Lähiverkon näkymätön laite

[Jump]

Lähiverkko koostuu CTS:n valokutomuuntimesta ja malli taitaa olla FWR5-3105SFP-CW-AC-DR. Muuntimesta menee CAT7 kaapeli autotalliin ja siellä on jatkona HP ProCurve 1810G - 24 kytkin. Kytkimestä lähtee kaapeli Wifi-tukiasemalle ja lämmityskattilalle. Kattilalle pitää antaa verkon asetukset ja olen antanut IP XXX.XXX.X.50. Kattilaan pääsee kiinni VNC viewerilla tuosta osoittesta eli yhteys kyllä toimii. Mutta miksi kattila ei näy valokuitumuuntimen DHCP osiossa? Kaikki muut verkon laitteet kyllä näkyvät.

Seuraavaksi pitäisi värkätä sähköpostihälytys kattilaan, mutta jostain syystä jokaisen sähköpostin salasana on väärä.... Pitää vielä tutkia kattilan asetuksia jos sieltä löytyisi jokin asetus.

 

[edup]

Siis jos olet määrittänyt käsin sille IP-osoitteen, niin eihän se silloin pyydä DHCP:llä IP:tä itselleen eikä sen kuulukaan näkyä siellä.

 

[Petzku]

ite käytän noissa hälysähköposteissa operaattorin autentikoimatonta smtp-palvelinta. Sillon ei oo ainakaan väärä salasana.

 

[jessenic]

Ja onhan kattilan IP-asetuksiin annettu gateway-osoitteeksi se valokuituboksin osoite? DNS-palvelimeksi kannattaa se myös antaa.

 

[minapamina]

Kuten yllä sanottiin, jos sille on annettu staattinen osoite, ei se dhcp-leaseissä näy.

 

[jessenic]

Kuten yllä sanottiin, jos sille on annettu staattinen osoite, ei se dhcp-leaseissä näy.

Näin juuri, mutta gateway-osoite on silloin myös käsin annettava jos nettiin laitteen tarvitsee päästä.

 

[minapamina]

Joo. Mutta ei se silti dhcp tauluissa näy.

 

[Jump]

Siis jos olet määrittänyt käsin sille IP-osoitteen, niin eihän se silloin pyydä DHCP:llä IP:tä itselleen eikä sen kuulukaan näkyä siellä.

Niinhän se meneekin.... Tallin kytkinkään ei näy tuolla ja sillä on myös staattinen IP.

Ja onhan kattilan IP-asetuksiin annettu gateway-osoitteeksi se valokuituboksin osoite? DNS-palvelimeksi kannattaa se myös antaa.

Kyllä tuolla on getaway osoitteena valokuituboxin osoite. Tyhjänä on portti Web / VNC ja tuo DNS palvelin. Tuo DNS ilmeisesti pitää olla, jos kattilaan haluaa päästä käsiksi netin välityksellä?

 

[minapamina]

Niinhän se meneekin.... Tallin kytkinkään ei näy tuolla ja sillä on myös staattinen IP.



Kyllä tuolla on getaway osoitteena valokuituboxin osoite. Tyhjänä on portti Web / VNC ja tuo DNS palvelin. Tuo DNS ilmeisesti pitää olla, jos kattilaan haluaa päästä käsiksi netin välityksellä?

Ei, DNS on nimipalvelin. Jos haluat netistä päästä kattilaan käsiksi, eikä sinulla ole sille julkista IP-osoitetta, joudut käyttämään esim. port forwardingia/ DNATtia. Toki näissä kannattaa aina huomioida tietoturva, eli mitä kaikkea haluat oikeasti avata nettiin. Se kattilan softa ei välttämättä ole turvallisin avata julkipuolelle suoraan. Toki tästä päästään taas myös VLANeihin, itse laittaisin sen kattilan tässä tapauksessa DMZlle tai muuten vaan omaan VLANiin, että jos siinä joku haava on, ei heti koko sisäverkko ole haavoittuvainen.

 

[Jump]

Ei, DNS on nimipalvelin. Jos haluat netistä päästä kattilaan käsiksi, eikä sinulla ole sille julkista IP-osoitetta, joudut käyttämään esim. port forwardingia/ DNATtia. Toki näissä kannattaa aina huomioida tietoturva, eli mitä kaikkea haluat oikeasti avata nettiin. Se kattilan softa ei välttämättä ole turvallisin avata julkipuolelle suoraan. Toki tästä päästään taas myös VLANeihin, itse laittaisin sen kattilan tässä tapauksessa DMZlle tai muuten vaan omaan VLANiin, että jos siinä joku haava on, ei heti koko sisäverkko ole haavoittuvainen.

