VALOO valokuitu

Alkuosasta oli hieman vaikea saada selkoa? Mutta jos tarkoitit sanoa että NAT ei ole palomuuri, niin totta, ei olekaan. NAT ei ota kantaa liikenteen sisältöön, toisin kuin palomuurin pitäisi. Mutta pelkästään jo NAT estää aika tehokkaasti pääsyn sisäverkkoon - olettaen että reititin ei ole haavoittuvaa mallia. Ja jos se reititin on haavoittuvaa mallia, niin sitten sen palomuurillakaan tuskin on virkaa?
Siinä olen samaa mieltä että NAT estää liikennettä. Mutta se ei ole NATin tarkoitus, vaan haitta, ongelma.

Jos sisäverkon laitteella ei ole tuoreita yhteyksiä nettiin, niin NAT heikosti osaa sille paketteja netistä ohjata, ei toivottujakaan.

Tiedätkö käyttäjiä joilla olisi verkkonsa kaikilla laitteilla julkiset IP:t? Minä en.
Nykyään tuskin, Yksi moneen NAT käytetään vain sen takia että niitä IPv4 osoitteita on niukasti. Muuten voitaisiin mennä niin että kaikille laitteille olisi julkinen IPv4.
IPv6lla julkinen ip on oletus.


Käsittääkseni NAT ei toimi kuten väität, eli että jos laite käyttää nettiä, niin "siellä on sitten reitit netistä tulostimeenkin päin". Eikös nuo reitit muodosteta sieltä NATin sisältä kohdeosoitteisiin? Simppeli simerkki, tulostin ottaa yhteyttä palveluun x netissä, resolvaten sen IP:ksi vaikka 1.2.3.4, niin sitten siellä on reitti auki tuosta 1.2.3.4 ja aukaistusta portista tuolle sisäverkosta huutelun aloittaneelle tulostimelle - ei mitenkään "ovi auki koko internetille huudella tulostimelle"? UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...

Jos se tulostin haluaa sieltä netistä vastauksen niin NAT pitää olla reikä sille. (* NATkäyttö on toki johtanut siihen että siirrytty käyttään protokollia missä oletus että ei välissä on NAT. Ei sen takia että se olisi hyvä, vaan sen takia että netti ei toimi. NAT yrittää parhaansa mukaan arpo niitä tulevia paketteja oikealle laitteelle. Joillain protokollilla voi olla hankalempaa jos sen NATin takana useita samaa protokollaa käyttäviä.


NAT toteutuksiin on tullut myös palomuurikaltaisia ominaisuuksia, se voi joissain tapauksissa estää / päästää tulevaa liikennettä lähteen mukaan, se ei sinänsä ole NAT tehtävä, vaan enemmänkin haitta jota joudutaan tekemään että hanskataan useita sisäverkon yhteyksiä.

UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...

Protokollat joilla sisäverkon laite voi kertoa NATille tarpeistaan on välttämättämiä että niitä reittejä saadaan auki. nekin sitten vaatii sen että jollain muualla tavalla viestitään se mistä portista, missä julkisessa osoitteessa palvellaan, sekin lähinnä vain vaikeuttaa palomuurin työtä.

Jos se IPv6 olisi ollut ajoissa, niin ei olisi noita murheita, palomuurit, joilla ihan lähtökohtaisesti helpompaa.

(NAT tässä yhteydessä tarkoitetaan Yksi moneen NAT)



(*
Tähän se NAT suoja perustuu, se ei osaa reittittään oikeaan kohteeseen muuta, no osaan yhteyksiä se voi arpoa useamman portin, eli ei sille tulostimelle mene kaikki liikenne mitä ko julkiseen osoitteeseen tulee, vaan vain ne reijät mitä avattu. Eli jos tulostin lähettää jonkin http pyynnön, niin ei NAT sille avaa portteja kaikille tulostimen palveluille.

Muihin julkisen osoitteen portteihin tuleva liikenne menee sitten jollekkin muulle laitteelle, tai jää reitittämättä kokonaan.
 
Jos laitatte kotiautomaatiota, turvakameroita, tulostimia tms. suoraan julkisen IP:n taakse nettiin niin katsokaan sitten, että se tietoturva on kunnossa. Suurimalle osalle en kyllä itse suosittaisi. Parempi olisi pitää ne sisäverkossa ja sitten vaikka VPN kautta käyttää.
 
Jos laitatte kotiautomaatiota, turvakameroita, tulostimia tms. suoraan julkisen IP:n taakse nettiin niin katsokaan sitten, että se tietoturva on kunnossa. Suurimalle osalle en kyllä itse suosittaisi. Parempi olisi pitää ne sisäverkossa ja sitten vaikka VPN kautta käyttää.
Tuo ehkä vie jo yleismpään kekusteluun kuin pelkästään Valoo valokuitu :-), ja ehdottomasti palomuuri väliin.

En oikein löytänyt aihetta liippaavaa ketjua, rakennna oma palomuuri ehkä vähän liin pitkälle menevä, kameroista oli oma ketju threads/palomuuri-ja-valvontakameran-etakaytto.567833/. Tosin siinä kamera ei ollut suoraan julkisen IPn takana, ja palomuurikin taisi olla välissä. Joku voisi perustaa yleisen palomuuri ketjun.

Suoraan julkisen IPn taakse käytännössä tarkoittaa IPv6, tai sitten IPv4lla vahingossa laitettu suoraan kuitukytkimen tai sillatun modeemin perään. jälkimmäisiä mokia tapahtuu, joihin herätään lähinnä sen takia että tulostin, telkka ei toimi halutusti kotiverkosta, tai osa laitteista jää ilman IP osoitetta. Ja tuo ilman muuta vaarallista.

