"failover csak teljes szakadásnál megy automatikusan."
Ez újra kell csinálni mind FW update után, mert felülcsapja, és még így is kérdéses a működése. Unifi nem advanced routingra való...

Ahhoz, hogy menjen automatikusan load balancing szolgáltatás kellene ugye?

A kicsire nem adunk... a nagyot meg leszarjuk!

A hibás működés esetén az sem segít. Ott az a lényeg, hogy két WAN között egy általad megadott arányban szétdobja a terhelést (azaz terhelésmegosztás, a neve alapján is).
az nem kifejezetten a problémák kezelésére van, bár a Unifi esetén ha Load Balancing módot állítasz, attól még a háttérben fut a failover kezelés, és ha hibás az egyik kapcsolat akkor minden megy a másikra, majd ha visszajött az egyik akkor újra load balance módra kapcsol.

By(e) Tothbe

Sziasztok!

Segítséget kérek, nem tudom mi lehet a probléma a GeoIP szűréssel.
Ez alapján csináltam meg:
https://www.youtube.com/watch?v=Qn5hbdijYJM
Ez pedig a videóban hivatkozott weboldal.
https://www.cron.dk/firewalling-by-country-on-edgerouter/

A cél az, hogy a megadott 2 porton (444, 32400) csak magyarországi IP címekről jövő kéréseket engedjen át a router. Az IP adatbázis letöltődik, elvileg működnie kell.
Szinte biztos, hogy valami alapvető dolgot nem jól csinálok, de nem jövök rá mi lehet az. (Nem rég kezdtem az Edgerouter ismerkedést.)

Ha kiveszem a port forwardot, akkor bezár a port és nem elérhetőek a szolgáltatások. Ha megtartom a port forwardot, akkor viszont nem érvényesül a tűzfal szabály.

A show firewall és show port-forward az alábbi vonatkozó részt mutatja.

show firewall
 all-ping enable
 broadcast-ping disable
 group {
     network-group IPszures {
         description ""
         
          name WAN_IN {
     default-action drop
     description "WAN to internal"
     enable-default-log
     rule 10 {
         action accept
         description Bluemedia_firewall
         destination {
             address 10.1.0.4
             group {
                 port-group Bluemedia
             }
         }
         log disable
         protocol tcp
         source {
             group {
                 network-group IPszures
                 port-group Bluemedia
             }
         }
         
show port-forward
 auto-firewall enable
 hairpin-nat enable
 lan-interface switch0
 rule 1 {
     description Torrent
     forward-to {
         address 10.1.0.4
         port 444
     }
     original-port 444
     protocol tcp
 }
 rule 2 {
     description Plex
     forward-to {
         address 10.1.0.4
         port 32400
     }
     original-port 32400
     protocol tcp_udp

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Port forwardnál advanced option, és vedd ki hogy automatán csináljon a port fordwardhoz tűzfal szabályt. Utána már te tudod kezelni a portokat nem fogja felülírni.

Vagy: set port-forward auto-firewall disable

szerk.: Viszont ha ezt kiveszed akkor minden portforwardhoz kézzel kell csinálni tűzfal szabályt is.

[ Szerkesztve ]

Switch Tax

Kivettem a pipát, de így most minden port zárva van. Mobilnetről futtattam egy portscant és mindkét port zárva. (Plex sem működik mobilról.)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Azért írtam, hogy akkor kézzel kell a szabályokat megcsinálni hozzá.

Switch Tax

Jól sejtem, hogy akkor ez nem elég? (A port-group Bluemedia tartalmazza mindkét portot mit be akarok engedni.)
rule 10 {
         action accept
         description Bluemedia_firewall
         destination {
             address 10.1.0.4
             group {
                 port-group Bluemedia
             }
         }
         log disable
         protocol tcp
         source {
             group {
                 network-group IPszures
                 port-group Bluemedia
             }
         }

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ez egyrészt nem is accept hanem drop kéne legyen ha azt akarod csinálni hogy ezeket az IP-ket ne engedje.
Ez után kéne egy szabály hogy mi viszont nem ez azt engedje be.

Úgy csinálnám hogy ezt húznám legelőre, utána a két default, aztán jöhetnek a port forwardhoz az accept szabályok.

Példa nálam, igaz itt mást tiltok, de a lényeg ugyanez:

szerk.: Egyébként a source groupnak nem jó, mert a saját portod az az internet felől jövő destination port, szóval oda kéne berakni azt a port groupot.

[ Szerkesztve ]

Switch Tax

Pont fordítva. Az IPszures listában megadott IP címeket kell csak hogy beengedje. Azért accept.
Nálam így néz ki a szabálylista.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Akkor pedig úgy kell csinálni hogy a port forward accept szabályába belerakod hogy a source ip group az legyen.

A port group nem kell.

