Kokemuksia Ubiquitin reitittimistä (ja muista verkkovermeistä).

Hiikeri

Team Intel
Liittynyt
13.12.2016
Viestejä
1 952
Ei ole juu, olen puhunutkin 4G:n lisäpalvelustani joka suhteessa joka on nimeltään 'Julkinen IP'.
Sen osoite kun on julkinen sekä vaihtuva.
Mainitsinkin aiemmin ettei kiinteätä IP:tä ole saatavilla ainakaan tälle Elisan 4G:lle (ei ainakaan ole valittavissa ko. palvelua).
 
Liittynyt
16.10.2016
Viestejä
8 707
Ei ole juu, olen puhunutkin 4G:n lisäpalvelustani joka suhteessa joka on nimeltään 'Julkinen IP'.
Sen osoite kun on julkinen sekä vaihtuva.
Mainitsinkin aiemmin ettei kiinteätä IP:tä ole saatavilla ainakaan tälle Elisan 4G:lle (ei ainakaan ole valittavissa ko. palvelua).
Yrityksille ainakin saa kaikilta. Ehkä ovat halunneet rajoittaa yksityisille. DNA ja Telia pitäisi vielä tarjota.
 
Liittynyt
17.10.2016
Viestejä
3 866
Telialta saa yhteyspiste+ palvelun mobiililaajakaistoihin joka on julkinen kiinteä IP. Saatavana myös yksityishenkilöillekkin.
 
Liittynyt
27.02.2017
Viestejä
31

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable

modify mullvad_route {
rule 10 {
action modify
description mullvad-vpn
modify {
table 1
}
source {
address 192.168.1.0/24
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 21 {
action accept
description "Accept Wireguard"
destination {
port 51820
}
log disable
protocol udp
}
rule 30 {
action accept
}
}
name WG_IN {
default-action accept
description ""
}
name WG_LOCAL {
default-action accept
description ""
enable-default-log
rule 1 {
action accept
description Wireguard
destination {
port 51820
}
log enable
protocol tcp_udp
}
}
options {
mss-clamp {
interface-type wg
mss 1380
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
description Internet
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
loopback lo {
}
wireguard wg0 {
address MULLVAD ADDRESS/32
listen-port 51820
mtu 1420
peer PEER KEY GIVEN BY MULLVAD {
allowed-ips 0.0.0.0/0
endpoint ENDPOINT ADDRESS GIVEN BY MULLVAD
persistent-keepalive 25
}
private-key PRIVATE KEY GIVEN BY MULLVAD
route-allowed-ips false
}
}
protocols {
static {
table 1 {
description "table to force wg0:mullvad"
interface-route 0.0.0.0/0 {
next-hop-interface wg0 {
}
}
route 0.0.0.0/0 {
blackhole {
distance 255
}
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.38 {
stop 192.168.2.243
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 10000
listen-on eth1
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description mullvad-nat
outbound-interface wg0
source {
address 192.168.1.0/24
}
type masquerade
}
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0
type masquerade
}
rule 5222 {
description "masquerade for wg0"
destination {
}
log disable
outbound-interface wg0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name sanitized
login {
user sanitized {
authentication {
encrypted-password sanitized
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}




/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1640 */

Voisin luvata pienen rahallisen korvauksen sille, joka saa selvitettyä kuinka saan ohjattua kaiken liikenteen ER-Liten läpi, WireGuardia käyttäen Mullvad VPN kautta internettiin.

Alkaa olla hiukset päästä jo revitty ja hermot menneet kun ei vain onnistu.

Miltäköhän reititystaulut näyttää?

CLI:ssä:
ip route

Itselläni on wireguard käytössä, mutta niin päin, että saan maailmalla ollessani mobiililaitteiden liikenteen kiertämään kotiverkon kautta.

Sinun tapauksessasi ei ymmärtääkseni tarvitse palomuuriin tehdä wg:lle aukkoa, koska yhteyden muodostus on aina sisäverkosta palveluntarjoajan suuntaan.
 
