Sziasztok!

Mostanában kezd kialakulni bennem az igény egy Edgerouter Lite-ra. Amire kellene:
- l2tp/ipsec vpn biztosítása a helyi hálómhoz - itt kérdés milyen sebességgel tudja ellátni
- vlanok otthoni tesztelgetésre/céges backup/guest wifi
- jobb performace mint a jelenlegi tp link 1043ND
- egy 24 portos tp link managed switchem van, ez gondolom nem okoz problémát sem VLAN kezelésben sem kompatiblitásban

Úgy láttam megfelelő lesz az Edgerouter lite is, később egy Unifi-ap-ac-lite lenne a wifi access point - addig pedig a tp link routerem látná el a feladatot.

Ez így szerintetek megfelelő setup? Új vagyok nagyon a témában, de a hw-es VPN re szükségem lenne munka miatt is, jelenleg erre dedikált server fut egy ESXI vm-en.

Előre is köszi

[ Szerkesztve ]

Má' nem

Ha már van ESXI-ben VPN-re egy VM akkor nem lenne egyszerűbb a router funkciót is bedobni egy VM-nek ?(pfsense, opnsense, vyos)

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Milyen gyors a neted? Csak mert a lite vpn-ben annyira nem acélos, azt hiszem 150-200mbit környékét tud maximum.

Amúgy meg ha már van vm vas tényleg egyszerűbb pl pfsense-el.

[ Szerkesztve ]

Igen de nagyon szuper volna ha nem a serverem gyepálná, hanem lenne rá dedikált eszköz, későbbiekben 3-4-5 vpn kapcsolat lenne, és közben nekem meg kéne az erőforrás a kis servermen is (hp gen8 egy kisebb xeonnal amit nem mostanában szeretnék cserélni), ezért gondoltam hogy ha már routert cserélek akkor tudjon nekem hardverből VPN-t adni.

Mr Bond 007
Gigás digi van, de ha csak 100mbitet tud majd vpn-en az elégséges, kintről dolgozni.

[ Szerkesztve ]

Má' nem

Szia

Bekapcsolt offload-dal szerintem működő képes lesz a vpn. Én meglepődtem, mennyivel gyorsabb a Lite, mint a VPN-es soho tp-link és cisco routerek.

Cirbolya_sentinel

Edge router napi adatforgalom limit.

Nem tudja valaki, hogyan lehet megoldani, beállítani edge routeren, hogy egy adott PC napi csak 1GB adatforgalmat tudjon forgalmazni, utána egyszerűen nem engedi ki az internetre, egyáltalán megvalósítható?
Ezzel a résszel eddig nem nagyon foglalkoztam, mert nem volt rá igény.

[ Szerkesztve ]

Ezt a részt én se néztem, csak sebesség korlátozást VLAN-ra, de ha van valahol, akkor az a QOS/smart QOS résznél lesz.

[ Szerkesztve ]

"What is the most important thing in a woman?" - "The soul."

Megjelent tesztelésre a UniFi SDN Controller 5.9.12
Teljesen megújult kezelőfelület,
kibővített Intrusion Prevention System

Új funkciók:
Analitikus jelentés.
IPS irányítópult.
Új Cloud Access integráció.

