Loppui osaamiseni…portti 443 pitäisi avata.

  • Keskustelun aloittaja Keskustelun aloittaja eki912
  • Aloitettu Aloitettu
Liittynyt
22.11.2020
Viestejä
183
Ja ymmärrykseni. Häpeäkseni sen tunnustan heti.
Menee nyt hiukan yli hilseen, kuten sanonta menee.

Setti menee about näin :
Torppaan sisään kuitu tulee purkkiinsa, sen perässä toimittajan purkki, sen perässä ER-X, sen perässä PoE kytkin, sen perässä sitten 6 kpl wifi vateja.
Isohko torppa, monessa kerroksessa, siksi nuo 6 wifi vatia.
Koko setti kasattu täältä saaduilla hyvillä ohjeilla ja pelannut kuin Sveitsiläinen kello.
Ja pelaa edelleen. Käyttäjät tyytyväisiä.
95% heistä/laitteista roikkuu tuon wifin perässä.

Tuli sitten viime vuonna (muistaakseni) yksi tekninen laite lisää, joka tarvitsi LAN piuhan toimiakseen.
Ja taas sain täältä avun kysymällä.
Ostin sellaisen, vinkatun EX2700, verkon laajentimen jossa pohjassa LAN portti, ja tuokin ongelma silloin selätettiin.
Nyt tämä laite vaihtuu uudempaan, jossa hiukan enemmän (ilmeisestikin?) turvallisuutta mukana.
Joka tapauksessa, kun sitä uutta laitetta yritän kytkeä, sanoo heti asennettaessa että PING ei toimi. Eikä laite lähde tulille.
Ja kytkin sen aivan samalla lailla, samaan paikkaan, samoilla piuhoilla kuin aiempikin laite oli kytketty.
Soitin sitten tukeen, sieltä sanottiin että meidän IT-tuen tulee hiukan säätää palomuuriamme, ja sallia portin 443 käyttö tälle laitteelle ja PING myös sallittava. Tai jotain tuon tapaista.
No IT-tuki olen minä. Aaaaaaapuuuuuva !
Onko tuo mitä mun nyt pitäisi roplata, tuo routterimme ER-X ? Vai se linjassa laitteesta katsoen oleva eka laite, se verkon laajennin jossa se LAN portti ? Vai se PoE kytkin? Vai jopa operaattorin laitteisto ?
Kysyn nyt heti etukäteen jo hiukan osviittaa, ennenkuin alan summan mutikassa itse, ilman mitään visiota, laitteita räpeltämään. Eilen en enempää jaksanut enkä ehtinyt touhuta tuon parissa.
Kiitos ja anteeksi.
 
Vähän voisi muotoilla kysymystä uudelleen ja tarkentaa mitä laitteita on käytössä ja mikä on kytketty mihin yms.
 
Uuuuups, sorry. Hiukan aamukahvin huumassa intouduin vain näpyttelemään ajatusten virtaani.
Tarkennan pian.
 
Tosiaan auttaisi aika paljon jos kertoisit mikä tuo uusi laite on.
Ja muutenkin ulostulosi on todella vaikea lukuinen.
 
Pahoitteluni, omaa hölmöyttäni en tuon tarkemmin aamutuimaan asiaa vielä miettinyt.
Osoittaa juuri ehkä miten vähän oikeasti tajuan näistä asioista.

Tässä nyt hiukan tarkempi kuvaus:

Uusi laite, joka siis toimiakseen vaatii sen nettiin pääsyn on NEOPOST frankkeerauskone.

Ja selvennykseksi, en pysty (ilman isoa savottaa) saamaan sitä piuhalla kiinni nettiin. Siksi siinä on välissä se verkonlaajennin jossa on tuo LAN-ulostulo olemassa. Nykyinen laite (eli aiempi frankkeerauskone) , joka poistuu tuon uuden tieltä, on kiinni juurikin tuon verkonlaajentimen LAN-portissa piuhalla.

Nykyinen nettikattaus on tätä lajia :

- Ensimmäisenä setissä on seinästä tuleva kuitu, menee operaattorin kuitupurnukkaan, sen perässä toinenkin operaattorin laite, josta sitten loppukäyttäjälle on auki 1 LAN-portti.
- Tästä LAN-portista menee 1 LAN-kaapeli meidän laitteisiin, joista ensimmäisenä on vastassa Ubiquitin Egderouter X.
- Edgerouter X:stä menee taas vain 1 LAN-kaapeli eteenpäin Aruba InstantOn 1930, 8-porttiseen PoE kytkimeen.
- Tästä verkko jakautuu 6:lla LAN-kaapelilla 6:een Aruba InstantOn AP-22 Wifi vatiin ympäri torppaa.
- Tämän Wifin perässä on sitten vain tämän postituskoneen tarpeisiin, Netgear EX-2700 verkon laajennin, jossa vain tuo postituskone kiinni tämän Netgear EX-2700:sen LAN-portissa, jälleen LAN-piuhalla kiinni.