IoT, Kamerat, saa toki olla se julkinen IP (IPv6) jos ne nettiä tarvii, mutta palomuuri väliin , sillä voi sitten estää kaiken ei välttämättömän. (esim sen kameran niin ettei sitä pääse ulkoa katsomaan)
 
Tuo ehkä vie jo yleismpään kekusteluun kuin pelkästään Valoo valokuitu :-), ja ehdottomasti palomuuri väliin.

En oikein löytänyt aihetta liippaavaa ketjua, rakennna oma palomuuri ehkä vähän liin pitkälle menevä, kameroista oli oma ketju threads/palomuuri-ja-valvontakameran-etakaytto.567833/. Tosin siinä kamera ei ollut suoraan julkisen IPn takana, ja palomuurikin taisi olla välissä. Joku voisi perustaa yleisen palomuuri ketjun.

Suoraan julkisen IPn taakse käytännössä tarkoittaa IPv6, tai sitten IPv4lla vahingossa laitettu suoraan kuitukytkimen tai sillatun modeemin perään. jälkimmäisiä mokia tapahtuu, joihin herätään lähinnä sen takia että tulostin, telkka ei toimi halutusti kotiverkosta, tai osa laitteista jää ilman IP osoitetta. Ja tuo ilman muuta vaarallista.

IoT, Kamerat, saa toki olla se julkinen IP (IPv6) jos ne nettiä tarvii, mutta palomuuri väliin , sillä voi sitten estää kaiken ei välttämättömän. (esim sen kameran niin ettei sitä pääse ulkoa katsomaan)

Kun tässä nyt aiemmin perusteltiin julkisen IPv4 tarvetta sillä, että näitä palveluita voisi helposti käyttää myös etänä, niin ajattelin tästä huomauttaa. Niin ja se, että laittaa palomuurin nyt ei vielä riitä alkuunkaan, jos siitä päästetään liikennettä omiin sisäverkon palveluihin. Pitää lisäksi huolehtia, että se palvelu jonka sinne nettiin kytkee on riittävän hyvin suojattu. Edes huipputason yrityspalomuuri ei vielä takaa, että niitä palveluita voisi huoletta laittaa nettiin. Jos esim. siinä IoT on joku haavoittovuus, niin koko verkko voi tästä vaarantua (vaikka ongelma olisi valmistajan softissa ei omissa käsissä). IOT haavoittovuudesta esimerkkinä esim. Robotti-imuri alkoi salakuvata ja solvata rasistisesti – myynnissä myös Suomessa.

Joo menee kyllä OT:n puolelle, mutta eipä taida oikein parempaakaan ketjua olla. Näistä ehkä kuitenkin hyvä ihmisiä varoitella vähän useammassakin ketjussa vaikka menisi ohi aiheen. Kaikki ei välttämättä ihan tajua miten iso juttu tuo tietoturva on siinä vaiheessa kun niitä omia palveluita alkaa nettiin työntämään.

Kyllä niitä laitteita laitetaan ihan tarkoituksella sinne julkisen IP:n taakse joskus. Itselläkin oli aikoinaan Elisan viihde boksi kun ei muuten saanut mesh verkon yli palomuurin takana toimimaan vakaasti. Tästä keskustelin Elisan teknisen tuen kanssa ja tuumasi, että kyllä heidän purkissa pitäisi olla riitävä tietoturva, joten laitoin sitten sillatunportin taakse ilman pääsyä sisäverkkoon, jossa toimikin ilman mitään ongelmia.
 
Kun tässä nyt aiemmin perusteltiin julkisen IPv4 tarvetta sillä, että näitä palveluita voisi helposti käyttää myös etänä, niin ajattelin tästä huomauttaa. Niin ja se, että laittaa palomuurin nyt ei vielä riitä alkuunkaan, jos siitä päästetään liikennettä omiin sisäverkon palveluihin. ...
Kannatan oman ketjun perustamista, mutta jos tähän ketjuun tärkeää. Niin se julkinen IP ei ole vaarallinen, kaikilla laitteilla saa olla julkinen IP ja sen vain helpompaa palomuurissa. Oleellista on se ettei laitteita laita ilman palomuuria nettiin.
Valoolla julkinen IP useammalle laitteella tarkoittaa IPv6.

Jos ei luota kameraan, niin kannattaa siltä palomuurissa estää kaikki netti liikenne, jos luottaa vähän niin salli vain ne luotetut. Jos tarpeeseen sopii, niin VPN jolla voi sitten tulla sisäverkkoon. Kunhan se VPN nyt on luotettu.

Kannatan kotiympäristössäkin useampia eri verkkoja jotka erillään toisistaan, yhteen ne kodin arkilaitteet (esim tietokoneet ja niiden kanssa käytettävä laitteet), yhteen riskilaitteet (kiinan ihmeet), yhteen kriittiset suojeltavat laittee (kiinteistö automaatio, valvonta), Kriittisin verkko ilman nettiä.


Edit:
Ja kamerat, mikit jotka tarvitsee nettiyhteyttä, niin sijoittaa niin että sen vuotaminen julkiseen nettiin on asia minkä kestää.
 
Kannatan oman ketjun perustamista, mutta jos tähän ketjuun tärkeää. Niin se julkinen IP ei ole vaarallinen, kaikilla laitteilla saa olla julkinen IP ja sen vain helpompaa palomuurissa. Oleellista on se ettei laitteita laita ilman palomuuria nettiin.
Valoolla julkinen IP useammalle laitteella tarkoittaa IPv6.

Jos ei luota kameraan, niin kannattaa siltä palomuurissa estää kaikki netti liikenne, jos luottaa vähän niin salli vain ne luotetut. Jos tarpeeseen sopii, niin VPN jolla voi sitten tulla sisäverkkoon. Kunhan se VPN nyt on luotettu.