Liittynyt
17.11.2019
Viestejä
127
Yritän saada Telian IPTV toimimaan EdgeRouter Pro reitittimen läpi, mutta aika vaikeaa se on. Yhden toimivan konfiguraation olen saanut aikaan, mutta se ahmii 3 porttia reitittimestä, vain yhden IPTV-boksin takia. Osa puhuu, että käytä IGMP:tä, mutta aika heikosti on toiminut, vika voi tietysti olla konfiguraatiossa. Nyt minulla on tyhmiä kytkimiä tai hubeja, joiden kautta olen laittanut dataa kulkemaan, että pääsen vakoilemaan liikennettä. Yksi PC vakoilee kaikkea liikennettä. Nyt jo näen, että IPTV kuvadataliikenteestä suurin osa IPTV datasta kulkee UDP portilla 5555 ja välillä vilahtaa portti UDP 52777 tai UDP 52778. IP-numerot ei vastaa yhtään, minun laitetta, mutta IPTV dataa liikutellaankin eri IP-numeroilla, kuin normaali dataa. Tietysti olisi ihan kiva, jos joku olisi jo keksinyt toimivan konfiguraation EdgeRouter Pro reitittimelle. EdgeRouter X:n konfiguraatiot ei kelpaa, koska ne ei ole välttämättä yhteensopivia. Saatan keksiä ratkaisun, mutta ensin tarvitsen tietoa siitä miten IPTV toimii, mitään en voi luvata, koska en vielä tiedä mitä kaikkea on asetettu esteeksi. Saatan nähdä salasanojakin, mutta se ei ole ollut minun tarkoitus tai ainakin ennen olen nähnyt. Tarkoitus on saada tietoliikenne toimimaan oikein. 20 vuotta sitten osasin jo tämän vakoilun. Voin lukea suoraan keräämästäni liikenteestä mitä on lähetetty ja vastaanotettu, jos sitä ei ole salattu nettiliikenteessä. Voi tietysti olla vaarallista kertoa, että näin voi tehdä, mutta se on ainoa vaihtoehto, jos ongelmat ei selviä. Telian modeemista tulee IGMP v2 liikennettä, mutta EdgeRouter käyttää IGMP v3 liikennettä. IGMP:stä on olemassa versiot 1,2 ja 3.

IGMP v2 on alaspäin yhteensopiva IGMP v1 kanssa, jos en ole väärin ymmärtänyt, mutta IGMP v3 ei sitä ole enää ole. Luin firmware päivitysten release tietoja ja version 1.8.5 kohdalla lukee "[IGMP proxy] Apply patch for IGMPv3 support". Mietin, että olisiko vanhoissa firmware versiossa IGMPv2. Osassa muiden valmistajien reitittimiä tuon IGMP version voi valita, mutta mites on asianlaita EdgeRouter reitittimissä?

Osassa IGMP Proxy konfiguraatio esimerkeissä IPTV:tä varten on vilahtanut firmware versio 1.6.0 ja nyt mennään jo versiossa 2.0.8-hotfix.1, eli kyse on silloin useita vuosia vanhasta ongelmasta, jos tämä on se ongelma, miksi IPTV ei toimi.

Tämä tilanne on ihan mahdotonta edes ratkaista igmproxy konfiguraatiolla, jos IGMP v2 ei toimi mitenkään IGMP v3:n kanssa, koska Telian IPTV käyttää IGMP v2:sta, mutta jos vanhoissa EdgeRouterin firmwareissa olisi käytössä IGMP v2, niin sitten toiminta voisi olla mahdollista lataamalla ikivanha firmware EdgeRouter reitittimeen. On aika outoa päivittämistä, jos tämmöiset asiat on jätetty huomioimatta firmware:ssa, koska on valmistajia joiden reitittimissä voi ihan suoraan valita käytetäänkö IGMP v1, v2 tai v3:sta.

Tämä asia selviää ja varmistuu tietysti kokeilemalla ikivanhaa firmware versiota.

Aloin nyt kokeilemaan EdgeRouter Pro:ssa on nyt kaikkein vanhin firmware, eli v1.3.0 ja konfiguroin kaiken alusta, niin nyt paljastuu se onko vika ja ongelmat siinä mitä aloin epäillä, jos IGMPv2 löytyy, eikä IGMPv3 niin voi olla jotain toivoa, että IPTV data lähtee kulkemaan ja kuva näkyy Telian IPTV boksissa ja jonkin päivityksen kohdalla IPTV lakkaa toimimasta, koska IGMP protokollaan on kajottu, muuttamalla se ei yhteensopivaksi IGMPv2:n kanssa.
 
Viimeksi muokattu:

Aaltoliike

Alkuperäinen jäsen
Liittynyt
19.10.2016
Viestejä
1 249
Miltäköhän reititystaulut näyttää?

CLI:ssä:
ip route

Itselläni on wireguard käytössä, mutta niin päin, että saan maailmalla ollessani mobiililaitteiden liikenteen kiertämään kotiverkon kautta.

Sinun tapauksessasi ei ymmärtääkseni tarvitse palomuuriin tehdä wg:lle aukkoa, koska yhteyden muodostus on aina sisäverkosta palveluntarjoajan suuntaan.
1593464476426.png


Tuoltahan tuo näyttää
 
Liittynyt
27.02.2017
Viestejä
31


Tuoltahan tuo näyttää
Äkkiseltään sanoisin, että ainakin osa ongelmaa on, että tuosta 0.0.0.0 reitistä puuttuu netmask, jolloin se tulkitaan vain yhdeksi osoitteeksi ja ei siis täsmää minkään kanssa. Kokeilepas muuttaa reitiksi 0.0.0.0/0, jolloin se mätsää kaikkiin osoitteisiin.
 

