksissa. Yhteys on toiminut, jos jotain vikaa on ollut, niin se on ollut Teliassa tai kaapelissa, jossa yhteys kulkee. Voi hyvinkin olla yhteysmodeemi kohtainen ongelma. Ainoastaan load-balance konfiguraatio asetukset ja kaksi eri internet yhteyttä saa kaiken sekoamaan, jos se on väärin konfiguroitu EdgeRouter:n, eli siinä kohtaa jopa yhteysmodeemit sekoaa. Load-balance konfiguraatiossa ei saa käyttää yhdenkään käytössä olevan operaattorin DNS-palvelimia ja on pakko valita täysin molemmista operaattoreista riippumattomat DNS-palvelimet.
Ei mullakaan tuota ongelmaa ollut ciscon modeemilla vaan se ilmesty heti tuo technicolorin tultua.
 
Minulla on ylimääräinen EdgeRouter X enkä ole keksinyt sille käyttöä. Voisihan siitä reitittimen tehdä, mutta en ihan tarvitsisi sitäkään just nyt. Onkohan kellään mitään ajatusta mitä kahdella ERX:llä voisi saada aikaan samassa lanissa? Kuuskaistan netti on, ja päätelaitteesta porteista vain yksi jakaa osoitteen. Telian kanssa osoitteet tuli kaikkiin neljään porttiin.

Voisihan ERX:n varallakin pitää, mutta tuli vähän huono mieli, kun täällä porukka valittaa, ettei sitä saa mistään -> myyntiin?
 
Mulla on edgerouter X ja siinä sitten kaksi vlania; Koti ja IOT, mutta nyt tuo aiheuttaa vähän harmaita hiuksia. Noi on aika karkeasti jaoteltu: Koti vlanissa läppärit, tablet ja puhelimet, IOT:ssa kaikki muut. Nyt mulla pyörii esimerkiksi chromecast iot vlanissa ja puhelin koti vlanissa, joka tarkoittaa sitä, että en pystyä heijastamaan puhelimen tai läppärin näytöltä tavaraa, ilman että vaihdan verkkoa. Testi mielessä mulla on palomuuri liikenne molempiin suuntiin auki, mutta ei kuitenkaan toimi. Onko joku asetus / ominaisuus mikä pitäisi ottaa käyttöön, että koti vlanista pääsee käsiksi iot verkon laitteisiin, ilman verkon vaihtoa? koti verkko on 192.168.1.1/24 ja iot 10.10.10.1/24

Sama ongelma kun Home Assistant pyörii iot verkossa niin en pääse puhelimilla / läppäreillä käyttämään ha:n dashboardi
 
Mulla on edgerouter X ja siinä sitten kaksi vlania; Koti ja IOT, mutta nyt tuo aiheuttaa vähän harmaita hiuksia. Noi on aika karkeasti jaoteltu: Koti vlanissa läppärit, tablet ja puhelimet, IOT:ssa kaikki muut. Nyt mulla pyörii esimerkiksi chromecast iot vlanissa ja puhelin koti vlanissa, joka tarkoittaa sitä, että en pystyä heijastamaan puhelimen tai läppärin näytöltä tavaraa, ilman että vaihdan verkkoa. Testi mielessä mulla on palomuuri liikenne molempiin suuntiin auki, mutta ei kuitenkaan toimi. Onko joku asetus / ominaisuus mikä pitäisi ottaa käyttöön, että koti vlanista pääsee käsiksi iot verkon laitteisiin, ilman verkon vaihtoa? koti verkko on 192.168.1.1/24 ja iot 10.10.10.1/24

Sama ongelma kun Home Assistant pyörii iot verkossa niin en pääse puhelimilla / läppäreillä käyttämään ha:n dashboardi
Nuo chromecast yms kikkareet taitaa käyttää broadcast paketteja discover ominaisuuteen ja niiden saaminen toimimaan toiseen aliverkkoon taitaa olla aika työläs jos ei peräti mahdoton.
 