Kannatan kotiympäristössäkin useampia eri verkkoja jotka erillään toisistaan, yhteen ne kodin arkilaitteet (esim tietokoneet ja niiden kanssa käytettävä laitteet), yhteen riskilaitteet (kiinan ihmeet), yhteen kriittiset suojeltavat laittee (kiinteistö automaatio, valvonta), Kriittisin verkko ilman nettiä.


Edit:
Ja kamerat, mikit jotka tarvitsee nettiyhteyttä, niin sijoittaa niin että sen vuotaminen julkiseen nettiin on asia minkä kestää.

Jos joku jaksaa tehdä tästä on ketjun, niin eikun vaan. Periaatteessa julkinen IP ei ole ongelma, mutta kun katsot näitä operaattorien jakamia laitteita, niin yleensä niiden takana saa julkisen IP:n vain siltaamalla ko. portin (ainakin omien kokemuksien perusteella). Näitä operaattorien jakamia laitteita taitaa kuitenkin suurinosa käyttää. Julkista IP:tä tarvitsee lähinnä mielestäni vain, jos ko. palveluun tarvitsee päästä sen kotiverkon ulkopuolelta käsiksi, jos ei tarvitse, niin mihin sitä julkista IP:tä tarvitsee? Julkisen IP:n käyttäminen (eli portin siltaaminen operaattorien purkeilla) lisää kolkuttelijoiden määrää, joten siinä mielessä se NAT on turvallisempi. Toki jos homma tehdään oikein ja kunnon palomuurilla näiden operaattorien purkkien sijaan, niin homma erikseen.

Itse olisin ainakin aika varovainen kaikkien IoT laitteiden nettiin päästämisessä. Miten esim. valmistajan X-kameran ohjelmiston tietoturvasta & päivityksistä voi edes kuluttajalaitteissa varmistua? Näiden kohdalla pitäisi sitten myös muistaa estää laitteen pääsy nettiin kun valmistaja lopettaa ohjelmistopäivitykset.

Jos pääsy sisäverkon laitteisiin ulkopuolelta on VPN kautta, niin tarvitsee murehtia vaan sen VPN tietoturvasta, ei jokaisen nettiin päästämänsä laitteen tietoturvasta erikseen.

Olen samaa mieltä, että kotiverkkokin pitäisi jakaa useampaan verkkoon. Tämäkään ei yleensä taida valitettavasti onnistua näillä operaattorin jakamilla laitteilla.
 
Jos joku jaksaa tehdä tästä on ketjun, niin eikun vaan.
Kannatan oman ketjun tekemistä, ei ajatuksesi koske pelkästään Valoota.

Periaatteessa julkinen IP ei ole ongelma, mutta kun katsot näitä operaattorien jakamia laitteita, niin yleensä niiden takana saa julkisen IP:n vain siltaamalla ko. portin (ainakin omien kokemuksien perusteella). Näitä operaattorien jakamia laitteita taitaa kuitenkin suurinosa käyttää.

Valoolla julkinen IP joillekkin laitteelle (muu kuin eka reitin (*) tarkoittaa IPv6 , IPv6 taasen se onnistuu helposti ja se peruskäytäntöä. Tärkeintä on se että välissä on palomuuri. Nykyään Operaattorien tarjoamissa reittimissä pitäisi olla palomuuri IPv6, eli ollaan lähtötasolla jo turvallisemmassa kuin perus IPv4 NATissa.


Itse olisin ainakin aika varovainen kaikkien IoT laitteiden nettiin päästämisessä. Miten esim. valmistajan X-kameran ohjelmiston tietoturvasta & päivityksistä voi edes kuluttajalaitteissa varmistua? Näiden kohdalla pitäisi sitten myös muistaa estää laitteen pääsy nettiin kun valmistaja lopettaa ohjelmistopäivitykset.

Ilman muuta kannattaa olla varovainen, mutta jos kuitenkin niitä asentaa sinne kotiverkkoon, niin se eka tärkein juttu on palomuuri. Jos laitteita mitkä eivät tarvitse nettiä, niin niille oma verkko ilman nettiä on ihan pohdinnan arvoinen.

(*
Käytännössä muillakkin kuluttaja operaattoreilla, koska max julkinen IPv4 määrä on viisi tai vähemmän.

VPN käyttöä suosittelen myös jos on tarve päästä kotiverkon palveluihin, sen käyttö helpottaa että julkinen IPv4 sillä VPN palvelimella. Valoolla tarkoittaa että pitää pyytää julkinen IPv4 ja tarkoittaa sitä että kaikki kotiverkon IPv4 nettiliikenne sen IPn kautta.
 
Viimeksi muokattu:
Kannatan omaa ketjua. Keskustelu on mielenkiintoinen ja aina ajankohtainen. Ehdottomasti VPN:n kautta sisään sinne kotiverkkoon tai mihin tahaansa muuallekkaan, missä ei ole tarvetta pitää palvelua julkisessa verkossa. Wireguard on sen verran kevyt ja nopea, ettei sitä edes huomaa käytössä.

Mitä noihin operaattoreiden purkkeihin tulee, niin ei tästä ole kauhean monta vuotta, kun jonkun yhteyden mukana kaveri sai reitittimen, jossa wlan vakiosalana oli kymmenen numeroa. Ei siis ollut sattumaa, vaan ihan joka boksissa sama homma. Ei tuota perusvehkeillä nyt varmaan ihan minuutissa brute forcea, mutta aukeaa kyllä ajan kanssa. En koske noihin vehkeisiin pitkällä, enkä lyhyellä tikulla. Tuolla tuo Valoon laatikko on autotallissa avaamattomana. Pitää varmaan antaa kaverille, kun ilmeisesti haluaisi mesh verkon.