Aaltoliike

Alkuperäinen jäsen
Liittynyt
19.10.2016
Viestejä
1 249
Äkkiseltään sanoisin, että ainakin osa ongelmaa on, että tuosta 0.0.0.0 reitistä puuttuu netmask, jolloin se tulkitaan vain yhdeksi osoitteeksi ja ei siis täsmää minkään kanssa. Kokeilepas muuttaa reitiksi 0.0.0.0/0, jolloin se mätsää kaikkiin osoitteisiin.
Tarkoitus olisi siis, että kaikki yhteys kiertäisi tuon wg0 kautta. Mitenkäs muutan tuon reitin kuten kerroit?
 
Liittynyt
27.02.2017
Viestejä
31
Tarkoitus olisi siis, että kaikki yhteys kiertäisi tuon wg0 kautta. Mitenkäs muutan tuon reitin kuten kerroit?
Nyt kun tarkemmin tavasin tuota konffia, niin se näyttäisi olevan kyllä kunnossa (olettaen, että olit itse sensuroinut nuo keyt ja ip:t konffista, eikä konffissa oikeasti lue avainten tilalla esim "PRIVATE KEY GIVEN BY MULLVAD" vaan se oikea Mullvadilta saamasi avain. )

Oletko kokeillut, toimiiko Mullvadin pään pingaus Edgerouterista käsin?

Laitapas myös mitä tulee, kun Edgerouterin CLI:ssä laittaa:
sudo wg show
 
Viimeksi muokattu:
Liittynyt
22.10.2016
Viestejä
7 046
Omaa julkista IP:tä ei IMHO kannattais hirveenä julkisesti levitellä...
Olenko mä ainoa joka hymyili ääneen tälle lauseelle?

Julkinen IP kun on noin lähtökohtaisesti julkinen.

Ei sen oman IP osoitteen kertomisesta foorumilla ole sen suurempaa haittaa, koska sen palomuurin turvallisuus tullaan testaamaan jokatapauksessa jonkun toimesta ja todennäköisesti vieläpä melko usein. Eikä se tilanne muutu siitä miksikään vaikka IP osoite olisi kiinteäkin.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Olenko mä ainoa joka hymyili ääneen tälle lauseelle?

Julkinen IP kun on noin lähtökohtaisesti julkinen.

Ei sen oman IP osoitteen kertomisesta foorumilla ole sen suurempaa haittaa, koska sen palomuurin turvallisuus tullaan testaamaan jokatapauksessa jonkun toimesta ja todennäköisesti vieläpä melko usein. Eikä se tilanne muutu siitä miksikään vaikka IP osoite olisi kiinteäkin.
Paitsi että voi olla suurempaa haittaa, jos joku syystä tai toisesta haluaa vaikka DDoSsata sinun IP-osoitetta. (Se on yleistä esim pelaajien keskuudessa.) Julkista IP:tä ei kannata siis paljastella ellei siihen ole konkreettista syytä.
 
Liittynyt
06.11.2018
Viestejä
1 878
Ainakin aikoinaan ongelma telian kanssa oli, että se ip-tv boksi oletti saavansa dhcp optiona urlin josta voi kattoa onko firmikseen päivitystä saatavilla?
 
Liittynyt
22.10.2016
Viestejä
7 046
Paitsi että voi olla suurempaa haittaa, jos joku syystä tai toisesta haluaa vaikka DDoSsata sinun IP-osoitetta. (Se on yleistä esim pelaajien keskuudessa.) Julkista IP:tä ei kannata siis paljastella ellei siihen ole konkreettista syytä.
No kyllähän jonkun henkilön IP osoitteen selvittäminen mahdollista on. Ei se nyt mitään ihan mahdotonta salapöiisityötä edellytä, jos sen piilottamiseksi ei erikseen näe mitään vaivaa.
 
Liittynyt
19.10.2016
Viestejä
638
Vähän menee offtopicin puolelle mutta IP on nimeen tai auton rekisteritunnukseen verrattavissa oleva henkilötieto
 

Hiikeri

Team Intel
Liittynyt
13.12.2016
Viestejä
1 952
Vähän menee offtopicin puolelle mutta IP on nimeen tai auton rekisteritunnukseen verrattavissa oleva henkilötieto
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
No kyllähän jonkun henkilön IP osoitteen selvittäminen mahdollista on. Ei se nyt mitään ihan mahdotonta salapöiisityötä edellytä, jos sen piilottamiseksi ei erikseen näe mitään vaivaa.
Kukaan ei väittänyt etteikö se ole teknisesti mahdollista. Sen selvittäminen vaikeutuu merkittävästi, ellei sitä itse mainosta, tai tee sen kyselijälle yhteistyöpalvelusta.
 
Liittynyt
19.10.2016
Viestejä
638
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
No ei se mun keksintö ole :D
 
Liittynyt
26.02.2019
Viestejä
2 443
Eli sulla vaihtuu nimesi ja autosi rekisteri tunnus joka viikko, muutamaankin kertaan?

Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
Ei se aina ihan noinkaan yksinkertaista ole. Ainakaan kaikilla. Esimerkkinä itsellä tasan sama ip ollut jo 8 kk:tta. Ja jos nyt vaikka pistetään jonkinmoinen veto pystyyn ja tarkistetaan asia vaikka vuoden päästä, niin sama ip on ja pysyy ellei reititin ole useampaa päivää pois päältä.