Aiempi poistuva postituskone on tässä toiminut jo hyvän aikaa, yli vuoden päivät, muistaakseni.
Nyt tämä uusi postituskone vaatii näköjään netiltä hiukan enemmän kuin aiempi laite.
Ja kun alan asennusta tekemään heti ensimmäinen askel asennuksessa jymähtää tuohon PINGiin.
Jota se vissiin ei saa.

Jatkan itsekin täällä ongelman tutkimista kunhan vaan kerkiän.
 
Saattaa mennä vähän spesifiksi jos vika on tuossa postituskoneessa tai sen asetuksissa. Kannattaa trakistaa millaisia ip osoitteita on noilla sisäverkon reitittimillä eli edgerouter ja netgear ensisijaisesti ja mikäli aruballa on ip osoite niin senkin voisi tarkistaa että on samassa verkossa.

Ensimmäinen korjaus-arvaus erityisesti jos netgear välittää langattomana postituskoneen liikenteen eteenpäin niin koitas käynnistää netgear uudelleen.

Offtopic: ei ihme jos on hankala saada toimimaan.
 
Pahoitteluni, omaa hölmöyttäni en tuon tarkemmin aamutuimaan asiaa vielä miettinyt.
Osoittaa juuri ehkä miten vähän oikeasti tajuan näistä asioista.

Tässä nyt hiukan tarkempi kuvaus:

Uusi laite, joka siis toimiakseen vaatii sen nettiin pääsyn on NEOPOST frankkeerauskone.

Ja selvennykseksi, en pysty (ilman isoa savottaa) saamaan sitä piuhalla kiinni nettiin. Siksi siinä on välissä se verkonlaajennin jossa on tuo LAN-ulostulo olemassa. Nykyinen laite (eli aiempi frankkeerauskone) , joka poistuu tuon uuden tieltä, on kiinni juurikin tuon verkonlaajentimen LAN-portissa piuhalla.

Nykyinen nettikattaus on tätä lajia :

- Ensimmäisenä setissä on seinästä tuleva kuitu, menee operaattorin kuitupurnukkaan, sen perässä toinenkin operaattorin laite, josta sitten loppukäyttäjälle on auki 1 LAN-portti.
- Tästä LAN-portista menee 1 LAN-kaapeli meidän laitteisiin, joista ensimmäisenä on vastassa Ubiquitin Egderouter X.
- Edgerouter X:stä menee taas vain 1 LAN-kaapeli eteenpäin Aruba InstantOn 1930, 8-porttiseen PoE kytkimeen.
- Tästä verkko jakautuu 6:lla LAN-kaapelilla 6:een Aruba InstantOn AP-22 Wifi vatiin ympäri torppaa.
- Tämän Wifin perässä on sitten vain tämän postituskoneen tarpeisiin, Netgear EX-2700 verkon laajennin, jossa vain tuo postituskone kiinni tämän Netgear EX-2700:sen LAN-portissa, jälleen LAN-piuhalla kiinni.

Aiempi poistuva postituskone on tässä toiminut jo hyvän aikaa, yli vuoden päivät, muistaakseni.
Nyt tämä uusi postituskone vaatii näköjään netiltä hiukan enemmän kuin aiempi laite.
Ja kun alan asennusta tekemään heti ensimmäinen askel asennuksessa jymähtää tuohon PINGiin.
Jota se vissiin ei saa.

Jatkan itsekin täällä ongelman tutkimista kunhan vaan kerkiän.

Kun aikasempi kone on toimiut ollessaan kiinni tuossa Netgearissä, niin veikkaan, että tuossa uudessa frankeerauskoneessa IP-osoite on oletuksena eri verkossa kuin sinun verkkosi IP-osoitealue.
 
Kun aikasempi kone on toimiut ollessaan kiinni tuossa Netgearissä, niin veikkaan, että tuossa uudessa frankeerauskoneessa IP-osoite on oletuksena eri verkossa kuin sinun verkkosi IP-osoitealue.
Samaa itsekin veikkaisin. Tai sitten aiempi laite on saanut osoitteensa DHCP:n avulla ja uudessa on oletuksena kiinteä IP joka on väärässä osoiteavaruudessa tai päällekkäin jonkun toisen laitteen kanssa.
 
onko avaaja käyny lukeen sen frankkeerauskoneen valmistajan knowledge basesta kohdan LAN connection guide. Jos sieltä löytyisi vinkkiä...
Tietämättä että mikä laite, niin esim vaikka tää: AutoStamp2™ - KCMS
 
Eihän se nyt mitenkään voi vaatia sisäänpäin tulevaa liikennettä?
 
