MikroTik vezérelni unifi AP? Valamit nagyon félre értelmeztél. Sehogy nem fogja, MikroTik=capsMan, Unifi=Unifi cloud-Key, vagy annak kiváltása egyéb eszközzel, akár windows, Linux cloud szerver, stb...

Nem kell hogy “vezérelje” az edgerouter sem csinál ilyesmit.
A unifi egy külön dolog.

Switch Tax

Az Ubiquiti AP-k (mondjuk így) vezérlése megoldható szoftveresen is: feltelepítesz egy programot tetszőleges Windows-os gépre (pl.), vagy mondjuk egy Synology NAS-ra egy konténerbe, és tudod paraméterezni az AP-kat.
Némileg fapadosabb megoldás, mint egy CK2 (vagy azzal ekvivalens egyéb hardver), de ez is megteszi. Fontos tudni: ha Edgerouter-t vennél, azzal sem lennél előrébb ilyen szempontból. Sajnos a kereted így 2022 végén, tekintettel az erős dollárra és gyenge forintra, meg egyéb súlyosbító tényezőkre, meglehetősen kevés arra, amit célként meghatároztál.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ezt most komolyan mondod? Légyszi, olvasd már el mit is válaszoltam.
Köszi.

Sziasztok!
Valaki tud tippelni, hogy mi lehet a megoldás?

Van egy házi szerverem: OpenMediaVault, rajta Dockerben duckdns.
Router: EdgeRouter X. Az elérni kívánt port forwardolva.

Jelenség: Ha távolról (értsd: nem az ERX mögül) felkeresem a kívánt címet (subdomain.duckdns.org:port), eljutok a kívánt oldalra. Ha otthonról (értsd: az ERX mögül) keresem fel a kívánt címet, error 404.

Nextcloudot szeretném konfigurálni, és azt szeretném, hogy az eszközeimmel ugyanarról a címről legyen elérhető, ne kelljen itthon IP-címet beírnom, találja meg itthonról is a duckdns.org-on keresztül.

Eddig semmilyen próbálkozásom nem járt sikerrel. Nemrég óta van meg az ERX, azért vettem, hogy általa elkezdjem megtanulni az otthoni hálózatmanagelés alapjait.

NAT loopback / hairpinninget be kell kapcsolni, ha saját magadat akarod elérni a külső címeddel.

set port-forward hairpin-nat enable

Illetve erre amúgy a jó megoldás az az hogy a DNS nevedet felveszed a DNS szerverre a helyi címmel.

set system static-host-mapping host-name subdomain.duckdns.org inet 192.168.0.100

szerk.: Illetve ha tanulni akarsz:
A második azért jobb megoldás mert úgy közvetlen eléred a szervered. Ha a router felé mész a külső címmel, akkor feleslegesen terheled a routert, mert olyankor azt is NAT-olnia kell, illetve mindenképp a routeren fog keresztül menni.

A NAT hairpinning pedig azért kell, mert alapesetben a NAT-olás miatt ha a külső címmel mész saját magadra, akkor nem tudja felmapolni.
Itt van hogy lehet kézzel beállítani, itt látod a DNAT meg SNAT ruleokat hozzá hogy válójában miről van szó. Viszont ez dinamikus IP-nél nem lesz jó, mert ugye az változik.

[ Szerkesztve ]

Switch Tax

Sziasztok.

Van egy kis problémám a VPN user beállításokkal.
Adott egy UDM-PRO amin beállítottam egy sima L2TP VPN t ami megy is. A kérdés az hogy ha több felhasználót létrehozok akkor azokat hogy s miként tudom korlátozni hogy ki mihez férhet hozzá. Értem itt azt hogy az A felhasználó nem férhet hozzá a 192.x.x.x hálózathoz de a B pedig hozzáférhessen az 192.x.x.x hálózathoz.