Controller bugfixes/changes since 5.9.4:
Improve integration with new Cloud Access
Updated Layout.
Dashboard - AP retry rate: add legend.
Downloading autobackup marked.
Add No-IP to the list of dynamic DNS providers.
Add toggle/expand all for IPS settings sections.
Add TX power and EIRP to detailed view.
Add validation preventing duplicate fixed IPs.
Add STP block port event.
Improve client list performance.
Improve accuracy of reported wireless uplink candidates.
Rename duplicated translation key for connectivity monitor.
Grey out MAC filtering options when Enable filtering MAC address is unchecked.
Minor dashboard fixes (js console exceptions).
Use coordinates for auto-channel.
Disable host record for static DHCP mappings.
Add Remove Payment button to transactions list.
Add Remove Personal Data button to transactions list.
Add: Maps labels - Reset options to All.
Clients list: display WiFi satisfaction as bar.
Performance improvements.
IPv6 leading zeros filtering on IPS view.
Add Download Device Info button to get device information from backend cache.
Add tooltip for DHCP option 43.
Add support for IPv6 on IPS view.
Add WAN Class of Service QoS tagging support, for Google Fiber and similar fiber ISPs that require it.
Add setup size status for UniFi Cloud Key.
Allow forced adoption in case the adopted device limit is reached.
Enable RF scanning for UAP-nanoHD.
Update translations.
Dashboard: fix AP count glitches every update.
Improve labels for Local Login with UBNT Account feature.
Improve binaryPrefix service to work with negative numbers.
Scheduled upgrades time ranges should respect 12/24h format settings from preferences.
"Show Pending Devices" should be enabled by default for all new Admins.
Tweak X axis tick resolution (switch from weeks to months at 4 months breakpoint, not 6 as was earlier).
Fix missing time range in chart's tooltip in case of 5 minutes granularity.
Fix stacking "Devices with upgrades".
Dashboard Health Status should not indicate devices that are Disconnected during FW Upgrade.
Fix pagination on DPI Category view.
Fix: DPI Category view - categories not clickable.
Fix missing translation for disabled network.
Fix that WAN Interface in UPnP is not visible.
Fix empty stats when using WAN2 interface.
Fix duplicated OAuth redirect URIs.
Remove extra PHY port for USG-XG.
Update 'remember me' tooltip.
Omit /0 networks from USG guest firewall group config as they are unsupported.
Filter unsupported channel widths from auto-channel scan.
Fix console error related with coverage on Google maps.
Fix AC-EDU Streams condensed list display.
Fix a bug with AC-IW/IW-Pro provisioning which caused traffic to stop forwarding when the management VLAN and a WLAN VLAN are the same.
Fix RADIUS accounting for switching products.
Fix left side bar navigation on small screen.
Fix: Right part of WiFi clients graph is cleared when Properties Panel is closed.
Fix calendar in events/alerts.
Fix debug terminal when UniFi Cloud access is disabled.
Fix "Time to associate" and "WiFi associations" widgets not loading correctly on custom dashboard.
Fix setting speed/duplex on disabled interfaces of USG-XG-8.
Fix a bug that could prevent admins from being able to switch sites.
Fix DNS rules for guest VLANs.
Fix device scale button.
Fix decoding UTF-8 characters over WebRTC connection.
Fix translations in Alerts side navigation popover.
Fix restoring from autobackup on SD card.
Restore controller's ID after site change and allow page to refresh.
Temporarily limit MongoDB support to releases prior to 3.6.x (currently 3.4.14 is recommended).
Various bug fixes and improvements.
https://community.ubnt.com/t5/UniFi-Beta-Blog/UniFi-SDN-Controller-5-9-12-Testing-has-been-released/ba-p/2418005

Köszi, az gondoltam hogy ott kell keresni, de nem vagyok benne biztos hogy azzal megoldom. Meglehetősen kevés az ilyen jellegű leírás. Mert inkább App szinten szűrik. Én meg ugye napi forgalmat akarok limitálni.
De nekem az is megoldás ha pl csak a youtube-ra vonatkozik.

[ Szerkesztve ]

Sziasztok!

