reitittimeen esto tietyille sivustoille

  • Keskustelun aloittaja Keskustelun aloittaja Vauhtimursu
  • Aloitettu Aloitettu
Olin ajatellu , että nykyinen reititin sais jäädä lapsia varten. Tuon @=JP= kuvan mukaan olisin tarvinnu yhden reitittimen lisää (edgerouter x =reititin ? ) eli jos kuvaa ajatellaan vaikka näin. Cisco , reititin 1=edgeroute x , reititin 2= lasten reititin ja näissä asiakaslaitteet.

Ylemmässä esimerkissä olisi vain edgerouterin ostaminen, alemmassa vaihtoehdossa 2 laitteen ostaminen.

Edgerouterissa ei tarvita wlania, joten kytkin lisänä riittää omiin tarpeisiin. Käsitin alkuun , että tuo olis ollu se kuvanmukainen ratkaisu. Tosin sitten aloin sotkemaan pfsense suunnitelmaa tähän jolloinka @Lagittaja meinaa että ostaisin edgeroute x && yhden lisä langattoman reitittimen jolloinka kuva muuttuis tälläiseksi :
cisco , edgeroute x "pfsenselaite" ( + ) -> 2 eri reititintä = pfsensen mukainen toteutus myöhempää ajankohtaa varten ?

Edgerouter x :ssä ei wlania ole eihän ? jolloinka sen vois ostaa koska pelkkiä johtoja tulee kiinni eikä tarvi murehtia wpa2 krack fixeistä jne. Jos pfsense viritys vaatii alemman esimerkin näköisen toteutuksen, voinhan myöhemmin ostaa sen yhden reitittimen vielä lisäksi ja muuttaa taas kokonaisuutta tämän alemman esimerkin näköiseksi ?

Ajattelin siis tuon ylemmän esimerkin mukaista kaaviota, ostamalla edgerouter x. Saisin nuo verkot erilleen nyt ensiksi. Se juuri antaa sitä lisää opiskeltavaa samalla, eikä tarvitse ostaa kahta laitetta ainakaan vielä. Se pfsense on myös vasta tulevaisuuden suunnitelmia.

Käsitinkö nyt väärin jotain , jos toteutan tuon ensimmäisenä ( ylempi ) mainitun vaihtoehdon ja ostan pelkän edgerouterin , onko kuvan mukainen toteutus silloin ? Cisco siltaavana, 2 reititintä ja laitteistot ?
 
Jos olen käsittänyt oikein, niin sinulta löytyy tuo Cisco kaapelimodeemi, ja 2kpl reitittimiä joissa toisessa on WLAN ja perus tyhmä kytkin?

EdgeRouterilla voit suoraan toteuttaa 2 erillistä LANia, jotka ei näe toisiaan, vaan menevät suoraan sitten Ciscon kautta. Esim. 1 portti WAN (joka kytketään Ciscoon joka siltaavana) ja sitten vaikka loput 4 verkkoliitintä puoliksi LAN 1 ja LAN 2. Sitten kytket joko 2 laitetta suoraan per verkko kiinni, tai laajennat vaikka tyhmällä kytkimellä (koska EdgeRouter hoitaa DHCP sun muut) tarvittaessa, jos enempi tarviit koneita kiinni omaan Aikuiset verkkoosi. Sitten tuohon toiseen kytket sen WLAN reitittimen tukiasema moodissa, mikäli lapsukaiset tarvii langatonta ja EdgeRouter hoitaa sielläkin tarvittavat DHCP sun muut.

Eli tällöin ei tarvii ku ostaa tuo EdgeRouter ja sillä selevä, no konffaus on oma hommansa. Mut mitä pikaseen vähän vilkasin, niin tossa näkyy olevan valmiit wizard setup (automatisoitu asennus) luomaan tuollainen ympäristö (en ny 100% vanno, mut näin kyl guidet näytti netissä).

Tuo 2 LANin erottaminen toisistaan vaatii pikkasen enempi konffausta, mutta täysin mahdollista.
Ubiquiti Networks Community
 
Viimeksi muokattu:
On vain cisco, lasten reititin & 2 tyhmää kytkintä. Tuo cisco vähän turhana kun sitä olin ajatellu omaan käyttöön mutta sehän jää vain siltaavaksi nyt sitten jatkossa. Eli joudunko ostamaan kuitenkin edgerouterin lisäksi vielä yhden reitittimen ?
 