A másik kérdésem pedig hogy ennek az L2TP VPN nek mennyinek kéne lennie a max átviteli sebességének az UDM PRO n (t-home gigás net)?
A max amit kitudtam belőle mérni az 100/150 volt (t-home os gigás net volt amire kapcsolódtam ) amit picit keveselek.

Válaszaitokat előre is köszönöm.

A 100/150 elég jónak számít. Az offload be van rá kapcsolva?

Switch Tax

Őszinte leszek nem tudom. Külön nem találkoztam HW offloaddal a beállítások között vagy átsiklottam rajta. De ha DPI és az IDS/IPS re gondolsz akkor azok be vannak kacsolva.

Igen. Határozottan a "High" működik jól. Én is megnéztem.

- mozi bolondéria -

Szerintem meg inkább több kisebb teljesítménnyel sugárzó AP, mint kevesebb üvöltöző. Persze, környezetfüggő, hiszen wifi-ről van szó.

Köszönöm. A hairpin nat ki-bekapcsolása nem segített... A másodikkal meg hazavágtam az internetelérést, resetelnem kellett. Lehet, hogy nem nekem való ez az Ubiquiti
Újratelepítem a stacket (Nextcloud+SWAG), hátha a resetelés megoldott valamit.

Alapból engedélyezve van, de ha jól emlékeszem cli-ben lehet csekkolni

[ Szerkesztve ]

Rendszergazda vagyok....ha röhögni lát, mentsen

A másodikkal nem lehet elrontani az internetelérést.

Amúgy hol kapod a 404-et? Az ngninx adja vissza? Mert akkor működik a NAT hairpin hiszen eléred magad.

Switch Tax

Ja bocs, igaz UDM-PRO-n azt hiszem nincs is semmilyen hardveres offload mert abban elég erős proci van.
Szerintem amúgy az egy jó sebesség, az L2TP az eléggé overheades vpn.

Switch Tax

Ilyen módon nem gondolnám, hogy lehet korlátozni a hozzáféréseket L2TP esetén. Az a baj, hogy a felhasználókhoz nem tudsz fix IP címeket rendelni. Annyit lehet csinálni, hogy az L2TP hálózatából blokkolod a helyi hálózatokhoz való hozzáférést, illetve adott IP cím(ek)hez (például NAS) biztosíthatsz hozzáférést az összes L2TP user-nek. Viszont Wireguard-al már megoldható majd amit szeretnél, és gyorsabb is lesz mint az L2TP.

#10062 1amarr:
Szerintem azt érdemes eldönteni, hogy hajlandó vagy-e sok-sok időt és energiát ráfordítani az alapok elsajátítására. Mert ennek hiányában hiába olvasgatod a leírásokat, tutorialokat, nem fogod érteni mit-miért csinálsz, és egy hibakeresésnek sem tudsz nekiállni. Az összefoglalóban is van segítség bőven, amivel el lehet kezdeni tanulást, ha valakit tényleg érdekel ez a témakör.

#10065 MasterMark
Így igaz, nincsen már offload. A sebesség szerintem is rendben van, UDR nagyjából a felét tudja.

[ Szerkesztve ]

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

A Wireguard majd csak a 3.0 OS hozza el nem ?
Vagy van rá más mód is ?

"Viszont Wireguard-al már megoldható majd amit szeretnél"
Meg kell hozzá UID, alkalmazást telepíteni és stb.
UID egyáltalán már elérhető EU-ban a Beta?

Legalább halad, már van Windows kliens, már csak egy Linux kéne...

Amire én gondoltam, ahhoz nem kell UID. Wireguard esetén a kliensek mindegyikéhez egy fix IP cím van hozzárendelve, így igény szerint alkalmazhatóak rájuk tűzfalszabályok. Adott felhasználó eszközeinek(telefon, tablet, laptop) IP címeit akár fel lehet venni egy "IP Group"-ba, amire egyszerűen hivatkozhatunk a tűzfalszabályokban. Ha érdekel (illetve elsősorban a kérdezőt) nagyon szívesen bemutatom a megvalósítást, egy konkrét példán keresztül. Nekem ez jutott eszembe így elsőre, ami persze nem biztos hogy megfelelő lesz a kérdezőnek, de kíváncsian várom a Te megoldásodat is. Én csupán tanulási céllal, a kérdezőnek pedig lehet jobban tetszik majd az általad kidolgozott verzió.