Palataan takaisin aiheeseen.

Tänään soittivat Valoolta, että julkinen IP voidaan kytkeä ja ihan kysyivät haittaako katko. Kokemukset firmasta voisi summata:

+ Toimitus ainakin omalla kohdalla yllätävän nopea. Tilaus --> kytkentä - alle vuosi.
+ Tuotteet ja palvelut ilmoitettu järjevästi, ilman harhaanjohtavaa vouhkaamista. Saatan jopa harkita tuota IPTV:tä, vaikken TV:tä katsokkaan :)
+ Tuote toimii niinkuin luvattu, ainakin lyhyen kokemuksen perusteella.

- Asiakaspalvelu täysin tukossa. Soittavat kyllä parin päivän viiveellä takaisin ja palvelu on hyvää kunhan sitä saa.
 
Valoolla julkinen IP joillekkin laitteelle (muu kuin eka reitin (*) tarkoittaa IPv6 , IPv6 taasen se onnistuu helposti ja se peruskäytäntöä. Tärkeintä on se että välissä on palomuuri. Nykyään Operaattorien tarjoamissa reittimissä pitäisi olla palomuuri IPv6, eli ollaan lähtötasolla jo turvallisemmassa kuin perus IPv4 NATissa.

Kyllähän suunnilleen kaikissa operaattorien IPv4 NAT reitittimissä on ollut jo ties kuinka kauan palomuuri. Julkiset IP:t lisää kolkuttelijoiden määrää, joten itse miettisin tarkkaan mikä laite oikeasti kannattaa päästää sinne kotiverkon ulkopuolelle. Minkälaiset säädöt noissa Valoon jakamissa reitittimissä on palomuurille, voiko niillä tehdä useamman toisistaan erillisen sisäverkon jne? Mitä nyt noita heidän käyttöohjeitaan on verkossa, niin ei kyllä saa oikein minkäänlaista käsitystä.
Ilman muuta kannattaa olla varovainen, mutta jos kuitenkin niitä asentaa sinne kotiverkkoon, niin se eka tärkein juttu on palomuuri. Jos laitteita mitkä eivät tarvitse nettiä, niin niille oma verkko ilman nettiä on ihan pohdinnan arvoinen.
Ennen kuin mitään omia palveluita laittaa näkymään kotiverkon ulkopuolelta kannattaa oikeasti perehtyä tietoturvaan. Kuten sanoin se palomuuri ei riitä alkuunkaan, jos muuten tietoturvasta ei ole huolehdittu. Palomuuri rajaa, että vain haluttuihin palveluihin pääsee käsiksi, mutta kun se verkkoon laittamasi palvelu voi vaarantaa koko kotiverkon. Laitteita bottiverkoissa on sen verran paljon, että sinne ei lisää enää tarvittaisi. Mutta eiköhän tämä offtopic ala riittää aiheesta omalta osaltani.
 
Kyllähän suunnilleen kaikissa operaattorien IPv4 NAT reitittimissä on ollut jo ties kuinka kauan palomuuri. Julkiset IP:t lisää kolkuttelijoiden määrää, joten itse miettisin tarkkaan mikä laite oikeasti kannattaa päästää sinne kotiverkon ulkopuolelle. Minkälaiset säädöt noissa Valoon jakamissa reitittimissä on palomuurille, voiko niillä tehdä useamman toisistaan erillisen sisäverkon jne? Mitä nyt noita heidän käyttöohjeitaan on verkossa, niin ei kyllä saa oikein minkäänlaista käsitystä.
Edelleen ei ole vain Valooseen liittyvää. Mutta Valoolla on oletuksena operaattori NAT, samasta julkisesta IP useita asiakkaita ja heidän ohjelmat, käyttäjät. Se trikkeroi niitä kolkutteluita. Jos joku yhteydessä johonkin vihamieliseen palvelimeen, joka sitten sitten voi iskeä vastapalloon. (Mahdollisesti siellä Valoon NATissa on palomuurimaisia ominaisuuksia)

Tiettävästi Valoon kytkyreittimessä on ihan tyypillinen palomuuri, eli sen takia ei kannata pelätä julkisen IPn tilaamista, eikä pelätä IPv6 käyttöönottoa. Ne lähinnä parantavat netin toimivuutta.

Vaikka yleinen oletus että operaattorin tarjoamassa reittimessä on palomuuri, niin kannattaa se kuitenkin varmistaa, ja että on siis IPv4 ja IPv6.

Silloin on jo pitkällä kun se kelpo reititin ja on huolellinen kytkennöissä ettei vahingossa kytke palomuuri reittimen lisäksi muita laitteita julkiseen nettiin.

Ja tiedostaa se että jos kytkee jonkin nettiäkäyttävän laitteen kotiverkkoon, niin se on sitten netissä ja oli NAT tai ei, niin siellä joku palvelu joka kuuntelee netistä tulevia paketteja.
 
Edelleen ei ole vain Valooseen liittyvää. Mutta Valoolla on oletuksena operaattori NAT, samasta julkisesta IP useita asiakkaita ja heidän ohjelmat, käyttäjät. Se trikkeroi niitä kolkutteluita. Jos joku yhteydessä johonkin vihamieliseen palvelimeen, joka sitten sitten voi iskeä vastapalloon. (Mahdollisesti siellä Valoon NATissa on palomuurimaisia ominaisuuksia)

Tiettävästi Valoon kytkyreittimessä on ihan tyypillinen palomuuri, eli sen takia ei kannata pelätä julkisen IPn tilaamista, eikä pelätä IPv6 käyttöönottoa. Ne lähinnä parantavat netin toimivuutta.