Niin tarkoitin että DNS pitää ilmeisesti olla jos haluan päästä kattilaan käsiksi muualta kun omasta sisäverkosta kun kiinteää julkista IP ei ole. Tai olisihan sen saanut johonkin hintaan, mutta toistaiseksi sille ei ole ollut tarvetta ja sitten on tietenkin nuo tietoturva-asiat...

Sain nyt kuitenkin nuo sähköpostihälytykset toimimaan.

 

[minapamina]

Niin tarkoitin että DNS pitää ilmeisesti olla jos haluan päästä kattilaan käsiksi muualta kun omasta sisäverkosta kun kiinteää julkista IP ei ole. Tai olisihan sen saanut johonkin hintaan, mutta toistaiseksi sille ei ole ollut tarvetta ja sitten on tietenkin nuo tietoturva-asiat...

Sain nyt kuitenkin nuo sähköpostihälytykset toimimaan.

DNS meinaa sitä, että jos kattila kysyy hostnamelta jotain, mistä se resolvaa hostnamen IPksi. Eli ei varsinaisesti ole sun käyttötapauksessa relevanttia. DNS tiedot tippunee muutenkin automaattisesti reitittimeltä. Käytännössä haluat tehdä port forwardingin reitittimeen/muuriin, eli jos sun julkiosoite on 123.123.123.123, laitat vaikka portin 3000 (tai mikä onkaan haluttu portti) ohjaamaan kattilan sisäverkon osoitteeseen. Jos kattila vaikka 192.168.111.111, niin haluat tehdä ensin any to 3000 oletettavasti TCP säännön (=mistä tahansa portista porttiin 3000), ja laittaa sen osoittamaan tuohon kattilan osoitteeseen 192.168.111.111. Nyt jos joku ottaa julkiverkosta yhteyttä muurin julkiosoitteeseen 123.123.123.123 portilla 3000 (123.123.123.123:3000), ohjaa muuri liikenteen suoraan tuolle kattilalle, jolloin se on tavoitettavissa netistä. Tässä on sitten tasan niin hyvä tietoturva, kuin muurilla liikenteen skannauksessa (markettimuurissa about 0), ja kattilassa softassa (todennäköisesti jotain huonon ja erittäin huonon välillä).

 

[Kautium]

Tässä on sitten tasan niin hyvä tietoturva, kuin muurilla liikenteen skannauksessa (markettimuurissa about 0), ja kattilassa softassa (todennäköisesti jotain huonon ja erittäin huonon välillä).

Jep, ei helkutissa mitään lämpökattiloita julkisen verkon kautta käytettäväksi, eikä käytännössä mitään muutakaan kodin elektroniikkalaitteita. Noiden tietoturva on niin olematon, että se on vain ajan kysymys milloin joku tulee niiden kautta sisään ja tekee mitä lystää. Yhteyden avaus sisältä ulos (eli vaikka nyt ne sähköpostihälyt) ei kaada maailmaa, mutta ulkoa sisään pitää jo käyttää harkintaa ihan eri tavalla.

 

[Hyrava]

Juu, ei missään tapauksessa suoraan nettiin tuollaista kattilaa. Tekee vaikkapa VPN-putken tuolle niin ei välttämättä ole kattilaa ekan viikon aikana hakkeroitu.

Varmaan tuo DNS-juttu tarkoittaa DynDNS-palvelua tai jotain vastaavia eli rekisteröit jostakin palvelusta itsellesi osoitteen ja sillä osoitteella sitten pääset tuohon laitteeseen netistä käsiksi.

 

[Jump]

Joo ei ole tarkoitusta päästä kattilaan käsiksi ulkoverkosta käsin. Tuo sähköposti hälytys on ihan riittävä.

 

[jad]

Varmaan tuo DNS-juttu tarkoittaa DynDNS-palvelua tai jotain vastaavia eli rekisteröit jostakin palvelusta itsellesi osoitteen ja sillä osoitteella sitten pääset tuohon laitteeseen netistä käsiksi.

Todennäköisemmin kyse ihan perinteisestä DNS palvelimista. Eiköhän tuo kattila haluaisi ottaa yhteyttä johonkin valmistajan pilveen ja hallinta myös sitä kautta. Ja vaaditaanhan tuo toimiva DNS siihenkin, että saa ne hälysähköpostit lähtemään.

 

[Jump]

Sähköposti toimii nyt, mutta posti ei sisällä mitään tietoa. Laitoin kyselyn laitetoimittajelle kun en löytänyt itse valikkoa, josta voisi vaikuttaa postin sisältöön.