#10070 Hadr0n
Valószínűleg igen. Van rá más mód, Github-on megtalálod, de szerintem érdemes megvárni a gyártói támogatást.

#10068 1amarr
Valószínű félreértetted, természetesen nem a képességeidre utaltam. Inkább arra akartam célozni(mert írtad korábban, hogy tanulni szeretnél), hogy először érdemes az alapokat megfelelően elsajátítani, amire lehet majd építkezni. És ehhez minden ott van az összefoglalóban.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Te most Linux modról beszélsz, vagy UnifiOS beépitett képességről?

[ Szerkesztve ]

Lehet bármelyik, nincsen jelentősége.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

De van mert számomra az eredeti kérdés elég egyértelműen céges környezetre vonatkozott. Na most elég nagy különbség van a kliensenkénti Wirguard kezeléssel 3.0-ban és egy user managed VPN között. Mivel Wireguard alapjáraton nem rendelkezik semmilyen user manamgenttel(identity management), így azt az implementáló oldal kell megoldja, ha egyáltalán foglalkozik vele. Az ami a 3.0-ban van az ugyanaz a bohóckodás, mint bármilyen Linuxon csak van hozzá már egy alap UI, túl sokat nem ad hozzá.
2.0-ban a Teleport volt erre egy próbálkozás, de úgy látszik ezt dobják??? UID VPN 3hónapja még OpenVPN volt, most már WireGuard...

UID hozzáadja a user management-et az egészhez nagyban leegyszerűsíti a user számára a dolgokat. (+megoldja az Enterprise WiFi-t is az Acces-szel is kombinálva.)

Őszintén szólva nagyon nehéz követni a natív VPN helyzetet Unifi-on, mert olyan gyakran változik, néha alapvető dolgok jönnek mennek.

Erre a gondolsz [link] ?
Ha igen akkor elméletileg ez alapján meg tudom csinálni szerintem de viszont nagyon érdekelne a te példád, megoldásod erre a dologra. Lehet kicsit kedvem támadt kísérletezni vele.
Annyi hogy ha ezt elrontom valahogyan visszacsinálhatatlan módon vagy ha nem akarom hogy üzemeljen mennyire egyszerű majd letakarítani az UDM-PRO ról anélkül hogy le keljen gyárizni ?

Valaki használt SFP+ to RJ45 adaptert abból is 10G-eset ami nem gyári Ubiquiti (árban talán olcsóbb egy más márkájú) és működik az SFP+ portokkal egy Unifi switchben?

Szakmai kérdésekre privátban nem válaszolok! Használd a fórumot! | R.I.P PH!TV!

Működik mindegyik utángyártott Ubi nem lockol, a legrosszab SFP modulon az eredeti Ubi, az utángyártott jobban működott.

Igen erre, de ilyet én még nem csináltam, szóval ezzel kapcsolatban nem tudok mit mondani. Azzal biztosan számolhatsz, ha jön majd az új UniFi OS főverzió, akkor amit így utólag raktál fel és beállítottál, az minden el fog veszni. Mindenképpen leírom majd az én megoldásomat, többféle lehetőségre is gondoltam, ha lesz egy kicsivel több időm össze fogom rakni.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Akkor legyen először egy split-tunnel megvalósítás. Ez esetben csak az forgalom megy át a tunnel-en, melynek célja a konfigurációs fájlban megadott hálózat(vagy hálózatok). Így igazából még tűzfalazni sem kell. Csak a legegyszerűbb lehetőséget vettem alapul, ez természetesen bővíthető több felhasználóval(klienssel).
Tehát két felhasználó rendelkezik egy-egy eszközzel, amivel csatlakozhatnak majd a WG szerverhez. Két hálózat van definiálva UDM-en, ez legyen LAN1: 192.168.10.0/24 és LAN2: 192.168.20.0/24. A két felhasználónk az egyszerűség kedvéért UserA és UserB.
UserA-nak csak a LAN1-hez, UserB-nek pedig csak LAN2-höz lehet hozzáférése.
Először beállítjuk a WG szervert, majd hozzáadjuk a klienseket. Ez UI-n elég egyszerű művelet, kb. két kattintás és legenerálódnak automatikusan konfigurációs fáljok a kliensekhez, amiket letölthetünk.