Tähän tapaan
HYiiPqa.jpg


Tuon tyhmän kytkimen tuohon laitoin, että helpompi vetää se yksi johto sinne missä omia koneitasi pidät ja sit siitä vedellä kaapelit tarpeen mukaan.
Lapset käsittääkseni tarvitsevat sen langattoman verkon, niin siihen sitten se reititin WLAN varustettuna tuohon tukiasema moodiin. Ja siitä piuhat taasen koneisiin johon sen tarvitsee.

EdgeRouter sun pitää sitten konffata oikein, että ei nuo kaksi verkkoa näe toisiaan ja siitä linkin jo laitoinkin, kuinka se onnistuu. DNS pakotus sun muut lapsien koneelle onkin sit taasen ihan oma lukunsa ja joudut opiskelemaan tuon EdgeOS käyttöä...
 
Noin just, eli voin laittaa kytkimen edgerouterin perään ja homma alkais olla kasassa. Tarvitsen nyt ensisijaisesti vaan tuon esimerkiksi jimmsistä tilaamalla edgerouter x elikkä tämänkö ?
Ubiquiti EdgeRouter X -reititin, 5 x Gigabit RJ-45, musta - 58,60€

DNS osoitteet ei enääkö toimi lasten reitittimessä kun olen edgerouterin asentanu alkupäähän ? Se edgerouter jollain tapaa kumoaa tuon tukiasemamoodin ja DNS asetusten muutokset ? Joudun konffailemaan uudelleen myös tuon lasten reitittimen ?
 
Tässä nyt on sinulle ne kaksi eri skenaariota. Laatikot kuvastaa sitä että minkä "sisällä" tai "takana" ne on. En lisännyt mitään mahdollisia kytkimiä tähän koska halusin pitää verkkokartan mahdollisimman yksinkertaisena.

upload_2018-9-1_19-32-15.png
Reititin 1 voi olla mitä vain! Oli se sitten se aiemmin linkattu TP-Link Archer C20 tai Edgerouter X.
Tähän skenaarioon joudut ostamaan yhden laitteen lisää. ER-X:ssä ei ole WLANia eli jos sen ostat niin sitten sinun verkolla ei ole WLANia tai joudut/saat käyttää lasten WLANia sinun langattomilla laitteilla jos niitä on.
Itse olen (tietääkseni) sitä Edgerouter X:ää ehdottanut vain tuon toisen kuvan kaltaiseen...

upload_2018-9-1_19-26-39.png
...skenaarioon eli jos haluat yhdistää reitityksen ja kaikki mahdolliset säädöt yhteen purkkiin.
Tähän kuvan skenaarioon joutuisit ostamaan kaksi laitetta. Mutta noiden LAN1 ja LAN2 purkkien ei ole pakko olla "reitittimiä"! Ne voivat olla vain kytkimiä joita näköjään jo omistat tai jos tarvitaan WLANia jommassa kummassa tai molemmissa niin siellä voi olla tukiasema tai olemassa oleva langaton reititin tukiasema moodissa.

---

Jos minä olisin rakentamassa tällaisen verkon jossa pitäisi olla kaksi erillistä verkkoa eristettynä toisistaan ja pitäisi olla WLANia jne niin tekisin sen näin.
Tämä menee astetta monimutkaisemman näköiseksi mutta kyllä se siitä..
En vedellyt mitään nuolia ethX porteista kytkimiin tai kytkimistä koneisiin jne että pysyisi vähän siistimmän näköisenä.

upload_2018-9-1_20-15-38.png

Eli Cisco on edelleen sillattuna. (Enkä näköjään vieläkään korjannut tuota typoa..)
Edgerouter X kytketään Ciscoon ja se hoitaa reitityksen.
ER-X:ään luodaan VLANit (Virtual LAN) 1 ja 2.
VLAN1:ssä elää aikuisten verkko 192.168.20.0/24 avaruudessa.
VLAN2:ssa elää lasten verkko 192.168.30.0/24 avaruudessa.​
Palomuuriin luodaan säännöt jotka yksinkertaisesti sanottuna estää liikenteen VLAN2 -> VLAN1.
NATtiin luodaan sääntö joka "tarkkailee" VLAN2 liikennettä ja jos tulee DNS kysely niin se ohjataan OpenDNS FamilyShield palvelimelle.

