Mä blokkaan Kiinakameroiden in/out liikenteen internetiin/..stä. No sit toki vpn tarvitsee myös muuriavauksia jotta toimii. Niin ja kai toi geoblokkauskin viimeistellään muurissa...ehkä.
Ei välttämättä tarvitse koskea.
Huomasin äsken, että pari internetistä dataa hakevaa Homeassistantin integraatiota oli lakannut toimimasta, koska https tuli blokattua palvelimelta ulospäin.
Itse siirryin tuossa 2-3 viikkoa sitten kun EA firmware keskusteluissa näytti siltä, että lastentaudit korjattu ja toimii niin kuin pitää.
Ja siis, onhan tuo paljon mukavampi käyttää + ns. standardin mukainen setuppi.
Pari vinkkiä:
Ota backupit (toki palomuurimuutokseessa tekee myös oman backupin).
Varaa aikaa siihen, että joudut tekemään uudestaan / käymään läpi kaikki rajoitukset ja ehdot (riippuu tietysti millainen oma verkkosi on).
Voi olla helpompi ensin vähän miettiä mitä haluaa, ennen kuin alkaa konfiguroimaan.
Muutoksessa tulee todennäköisesti "liikaa" ehtoja, koska Unifi ottanut kannan, että tehdään mieluummin liikaa ehtoja kuin liian vähän.
Varaudu siihen, että joudut ns. trial-and-error tyyppisesti seuraamaan tilannetta muutaman päivän.
Mielestäni on helpompi eriyttää verkkoja tuosta "Internal" zonesta omille zoneille, kuin rajoittaa niitä siinä zonen sisällä (esim. IoT).
Jos osaat käyttää palomuureja niin ei tuon käyttöönotto ole mikään iso ongelma.
Jos et tiedä mitä teet ja ehdot on kunnossa, ehkä kannattaa jättää vanha paikalleen - mitään pakkoa ei ole siirtyä.
Periaatteessa toiminnot on samat ja ehdot tehdään aika samalla tavalla kuin vanhassakin. Uusina juttuina "Objektit" ja "Return Traffic" sekä "Invalid", jotka siis hieman muuttaa/helpottaa konfigurointia.
YouTubesta löytyy uudestakin jonkin verran videoita (esim. hakusana Unifi ZBF), mutta älyttömän hyvää videota/ohjetta en ole löytänyt.
Ohjeissa on tietysti se haaste, että kukaan muuhan ei voi tietää mitä itse haluat rajoittaa.
Tässä miltä oma taulukkoni näyttää:
Onko tavallisen tallaajan mitään järkee tuota päivittää?
No jos joku toimii jo, niin harvoin sitä kannattaa sorkkia sen kummemmin.
No kaikki muut toimii mutta en pääse kotiverkosta zto7010 siltaavaan purkkiin kii.. Nyt joudun läppärin laittaa kii suoraan siihen zto:n piuhaan ja mennä sillä sinne. Voisiko jotenkin tuolla palomuuri koodauksella saada silleen että kotiverkosta pääsis siihen suoraan?
Epäilen tuon siltaavan tilan eristävän zton muusta verkosta.
Vähän meni multa ohi.. siis sisäverkosta haluis päästä siihen zto:hon mut en pääse. Gateway on 192.168.254.2 ja zto on 192.168.254.1(läppäril pääsee ku suoraan kii zto:ssa). siis voisko sen saada koodattuu palomuuristä.. joo palomuuri koodaus on mulle vähä outoo..
Mikä sulla on sisäverkon osoiteavaruus? Täällä kyllä pääsee ZTE MC7010 asetuksiin ihan hyvin sisäverkosta
gateway max on 192.168.254.2 eli samassa avaruudessa on ZTE: een kanssa. Maxissa ei ole kuin se yksi ulosmeno käytössä, ei varayhtettyä. Mikähän sitten voisi olla pielessä kun en siihen pääse?Mikä sulla on sisäverkon osoiteavaruus? Täällä kyllä pääsee ZTE MC7010 asetuksiin ihan hyvin sisäverkosta
Onhan sulla max - ZTE piuha lan puolella molemmissa?
Wan portista tietysti pääsy estetty hallintasivulleEn ymmärrä mitä tarkoitat?
Jos reitittimen WAN-portissa olevan modeemin hallinta-IP on samassa aliverkossa kuin reitittimen LAN-portti, on tilanne epätavallinen. Jos tällöin sisäverkosta yrittää ottaa yhteyttä modeemiin, yhteys ei reitity. Sisäverkon osoiteavaruuden pitäisi olla modeemin halinta-IP:stä erillään.