Esetedben cli-ben kell legenerálni a kulcsokat a szerverhez és a kliensekhez, majd elkészíteni ezek alapján a konfigurációs fájlokat.

Szerver kulcsok generálása:
wg genkey | tee server_privatekey | wg pubkey > server_publickey
A klienseké:
wg genkey | tee UserA_privatekey | wg pubkey > UserA_publickey
wg genkey | tee UserB_privatekey | wg pubkey > UserB_publickey

UserA-wg.conf
[Interface]
PrivateKey = <UserA Private Key>
Address = 192.168.4.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = <Wireguard server Public key>
AllowedIPs = 192.168.10.0/24
Endpoint = <server public IP>:51820

UserB-wg.conf
[Interface]
PrivateKey = <UserB Private Key>
Address = 192.168.4.3/32
DNS = 1.1.1.1

[Peer]
PublicKey = <Wireguard server Public key>
AllowedIPs = 192.168.20.0/24
Endpoint = <server public IP>:51820

wg0.conf
[Interface]
Address = 192.168.4.1/24
PrivateKey = <Wireguard server Private key>
ListenPort = 51820

[Peer]
PublicKey = <UserA Public Key>
AllowedIPs = 192.168.4.2/32

[Peer]
PublicKey = <UserB Public Key>
AllowedIPs = 192.168.4.3/32

[ Szerkesztve ]

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Tudsz adni tippet 10G-s RJ45-re esetleg?

Szakmai kérdésekre privátban nem válaszolok! Használd a fórumot! | R.I.P PH!TV!

Másik lehetőség, ha full tunnel-re lenne szükség, akkor a kliens konfigurációs fájlokban a default route-ot (0.0.0.0/0) kell megadnunk:

UserA-wg.conf
[Interface]
PrivateKey = <UserA Private Key>
Address = 192.168.4.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = <Wireguard server Public key>
AllowedIPs = 0.0.0.0/0
Endpoint = <server public IP>:51820

UserB-wg.conf
[Interface]
PrivateKey = <UserB Private Key>
Address = 192.168.4.3/32
DNS = 1.1.1.1
[Peer]
PublicKey = <Wireguard server Public key>
AllowedIPs = 0.0.0.0/0
Endpoint = <server public IP>:51820

Ez esetben UserA és UserB-nek is hozzáférése lesz mindkét LAN-hoz.
Ezeket tűzfal szabályokkal viszont lehet korlátozni.
A tiltó szabályokat a LAN_OUT-ban kell megadnunk az alábbiak szerint:
UserA-ra vonatkozóan: [kép]
UserB-re vonotkozóan: [kép]

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Köszi szépen!
Nekem nem kell, csak a topikot olvasom, és így már tényleg nagyon könnyedén érthető és világos.

A rosszban mindig van valami megtévesztően jó, különben nem választanánk a rosszat

Nagyon szépen köszön az idődet és a segítségedet
A hétvége folyamán akkor megpróbálom ezt megvalósítani és majd beszámolok róla hogy s mint sikerült.
Köszi még egyszer.

Nem tudom otthon mi elérhető. FS.com vagy 10Gtek-ot vettem eddig.

+1 az FS.com -nak.

Köszi srácok!

FS-t pont tudok rendelni németből, szóval nem probléma.

Szakmai kérdésekre privátban nem válaszolok! Használd a fórumot! | R.I.P PH!TV!