Mulla on edgerouter X ja siinä sitten kaksi vlania; Koti ja IOT, mutta nyt tuo aiheuttaa vähän harmaita hiuksia. Noi on aika karkeasti jaoteltu: Koti vlanissa läppärit, tablet ja puhelimet, IOT:ssa kaikki muut. Nyt mulla pyörii esimerkiksi chromecast iot vlanissa ja puhelin koti vlanissa, joka tarkoittaa sitä, että en pystyä heijastamaan puhelimen tai läppärin näytöltä tavaraa, ilman että vaihdan verkkoa. Testi mielessä mulla on palomuuri liikenne molempiin suuntiin auki, mutta ei kuitenkaan toimi. Onko joku asetus / ominaisuus mikä pitäisi ottaa käyttöön, että koti vlanista pääsee käsiksi iot verkon laitteisiin, ilman verkon vaihtoa? koti verkko on 192.168.1.1/24 ja iot 10.10.10.1/24

Sama ongelma kun Home Assistant pyörii iot verkossa niin en pääse puhelimilla / läppäreillä käyttämään ha:n dashboardi
Kannattaa kokeilla Googlella löytyviä ohjeita "mDNS, Edgerouter, chromecast". Osa ovat jo vuosia vanhoja, osa ei.
 
multicast DNS on tosiaan se juttu millä chromecastin (ja muut vastaavasti toimivat vermeet) saa pelaamaan. Edgerouterissa config tree -> services -> mdns alta löytyy kaksi vaihtoehtoa, reflector ja repeater. Ensimmäisen enablointi reflektoi ko. multicastin kaikkiin interfaceihin/vlaneihin. Jälkimmäisellä voi määrittää vain halutut interfacet tai vlanit (vif).
 
multicast DNS on tosiaan se juttu millä chromecastin (ja muut vastaavasti toimivat vermeet) saa pelaamaan. Edgerouterissa config tree -> services -> mdns alta löytyy kaksi vaihtoehtoa, reflector ja repeater. Ensimmäisen enablointi reflektoi ko. multicastin kaikkiin interfaceihin/vlaneihin. Jälkimmäisellä voi määrittää vain halutut interfacet tai vlanit (vif).
Joo ton löysinkin ja sainkin esimerkiksi HA:n toimivaan verkkojen välillä. Chromecast ei kuitenkaan vielä lähtenyt toiminaan. Löysin sitten jotain palomuuriavauksia joita pitäisi vielä koittaa tehdä vaikka tällä hetkellä aika lailla auki.

EDIT: confi ei ollut tallenttunutkaan oikein. Nyt tallentu oikein ja löydän koti verkosta chromecastin, joka iot-verkossca
 
Viimeksi muokattu:
Kerkesitkö ihmetellä tuota?
Enpä kyllä enää edes löydä mistä uudet asetukset sai päälle, muistaakseni se joskus tyrkytti niitä kokoajan mutta nyt ei löydy kohtaa mistä päästä sinne :hmm:

Edit: Löytyihän se, luultavasti onnistuu Networks -> Add new network -> Anna joku nimi Name -kohtaan ja klikkaa Advanced, anna VLAN ID, DHCP mode "None", Auto Scale Network pois päältä, Gateway IP/Subnet anna verkon osoite mikä se onkaan muodossa 192.168.1.2/24 (tämän vaatii nuo uudet asetukset mutta mitään merkitystä niillä ei mihinkään liene). Muuten oletusasetuksilla. Sitten Wifi-valikosta uuden SSID:n lisäys johon lisäät tuon luodun verkon. Luulisi tuolla menevän.