eth1 määritetään VLAN1, untagged
eth2 määritetään VLAN2, tagged
eth4 määritetään VLAN1 untagged ja VLAN 2 tagged. (Violetti väri kuvaa sinistä ja punaista, en yhtäkkiä keksinyt miten draw.io:ssa saisi sin-pun katkoviivan)

eth1:ssä on aikuisten kytkin
eth2:ssa on lasten kytkin
eth4:ssä on kaikkien käyttämä tukiasema

Tukiasemaan luodaan kaksi SSID:tä
Aikuisten langaton ja sille ei esim Ubiquiti Unifi tukiaseman kohdalla tarvitse määrittää erikseen mitään VLANia koska VLAN1 on se oletus VLAN.
En tiedä toimisiko tämä nykyisen lasten langattoman reitittimen kanssa kun ainakin yleensä "tukiasema moodissa" kytkin pysyy myös aktiivisena. Jos se kytkin pysyy aktiivisena niin sitten pitäisi pystyä siinä purkissa asettamaan VLAN id:t niille porteille koska muuten penskat pääsisi niiden porttien kautta VLAN1:een.​
Lasten langaton ja sille määritetään VLAN id 2.​

Mitä tällä saavutetaan on se että lasten PC ja lasten puhelin voi jutella keskenään mutta esim lasten PC ei voi jutella aikuisten PC:n kanssa.
Mutta lasten puhelin ja aikuisten puhelin voivat käyttää samaa langatonta tukiasemaa, ovat vain eri "verkossa" (SSID), mutta eivät voi keskustella keskenään.

Jos tällainen kiinnostaa niin osta ensin se Edgerouter X ja rakenna verkkosi vaikkapa niinkuin tuo ensimmäinen kuva. Varmaan yksinkertaisimmasta päästä kun lasten reitittimelle ei pitäisi tehdä mitään?
Tai niinkuin =JP=:n kuvassa.
Sitten kun olet valmis testailemaan ER-X:llä niin jos jotain menee pieleen niin voit palauttaa varmuuskopion.

Tähän kaikkeen on myös olemassa valmiita ohjeita internetin ihmeellisessä maailmassa.

Edit: Eli siis osta vain se Edgerouter X (juurikin tuo Jimms linkissä oleva) näin alkuun, varsinkin jos et itse tarvitse omassa verkossasi WLANia.
 
Viimeksi muokattu:
Tuolla DNS pakotuksella tarkoitin vaan sitä, että vaikka ne lapsukaiset muuttaisi koneillaan DNS osoitteet (ohittaakseen esim. OpenDNS Family suodatukset), niin EdgeRouterista pitäisi pystyä pakottamaan kaikki DNS kyselyt aina sen kautta. Ja näinollen ei lapsukaiset pääse ilkeille sivuilleen, joita suodatat.
Jos näin haluat tehdä...
 
Ihan mahtavia juttuja kyllä teiltä tullu. Kiitos !

Oon ehkä jotenkuten kärryillä koko hommassa edelleen. Tilaan tuon edgen tässä lähiaikoina, ja kun kaikki toimii ensiksi varmuudella edgerouterin lisäämisen jälkeen, sitten voin aloittaa sen paremman opiskelun. Ne varmuuskopiot on joo otettava talteen, jos. Ei jos, vaan KUN tulee solmu eteen sitten säätäessä :)

Päivittelen vaikka tänne sitä mukaa kun saan ensiksi kotia saakka tuon edgerouterin.
 
Tuolla DNS pakotuksella tarkoitin vaan sitä, että vaikka ne lapsukaiset muuttaisi koneillaan DNS osoitteet (ohittaakseen esim. OpenDNS Family suodatukset), niin EdgeRouterista pitäisi pystyä pakottamaan kaikki DNS kyselyt aina sen kautta. Ja näinollen ei lapsukaiset pääse ilkeille sivuilleen, joita suodatat.
Jos näin haluat tehdä...

Jep, tämä onnistuu muutamalla klikkauksella ja painalluksella. Mutta proxy palvelimet tai VPN:t tietenkin ajaa tästä ohi mennen ja tullen. Näitä voi yrittää estää mutta se on vähän kuin whack-a-mole peli..

@Vauhtimursu Se nykyinen "lasten reititin", mikä valmistaja/malli? Voisin jossain kohtaa ns. ajankuluksi ihmetellä mitä sillä voisi saada aikaan jos et halua investoida erilliseen tukiasemaan. Eli olisiko tuo spoilerin takana ole konffi mahdollinen sen kanssa.
 