Egyik routeren az rsa kulcsos ssh belépésnél is bekéri a jelszót, eddig jó volt szerintem. Valakinek van ötlete hogy mi lehet?

A saját routeremen működik azon v2.0.9-hotfix5 van, a másikon amin nem megy v1.10.10. Konfig a login részen ugyanaz.

Switch Tax

Szánna rám valaki 5 percet?

Unifi IPS/IDS funkcióival teljesen ismerkedőként kérdeznék. Egy ideje valaki telehányja, vagyis olyan, mintha az én egyik szerverem telehányná a Threats naplót... Alább a két kép. (A Source vagyis a belsőhálózati IP mindig ugyanaz, a portok eltérnek [és egyik sincs nyitva kintről, amivel próbálkozik])
Tudok tenni ez ellen bármit? Szabályt már vettem fel, kimenőt is, bejövőt is, ugyanúgy kapom ~ fél óránként néha kisebb kimaradásokkal ugyanezt. Néha egy-egy kínai vagy USA Miscattack vagy CIArmy, az gondolom "nem meglepő", de ez a folyamatos és olyan, mintha tőlem menne kifelé, ez teljesen fura számomra. Köszi, ha bárki bármivel fel tudna világosítani.

[ Szerkesztve ]

Szakmai kérdésekre privátban nem válaszolok! Használd a fórumot! | R.I.P PH!TV!

Sziasztok,
Sajnos gyakorlatlan vagyok a témában, ezért kérnék némi segítséget.
Adott egy Telekomos modem optikával és egy EdgeRouter X. Utóbbin az eth0 a pppoe port, a többit viszont switch portként használom. Azt hiszem mondhatom, hogy csak a telefonokkal van gond, mégpedig hogy néhány szolgáltatás nagyon lassú rajtuk. Ez elsősorban a google dolgait, a viber képküldést és a telekom applikációt jelenti (amik hirtelen eszembe jutnak).
Kicsit bővebben az van, hogy sokszor csak homokórázik pl a youtube megnyitásakor, de a drive-ra is nagyon lassan kezdi el feltölteni a dolgokat. Feltűnt, hogy ha kikapcsolom a wifi-t, akkor ezek egyből megjavulnak, de ha visszakapcsolom még akkor is jobb a helyzet (egy darabig), mint előtte.
Sikerült leszűkíteni a problémát az ipv6-ra, vagyis a telefonon ezt letiltva minden gördülékenyen megy. Aztán feltűnt, hogy több ipv6 címet kap a telefon. Gyanítom ez lehet a gond, de hogy ez miért van és hogy fog megoldódni, azt nem tudom.
Az ipv6 konfigot úgy emlékszem az összefoglalóban linkelt leírás alapján csináltam. Bár előfordulhat, hogy a switch0-ra is kiadtam őket, de lehet hogy nem ez a probléma, csak gondoltam megemlítem.
Hálás lennék ha tudnátok segíteni.

A rendrakás a kisemberek mániája. A zseni átlátja a káoszt!

A több cím nem gond, az direkt van így. Alapból van legalább két címed ha internetet is elérsz.

Ezt állítsd be: MSS clamping

Az ipv6 konfigod meg vagy legyen jó, vagy kapcsold ki.

A wifit nem is értem honnan jön, és hol kapcsolod ki amúgy.

Switch Tax

Úgy tűnik végül sikerült helyrerakni a dolgot.

Az MSS clamping nem segített, bár igazából ipv6-ra már előtte is be volt ütve, csak az ipv4-nél volt egy kis eltérés.

Röviden:
Mondhatjuk, hogy én voltam a kevésbé jó képességű amikor korábban felütöttem a konfigot az eth1-re és a switch0-ra is. Az eth1-et letörölve egyelőre működik.