Vaikka yleinen oletus että operaattorin tarjoamassa reittimessä on palomuuri, niin kannattaa se kuitenkin varmistaa, ja että on siis IPv4 ja IPv6.

Silloin on jo pitkällä kun se kelpo reititin ja on huolellinen kytkennöissä ettei vahingossa kytke palomuuri reittimen lisäksi muita laitteita julkiseen nettiin.

Ja tiedostaa se että jos kytkee jonkin nettiäkäyttävän laitteen kotiverkkoon, niin se on sitten netissä ja oli NAT tai ei, niin siellä joku palvelu joka kuuntelee netistä tulevia paketteja.
Vastataan nyt vielä. Kyllä niitä kolkutteluita tulee ilman, että yhteydessä mihinkään vihamieliseen palvelimeen.

Itsellä ei ainakaan ole kovin suuri luotto tuollaiseen operaattorin toimittaman purkin palomuuriin, jonka säädöt on luultavasti hyvin rajoittuneet kunnon palomuuriin verrattuna. Suurin osa käyttäjistä ei huomaa eroa normikäytössä onko käytössä IPv4 NATilla vai julkinen IPv6. Eroa tulee lähinnä siinä vaiheessa kun pitää syystä x saada yhteys ulkoa sinne sisäverkon palveluun y. NAT siinä välissä lisää turvallisuutta estämällä liikennettä. Eihän se ole NAT tarkoitus, mutta käytännössä parantaa tietoturvaa estämällä liikennettä. Joku voi toki pitää sitä ei toivottuna haittana. Ei sitä julkista IP:tä kannata pelätä, mutta kannattaa tiedostaa, että sen kanssa tietoturvasta on huolehdittava vielä tarkemmin.

Jos sinne kotiverkkoon kytkee jotain, johon pitää päästä ulkoa käsiksi, niin siinä vaiheessa kyllä suosittaisin suoraan heittämään ne operaattorin purkit olan yli ja hankkimaan kunnon palomuurin.

Kotona kannattaa miettiä mitkä laitteet oikeasti sitä nettiä tarvitsevat. Tarvitseeko sen kahvinkeittimen tai jääkaapin välttämättä päästä nettiin.
 
Jatkoin tuonne palomuuri kamera ketjuun, kun en parempaakaan löytänyt

Vastataan nyt vielä. Kyllä niitä kolkutteluita tulee ilman, että yhteydessä mihinkään vihamieliseen palvelimeen.
No toki tulee, mutta ei se nyt ainakaan vähennä jos saman julkisen IP takana on paljon käyttäjiä.

Itsellä ei ainakaan ole kovin suuri luotto tuollaiseen operaattorin toimittaman purkin palomuuriin, jonka säädöt on luultavasti hyvin rajoittuneet kunnon palomuuriin verrattuna.
Toki rajoittuneemmat, mutta noin oletuksena päästää liikenenttä sisälle jos aloite tullut sisältä päin.
Operaattorien markkinoimissa purkeissa on ollut myös asetuksia millä voi tiukentaa tai avata portteja pysyvästi. Toki varsinkin vanhoissa voi olla lähinnä perus automatiikka


Suurin osa käyttäjistä ei huomaa eroa normikäytössä onko käytössä IPv4 NATilla vai julkinen IPv6. Eroa tulee lähinnä siinä vaiheessa kun pitää syystä x saada yhteys ulkoa sinne sisäverkon palveluun y. NAT siinä välissä lisää turvallisuutta estämällä liikennettä. Eihän se ole NAT tarkoitus, mutta käytännössä parantaa tietoturvaa estämällä liikennettä. Joku voi toki pitää sitä ei toivottuna haittana. Ei sitä julkista IP:tä kannata pelätä, mutta kannattaa tiedostaa, että sen kanssa tietoturvasta on huolehdittava vielä tarkemmin.

NAT markkinoiminen tieturvana, en nyt vain ymmärrä miksi. Se on haitta halutulle liikenteelle, se että se ei osaa jotain paketti ohjata perille ei ole tieturvaa. Luomalla mielikuvaa että se olisi turvallisempi kuin palomuuri ja julkinen IP. Palomuurille helpompaa kun laitteilla (IPv6) on julkinen IP, tuleva paketti, niin siitä ei tarvi arpoa kuin se päästetäänkö läpi vai ei. Kun tiedetään minne se on tarkoitettu niin palomuurille helppoa, eli ihan yksikertainenkin minimi on jo parempi kuin NAT.
 
NAT markkinoiminen tieturvana, en nyt vain ymmärrä miksi. Se on haitta halutulle liikenteelle, se että se ei osaa jotain paketti ohjata perille ei ole tieturvaa. Luomalla mielikuvaa että se olisi turvallisempi kuin palomuuri ja julkinen IP. Palomuurille helpompaa kun laitteilla (IPv6) on julkinen IP, tuleva paketti, niin siitä ei tarvi arpoa kuin se päästetäänkö läpi vai ei. Kun tiedetään minne se on tarkoitettu niin palomuurille helppoa, eli ihan yksikertainenkin minimi on jo parempi kuin NAT.

Sun logiikkasi ontuu tässä hiemani: NAT ei hyvä koska se VOI päästää JOTAIN sisäänpäin, jos yhteys on aukaistu sisältäpäin - ei hyvä ei. Palomuuri+julkinen IP hyvä koska kaikki liikenne (huom: myös ei toivottu, mikäli muuri ei sitä onnistu blokkaamaan) pääsee perille kaikille verkon koneille. Hyvä hyvä!