Kiitos @Lagittaja tarjoamastasi avusta. Voitaishan tuota reititintä tutkiskella, mutta olen myös tehny ostopäätöksen sen(kin) kohdalla kun tulee nuo WPA3 laitteet hyllyyn niin ostan samantien. Nyt pian luultavasti saan laitettua ensiksi edgerouterin tilaukseen ja sen kanssa menee aikaa kyllä varmasti kun sitä tulee tutkittua/säädeltyä. Toivonkin että jaksat , tai -- > jaksatte , toivottavasti muut myös :) autella sitten siinä hommassa.

Se lasten reititin on nyt kutakuinkin saatu konffeihin, nyt takkuan illasta toiseen yhden lapsen tietokoneen kanssa niin että ihan jo kyllästyttää :)
 
Aloin jo tutkimaan ciscoa alustavasti kun tässä on nyt aikaa ennenkuin edgerouterin saa tilaukseen. Sen tosiaan saa siltaavaksi, eli bridge only modeen. dhcp pois ja ilmeisesti static ip valinta myös tulee olla valittuna. Mutta.

Tässä tutkiessa sattumalta katselin palomuurin logia. Osaako joku kertoa tarkemmin mitä tämä tarkoittaa


Description
TCP- or UDP-based Port Scan

Count
Kpl, määrä=40 ja vaihtelevasti päivittäin

Last Occurrence
Päivämäärät tässä kohtaa ja samalta päivältä on useampi havainto joten tuo ylempänä mainittu kpl määrä voi lähennellä kaksinkertaista määrää.

Target
Jokaisessa havainnossa on eri osoite eikä nuo näytä omien laitteiden ip osoitteilta...
Osoitteen muoto : 00.000.0.000 : xxxxx

Source
192.168.0.00 : xxxxx , tämä muistuttaa jo omaa osoitetta enemmän ja tuo xxxxx voi olla jokin portti ?



Onko tämä nyt niin , että joku pommittaa portteja jatkuvalla syötöllä jos jokin näistä sattuis olemaan avoin ?

Nyt se tärkein, täytyykö huolestua ja jos täytyy niin mitä pitää tehdä ?

Jos jokin noista porteista sattuisi olemaan avoin, mitä tapahtuisi jos tuo pommitus menis läpi ? Vai onko jo kenties mentykin ?


Toinen havainto, mitä logissa näkyy on tämmöinen ja samanlaisia havaintoja logissa näkyy päivittäin
LAN-side UDP Flood

Mitä lie sitten tuokin. Mutta samanlaista settiä kun tuon toisenkin kohdalla.
 
Taisin löytää noille selityksen, liittyy osa ainakin näihin openDNS asetuksiin toisessa reitittimessä. Todennäkösesti siis ei mitään epätavallista tuossa ollukkaan ... ? Katselin noita ip osoitteita vaan haulla ja sieltä tuli ensimmäisenä vastaan openDNS osoitteita ja näihin omiin asetuksiin viittaavia osoitteita. Onko tuo ihan siis ihan tavallinen juttu logissa ?
 
Tää alkaa olla aika valmis. Estot reitittimeen on saatu ja aika paljon toimintoja blokkaa kyllä omat avainsanat asetuksissa sekä opendns family shield.

Avaan tuolle verkkojen eriyttämiselle uuden aiheen ja kopioin tästä jonkun viisaan viestin sinne.
 
OpenDNS Home on palvelu jonka voit räätälöidä omaan käyttöösi (jos et esimerkiksi halua phishing suojausta) ja tämän kanssa "pitää asentaa jotain" on siis dynaamisen IP osoitteen päivitys työkalu.
Kiinteissä kuluttaja internet liittymissä saat 5kpl dynaamisia IP osoitteita käyttöön. Eli kun modeemisi yhdistää operaattorin verkkoon, operaattori antaa modeemillesi IP osoitteen. Näitä osoitteita on sinulla yhteensä 5kpl käytettävissä yhtäaikaa ja se IP osoite minkä otat käyttöösi varataan sinulle vain tietyksi aikaa.
Eli jos katkaiset yhteyden pidemmäksi ajaksi (yli puoli tuntia tai kauemman) niin ei ole mitään takuuta että saisit saman IP osoitteen takaisin modeemin yhdistäessä takaisin verkkoon koska se IP osoite jaetaan sinulle dynaamisesti isosta rykelmästä eli jos modeemisi ei ole yhteydessä verkkoon + "sinun" IP osoitteen varausaika on mennyt ja joku toinen yhdistää verkkoon niin tämä joku voi saada "sinun" IP osoitteesi käyttöönsä.
Tätä dynaamista IP osoitteen päivitystä tarvitaan tämän räätälöidyn palvelun yhteydessä jotta se räätälöity palvelu voidaan kohdistaa oikeaan osoitteeseen. Mitä tämä työkalu tekee on yksinkertaista: tarkistaa tasaisin väliajoin mikä sinun IP osoite on ja jos se on muuttunut niin se ilmoittaa OpenDNS:lle sen muuttuneen IP osoitteen.​