Touche ….
Näitä siis en osaa tehdä :

” 3. What does my IT department
need to do?
Quadient UK only asks that your IT department do one of the following:
1. Enable SSL port 443 (on your Firewall)
2. Enter the MAC address of the machine onto your granted
access list ”

Ja nimenomaan mainitaan vielä että ei voi kytkeä langattomasti.

Siksi on tämä Netgear EX-2700 mukana. Ja siinä värkki kiinni. Tai siis aiempi oli, ongelmitta.
Tämän uuden kanssa, en osaa (ainakaan vielä) noita pyydettyjä hommia tehdä.
Mutta opiskellaan lisää.
 
Tuon ohjeen perusteella sen pitäisi toimia normaalissa verkossa ongelmitta (jossa kaikki lähtevä liikenne ssllittu) vaikka siinä olisikin langaton siltä välissä.

Tuo että ei toimi langattomassa verkossa tarkoittanee kuitenkin vaan sitä että siinä ei ole sisäistä wifiä.

E: maailmalla on kyllä frankkeerauskoneita jotka vaativat itselleen julkisen ip:n ja reijän palomuuriin.
 
Sama postituskone duunissa käytössä. Meni tuossa toissaviikolla mykäksi verkon osalta. Soitin Quadientin tukeen ja kysyin vinkkiä koska tiesin että meidän verkot kunnossa. Sanoivat että olivat tehneet heidän päässään muutoksia ja antoivat IP osoitteen joka pitää sallia omassa palomuurissamme sekä myös tuon portin 443 jossa pitää liikenne sallia molempiin suuntiin. Tämän ilmoitin taholle joka palomuuria pystyy konffaamaan, tekivät muutokset ja kaikki ok.

Ei tämä sinulle apua tarjonnut, mutta toivottavasti löydät omasta setupista tarvittavat asetukset että lähtisi toimimaan.
 
Kaikki vinkit otan vastaan ja olen niistä kiitollinen.

Mulla ongelma on se että olen itse meidän IT-tuki (huono sellainen) ja nyt on sormi suussa vain sen takia etten ymmärrä miksi se nyt ei toimikaan, vaikka aiempi värkki toimi ongelmitta.
Toki tää uudempi malli näköjään vaatiikin hiukan enemmän kuin se aiempi malli.

Ja en ole 100% varma mitä osaa laitteistossani mun pitää säätää, ja miten sen sitten teen.
Todennäköisesti mulla edessä on tuon Edgerouter X:n ropaaminen...
 
Kaikki vinkit otan vastaan ja olen niistä kiitollinen.

Mulla ongelma on se että olen itse meidän IT-tuki (huono sellainen) ja nyt on sormi suussa vain sen takia etten ymmärrä miksi se nyt ei toimikaan, vaikka aiempi värkki toimi ongelmitta.
Toki tää uudempi malli näköjään vaatiikin hiukan enemmän kuin se aiempi malli.

Ja en ole 100% varma mitä osaa laitteistossani mun pitää säätää, ja miten sen sitten teen.
Todennäköisesti mulla edessä on tuon Edgerouter X:n ropaaminen...
Saatko siihen samaan kaapeliin vaikka läppäriä kiinni mihin tuota postituskonetta meinaat laittaa? Jos saat ja kaikki nettisivut toimivat siinä niin ainakin portti 443 on silloin auki ja vika on jossain muualla. Portti 443 on siis https jota suurin osa nettisivuista nykyään käyttää ja se on käytännössä aina auki ulospäin.
 
Yritin hiljattain yhtä porttiavausta ja ei meinannut onnistua mitenkään. Syy oli lopulta jokseenkin sellainen, että ilmeisesti Win10->11 päivityksessä Windowsin palomuuri oli mennyt sellaiseen asentoon, että se blokkaa kaiken ulkoa sisään oli se sallittujen listalla tai ei. Ja siihen löytyi jopa hiirellä klikattava korjaus, ulkomuistista "block all except allowed list". Ja sitten toimi hienosti.
 
Yritin hiljattain yhtä porttiavausta ja ei meinannut onnistua mitenkään. Syy oli lopulta jokseenkin sellainen, että ilmeisesti Win10->11 päivityksessä Windowsin palomuuri oli mennyt sellaiseen asentoon, että se blokkaa kaiken ulkoa sisään oli se sallittujen listalla tai ei. Ja siihen löytyi jopa hiirellä klikattava korjaus, ulkomuistista "block all except allowed list". Ja sitten toimi hienosti.