Tuossa nojataan täysin siihen että palomuuri on yltäkylläisen kaikkivoipa tunnistamaan ja erottamaan toivotun liikenteen ei-toivotusta, ja mikäli muuri tulkitsee että liikenne on legittiä, se päästetään läpi kohdekoneelle. Kohdekoneella voi kuitenkin olla esim. puutteellisesti konffattu (tai haavoittuva) palvelu joka on asentunut oletuasetuksilla jonkun softan kyljessä tms. ja se voi nyt olla siis auki internettiin päin tuon ansiosta - kun kone on julkisen IP:n takana internetissä - ja suojana on vain usko siihen, että muuri ymmärtää pysäyttää esim. ihan legitin näköiset yhteysyritykset ulkoapäin. NATin takana tuo palvelu saisi olla rauhassa, ulkoverkosta siihen ei pääsisi käsiksi ellei sille tekisi erikseen porttiohjausta.

Ja tosiaan en noita julkisia IP osoitteita suosittele kuin niitä tarvitseville - riittääpä sitten vapaata avaruutta niille, jotka sellaista oikeasti tarvitsee.
 
Osaako joku auttaa ongelmassa, kun Valoon kanssa on korkeampi pingi PS5:n kanssa FC 25 -peliä pelatessa kuin mitä aikasemmalla DNA:nkaapeliyhteydellä? DNA antaa pingiksi 12, Valoo 20 tai yli, vaikka nopeudessa Valoo pesee DNA:n mennen tullen. Onko jokin asetus ehkä pielessä? Entä tietääkö joku EA:n tuossa pelissä käyttämiä servereitä?
 
Osaako joku auttaa ongelmassa, kun Valoon kanssa on korkeampi pingi PS5:n kanssa FC 25 -peliä pelatessa kuin mitä aikasemmalla DNA:nkaapeliyhteydellä? DNA antaa pingiksi 12, Valoo 20 tai yli, vaikka nopeudessa Valoo pesee DNA:n mennen tullen. Onko jokin asetus ehkä pielessä? Entä tietääkö joku EA:n tuossa pelissä käyttämiä servereitä?
Ongelma voi olla sisäverkossakin. Sullahan varmaan vaihtui reititin samalla? Oletko kokeillut vaikka speedtestillä paljonko ping on kummallakin yhteydellä (jos se kaapeliyhteys on vielä käytössä)? Jos löytyy tietokone, niin voisi vaikka kokeilla traceroutea, niin näkisi paljonko se ping on mihinkin. Toki ongelma voi olla operaattorin reitityksissäkin, mutta vaatisi hieman testaamista selvittäminen.
 
Onko sillä suunnissa vielä lähteneet ALARM valot sammumaan? Itselläni sama tilanne. Eilen tuli viesti ja tänään paketit postiin, mutta väärät valot päätteessä. Aspaan tuntuu pääsevän paremmin läpi, kun valitsee asian koskevan uutta tilausta. Mitään aikataulua siellä ei tietysti osattu luvata. Ei ole kärsimättömän hommaa tämä kuidun tilaaminen.
Täällä alarmit palaa edelleen. Tuonne aspaankin pääs läpi ku puoltuntia soitti putkeen uudelleen ja uudelleen. Luvattu että korjaus tapahtuu 2-3 viikossa mutta kulunut jo 3 viikkoa eikä mitään ole tapahtunu
.
 
Ongelma voi olla sisäverkossakin. Sullahan varmaan vaihtui reititin samalla? Oletko kokeillut vaikka speedtestillä paljonko ping on kummallakin yhteydellä (jos se kaapeliyhteys on vielä käytössä)? Jos löytyy tietokone, niin voisi vaikka kokeilla traceroutea, niin näkisi paljonko se ping on mihinkin. Toki ongelma voi olla operaattorin reitityksissäkin, mutta vaatisi hieman testaamista selvittäminen.
Speedtestillä olen kokeillut, Valoo antaa jotain 5 ja DNA 8-10. Siis ihan yleisesti Ooklan speedtestillä. En tähän työkoneeseen uskalla mitään ohjelmia asentaa ja muutenkin olen aika keskinkertainen näissä tietokonejutuissa, lähinnä räplännyt Natin ykköseksi siltaamalla tai aikoinaan jotain portteja ohjannut. Ja Valoon kautta tuli käyttöön tuo Huawei. Siitä on piuhalla ollut pleikkariin kiinni.
 
Viimeksi muokattu:
Speedtestillä olen kokeillut, Valoo antaa jotain 5 ja DNA 8-10. Siis ihan yleisesti Ooklan speedtestillä. En tähän työkoneeseen uskalla mitään ohjelmia asentaa ja muutenkin olen aika keskinkertainen näissä tietokonejutuissa, lähinnä räplännyt Natin ykköseksi siltaamalla tai aikoinaan jotain portteja ohjannut. Ja Valoon kautta tuli käyttöön tuo Huawei. Siitä on piuhalla ollut pleikkariin kiinni.
Traceroute on oletuksena asennettuna windows/unix (yleensä) käyttöjärjestelmissä. Windows komentokehoitteessa komento on tracert (palvelimen nimi/IP). Tässä toki pitäisi tietää EA palvelin, johon testata. Tässä MS ohje tuohon: tracert. Jos speedtestissä Valoolla on parempi ping, niin sitten ongelma tuskin on kotiverkossa, vaan operaattorin reitityksissä. Niihin ei kuluttaja voi vaikuttaa.
 