De ha port groupra akarod akkor se a source hanem a destinationhoz kell. A source port bármi lehet.

szerk.: Ha ezt a szabályt akarod megjavítani, akkor vedd ki a source-ból a port groupot és kapcsold vissza az autmata tűzfal szabályokat. Akkor elvileg jó kéne legyen

[ Szerkesztve ]

Switch Tax

A video alapján és saját logikából ezt raktam össze.
[kép1]
[kép2]
[kép3]
Elvileg ennek jónak kellene lennie, vagy nem?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Szerintem ne csinálj egyszerre stateful meg stateless szabályt. State-nél semmi ne legyen kijelölve, ez legyen tiszta stateless szabály port meg IP alapján.

A többi jó kéne legyen.

[ Szerkesztve ]

Switch Tax

Kivettem, de sajna így sem jó.

Azért köszi a segítséget.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az automata port forward szabályokat visszakapcsoltad?

Amiről próbálod IP, biztosan benne van abban az IP groupban?

szerk.: Nekem egyébként az sincs meg abba a network groupba hogy rakod a címeket be? Mi alapján? Mi a konfigja?

[ Szerkesztve ]

Switch Tax

Most igen, mert szeretném használni az elérést.
De az előbb, mikor teszteltem még nem volt bekapcsolva.

+b. A Digis mobilnet IP címe nincs benne a listában.

Köszi. Vodafone mobil netről működik.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az automata szabályokkal nem biztos hogy jó lesz, meg kéne nézni iptables-ben hogy milyen sorrendben kerül be. A biztos az ha kézzel csinálod meg a szabályokat a port forwardokhoz, akkor lesz manuálisan kezelhető.
Viszont elvileg ehhez azokhoz a portokhoz nem kellene már külön szabály, ez az egy elég kell legyen.

Kérdés még mindig a network group hogy mi alapján és mi van benne.
Közben látom hogy egy script tölti fel ipset-et használva. Ezt ellenőrizted hogy jól működik?

[ Szerkesztve ]

Switch Tax

Hali.
Egy kérdés: van egy USG switch, controller, de a gateway az egy Edgerouter, és az a dhcp szerver is egyben.
Unifiben a kliensek a host nevükkel látszanak szépen.
Most egy gépet átneveztem (mind a gépet, mind a DHCP szerverben), de még mindig a régi nevével látszik. Gondolom annó úgy került be az adatbázisba. Ezért nyomtam neki egy "froget"-et.
Ezután viszont mac címmel látszik unifiben. Persze kézzel felülírhatom, egy aliassal, de nem akarom, legyen "automatikus" mint a többinél is.
Tulképpen honnan veszi az unifi ezeket a host neveket? DHCP snooping? És akkor ennél a gépnél miért nem találja ezt a nevet, a többinél meg igen?

Sztem NetBIOS névfeloldással szerzi meg a klienstől. Nem hinném, hogy a dhcp szerverről, ott az elnevezés csak lokálisan játszik.
Én inkább arra tippelek, hogy a switch arp táblájában maradt benne, az, hogy miért nem kéri le újra, passz...lehet valami cmd-vel rá lehet kényszeríteni.

[ Szerkesztve ]

Rendszergazda vagyok....ha röhögni lát, mentsen

most helyrekattant. asszem a gép elment aludni és felébredés után valószínűleg újracsatlakozáskor kérte le a nevét, vagy nem tudom.

Ő sikerűlt újra telepítenem az USG, hm... megteszi egyenlőre. Viszont Wifi beállítással küzdök. Nem nagon akar a Chromecast unifi ap-val szinkronzálódni. A kapcsolat létre jön az eszköz csatlakozik a hálózatra, de a további párosítás zátonyra fut. Azt írja a Chromecast hogy indítsam újra a routet. Tuti valami beállítás, ami elkerüli a figyelmem. Valakinek ötlet?

Azoknak kell mindenféle multicast hogy működjön. Ha tiltod akkor tedd kivétel közé a mac címét.

Switch Tax

Sziasztok!

Van egy US-8-60W switchem és egy AP-AC-LR access point szolgálatban kb 5 éve. Mostanában viszont elég hisztériásan működik a hálózat itthon. A Unifi Controllerben a log kb üres... Nemrég költözés miatt voltak csatorna ütközések, de amúgy más nincs... Viszont elég sokszor ledobál az 5Ghz-es hálózat, amit előtte kb sose csinált. TV-t emiatt át is tettem a 2,4-re mert filmnézés közben mindig percekig tartott amíg vissza tudtam mászni. Azt hittem a TV-vel lesz gond, de már laptopnál is csinálja, hogy random ledob.

Szeretnék valami részletesebb logot nézni... hogy tudom beállítani, azt, hogy még azt is logolja, ha megfújja egy könnyed tavaszi szellő?

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Multicast DNS a wifi hálózaton bekapcsolva.
Multicast and Broadcast Control wifi profilban bekapcsolva.
Mit kell még engedélyezni?

Egyébként valóban a táp is tönkre ment, na meg az USG alatt az egész kernel. Szét szedtem, kivettem a direv-ot, és újra raktam. A baj az hogy valami ócska régi kernel került vissza, amit meg a kontroller nem evett meg. Így ssh kapott egy manual legújabb fw frissítést. És így sikerült vissza hozni az élők közé. Na meg a jó öreg GR3 tápjával megy. Viszont ezt az átkozott chromecast-ot sehogy nem akar összejönni. Pedig anno simán ment, szinte hozzá se kellet nyúlni. Komolyan nem értem.