Etkö pääse täältä vanhaan asetusvalikkoon?
1632246554334.png
 
Viimeksi muokattu:
Itselleni osunut ”lottovoitto” ja alueelleni Valokuitunen (avoinkuitu) alkaa kaivamaan kuitua maahan. Pitäisi olla toiminnassa vielä tänä vuonna. Tähän asti ”pelleillyt” mobiiliyhteyden kanssa. Kuitumuuntimet ovat itselleni täysin uusia komponentteja. Onko tietoa millaisen boxsin Valokuitunen seinääni laittaa? USG-Pro käytössäni (+ iso kasa muita unifi laitteita) ja tämän käyttöä jatkan. Ilmeisesti nämä ”kuitumuuntimet” toimii itsestään jo reitittiminä? Onko näissä aina mukana erillinen WAN portti vai tuleeko tuosta pakollinen ylimääräinen NAT verkkooni?
Toinen kysymys, palvelun tarjoajaani en ole vielä valinnut. Onko kaikilla ns. ”by default” liittymissään julkinen ip-osoite, että pääsee myös sisäänpäin? (Vrt mobiiliin, julkinen ip lisäpalveluna)

onko joukossa Valokuitusen kuitu käyttäjiä :)
 
Ei kai mikään kuituoperaattori tarjoa laitetta jota ei saisi siltaavaksi, vaikka oletusasetus olisikin reititin.
 
Voi ...... kyllä ubiquiti nyt järjesti ikävän yllätyksen. Ensin hajosi Kytkin josta hajosi elko virtalähteestä. Sitten tilasin Enterprice 8 POE, jonka adoptoiminen ei onnistu.

Adoptointi tulee näkösälle
ready_adopt.jpeg
ja kun yrittää adoptoida
unable.jpeg



Itse kytkimeen ei pääse kiinni ip-osoitteella, eikä millään muullakaan. Näkyy consolissa ja toimii muuten., mutta ei voi hallita.

Kokeiltu:
-kaikki mahdolliset päivitykset
-puhelimen sovellus
-ip-osoitteella
-resetointi
-uudelleen käynnistykset, yhdessä ja erikseen

Ei vaan nyt hoksaa mistä kiinni :cautious:

Tai siis siitähän se on kiinni, että ip-osoitteet ei täsmää mutta millä tuohon pääsee kiinni?
 
Viimeksi muokattu:
Voi ...... kyllä ubiquiti nyt järjesti ikävän yllätyksen. Ensin hajosi Kytkin josta hajosi elko virtalähteestä. Sitten tilasin Enterprice 8 POE, jonka adoptoiminen ei onnistu.

Adoptointi tulee näkösälle
ready_adopt.jpeg
ja kun yrittää adoptoida
unable.jpeg



Itse kytkimeen ei pääse kiinni ip-osoitteella, eikä millään muullakaan. Näkyy consolissa ja toimii muuten., mutta ei voi hallita.

Kokeiltu:
-kaikki mahdolliset päivitykset
-puhelimen sovellus
-ip-osoitteella
-resetointi
-uudelleen käynnistykset, yhdessä ja erikseen

Ei vaan nyt hoksaa mistä kiinni :cautious:

Tai siis siitähän se on kiinni, että ip-osoitteet ei täsmää mutta millä tuohon pääsee kiinni?
Jos yhtään muistan oikein niin Ubiquitin "community" foorumilla on noista adoptiovaikeuksista ketju jos toinen. Kanmattaa sieltä kurkata jos et vielä ole.
 
Wifi-tukarina UAP AC Lite. Alkaa uudet työt ja haluisin tulevan työkoneen pitää ihan varmuuden vuoksi jotenkin erilleen kotiverkosta. Verkkoasetukset on jääny aina vähän jotenki tuntemattomaksi, mutta olen ymmärtänyt että jotenkin noita "verkkoja" saisi eriteltyä?
 
Ubin Poe kytkimet ei resetoidu jos kytkimessä on verkkojohtoja paikallaan. Syystä tai toisesta tuo estää resetoinnin. Törmäsin tuohon kun tappelin omien adopt ongelmien kanssa, kaapelit irti ja sitten resettiä ja sai tehtyä adoption uudelleen. Jos aikaisemmin adaptoitu niin tuo laite pitää käydä poistamassa hallinnasta, että se saadaan uudelleen adoptoitua.
 
Wifi-tukarina UAP AC Lite. Alkaa uudet työt ja haluisin tulevan työkoneen pitää ihan varmuuden vuoksi jotenkin erilleen kotiverkosta. Verkkoasetukset on jääny aina vähän jotenki tuntemattomaksi, mutta olen ymmärtänyt että jotenkin noita "verkkoja" saisi eriteltyä?