Ei kaikki asiat ole aina tasan niin yksinkertaisia, kun moni luulee. Riippuu aina tietysti tekniikasta, mutta edelleen ei kaikkissa asioissa voida vetää samoja lopputuloksia.

Siihen en ota kantaa, että kannattaako omaa ip:tä julkisesti huudella, jos ei ole jotain kaupallista sen takana tai muuta vastaava.
 

Hiikeri

Team Intel
Liittynyt
13.12.2016
Viestejä
1 952
Eri asia jos olisi kiinteä IP niin sitä en minäkään yhtään kertaa laittaisi näkyville.

Piti tossa modeemi resetoida kun meni jumiin kun muutin sillatusta > dhcp:lle ja takaisin sillatuksi jonkun ajan kuluttua. Nyt julkinen IP:ni on 80.xxx.xxx.xxx, joka tulee siis sillatun motukan läpi reitittimelle asti jonka ER-X:n dhcp jakaa IP:t LANiini (192.168.x.x.). Muutamalle pelille on portit avattu että on peleissä Open Nat (NAT1).

Toki sitä nyt toinna hirveesti huudella mutta itselle aika sama kun se muuttuu, toi uusi motukka vasta toukokuussa hommattu ja tämä Edge Router X viime kuussa niin on tässä ollut kymmeniä resettejä näin alkuun kun värkkien sielunelämään perehtynyt ja asia tiedossa.

Vakio Ubiquitin palomuuri asetukset (Wan In + Wan Local) sekä itse olen lisännyt purkista blockaukset P2P, Proxyes tunnels sekä Remote_Access_Terminals pyynnöille. UPnP ja se "automaattinen" palomuuri toiminto pois päältä myös.
 
Liittynyt
27.12.2018
Viestejä
2 378
Tuolloin kuvani otto hetkellä jokunen viikko sitten IP:ni alkoi 84.xxxxxxxxx, sitten ollut jotain muuta ja tänään julkinen IP:ni alkaa 100.xxxxxxxxx
Todennäköisesti jälkimmäinen oli 100.64.x.x/10, joka ei ole julkinen IP ollenkaan, vaan cgnat-osoite: IPv4 - Wikipedia
Sanon todennäköisesti siksi, että millään mobiilioperaattorilla Suomessa ei taida olla julkisia 100.x.x.x-alkuisia osoitteita.
 
Liittynyt
16.10.2016
Viestejä
1 003
Uniform APt mitkä menee EOL ja sitten ensimmäisen vuoden jälkeen tippuu controlleri tuki.

Lopetetaankohan näiden tuki teknisten ominaisuuksien vanhenemisen takia (pelkkä 802.11n tuki, luultavasti hitaammat ja vanhemmat piirisarjat) vai ihan vaan iän puolesta? Näiden AC versiotkaan (UAP-AC-LITE, UAP-AC-PRO jne) ei iän puolesta kovin paljon uudempia ole mutta toisaalta korvaavia mallejakaan (Wifi 6) ei ole vielä edes julkaistu, joten tuskin ihan heti on tuki loppumassa.

Edit: Nojoo, onhan nuo joiden tuki päättyy olleet Legacy tuotteita jo vuosia eikä niitä ole valmistettukaan aikoihin, eli ihan luontevaa hankkiutua niistä eroon asennuksissa.
 
Viimeksi muokattu:
Liittynyt
02.01.2017
Viestejä
699
Auttakaas miestä mäessä typerän kysymyksen kaa; edgerouter x:ään jos haluaa jonkun blacklistin niin se ymmärtääkseni annetaan Pi-holen GUI:ssa, eikö? Jos näin on niin onko tuolla listalla ja DNS-palvelulla mitään tekemistä toistensa kaa? Eli mistä tiliään mikä mun kannattaa tai pitää ottaa? Quad9, OpenDNS jne?

entäs oletteko pärjänneet vain yhdellä listalla (joka päivittää itsensä?) vaisyötättekö pi holelle useita listoja?

ja viimeisin muttei vähäisin;jossain luki että HTTPS-sivujen latausten kanssa tulisi ongelmaa, oletteko huomanneet moista?
kiitos!
 

Hiikeri

Team Intel
Liittynyt
13.12.2016
Viestejä
1 952
Offtopic: Youtube videot auttaa paljon. Mitä niitä katsellut niin useita listoja käyttävät, yhdelläkin videolla oli tyypillä yli 2 miljoonaa DNS osoitetta Black listallaan.
 
Liittynyt
17.10.2016
Viestejä
3 866
Seuraava on kirjoitettu jäätävän vitutuksen kourissa kun päätä oli ensin hakattu pari tuntia seinään joten laitan sen spoilereihin. Ubi kokemus kuitenkin tämänkin.