Traceroute on oletuksena asennettuna windows/unix (yleensä) käyttöjärjestelmissä. Windows komentokehoitteessa komento on tracert (palvelimen nimi/IP). Tässä toki pitäisi tietää EA palvelin, johon testata. Tässä MS ohje tuohon: tracert. Jos speedtestissä Valoolla on parempi ping, niin sitten ongelma tuskin on kotiverkossa, vaan operaattorin reitityksissä. Niihin ei kuluttaja voi vaikuttaa.
Okei. Valoon porukka tarttui nopeasti tähänja kyllä discordissa ja kysyivät myös EA:n palvelimia. He eivät löytäneet niistä tietoa kuin että ilmeisesti Amazonin palvelimia, eikä EA:n helpistä luovutettu näitä tietoja. EA:lla on kyllä game log, mistä näkee olenko pelannut Valoon vai DNA:n netillä, wifillä vai piuhalla, pingit ja packet lossit listattuna. Sen perusteella on helposti huomattavissa, että Valoo antaa isompaa pingiä.
 
Viimeksi muokattu:
Noniin, pitkällisen odotuksen jälkeen nyt aletaan olemaan jännän äärellä. Tänään on kuitu puhallettu boksiin, alarm valo toki vielä palaa mutta kuinka pitkään...vieläkö ennen joulua alkaa bitti kulkemaan...🤔🤔


Tilausvahvistus 26.5.2022
Päätelaitteen sisäasennus ja reitin katselmointi 12.5.2024
Putkeenveto 26.8.2024
Runkotyöt 4.10.2024-xx.11.2024
Kuidun puhallus 16.12.2024
Valmis xx/12.2024???
 
Syyskuussa tehty soppari ja samalla lupaus "käyttövalmis tämän vuoden puolella"
Nyt soittelin Valoolle niin kovasti kertoivat että joo sisälaitteet voidaan käydä laittamassa mutta runkoverkko alueella on kesken eikä tule valmistumaan kuin vasta keväällä.

Suoraan antoivat hyvityksenä 2kk ensimmäiset laskut 0€, mutta tuo nyt oli ensimmäinen tarjous heiltä, enkä jaksanut nyt alkaa vääntämään.

Mites muilla?
 
Kannattaa tosiaan tarkistaa että se kuitu (vihreä liitin) on kytketty sinne kuitumuuntimeen. Mulla ei meinaan se latvialainen tyyppi sitä aikanaan laittanut kun rasiat asensi.
 
Mulla kestänyt nyt 5 viikkoa että korjaaja tulisi. Voimia!
Meillä kesti näköjään noin päivän. Hitsauskoppi tossa lähellä nähty ja äsken rupesi PON valo palamaan ja liittymä onnistuneesti aktivoitu.

On tätä liian kauan odotettu. Iso kiitos kuuluu tälle vertaistukiryhmälle.
 
Edit: Jos sinulla on ongelma, jossa huonommalla suojauksella oleva ja oletussalasanaaa käyttävä 5GHz Wifi-verkko jää Valoon Huawei K562 Wifi 6 Mesh-reitittimessä näkyviin niin tähän on olemassa reitittimen ohjelmistopäivitys. Päivitys hoituu aktivoidussa liitymässä asiakkaan pyynnöstä etänä Valoon toimesta ja sen jälkeen reitittimen hallintasivuille ilmestyy toiminnallisuus tarvittavien SSID-muutosten tekemiseksi:
Kuvakaappaus - 2024-12-05 22-58-49.png

Asiakaspalvelua oli aluksi vaikea saada kiinni, mutta kun linjat saatiin auki niin Valoo hoiti homman asiallisesti ja nopeasti. Päivityksen jälkeen näkyy ohjelmistoversio V5R022C10S218.

====
Alkuperäinen rant:

Kokeilkaapa, näkyykö teillä sama ongelma.
  • Virrat päälle reitittimeen tehdasasetuksilla, esimerkiksi voisi näkyä Wifi verkot nimeltä VALOO-1AB01 ja VALOO-5G-1AB01. Molempiin pääsee kiinni purkin pohjasta löytyvällä Wifi-salasanalla. Kirjaudutaan jompaan kumpaan verkkoon.
  • Selaimella hallintasivuille osoitteesta 192.168.1.1, kirjaudutaan admin ja password
  • Vaihdetaan salaukseksi vahvempi WPA-PSK
  • Vaihdetaan Wifi-salasana
  • Lopputulos: Näkyy kaksi verkkoa: 1) VALOO-1AB01 jonka salasana on vaihdettu, 2) VALOO-5G-1AB01 jonka salasana on edelleen purkin pohjassa oleva salasana
  • Hallintasivuilla ei voi poistaa käytöstä tuota verkkoa jonka salasanaa ei voitu muuttaa. 5 GHz Wifin voi poistaa kokonaan käytöstä mutta silloinhan nopeus tippuu niin ettei kuidusta ole mitään iloa.
Variantteja:
  • Otetaan Dual-mode Wi-Fi pois käytöstä ja yritetään erikseen vaihtaa 2.4 GHz ja 5 GHz salasanat. Lopputulos: Näkyy kolme verkkoa: 1) VALOO-1AB01 jonka salasana on vaihdettu, 2) VALOO-1AB01_5G jonka salasana on vaihdettu, 3) VALOO-5G-1AB01 jonka salasana on yhä se purkin pohjassa oleva salasana
    (Itse nimetylle 5 GHz verkolle ei voi antaa nimeä VALOO-5G-1AB01 koska muutenhan ongelma voisi poistua)
  • Annetaan verkolle uudet nimet. Lopputulos: Itse nimetyn verkon (tai verkkojen) lisäksi näkyy VALOO-5G-1AB01

Aivan uskomatonta millainen kötöstys tuo softa on. No laitoin aspaan pyyntöä josko päivittäisivät minullekin uusimman firmiksen.