Oliko sinulla reittimenä jokin Ubiquitin laite? Jos kyllä, niin Controller softassa pitäisi perustaa ensin uusi verkko (network) omalla VLAN:illa ja sitten uusi wifi-verkko, johon kytketään perustamasi VLAN. Lopuksi vielä palomuurisäännöillä estetään liikenne verkkojen välillä.
 
Oliko sinulla reittimenä jokin Ubiquitin laite? Jos kyllä, niin Controller softassa pitäisi perustaa ensin uusi verkko (network) omalla VLAN:illa ja sitten uusi wifi-verkko, johon kytketään perustamasi VLAN. Lopuksi vielä palomuurisäännöillä estetään liikenne verkkojen välillä.

Joo, Edgerouter X löytyy.
 
Onnistuu tuo Edgerouterissa, yllä mainitun lisäksi DHCP-palvelin pitää perustaa myös. Jos et ole aiemmin ottanut VLANiä kytkimessä käyttöön, niin ole erityisen tarkkana palomuurisääntöjen kanssa. Onnistuin itse estämään itseltäni pääsyn hallintasivuille, kun en tehnyt muutoksia ajatuksen kanssa. Varmuuskopiot kannattaa ehdottomasti ottaa. Oleellisinta on, ettei palomuurisäännöissä ole viittauksia eth-porttiin, vaan switch0.x -porttiin (x = VLAN:in numero). Tässä esimerkiksi Ubiquitin oma ohje, jossa on neuvottu vaihe vaiheelta tämän tekeminen. Tuon ohjeen jälkeen uuden wifi-verkon voi luoda vaikka tämän ohjeen (alku sama kuin Ubiquitin ohjeessa) avulla.
 
Ubiin liittyen mielenkiintoinen video Crosstalkilta Ubin mainoskäytännöistä



Lisäksi siellä Ubin "community" foorumilla on viimeaikoina epäilty tapahtuvan myöskin sissimarkkinointia Ubin toimesta. Virallisilla tileillähän ei vastauksia tai ainakaan hyödyllisiä sellaisia ole pariin vuoteen enää Ubin suunnalta siellä tullut joten koko foorumi on ollut lähinnä agression purkauspaikka huonosti toimivien Ubiquitin vermeiden käyttäjille. Ehkä se sen takia onkin piilotettu sivustolla niin hyvin.
 
Miten hitossa USG:n käyttöliittymän saa pysymään vanhassa pysyvästi. Muutaman päivän päästä kun menen hallintaan niin uusi ui taas käytössä ja taas asetuksista pitää mennä vaihtamaan vanha päälle. Joka kerta se sama ohjevideo pyörähtää ruutuun kun asetussivuille menee.
 
Pari viikkoa sitten huomasin, ettei Edgerouter4 ollut päivittänyt IP:tään dy.fi:in, kun ei VPN toiminutkaan kun olisi pitänyt. Tätä pariin otteeseen ihmettelin, mutta tänään löytyi syy: EdgeRoutereissa on ilmeisesti niin vanha CA-lista, että Let's Encryptin vanhan CA:n vanhennuttua ei uutta olekan listalla.

UI on luvannut julkaista päivityksen Edgeroutereille ja muille jo kuukauden päivät, mutta eivät ole saaneet aikaiseksi. Onneksi ketjusta löytyy näppärät ohjeet ongelman ratkaisemiseksi itse:

 
Pari viikkoa sitten huomasin, ettei Edgerouter4 ollut päivittänyt IP:tään dy.fi:in, kun ei VPN toiminutkaan kun olisi pitänyt. Tätä pariin otteeseen ihmettelin, mutta tänään löytyi syy: EdgeRoutereissa on ilmeisesti niin vanha CA-lista, että Let's Encryptin vanhan CA:n vanhennuttua ei uutta olekan listalla.