Vaihdoin uskollisesti palvelleen Edgerouter ER-X-SFP laitteen ER-4seen. ER-4 konffautui kuin unelma ja lähti heti vörkkelehtimään.

Tämän jälkeen oli tarkoitus siirtää vapautunut X korvaamaan ER-PoE5 joka on toiminut hallintaverkon reitittimenä ja joka käy arveluttavan kuumana.

Koska laitetilassa oli lämmin nappasin yliheiton jälkeen ER-X mukaan ja vedin koneen ääressä tehdasresettiin. Wizardin heitin pohjalle. Sitä Ubi näyttää aina muutenkin suosittelevan aloittamisessa. Sen jälkeen perus konffaus joka koostui lähinnä VLAN lisäykset ja IP. Reititin on siis koonnut eri hallinta VLANien liikenteen ja reitittänyt ne keskenään sekä toiminut käytävänä internettiin. Ei siis mutkikas konffit. Jätin jopa palomuurin säädön siihen että laite oli paikallaan. Ilman palomuurisäännöissä olevaa estoa reititinhän reitittää vapaasti liikenteen interfacesta toiseen.

Noo, koska liikenne tulee pääasiassa VLAN trunkkeina niin en testaillut sitä pöydän ääressä kun se olisi ollut työlästä. Kävin virittelemässä laitteen paikalleen ja kaikki näytti ulkoisesti toimivan. Mutta kun pääsin takaisin koneelle niin iloinen data ei liikkunutkaan, niin VLANien välillä kuin VLANeista internettiin. Kaikki VLAN interface IP kyllä vastasivat pingiin, kaikista pääsi käsiksi hallintaan jopa WAN sai IP osoitteen mutta reititys minkää näistä välillä ei toiminut. Konffia koitin tarkistella mutta mitään poikkeavaa en löytänyt. Palomuurissa on vain ne pari perus sääntöä jotka ovat aina ennen toimineet suoraan. Jopa Routingissa näytti kaikki oikealta ja reitittimestä pystyi kyllä pingaamaan kaikkea, jopa internettiä. Vika tuntui olevan siis reitityksessä jonka toimia automaattisesti kun kyseessä on reitittimen omat interfacet.

Netistä koitin kaivella vastaavia kokemuksia ja näytti siltä ainakin joskus aikaan ER-X (jossa mediatekin prossa) laitteen VLANien välisissä reitityksissä on ollut ongelmaa mutta koska mitään vuoden sisällä kirjoitettua en löytänyt oletin vian olevan korjattu. Softa reitittimessä oli kuitenkin uusin 2.0.8-hotfix1.

Ei muuta kuin tehdas reset ja uudestaan päätyen samaan tilanteeseen. Aikani naksutelin kaikki vähänkään sopivat wizardit läpi eräässä vaiheessa tuo sitten jostain syystä lähtikin toimimaa kun koitti WAN+2LAN wizardilla. Olin jo melkein tuominnut romun hajonneeksi. Konffi on hyvin samanlainen kuin aikaisemmin, ainoana poikkeuksena että otin WAN piuhan irti wizardin ajaksi ja että WAN on ETH1 (kun se aikaisemmin oli ETH0)

Loppuun täytyy vielä ihmetellä miksi nuo kaikki edgerouterissa olevat wizardid on niin älykökköjä. Esim WAN+2LAN wizardissa IP alueen vaihto ei ole wizardissa mahdollista kun se taas muissa wizardeissa on. Muutenkin esim portteja voi wizardissa määritellä rajoitetusti. Muuten Wizard kohdassa on jostain syystä myös VPN status valinta joka klikattaessa näyttää listan ja kertoo että read only, muutokset tehtävä VPN välilehdellä.

Tämän jälkeen voi todella sanoa etten yhtään ihmettele että Ubin oma foorumi on täynnä todella ihmeellisiä ongelmia käyttäjillä. Harmi vain että moneen kysymykseen sieltä ei tunnut oikein vastausta saavan.
 
Liittynyt
02.01.2017
Viestejä
699
Mikäs tässä nyt menee väärin, yritys on siis se että puttyllä asentais ip-holen Edgerouteriin. Oon selaimen GUI:n kautta tarkistanu et käyttäjätunnukseni on admin-oikeuksilla varustettu.

1595607416325.png
 

dome

Tukijäsen
Liittynyt
17.10.2016
Viestejä
585
Mikäs tässä nyt menee väärin, yritys on siis se että puttyllä asentais ip-holen Edgerouteriin. Oon selaimen GUI:n kautta tarkistanu et käyttäjätunnukseni on admin-oikeuksilla varustettu.

Mistä tullut käsitys että tuon voisi asentaa suoraan edgerouteriin? Vaikka siellä debian pohjalla onkin niin aika riisuttu sellainen eikä tosiaan ole tarkoitettu erillisten softien asenteluun. Ei siis mikään ihme ettei pakettireposta löydy paketteja. Hyvin harvassa hakemistossa edes säilyy muuttunut data joten melko tuhoontuomittu yritys saada onnistumaan.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Muutenkin palomuurien epäviralliset puukotukset ovat aina tulella leikkimistä.