Kicsit bővebben:
Az ipv6 sem az erősségem, így az sem világos miért van alapból 2 db ipv6 címe egy eszköznek (jelen esetben telefonnak). De mindegy elfogadom, alapból működik, csak aztán jön a csavar a dologban.
A wifit a telefonon kapcsolgatom, és azért a telefonokat hozom fel példának, mert a 2 telefonon amit használunk ott (volt) a leglátványosabb a probléma, igazából ők azok amik mozognak házon belül is. Feltűnt, hogy ennek a "mozgásnak" köze van/lehet a dologhoz, mert hogy 2 AP van.
Alapból a telefon kap 2 ipv6 címet amikor a wifin van (mobilneten csak egyet). Ha átkerül a másik AP alá, akkor kap(ott) még kettőt. De némi 2 AP közötti "sétálgatás" után már pl 12 darab ipv6 címe volt.
Először megpróbáltam kitörölni a switch0 ipv6 konfigot az eth0 alól és felvenni az eth2,3,4-et, mint ahogy a topik összefoglalóban linkelt cikkben is szerepel. Ekkor úgy tűnt, hogy sem a telefonok, sem más eszközök nem kaptak ipv6 címet, bár a router-ről meg ment a ping6. Úgyhogy inkább kitöröltem az összes ethX konfigot innen és csak a switch0-át vettem fel.

Ez volt eredetileg:
interfaces {
    ethernet eth0 {
        description "Internet (PPPoE)"
        duplex auto
        pppoe 0 {
            default-route auto
            dhcpv6-pd {
                pd 0 {
                    interface eth1 {
                        host-address ::1
                        prefix-id :1
                        service slaac
                    }
                    interface switch0 {
                        host-address ::1
                        prefix-id :0
                        service slaac
                    }
                    prefix-length /56
                }
                prefix-only
                rapid-commit enable
            }

Innen töröltem ki az eth1 részt.

A rendrakás a kisemberek mániája. A zseni átlátja a káoszt!

Üdv,

A hétvégén frissítettem a konzolt a legújabb verzióra és ezzel együtt a NanoHD firmwaret is. Azóta mintha kicsit lassabb lenne a wifi kapcsolat. Valaki tapasztalt ilyet?

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Sziasztok,

unifi ap-k mennek gond nélkül ha esetleg nem UniFi Switch alatt lennének ügye?
docker controler alatt ugyanúgy be lehet állítani a WiFi-t és csókolom. Jól sejtem?

Ha igen akkor egy napi használatban levő Ubiquiti US-8 poe verzió és egy Flex Mini mennyit érhetne?

Kicsit leszakadok a vonalról, viszont az AP-kat szívás lenne lecserélni.

Mennek, gond nélkül. De ha vannak VLAN-ok a hálózatban akkor azért érhetnek kellemetlen meglepetések switch cserekor. Illetve kérdés, hogy mit adja a PoE-t az AP-nak. A csere switch fog tudni megfelelő tápot adni az AP-nak, vagy PoE adaptert fogsz használni?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Működik. Nálam egy 8 portos, PoE-képes TP-Link látja el a két - nem nagy fogyasztású - Unifi AP-t (AC Lite, AC Pro).

Az ap-k adapteren keresztül mennek, mert a kamerák elfoglalták a helyet. Ezért is akarok bővíteni, de nem látom a benefitet maradni UniFi vonalon. Mármint szuper és semmi baj nincs velük, csak nem használom ki.

Szia!
Lehet érdekelne a switch.

Miért? A VLAN huszonéves technológia. Nekem Zyxel POE+ switchem van, remekül megy az U6 Lite-tal 3 VLAN-nal.

Azért emeltem ki a VLAN-t, mert minél több hálózati eszköz gyártó van egy hálózatban, annál nagyobb az esély az inkompatibilitásra. Nekünk sok évvel ezelőtt egy Cisco ASA+D-link switchek + Unifi UAP-Pro accesspointok kombináció okozott álmatlan éjszakákat a VLAN konfigurálás során.
És tekintettel arra, hogy a kolléga nem pontosabb infót a hálózatról, így ügy éreztem jobb felhívni a figyelmét rá.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.