Eli jos muutan sisäverkon osoiteavaruuden niin homma pitäisi sen jälkeen toimia normaalisti?
Itsellä on Telia PrePaid. 4,90€ maksoi ja mielestäni olen kerran laittanut kympin verran saldoa.
Mielestäni helpointa on muuttaa sisäverkon osoiteavaruus. Sinulla kun näyttää olevan Guest-verkko 192.168.3.0/24, niin Default voisi olla vaikka siitä vierestä 192.168.2.0/24. Helppo muistaa. Elisan ZTE-ohjesivun mukaan 192.168.254.1 on juurikin modeemin vakiohallintaosoite. En ole varma, voiko hallintaosoitetta muuttaa, mutta mielestäni ei kannatakaan.
Kyllä, sisäverkko pitää olla eri osoiteavaruudessa. Tätä hain kysymyksellä takaa, menee osoitteet päällekkäin. WAN IP sitten kuten on nytkin.
No voi perä.. tätä yritin ratkoo jo tuossa 1-2kk sitten mutta silloin ei tullut tälläistä vinkkiä. Ei tullut kyllä itsellä mielee että pitää olla eri avaruus kun yleensä pitää olla kaikissa sama että laitteet näkee toisensa. No innostuin muuttaa kotiverkon IP:een ja se rupesi toimii!! Iso kiitos vinkeistä, taas pääsee helposti katsomaan mihin tolppaan mokkula ottaa yhteyden.
Elisan latausliittymä voisi olla hyvä. 0€/kk, ja vähän yli 1€/päivä, jos nostaa nopeuden 300M 5G. Kalliiksi toki tulee, jos jokin sitä herättelee usein.
eu.store.ui.com
Jos vähän saa saivarrella, eivät samat osoitteet ole kahdella puolella "reitittimen näkökulmasta". Käy sillä lailla, että jos modeemin hallintasivun IP-osoite on sisäverkon osoiteavaruudessa, ei sisäverkon asiakaskone (jossa www-selain) ymmärrä lähettää hallintasivulle osoitettua pakettia reitittimen kautta. Vaikka ymmärtäisikin, reititin ei välittäisi pakettia modeemin suuntaan WAN-porttiin, koska reitittimen näkökulmasta kohde on sisäverkossa.
Tämä oli ihan tosi hyvä löytö ja vinkki. Mä kipuilin tämän kanssa aiemmin ja tein porttitägäystä (kierrätin wanin kytkimen kautta udm:n wan porttiin) tästä syystä. Olispa joku osannut aiemmin jo opastaa, että policy based routing on oikea ratkaisu. Eli kiitosOlisikin pitänyt tutkia / tajuta tämä aiemmin.
Jos siis haluaa päästä käsiksi WAN2 / Failover takana olevaan modeemin hallintaan, niin tässä ohjeet millä onnistuu. Sama tietysti käy mihin vaan muuhunkin laitteeseen muuttamalla tarpeen mukaan tietoja, mutta tässä ZTE MC7010 hallinta.
Settings --> Routing --> Policy-Based Routes.
Tutkailen Zone based fw:tä ja ihmettelen voiko tällä tehdä MAC ACL -sääntöjä, joilla blokkaa saman vlanin sisäistä liikennettä.
Network versiosta 8.2.93 lähtien security-näyttö oli tällainen (kuva YT-videosta, jossa käytetty UDM Pro Maxia):
Itsellä käytössä UDR ja sen Network v. 9.0.114 security-näytöltä ei löydy ACL Rules -tabia.
Toisaalta Zoneen voi näköjään tehdä Policy rulen, jossa sourcena on MAC. Alla kuvassa.
Onko kukaan tehnyt MAC ACL sääntöjä Zone based fw:hen ja käyttänyt yo. kuvan mukaisesti Zonen policy rulessa sourcena MACia?
Käynyt myös mielessä, onko Network-ohjelman version 9 toiminnallisuudessa security-näytöllä UDM Prossa ja UDR:ssä eroa ts. löytyykö ylemmän kuvan ACL Rules edelleen UDM Prosta.
Ei löydy UDR:stä ACL-näyttöä, alla kuva omasta laitteesta.
Tämä tosiaan vaatii L3 kykenevän kytkimen = reititys tehdään kytkimessä suoraan ilman, että data liikkuu reitittimelle asti.