Imo jos kaipaa vähänkin enemmän ominaisuuksia, jättäisin EdgeRouterit suosiolla väliin ja ottaisin pfSensen sen tilalle. pfSensen pfBlockerNG on huomattavasti tehokkaampi suodattaja kuin PiHole.
 
Liittynyt
02.01.2017
Viestejä
699
Mistä tullut käsitys että tuon voisi asentaa suoraan edgerouteriin? Vaikka siellä debian pohjalla onkin niin aika riisuttu sellainen eikä tosiaan ole tarkoitettu erillisten softien asenteluun. Ei siis mikään ihme ettei pakettireposta löydy paketteja. Hyvin harvassa hakemistossa edes säilyy muuttunut data joten melko tuhoontuomittu yritys saada onnistumaan.
Oon ymmärtänyt että pitäs mennä ns. heittämällä, kts. esim:
 
Liittynyt
20.10.2016
Viestejä
6 185
Oon ymmärtänyt että pitäs mennä ns. heittämällä, kts. esim:
Siis, tuossahan opastetaan tekemään uudelleen ohjaus Edgerouterista erilliseen Pi-holeen (kaikki DNS kyselyt porttiin 53), jolla sitten hoidetaan se mainosten poistaminen. Ei siinä todellakaan asenneta mitään itse Edgerouteriin, eihän tuollaista mainita sanallakaan tuossa artikkelissa. Mistä olet sellaisen käsityksen saanut?

This guide will show you how to use your Ubiquiti EdgeRouter X to redirect any devices that have hard-coded DNS to your Pi-hole so that your Pi-hole can block ads and tracking on those devices.
 

Hiikeri

Team Intel
Liittynyt
13.12.2016
Viestejä
1 952
Juu toi Pi-hole asennetaan johonkin koneeseen joka sitten pyörittää sitä DNS Serveriä jonka Pi-Hole tekee ja jonka kautta sitten kaikki liikenne maailmalle kulkee.
 
Liittynyt
02.01.2017
Viestejä
699
Sori, tais tulla väärä linkki mut niin tai näin, olinpa väärissä kuvitelmissa tosiaan että pi-hole menis about mihin vaan Linuxiin joka EdgeOS myös on. Mutta eipäs sitten... kiitti tästä infosta!
 
Liittynyt
17.10.2016
Viestejä
635
Sori, tais tulla väärä linkki mut niin tai näin, olinpa väärissä kuvitelmissa tosiaan että pi-hole menis about mihin vaan Linuxiin joka EdgeOS myös on. Mutta eipäs sitten... kiitti tästä infosta!
Entäpä jos korjaat sen putkimerkin jälkeisen shellin käynnistymään myös roottioikeuksin?

Koodi:
sudo curl -sSL https://install.pi-hole.net | sudo bash
 

k70

Liittynyt
12.07.2017
Viestejä
531
Tuskin tosiaan saa pi-holen asennettua Ubiquitin laitteeseen, mutta kai se teoriassa voisi olla mahdollista. Ei varmasti kuitenkaan onnistu suoraan pelkällä asennus-skriptillä. Virallinen tuki ei ole kovin laaja:
Raspbian: Jessie/Stretch, Ubuntu: 16.04 / 16.10, Debian: 8 / 9, Fedora 27, 28, 29, CentOS: 7 (not ARM)

Mutta koska pi-hole on avointa lähdekoodia, saa sen kyllä teoriassa käännettyä ties mille alustalle. Itse sain jonkinmoisella työllä ensin asennettua Ubuntun Dlinkin armel-pohjaiselle verkkolevylaittelle. Pi-holen asennuskin lopulta vielä onnistui, mutta eipä se sitten enää suostunut käynnistymään. Ehkä olisi voinut onnistua, mutta päädyin kuitenkin ajamaan sitä ihan raspilla, niin on vakioasennus, ja saa päivityksetkin suoraan ilman monen tunnin vääntöä.
 
Liittynyt
31.07.2019
Viestejä
1 506
Aiemmin kyselin samasta aiheesta täällä, mutta nyt vasta tulee ajankohtaiseksi päivitys, joten varmistan ettei mitään uutta ja parempaa ole ilmestynyt tällä saralla. Lisäksi kysyn suosituksia sopivaksi wlan laitteeksi.

Eli, suunnitelma olisi korvata 1000/1000mbps FTTH liittymän kuitupäätelaite jollakin yksinkertaisella palikalla, ja kun kiinteää IP:tä ei ole, ja operaattori jakaa max 5 IP:tä, niin uudessa palikassa pitää varmaan olla nat, joka lötynee tästä: Ubiquiti EdgeRouter X-SFP -reititin 88,90

- Pitäisi olla luotettavatoiminen laite mutta suht edullisti. Löytyykö mahdollisesti nykyisin parempia suosituksia edullisissa laitteissa?
- SFP liitäntä tietty pitää olla,
- WLAN on tarpeeton, sen hankin erillisenä laitteena, siitä lisää alempana.
- LAN-liitäntöjä ainakin 4kpl, mieluummin 5.