Toinen kysymys. Onko joku saanut port forwardin toimimaan tässä Valoon Huawei K562 Wifi 6 Mesh -värkissä? Ei lähde toimimaan sitten millään.

Kuvassa vasemmalla vanha joka toimii oikein hyvin. Oikealla uusi Valoon konfis joka ei toimi. Missä vika? K562:lle ei kelvannut 0.0.0.0 ulkoiseksi sourceksi, enkä keksinyt miten sinne saisi kaikki osoitteet joten laitoin noin. Mutta ei toimi tuolla eikä vaikka laittaisi whats my ip:stä puhelimen ip:n. External source port:iinkin olen kokeillut laittaa tuota porttia, mutta ei. Kuvassa yksi väri on aina yksi tieto. Eli kaikki portit ovat tuota yhtä ja samaa. WAN:ia ei voi vaihtaa tai tehdä omia tms. joten siinä vissiin pakko kyttää tuota yhtä joka on vakiona tarjolla.
kuva.jpg
 
Aivan uskomatonta millainen kötöstys tuo softa on. No laitoin aspaan pyyntöä josko päivittäisivät minullekin uusimman firmiksen.

Toinen kysymys. Onko joku saanut port forwardin toimimaan tässä Valoon Huawei K562 Wifi 6 Mesh -värkissä? Ei lähde toimimaan sitten millään.

Kuvassa vasemmalla vanha joka toimii oikein hyvin. Oikealla uusi Valoon konfis joka ei toimi. Missä vika? K562:lle ei kelvannut 0.0.0.0 ulkoiseksi sourceksi, enkä keksinyt miten sinne saisi kaikki osoitteet joten laitoin noin. Mutta ei toimi tuolla eikä vaikka laittaisi whats my ip:stä puhelimen ip:n. External source port:iinkin olen kokeillut laittaa tuota porttia, mutta ei. Kuvassa yksi väri on aina yksi tieto. Eli kaikki portit ovat tuota yhtä ja samaa. WAN:ia ei voi vaihtaa tai tehdä omia tms. joten siinä vissiin pakko kyttää tuota yhtä joka on vakiona tarjolla.
kuva.jpg
Kokeile jättää nuo kentät tyhjäksi missä ei ole punaista tähteä?
 
Kokeile jättää nuo kentät tyhjäksi missä ei ole punaista tähteä?
Ei auttanut. Eikä auttanut sekään että tyhjensin myös nuo Externas source ip kentät. Tyhjäksi se antaa ne jättää. Nyt vaan pitäisi tietää onko se silloin auki kaikille vai ei millekään. Mutta ei toimi kummallakaan.
 
Ei auttanut. Eikä auttanut sekään että tyhjensin myös nuo Externas source ip kentät. Tyhjäksi se antaa ne jättää. Nyt vaan pitäisi tietää onko se silloin auki kaikille vai ei millekään. Mutta ei toimi kummallakaan.
Hölmö kysymys, mutta olethan pyytänyt liittymään julkisen IPv4 osoitteen? Muuten noi ohjaukset ei toimi.
 
Hölmö kysymys, mutta olethan pyytänyt liittymään julkisen IPv4 osoitteen? Muuten noi ohjaukset ei toimi.
Ihan hyvä kysymys ja vastaus on, että ei ole kiinteää IP:tä. Käytössä on dynaaminen DNS, jossa on ohjaus tuohon VPN palvelimen julkiseen osoitteeseen (siihen NAT:ttuun siis). Eli puhelimella vaikka otetaan vpn yhteys siihen NAT osoitteeseen tiettyyn porttiin jonka pitäisi tuolla ohjauksella päätyä VPN palvelimen porttiin. Tuo tosiaan toimi hyvin vanhalla reitittimellä.
 
Ihan hyvä kysymys ja vastaus on, että ei ole kiinteää IP:tä. Käytössä on dynaaminen DNS, jossa on ohjaus tuohon VPN palvelimen julkiseen osoitteeseen (siihen NAT:ttuun siis). Eli puhelimella vaikka otetaan vpn yhteys siihen NAT osoitteeseen tiettyyn porttiin jonka pitäisi tuolla ohjauksella päätyä VPN palvelimen porttiin. Tuo tosiaan toimi hyvin vanhalla reitittimellä.
Korjaan vielä edellistä, kysymys oli julkisesta, ei kiinteästä osoitteesta. Olethan aspasta pyytänyt julkisen osoitteen? Oletuksena ei sellaista ole, vaan saat privaatin CGNAT-osoitteen reitittimelle Valoolta. Toki jos vanhalla reitittimellä toimi samalla liittymällä niin pitäisi olla kaikki ok.
 
Korjaan vielä edellistä, kysymys oli julkisesta, ei kiinteästä osoitteesta. Olethan aspasta pyytänyt julkisen osoitteen? Oletuksena ei sellaista ole, vaan saat privaatin CGNAT-osoitteen reitittimelle Valoolta. Toki jos vanhalla reitittimellä toimi samalla liittymällä niin pitäisi olla kaikki ok.
Tuossahan se vika sitten mahtaa olla. Vanha tosiaan oli eri operaattorilta (kohtuu vanha), joten mahtaa olla erilailla NAT:attu. Pitääpä pyytää tuo julkinen osoite. Empä osannut ajatella että tuollaistakin kiusaa tehdään :). Yleensä tosiaan riittänyt että katsoo whats my ip:llä julkisen osoitteen (joka sillä nytkin on), mutta tuo CGNAT taitaa toimia vähän toisin.
 

Statistiikka

Viestiketjuista
262 266
Viestejä
4 550 384
Jäsenet
74 950
Uusin jäsen
Kampamaneetti

Hinta.fi

Back
Ylös Bottom