UI on luvannut julkaista päivityksen Edgeroutereille ja muille jo kuukauden päivät, mutta eivät ole saaneet aikaiseksi. Onneksi ketjusta löytyy näppärät ohjeet ongelman ratkaisemiseksi itse:


Mites dy.fi:n saa ylipäätään conffattua Edgerouteriin? Ei nyt ihan heti lähtenyt kun koitin webguin kautta saada toimimaan. OPNsensessä oli helppoa...
 
Mites dy.fi:n saa ylipäätään conffattua Edgerouteriin? Ei nyt ihan heti lähtenyt kun koitin webguin kautta saada toimimaan. OPNsensessä oli helppoa...

Muistaakseni se onnistuu sillä web-käyttöliittymässä olevalla DynDNS toteutuksella, kun käyttää Servicenä customia ja syöttää osoitteet käsin, mutta itse kun haluan myös ipv6-osoitteen mukaan, ei tuo web-käyttöliittymän palvelu toimi.

Siispä olen tehnyt itselle bash-scriptin, joka ensin tarkastaa netistä yhteyden ipv4 ja ipv6 osoitteet ja vertaa niitä edellisen tarkastuksen IP:siin. Jos jompi kumpi osoite on muuttunut tai edellisestä päivityksestä on yli 5 päivää, tekee skripti curl:illa päivityksen dy.fi:in, jossa menee samalla ipv4 ja ipv6 osoitteet. Tuo skripti on sitten ajastettu edgeos:n task schedulerilla ajamaan vartin välein.
 
Jees, lähti se toimimaan kun osoitteet ja protokollat sai kohdilleen.

Alla toimivat asetukset Edgerouter 4 ja dy.fi kombolle:
Koodi:
Interface: <WAN>
Web: dyndns
Web-skip:
Service: custom - dyfi
Hostname: <oma>.dy.fi
Protocol: dyndns2
Server: www.dy.fi

Vielä pitää katsella miten se pitää tuon ajan tassalla. Mitään päivitysväliä guissa ei voi konffata.
 
Ehtiskö joku heittämään apuja, että miten Unifi vpn:n saa toimimaan julkisesta verkosta USG:lle. Mä olen luonut VPN:n ja sisäverkosta testattuna (wan interface ip server-osoitteen) yhteys muodostetaan. Mitäs nyt pitäisi tehdä, että vpn:n saa julkisesta verkosta auki?
Edessä on 4g-modeemi (sillattu), jossa operaattorin sim ja julkinen ip x.x.x.x. Sen perässä sitten usg, jolla on wan-interfacelle 10.c.c.c osoite ja sitten sen jälkeen on USG 192.168.86.1 osoitteessa. Pitääkö jotain forwardoida, tai muureja avata vai mitä..
 
Edessä on 4g-modeemi (sillattu), jossa operaattorin sim ja julkinen ip x.x.x.x. Sen perässä sitten usg, jolla on wan-interfacelle 10.c.c.c osoite ja sitten sen jälkeen on USG 192.168.86.1 osoitteessa. Pitääkö jotain forwardoida, tai muureja avata vai mitä..
1) 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) on eli 10.c.c.c osoite on privaatista Single Class A:sta. Ellei julkinen ip x.x.x.x ole oikeasti julkinen, homma ei toimi ollenkaan internetistä (onko modeemin APN väärä?). Jos julkinen ip x.x.x.x on oikeasti julkinen, niin modeemin pitää reititää julkinen ip x.x.x.x -> USG 10.c.c.c, myös se protokolla ja portti, mitä VPN käyttää.
2) USG:n palomuurisääntöihin pitää sallia WAN-interfacesta sisääntuleva liikenne (TCP vai UDP) siihen porttiin, mitä VPN kuuntelee. Sitten voisi toimia.
 