Tässä pitää varmaankin yhä itse kytkeä HW-nat päälle jotta kulkua löytyy?

Entä mikä olisi sopiva wlan laite (POE) sfp-routterin perään? Sanotaanko näin, että wlan laite + routteri sfp liitännällä pitäisi mahtua n. 200 eur hintaluokkaan.

Ubiquitilta löytyisi ilmeisesti ihan hyviä wlan-laitteita kelpo nopeuksilla ja hyvällä peitoalueella? Lite ja pro mallit saattaisi sopia budjettiin, millaisia eroja näiden välillä on kun ajatellaan käytännön toimivuutta, sekä nopeutta ja paittoaluetta?
 
Viimeksi muokattu:

jsa

Tukijäsen
Liittynyt
20.10.2016
Viestejä
611
Tarvitsee joo. Jos meinaat tehdä jotain QoS:ssää linkille niin ER-X ei ole sitten siihen se juttu.
 
Liittynyt
17.10.2016
Viestejä
1 142
Olethan tietoinen että ER-X kykenee gigan nopeuteen vain yhteen suuntaan kerrallaan? itse laittaisin symmetrisen 1Gb yhteyden päähän suosiolla Edgerouter 4:n. Itsellä 1000/100 yhteys joten tuo ER-X vielä menettelee, mutta jo tämän yhteyden kanssa huomaa ajoittain että troughput alkaa loppua auttamatta.
 
Liittynyt
31.07.2019
Viestejä
1 506
Olethan tietoinen että ER-X kykenee gigan nopeuteen vain yhteen suuntaan kerrallaan? itse laittaisin symmetrisen 1Gb yhteyden päähän suosiolla Edgerouter 4:n. Itsellä 1000/100 yhteys joten tuo ER-X vielä menettelee, mutta jo tämän yhteyden kanssa huomaa ajoittain että troughput alkaa loppua auttamatta.
Tietoinen olen tästä, mutta taitaa hinnat pompsahtaa sen verran reilusti jos haluaa samaan aikaan kumpaankin suuntaan gigan kulkemaan?
Mutta laitan alustavasti harkintaan tuonkin vaihtoehdon.

Edit, jaa no ei se nyt "niin paljon" kalliimpi taida ollakaan. https://www.dustin.fi/product/5011057959/edgerouter-er-4
Mutta tuossa taitaa lan portit käydä vähiin (3kpl), eikä kiinnostaisi lisätä kytkintä perään, vaan pitää systeemi minimissä.
Taitaa sitten seuraava vaihtoehto olla ER-6 https://www.dustin.fi/product/5011070582/edgerouter-er-6-poe

Hmph ja hinnatkin oli näköjään ilman ALV :poop:
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
1 142
Joo hinnat pompsahtaa kyllä. Tarviset myös kytkimen tuon ER4 kaveriksi, mutta jos haluat liittymästäsi kaiken irti niin budjettia on pakko kasvattaa, tai tyytyä kompromisseihin.

Mulla on UAP Lite kaksi kerroksisessa ok talossa, alakerrassa (reilu 100m2) toimii hyvin mutta yläkertaan on hieman heikko kuuluvuus, mutta toimii kyllä eikä ole katkonut. nopeudet jää yläkerrassa 200mbps tienoille. Tuostakin tietysti pääsisi kun laittaisin yläkertaan toisen.
 
Liittynyt
18.10.2016
Viestejä
66
Edgerouter 4:lla muistaakseni nopeudet tippuvat, jos siinä kytkee kytkinominaisuuden käyttöön.
 

GJ

Liittynyt
27.10.2016
Viestejä
380
Itsellä vaihtui USG 3P nyt pfsense boxiin. Kulkee giganen bitti IPS ja muut herkut päällä ongelmitta. Ei Ubiquiti vain saa aikaiseksi hyvää korvaajaa ja featureita hallintaan. Nyt alkaneet myös AP:t viimeaikoina pätkimään, liekö joku 0 QA päivitys taas ryssinyt jotain? Alkanut käydä mielessä jos vaihtaisi unifit Aruban IA accesspointeihin ja ehkä ER sarjan poe kytkimiin, pitää vielä miettiä.
 
Liittynyt
14.08.2017
Viestejä
2 343
Joo hinnat pompsahtaa kyllä. Tarviset myös kytkimen tuon ER4 kaveriksi, mutta jos haluat liittymästäsi kaiken irti niin budjettia on pakko kasvattaa, tai tyytyä kompromisseihin.

Mulla on UAP Lite kaksi kerroksisessa ok talossa, alakerrassa (reilu 100m2) toimii hyvin mutta yläkertaan on hieman heikko kuuluvuus, mutta toimii kyllä eikä ole katkonut. nopeudet jää yläkerrassa 200mbps tienoille. Tuostakin tietysti pääsisi kun laittaisin yläkertaan toisen.
Täällä tulossa hieman vastaava, 10x12m pohjalla 2krs okt, johon varaan kattoihin paikat UAP:lle. Onko joku syy, ettet ole tuota laittanut yläkertaan? Jaksaakohan yhteys puskea läpi lattian?
 