Lehet korábban már említve lett, de nincs erőm végignyálazni 1000+ kommentet, ezért kérlek legyetek türelmesek velem. Szóval úgy adódott, hogy jövőre kiköltözünk agglomerációba és adott egy DIGI FTTH (1000/200). Már egy ideje szemezek az EdgeRouter-ekkel. Gondoltam kicsit magasabb szinten indítok és beszerzek egy ERPro-8-at. Jelenleg egyébként egy ASUS AC87U-t hajtok, amivel semmi gondom nincs. Az lenne a terv, hogy a bejövő üvegszál menne a router SFP portjába, onnan jönne tovább egy SFP-s switchbe, onnan tovább a PC-be (SFP PCIExpress kártyán keresztül), de a kérdés az lenne, hogy muszáj-e valamilyen GPON device (pl. amit a Digi ad) vagy mehet-e egyből az üvegszál a routerbe. Tudom, felmerül a kérdés, miért akarok end-to-end optikát, a válasz egyszerű: mivel elméletileg van rá lehetőség + szeretném a lehető legalacsonyabb ping-et elérni. Tisztában vagyok vele, hogy rézkábelen is jó a ping, de ha lehetőség van rá, miért ne. A cél egyébként továbbá ismerkedés lenne a platformmal, picit advance-ebb beállításokkal szeretnék mókolni, szeretnék VPN tunnel-t definiálni egy adott portra és a WiFi részt is dedikált AP-n bonyolítani, stb. Linux-al régóta foglalkozok, a hálózatok része érdekel, úgy gondolom ez egy jó lehetőség elmerülni a témában.

Köszi előre is!

[ Szerkesztve ]

Szia!
Szerintem felesleges az ERPro-8, egy ER-4 erősebb és jóval olcsóbb. Az ERPro8 és a switch üveggel összekötése szintúgy, semmi előnyöd nem lesz belőle, csak elköltesz egy csomó pénzt.
Azt hogy a Digi optika mehet-e egyből a routerbe, nem tudom, nálam telekom optika van, itt nem megoldható.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

GPON hálózat esetén megkerülhetetlen a végeszköz, azaz a szolgáltató kütyüje. Meglepődnék, ha azon lenne SFP, tehát csak elméletben van lehetőség arra, amit írsz, a gyakorlatban szerintem csak üzleti előfizetésekhez adnak komolyabb végeszközt.

Köszi a választ srácok. Azóta a DIGI is visszaírt, hogy a szolgáltatást csak saját, általuk adott végponti eszközön támogatják, másszóval az optikai végpont ott lesz. Kicsit még tanulmányozom akkor a termékpalettát, nem akarok pénzt kidobni ha nem muszáj. Az EdgeR4 tényleg jobbnak tűnik.

[ Szerkesztve ]

Itt látható állapotot nem teljesen értem. Az AP-t PoE hajtja a Switch, semmi extra feladatot nem látnak el. 6 kliens van ami nem generál állandó forgalmat...az AP-n van 4 kliens. Amit nem értek az a switch magas load értékei. AP-hoz képest is. Netezés van hullámzó adatforgalommal, de nincs kifejezetten nagy terhelés. Tehát se stream, se torrent, se semmi egyéb... Ez normális, hogy míg az AP-n alig van load addig a switch-en ekkora?

[ Szerkesztve ]

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

A mi üzleti előfizetésünknél optikai végpont van és használnom kell a cég saját Microtik router-ét, hiába van Edgerouter Pro-nk. Így csak a switcheink összekötését oldjuk meg optikai portokon keresztül.

A számítógépnek lelke van! - ASUS Prime Z690-P, Intel CoreI7 13700, 2x16GB DDR5 5200MHZ Kingston, Gigabyte GTX 1060 6GB, Sound Blaster Z, Cooler Master Cosmos C700P

Mikrotikből is van SFP-s router, tehát elvben továbbra is megoldható, de ahogy írod is, inkább üzleti előfizetéseknél jellemző. Lakossági piacon a szolgáltatónak nem érdeke minél drágább kütyüt kitelepíteni az ügyfélhez, így nem holnap kapunk SFP-vel felszerelt ONT-ket.

Igen, lehet normális. A CPU a switch-ben nagyrészt a menedzsment funkciókra van használva. Ez nem befolyásolja az eszköz teljesítményét, mert nem lát el "kapcsoló" feladatot.
Ha a grafikonon nézed, milyen a %-os cpu használat?

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Konstans vonal a grafikon.