[ Szerkesztve ]

A multicast / broadcast control-t esetleg kapcsold ki, ha ez az az optimalizálás amiről szó van. Az is belenyúlhat.

szerk.: De csak teszt jelleggel, jobb ha be van kapcsolva egyébként.

[ Szerkesztve ]

Switch Tax

Lassan 1 hete, hogy működik a GeoIP szűrés, és úgy néz ki, a célt elértem. 1 hete nem jelzett a gépen a vírusirtó, hogy expoitot blokkolt volna.

Köszi a segítséget.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Bocs azt megkérdezhetem melyik vírusírtó jelzett be neked?

Már vártam az UniFi OS - Dream Machine SE 3.1.8-at, ami 2 napja frissíthető EA változatban.
Érdemes végigfutni a bejegyzés alatti hozzászólásokon is. Én 3.0.18-ról pimpeltem 3.1.8-ra, és tetszik, amit látok.

Ne kérdezd: LEGÁLIS!!!

Bitdefender-nek a tűzfala jelzett, ki is írta, hogy milyen IP-ről jött a támadás amit blokkolt. (Általában észak-amerika, kína, de volt közte afrikai, indiai is)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Teljesen jól látod, de minden stimmel. Plex és torrent van kilógatva a netre. Részletek lásd múlt hétről a topicban.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Szerintetek ezt mi generálhatja? AP IP re van állítva, és nekem úgy tűnik mintha random mac címekről próbálkozna csatlakozni valami.

EdgeOS 2.0.9 alatt ezt be lehet üzemelni, van vele tapasztalat?
https://github.com/britannic/ubnt-bcast-relay

[ Szerkesztve ]

mDNS repeater nem elég?

Switch Tax

Nem tudom, hogy ugyanezt használom-e (nem tudom megnézni most) de amit én letöltöttem annak idején, az megy az EdgeOS 2.x alatt.

Az már be van lőve. Most az SSDP-t akarnám inter-VLAN megoldani, ami egy broadcast UDP message az 1900-as portra. Log alapján be is jön a DMZ_LOCAL-ra, azt kéne a másik VLAN-ra átvinni, ha jól értem a dolgokat.

Nekem a Daikin légkondicionáló működött így, azt oldottam meg vele.

Nem lehet, hogy csak egy tűzfal/routing szabály hiányzik?
Ez segítség lehet: https://help.ui.com/hc/en-us/articles/115002359547-EdgeSwitch-Inter-VLAN-Routing

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Broadcast message nem fog átmenni a másik subnetre csak úgy. mDNS, unicast messagek mennek, ezek működnek, tűzfalban be vannak állítva.

Broadcast az nem routolható forgalom. Pont ez az egyik lényege a hálózat szegmentálásának.

Switch Tax

Oké, oké, nem tűnt fel, hogy broadcast forgalomról van szó. (Igen, tudom, hogy bradcast nem routolható.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Van 2 db nanoHD-m, a legnagyobb megelégedéssel használom a 87m2-es "kádárkocka" tégla lakásomban a keleti és nyugati fal közepén. Gyakorlatilag mindent (is) lefednek, padlástól a pincéig.
Ezeket szeretném leváltani EGY DARAB Wifi6-os UniFi-re, melyet a lakás alaprajzának mértani közepére helyeznék. PoE, vagy PoE+ nem akadály.
Tapasztalt illetve témában jártas fórumlakótársakat szeretném kérdezni: melyiket javasoljátok az alábbiak közül?

Access Point U6 Pro (kb 68.000 Ft)
Access Point U6+ (kb 56.000 Ft)
Access Point U6 Long-Range (kb 77.000 Ft)
Access Point U6 Long-Range+ (kb 64.000Ft)
Access Point U6 Enterprise (kb 120.000 Ft) - ez már jócskán átlépi a lélektani határt, és szerintem nekem amúgy is túmáccs.

Néztem az adataikat, és elég hasonlóak, emiatt vagyok döntésképtelen.

Előre is köszönöm a segítséget!

[ Szerkesztve ]

Ne kérdezd: LEGÁLIS!!!

Szia,

mennyi eszköz fog rá csatlakozni?
Én Pro-t vennék, annak bőven le kell fednie ekkora területet.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Pro van nekem is 80 nm-re. Mindenhol megfelelő nekem, nyilván elhelyezés kérdése is.

Köszönöm a javaslatod
2,4 és 5GHz együtt max. 100-120 kliens, és az okosotthon miatt főként 2,4 GHz felé billen a mérleg nyelve.
Wifi6 kliens egyelőre nincs, de hamarosan várható, emiatt gondoltam a cserére/váltásra.

[ Szerkesztve ]

Ne kérdezd: LEGÁLIS!!!

Ehhez egy Pro tökéletes választás lehet.

By(e) Tothbe