1) 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) on eli 10.c.c.c osoite on privaatista Single Class A:sta. Ellei julkinen ip x.x.x.x ole oikeasti julkinen, homma ei toimi ollenkaan internetistä (onko modeemin APN väärä?). Jos julkinen ip x.x.x.x on oikeasti julkinen, niin modeemin pitää reititää julkinen ip x.x.x.x -> USG 10.c.c.c, myös se protokolla ja portti, mitä VPN käyttää.
2) USG:n palomuurisääntöihin pitää sallia WAN-interfacesta sisääntuleva liikenne (TCP vai UDP) siihen porttiin, mitä VPN kuuntelee. Sitten voisi toimia.

Moi,

Siis on liittymällä toki julkinen operaattorin osoite. Mutta kun tuo usg luo wan interfacelle modeemin suuntaan privaattiosoitteen johon sisäverkossa tuo vpn terminoidaan.

Ketju menee siis näin:
Julkinen 88.x.x.x > modeemin ip 192.168.1.1 > usg wan intrerface 10.x.x.x > usg:n gw 192.168.86.1 ja tuo jakaa lähiverkolle ip:t dhcp:ltä.

Eli jonkun osoitteiden väille pitää tehdä forwarderia ja muurisäännöt mukaan. Forwarderi varmaan sitten sille privaatti wanille ja siitä usg:n privaosoitteelle.

Kun toi modeemi on sillattu niin se julkinen osoite ei ilmeisesti näy usg:lle mitenkään.
 
Ketju menee siis näin:
Julkinen 88.x.x.x > modeemin ip 192.168.1.1 > usg wan intrerface 10.x.x.x > usg:n gw 192.168.86.1 ja tuo jakaa lähiverkolle ip:t dhcp:ltä.
1)-kohta lienee ok, jos oletetaan, että modeemi automaagisesti forwardoi joka ainoan paketin usg:n wan-interfaceen. Eli sille ei pysty eikä tarvitse tehdä mitään
2)-kohdassa siis vain pitää erikseen sallia, että VPN:n paketit (protokolla+portti) passataan (any src -> dst=this firewall/WAN address)
 
1)-kohta lienee ok, jos oletetaan, että modeemi automaagisesti forwardoi joka ainoan paketin usg:n wan-interfaceen. Eli sille ei pysty eikä tarvitse tehdä mitään
2)-kohdassa siis vain pitää erikseen sallia, että VPN:n paketit (protokolla+portti) passataan (any src -> dst=this firewall/WAN address)

Palomuurisäännöt tulikin automaattisesti kun vpn:n perustaa. Ovat wan in:n alla, eli oikeassa paikassa. Forwarederit pitää tehdä ja ohjeen mukaan:

"To fix this issue, it is necessary to forward UDP port 500 and UDP port 4500 on the upstream router/modem to the WAN address of the USG/UDM. "

Tein nyt sitten näin, mutta eihän tämä toimi. Luin tuota tekstiä tarkemmin, niin tässä annetaan ymmärtää, että forwarderi pitäisi olla modeemissa ja forwardoida tavaraa USG:lle. Miten sen muka pystyy tekemään kun modeemi on sillattuna.

1636820648789.png


Edit. niin toi huawei modeemin bridged tila ei ole aito bridged tila, sillä se ei vie julkista osoitetta usg:lle asti, vaan pistää väliin 10-verkon privaattinatin. MIkä helvetin juttu tuo nyt on? Ja mikä tuon siltatilan pointti on, jos ilman siltatilaa välissä on saman verran nattia kuitenkin.
 
Viimeksi muokattu:
Miten sen muka pystyy tekemään kun modeemi on sillattuna
Niin, eihän sitä pitäisi tarvita, jos modeemi on oikeasti sillattuna, kuten esim. VDSL:n tapauksessa, jossa perässä oleva laite saa oikean julkisen IP4:n.
Jos laitat modeemin väliaikaisesti reitittävään tilaan ja lisäät portinohjaukset noille, niin voit testata, että USG:n puoli toimii ja VPN:ään saa yhdeyden.
Sitten kun USG varmasti toimii ja laitat modeemin takaisin "siltaavaan" tilaan: jos VPN lakkaa toimimasta niin mitään ei liene tehtävissä
 