Liittynyt
17.10.2016
Viestejä
1 142
Täällä tulossa hieman vastaava, 10x12m pohjalla 2krs okt, johon varaan kattoihin paikat UAP:lle. Onko joku syy, ettet ole tuota laittanut yläkertaan? Jaksaakohan yhteys puskea läpi lattian?
Ei mitään muuta syytä kuin etten ole nähnyt vielä tarpeelliseksi. Yläkerrassa WiFiä käyttää lähinnä puhelimet. Mulla tuossa yläkerran lattiarakenteessa on vielä alumiiniset lämmönluovutuslevyt jotka ilmeisesti haittaa entisestään signaalin kuulumista.

Haittatekijöistä huolimatta, kuten sanoin WiFillä yltää yläkerrassa sinne 200mbps nopeuksiin eikä yhteys ole koskaan katkeillu tms.

Tietysti paremmalla AP:llä jossa olisi beamforming pääsisi todennäköisesti parempiin tuloksiin, mutta meidän käytössä tuo Lite on ajanut asiansa paremmin kuin hyvin.
 
Liittynyt
17.10.2016
Viestejä
5 658
Mitenköhän lämpöisenä nuo pienemmät UniFi-härvelit (ja niiden mahdolliset virtalähteet) käy? Meinasin sähkökaappiin tunkea ja pohdin että tuleeko ongelmia.

Tarkoitus olisi laittaa kerrostaloasunnon verkotukset kerralla kuntoon ja hankkia seuraavanlainen setti:
USG
Kytkin (UniFi Switch Flex + PoE-injektori?)
Jokin AP, todennäköisesti nanoHD
Cloud Key gen. 2 ehkä myöhemmin, katotaan miten paljon alkaa säätäminen vituttamaan muuta kautta.

USG ja kytkin olisi tarkoitus tunkea sähkökaappiin missä myös huoneistojakamo sijaitsee, ja sieltä löytyy myös pari pistoketta mistä saa virrat molemmille laitteille tarvittaessa. Tavoitteena on pitää huoneiston puolelle tulevien johtojen määrä minimissä, ja toki myös sähkökaapin sisällä olisi ihan jees jos PoE:lla saa hommat toimimaan niin ei tarvii niin paljoa piuhaa tunkea sinne.

Kommentteja setupista ylipäätään, tai erityisesti ko. laitteiden lämpötiloista?

EDIT: Tajusinpas ettei UniFi Switch 8 60W mahdu korkeutensa puolesta tuonne kaappiin.
 
Viimeksi muokattu:
Liittynyt
06.11.2018
Viestejä
1 878
Mulla on sähkökaapissa USG ja mikrotikin kytkin (koska unifi ei mahdu), ja käyvät kuumana, mutta toimivat...
 
Liittynyt
30.03.2020
Viestejä
77
Mitenköhän lämpöisenä nuo pienemmät UniFi-härvelit (ja niiden mahdolliset virtalähteet) käy? Meinasin sähkökaappiin tunkea ja pohdin että tuleeko ongelmia.

Tarkoitus olisi laittaa kerrostaloasunnon verkotukset kerralla kuntoon ja hankkia seuraavanlainen setti:
USG
Kytkin (UniFi Switch Flex + PoE-injektori?)
Jokin AP, todennäköisesti nanoHD
Cloud Key gen. 2 ehkä myöhemmin, katotaan miten paljon alkaa säätäminen vituttamaan muuta kautta.

USG ja kytkin olisi tarkoitus tunkea sähkökaappiin missä myös huoneistojakamo sijaitsee, ja sieltä löytyy myös pari pistoketta mistä saa virrat molemmille laitteille tarvittaessa. Tavoitteena on pitää huoneiston puolelle tulevien johtojen määrä minimissä, ja toki myös sähkökaapin sisällä olisi ihan jees jos PoE:lla saa hommat toimimaan niin ei tarvii niin paljoa piuhaa tunkea sinne.

Kommentteja setupista ylipäätään, tai erityisesti ko. laitteiden lämpötiloista?

EDIT: Tajusinpas ettei UniFi Switch 8 60W mahdu korkeutensa puolesta tuonne kaappiin.
Yksi vaihtoehto on laittaa laitteet kaapin ulkopuolelle esimerkiksi oveen kiinni ja vetää vain kaapelit sisään oven alta. Itsellä on näin. Tosin mulla on kaappi piilossa, joten laitteet ei hyppää silmille.

Huomaa myös, että usg+switch flex+poe injektori kombolle tarvit kolme pistorasiaa. Ellet sitten sijoita injektoria ap:n luokse.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 472
Viestejä
4 163 386
Jäsenet
70 414
Uusin jäsen
O&G

Hinta.fi

Ylös Bottom