Miten tämä liittyy tähän topicin tapaukseen?
Nythän on kyseessä fyysinen laite, eikä mikään käyttis/softa.
 
Sinun pitää tehdä port forward portille 443 ER-X:stä.



Käytännössä sidot sille sun purkille jonkun kiinteän IP:n, ja ER-X:stä ohjaat liikenteen sinne. Eiköhän noi nettitutoriaalit auta.

--

Jos toimi edellisellä konffilla, niin palveluantarjoaja ei ole sulkenut tuota porttia.
Ja mielellään sallia se ainoastaan valmistajan käyttämistä IP-osoitteista, kuten ilmeisesti @SunkiHotin tapauksessa. Muuten on koko maailmalla pääsy siihen koneeseen.

Omasta mielestäni tietoturvan kannalta aika vanhanaikainen ratkaisu availla portteja ulkoapäin, valmistaja mennyt mistä aita matalin.
 
Vielä yksi juttu, jonka joku osaava (please) voisi mulle rautalangasta vääntää.
Saattaa tarvita paljon rautalankaa…

Jokatapauksessa, eilen ihan muista syistä testailin työkaverini mobiilia 4G laitetta, sellaista pöytämallia jossa 4 LAN- porttiakin ahterissa.
Valitti sen toimintaa kotonaan. No testasin työpaikalla sitten parin eri operaattorin SIMmeillä sitä, ja en havainnut mitään ongelmaa toiminnassa. Päinvastoin sain ihan kelpo lukemia ja toimikin hyvin ja nopeasti. Oletan että kohdallaan on nyt vaan sijainnissa vika. Omistajakin näin epäili, piti vaan tuo varmistaa.

Nooooh, tuli sitten ykskaks mieleeni että testaanpa tuolla 4G värkillä tuon uuden frankkeerauskoneen liittämistä verkkoon. No tuumasta toimeen, laite kainaloon, postituskoneen viereen pystyyn ikkunan lähelle ja virtalähde töpseliin kiinni. Hetken päästä sitten frankkikoneen LAN-piuhan tökkäsin suoraan keltaiseen porttiin nro 1, tuon 4G purkin takana, ja ja suureksi yllätyksekseni, sehän meni sitten koko sen moniosaisen frankkeerauskoneen set-upin läpi että heilahti.
Sain kaikki aloituskiemurat ja yhteydenotot verkkoon ja rahan lisäyksen laitteeseen tehtyä vartissa tuon mobiilin 4G purnukan avulla.
Mikä tuossa vanhemmassa Huawein 4G mobiili purkissa on niin iso ero , että koko homma sen kautta kävi tosta vaan ?
Vai onko tuossa mobiilissa 4G laitteessa kaikki vaan niin auki ja helpoksi tehty käyttäjälle, että se ei liikoja estele ?
 
Mikä tuossa vanhemmassa Huawein 4G mobiili purkissa on niin iso ero , että koko homma sen kautta kävi tosta vaan ?
Vai onko tuossa mobiilissa 4G laitteessa kaikki vaan niin auki ja helpoksi tehty käyttäjälle, että se ei liikoja estele ?
Jos jotakin pitää arvata, niin taikasana vois olla UPnP joka taitaa olla oletuksena päällä noissa 4/5G-purkeissa.
 
Auttaminen on vähän hankalaa kun kukaan ei oikeasti tunnu tietävän miten noi teidän laitteet on kytketty muuten kuin johtoa ja wifi linkkiä peräkkäin.
Suorana sanottuna olen vähäsen huolissanne teidän firman tietoturvasta.

Se että jokin laite toimii ja sillä pääsee nettiin on tosi hienoa mutta ei välttämättä tietoturvallista.
Tässä ongelmatapauksessa positiivista on se että kun laite ei pääse suoraan nettiin niin ainakin jossain välissä on jokin "palomuurin" kaltainen este pitämässä yllä jonkinlaista tietoturvaa. Ongelma on selvittää millainen se turva on ja missä välissä verkkoa.

Luulisin että tuohon löytyisi joku ammattilainen katsomaan koko verkon kuntoon. Arvelisin työn olevan 1000euron luokkaa (noin 1pv homma). Onko työ sen arvoista vai kannattaako jatkaa omaa arpomista tän kanssa.
 