Jos haluat käyttää jotain muuta DNS palvelinta lähiverkossasi niin vaihtoehdot on joko
1) vaihtaa DNS osoite jokaiseen laitteeseen manuaalisesti mutta tämä on turhaa koska kersat voi vaihtaa sen itse ja vaikeaa koska kaikki laitteet eivät sitä manuaalista vaihtoa tue
2) vaihtaa DHCP palvelimeen se DNS osoite

Luonnollisesti vaihtoehto 2 on se järkevin. Mikään ei kuitenkaan estä laitteita käyttämästä jotain muuta DNS osoitetta.
Tämän pystyy "kunnollisella" reitittimellä estämään lähes täydellisesti. Ainoastaan proxyt ja VPN:t menee tästä ohi ja tätä ei ole yksinkertaista estää. DNS:n yhteydessä proxy tarkoittaa esimerkiksi nettiselaimeen asennettavaa lisäosaa jolla voi katsoa esimerkiksi jenkki Netflixiä vaikka olet Suomessa. Ja VPN nyt on VPN.

Onko se siis niin että tuo "työkalu" sijaitsee tuola OpenDns:ssän nettiosoitteessa eikä omalle koneelle tarvitse ladata mitään erillistä työkalua / ohjelmaa ?

Tein näin, rekisteröidyin ja loin oman kotiverkon nimellä ja se tunnisti myös ip osoitteen josta tulen. Se oli vaan pari klikkausta rekisteröinnin jälkeen kun tiedot oli annettu. Se taisi haluta tuon yhden kappaleen dynaamisen ip osoitteen joka tulee operaattorilta ciscoon, jonka edgerouter tarjoilee dhcp:llä eteenpäin muille laitteille. Sitten vain estolistoja kliksettelemaan ja security välilehdestä saa phishing ja malware estot päälle (kaikki ne taisi oletuksena ollakkin valittuna) . Kaikki tämä tapahtui nettiselaimessa opendns sivulla.

Teinkö oikein ja nyt siis kotona verkossa olevien laitteiden dns kyselyt pitäisi mennä oikein tuon opendns avustuksella ?

Ainoa mutta mikä siinä nyt tulee vastaan se, että kun tällä sivulla Setup Guide | OpenDNS
on tuo "test your settings" , se antaa punaista rastia eli jokin ei nyt täsmää kuitenkaan...Se saattaa olla tuo edgerouterin dns asetus toisessa verkossa jossa on manuaalisti erikseen asetettu open family shield dns osoitteet ?

Tuolla opendns nettisivulla sai vielä erikseen lisätä itse domaineja jotka haluaa blokata jos ei vielä ollu blokattuna. Nyt ollaan jo niin todella lähellä sitä , mitä alunperin olin hakemassa. Mutta mistäköhän tuo testin punainen rasti johtunee ? Täytyy nyt ainakin ottaa ne dns asetukset edgestä pois, ja buuttailla jokainen laite vielä erikseen uudestaan ja kokeilla sitten vielä kerran josko toimis se testikin...
 
Suosittelisin lapsille linuxin asentamista koneeseen niin ylläpito vähenee huomattavasti. Ei kerää paskaa ja viruksia niinkuin windowskoneet ja jos pelailevat niin steamin saa linuxille. Steamin linuxia tukevasta Pelivalikoimasta en tiedä kun en itse pelaamista harrasta. Mitä olen lukenut niin pitäisi olla ihan kohtalainen. Saattavat jopa sivussa oppiakkin jotain muuta kuin windowsin käytön, Ja ainakin tulisivat tiedostamaan että koneen käyttöjärjestelmä voi olla muukin kuin windows.
 

Statistiikka

Viestiketjuista
261 321
Viestejä
4 535 154
Jäsenet
74 789
Uusin jäsen
anykanen

Hinta.fi

Back
Ylös Bottom