Niin, eihän sitä pitäisi tarvita, jos modeemi on oikeasti sillattuna, kuten esim. VDSL:n tapauksessa, jossa perässä oleva laite saa oikean julkisen IP4:n.
Jos laitat modeemin väliaikaisesti reitittävään tilaan ja lisäät portinohjaukset noille, niin voit testata, että USG:n puoli toimii ja VPN:ään saa yhdeyden.
Sitten kun USG varmasti toimii ja laitat modeemin takaisin "siltaavaan" tilaan: jos VPN lakkaa toimimasta niin mitään ei liene tehtävissä

Ja nyt mä ymmärrän lisää. Otin siltatilan pois modeemista, ja modeemi kertoo, että wan-osoite on 10.x.x.x. ELi oliko tässä 4g-maailmassa jotakin sellaista, joka ei tarjoa käyttäjille aitoa julkista osoitetta käyttöön. Eijhän nuo vpn:t voi ikimaailmassa silloin toimia.
 
ja modeemi kertoo, että wan-osoite on 10.x.x.x. ELi oliko tässä 4g-maailmassa jotakin sellaista, joka ei tarjoa käyttäjille aitoa julkista osoitetta käyttöön
Siis kyllähän sillä modeemilla on tiedossa ja näyttää oikea WAN-osoite, joka (liittymästä riippuen) on julkinen (tai privaatti, jos liittymä ei salli tai APN ei ole julkiselle IP:lle oikea).

EDIT: Sehän on tietysti fakta, että cellumodeemiin ei oikeaa siltaavaa tilaa voi tehdä. Siksi reitittävä tila on lähes saman arvoinen kuin fake-siltaava, sillä erotuksella, että se varmasti toimii
 
Ja nyt mä ymmärrän lisää. Otin siltatilan pois modeemista, ja modeemi kertoo, että wan-osoite on 10.x.x.x. ELi oliko tässä 4g-maailmassa jotakin sellaista, joka ei tarjoa käyttäjille aitoa julkista osoitetta käyttöön. Eijhän nuo vpn:t voi ikimaailmassa silloin toimia.

Taitaa lähtökohtaisesti kaikki olla nykyään NAT:n takana. Julkinen ip-osoite onnistunee APN:ää vaihtamalla. Riippuu operaattorista ja liittymästä vaatiiko jotain lisäpalvelua/liittymätyypin muutosta, tai pelkkää aktivointia lisäksi.

EDIT: Sehän on tietysti fakta, että cellumodeemiin ei oikeaa siltaavaa tilaa voi tehdä. Siksi reitittävä tila on lähes saman arvoinen kuin fake-siltaava, sillä erotuksella, että se varmasti toimii

Miksi ei?
 
No mikä tässä on oikea tapa edetä. Asettaa modeemi siltaavaksi vai ei siltaavaksi?

Molempien lopputulos on se, että modeemi näyttää julkiseksi osoitteeksi 10.x.x.x. tosin whats my ip kertoo sitten, että minä näyn tosin maailmalle julkisen poolin osoitteella.

Asia ei kuitenkaan ole yksinkertainen vpn:n osalta, sillä modeemi tekee nattia välissä ja silloin siltaavassa tilassa ei pääse tekemään forwarderia modeemiin. Ei siltaavassa tilassa pääsee, mutta forwardointi on mahdotonta. Yhtäkään vpn porttia ei saa suoraan forwardoida koska huawei modeemi estää sen tietoturvasyistä. Portteja voi forwardoida, mutta esim haluttu udp500 pitää paljastaa maailmalle porttina 44444 (tai mikä vaan) ja kun tuon yrittää puhelimen vpn clientilla tavoitella tyyliin julkinen ip:44444 niin ei sieltä vpn m2ne päälle.

Mä en ole nyt kartalla ja voi olla että kaljakin vaikuttaa ;)
 

Modeemi taitaa neuvotella ip-osuuden suoraan verkon kanssa. Eli mobiiliverkossa ei esim. ole DHCP-palvelinta, joka voisi jakaa ip osoitteen tavalliselle ethernet-laitteelle. Jossain keskustelussa taisi olla linkki, jossa lisää tietoa.
 