Jos jotakin pitää arvata, niin taikasana vois olla UPnP joka taitaa olla oletuksena päällä noissa 4/5G-purkeissa.
UPnP voi olla myös taikasana tietoturvalliseen katastrofiin. Etenkin yrityksissä.
Auttaminen on vähän hankalaa kun kukaan ei oikeasti tunnu tietävän miten noi teidän laitteet on kytketty muuten kuin johtoa ja wifi linkkiä peräkkäin.
Suorana sanottuna olen vähäsen huolissanne teidän firman tietoturvasta.

Se että jokin laite toimii ja sillä pääsee nettiin on tosi hienoa mutta ei välttämättä tietoturvallista.
Tässä ongelmatapauksessa positiivista on se että kun laite ei pääse suoraan nettiin niin ainakin jossain välissä on jokin "palomuurin" kaltainen este pitämässä yllä jonkinlaista tietoturvaa. Ongelma on selvittää millainen se turva on ja missä välissä verkkoa.

Luulisin että tuohon löytyisi joku ammattilainen katsomaan koko verkon kuntoon. Arvelisin työn olevan 1000euron luokkaa (noin 1pv homma). Onko työ sen arvoista vai kannattaako jatkaa omaa arpomista tän kanssa.
Lisäksi on hyvä muistaa että firman mahdollisella tietoturva/kyberturvallisuusvakuutuksella ei välttämättä tee mitään, jos vahingon sattuessa huomataan että portteja on availtu ja räpelletty miten sattuu.

Ammattilaisen palkkaaminen noihin asioihin on siis enemmän kuin suotava ratkaisu. Se että "kaikki toimii" voi joissakin tilanteissa olla äärimmäisen vaarallinen tilanne.
 
"Oikea" tapa toimia tuon frankkeerauskoneen kanssa olisi eristää se omaan vlaniin, johon sitten ohjaa laitteen vaatiman portin, mutta kyllä mä sen tajuan että monessa pienessä firmassa tuo verkko on hyvinkin epämääräinen.
 
Ymmärrän huolenne ettei ole välttämättä tietoturvamielessä kaikki ihan parhaalla tolalla.
Ja olette oikeassa. Aikamoinen amatööri näissä hommissa olen.
Ja siksi täältä neuvoja olen kysellyt, ja kyselen jatkossakin.
Varmasti monta asiaa voisin tehdä paremmin. Tai palkata oikean ammattilaisen apuun.

Tämä ongelma ratkesi kun lopetin ajattelemasta liian monimutkaisesti. Pöytälaatikostani löytyi vanhempi taskumallinen, pikkiriikkinen 4G laite. Siihen halpaakinhalvempi SIM sisään ja se Netgearin EX2700 sitten kiinni sen luomaan wifiin. Sitten LAN piuha tuosta verkonlaajentimesta postituskoneeseen ja SimsalaBim, kaikki toimii kuten pitääkin.
Tuon vain tähän tarkoitukseen luomani yhteyden tai siihen liitetyn laitteiston tietoturvasta en kanna huolta. Jos siihen nyt joku tunkeutuu eipä sinne tunkeutuja paljonkaan pahaa aikaan saa.
 
Jännä että se tuolla toimii, kun niissä halpaakin halvemmissa 4g liittymissä ei ole julkista ip osoitetta...
 
Ennen kuin kaikki menee päin persettä niin mihin suuntaan portti 443 pitää avata?

Laitteelta Internetiin vai Internetistä laitteelle?

443 on https:n oletus portti ja sen avaaminen Internetistä laitteelle on hieman riski altista.

Palomuuri säännöt voisi olla tyyliin, jos yhteys on laitteelta Internetiin (toimittaja)
Lähde ip, lähde portit 49152-65535, protocol tcp, kohde ip, kohde portti 443
Lähde ip, protocol icmp, kohde ip
Lähde ip on laitteen ip osoite
Kohde ip on toimittajan ip osoite
 
Oletukseni mukaan se pitäisi avata heillepäin. Mutta nyt tarve päästä tuohon meidän "pää"wifiimme poistui, jos se tuolla pilipaliyhteydellä noinkin hyvin pelaa.
Tuossa setissä kun ei ole kiinni mitään muuta kuin se perus 4G purnukka (jossa siis ei ole muita tökkeleitä kuin virtajohdon reikä) , tuo Netgearin laajennin tuottamassa sen tarvittavan fyysisen LAN-piuhan paikan, ja sen LAN-piuhan perässä nyt tämä postituskone. Ei tarvetta eikä aikomustakaan käyttää sitä mihinkään muuhun.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
261 336
Viestejä
4 535 443
Jäsenet
74 790
Uusin jäsen
anykanen

Hinta.fi

Back
Ylös Bottom