No mikä tässä on oikea tapa edetä. Asettaa modeemi siltaavaksi vai ei siltaavaksi?

Molempien lopputulos on se, että modeemi näyttää julkiseksi osoitteeksi 10.x.x.x. tosin whats my ip kertoo sitten, että minä näyn tosin maailmalle julkisen poolin osoitteella.

Asia ei kuitenkaan ole yksinkertainen vpn:n osalta, sillä modeemi tekee nattia välissä ja silloin siltaavassa tilassa ei pääse tekemään forwarderia modeemiin. Ei siltaavassa tilassa pääsee, mutta forwardointi on mahdotonta. Yhtäkään vpn porttia ei saa suoraan forwardoida koska huawei modeemi estää sen tietoturvasyistä. Portteja voi forwardoida, mutta esim haluttu udp500 pitää paljastaa maailmalle porttina 44444 (tai mikä vaan) ja kun tuon yrittää puhelimen vpn clientilla tavoitella tyyliin julkinen ip:44444 niin ei sieltä vpn m2ne päälle.

Mä en ole nyt kartalla ja voi olla että kaljakin vaikuttaa ;)
Ensimmäisenä menet liittymän operaattorin sivuille ja katsot maksaako julkinen ipv4 osoite vai ei. Jos ei maksa, katso sieltä ohjeet miten se pitää asettaa käyttöön. Sitten kun saat tämän ja modeemi saa julkisen osoitteen voit edetä.
Yleensä eivät estä portteja mutta voit kokeilla tehdä modeemista porttiohjauksen palomuuriin halutut portit ja jos tämä ei auta, niin sitten pitää katsoa saako sieltä modeemista käyttöön DMZ eli ohjaa kaikki julkisen jutut kamat tuohon haluttuun IP-osoitteeseen eli USG:n osoitteeseen.
 
tosin whats my ip kertoo sitten, että minä näyn tosin maailmalle julkisen poolin osoitteella.
Totta kai jokainen, joka internetiin pääsee tulee sinne ulos jonkin IP:n kautta.
Mutta kun/jos sinulla ei ole omaa julkista IP4-osoitetta, niin tuo reitti on yksisuuntainen, eli siihen IP:seen lähtevät paketit eivät suinkaan tule sinulle, koska olet operaattorin CGnat:in takana

EDIT: Ja tuo ero julkinen vs ei-julkinen näkyy siinä, että whatsmyip etc. palvelut näyttävät eri osoitetta kuin modeemi/routerin WAN. CGnat antaa privaatin osoitteen, ei julkista
 
Noniin. ELi moin liittymä on puhtaasti CGnatin takana eikä siihen saa julkista staattista tai edes dynaamista ip:tä (josta kulku wanista sisälle). Telian liittymä on tuossa varalla. Voisin huomenna ihmetellä mitä sen kanssa pystyy tekemään.

Kyllä tossa huawei purkissa dmz on, tosin ei voi käyttää kun sillatussa tilassa. Eli täytyy siihen melkeinpä perehtyä seuraavaksi.
 
Noniin. ELi moin liittymä on puhtaasti CGnatin takana eikä siihen saa julkista staattista tai edes dynaamista ip:tä (josta kulku wanista sisälle). Telian liittymä on tuossa varalla. Voisin huomenna ihmetellä mitä sen kanssa pystyy tekemään.

Kyllä tossa huawei purkissa dmz on, tosin ei voi käyttää kun sillatussa tilassa. Eli täytyy siihen melkeinpä perehtyä seuraavaksi.
Telian liittymässä laita APN:ksi prointernet niin saat julkisen IP-osoitteen, toimii myös puhelinliittymissä. DNA:lla julkinen.dna.fi ja toimii vain dataliittymissä. Elisallakin on saatavilla, en muista ulkoa sitä.
 

Statistiikka

Viestiketjuista
262 438
Viestejä
4 551 196
Jäsenet
74 985
Uusin jäsen
Cactus

Hinta.fi

Back
Ylös Bottom