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Edgerouter lite bőven elegendő a gigás digihez is, ha viszont fontos a villámgyors vpn akkor ahogy fentebb is írták: Edgerouter 4. (más kérdés hogy ennek sincs sok értelme ha csak nem folyton otthonra másolsz kintről, mert vissza irányba 200mbit a limit aminek nagyrészét az edgerouter lite is ugyanúgy tudja)

Nincs értelme továbbá magadat szívatni az optikával (szerintem nem is engedik meg szolgáltató oldalról), amúgy sem fogod észrevenni a különbséget helyi hálózaton (ha csak nem másolsz Terabyte-okat minden nap) és mocskosul megdrágul az egész. Simán tedd az edgeroutert az ont mögé, onnantól meg gigabites kábelen mindent!

[ Szerkesztve ]

Megjelent
EdgeMAX EdgeSwitch software release v1.8.0

Letölthető és a Release Notes olvasható

Ha jól emlékszem nálam is olyan 50-60%-körül volt állandóan, de ez normális. Ezek ilyenek, nem túl erős az a cpu, ezért a magas érték.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Köszi, a megerősítést. Problémát nem tapasztaltam emiatt. A mindennapi használatban gyors, hozza a sebességet amit kell nincs vele gond, csak a szemem szúrta kicsit... De akkor ez így rendben van.

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

DNS probléma,

Eddig az alábbi beállításokat használtam, de mostanában azt vettem észre, bizonyos oldalak google chrome alatt nem töltődnek be. De csak google chrome alatt, edge, safari, firefox stb nincs gond. Lehet én írtam el valamit, vagy valami változás történt, amiről nem tudok.

set firewall name WAN_OUT default-action accept
set firewall name WAN_OUT description WAN_OUT

DNS1
set firewall name WAN_OUT rule 1 action accept
set firewall name WAN_OUT rule 1 description Alow_DNS_8.8.8.8
set firewall name WAN_OUT rule 1 protocol tcp_udp
set firewall name WAN_OUT rule 1 log enable
set firewall name WAN_OUT rule 1 destination address 8.8.8.8
set firewall name WAN_OUT rule 1 destination port 53
commit ; save

DNS2
set firewall name WAN_OUT rule 2 action accept
set firewall name WAN_OUT rule 2 description Alow_DNS_1.1.1.1
set firewall name WAN_OUT rule 2 protocol tcp_udp
set firewall name WAN_OUT rule 2 log enable
set firewall name WAN_OUT rule 2 destination address 1.1.1.1
set firewall name WAN_OUT rule 2 destination port 53
commit ; save

Blokk minden más DNS
set firewall name WAN_OUT rule 3 action drop
set firewall name WAN_OUT rule 3 description Drop_ALL_DNS
set firewall name WAN_OUT rule 3 protocol tcp_udp
set firewall name WAN_OUT rule 3 log enable
set firewall name WAN_OUT rule 3 destination port 53
commit ; save

VPN-t állandó amerikai szerverkapcsolathoz szeretném feldefiniálni, hogy a kinti tartalmakat is lássam. Számomra nem az lenne a kritérium, hogy pont elég legyen a router teljesítménye, inkább szeretném ha van benne erőtartalék (az se baj ha overkill vagy "future-proof"), árban egyébként olcsóbb az EdgeR4 mint amennyiért 2 éve az AC87U-t vettem. Az üvegszál tudom hogy nem esszenciális, az csak ilyen hobbi jelleggel lenne és igazából relatíve olcsón megoldanám, mármint router-től befelé (LAN). A GPON és a router közé pedig berakok egy CAT7-et és annyi.

Viszont úgy tudom az interfészek nincsenek alapból egy LAN-on, bridge-elni kell őket, annak viszont performance impact-ja van. Van olyan EdgeRouter, ahol erre külön van "switch chip"?

[ Szerkesztve ]

ER4-ben nincs switch chip, és hasonló teljesítményű Edgerouter sincs a kínálatban, ami rendelkezne ezzel.
Ezekben van csak:
-ER-X és ER-X PoE
-ERPoE-5
De miért nem elég egy LAN port, ha van switch-ed?

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

EdgeRouter - L2TP IPsec VPN Server

A UBNT dokumentáció alapján megcsináltam a VPN kapcsolatot, A kapcsolódás sikeresen létre is jön.
Csak az a problémám, hogy így el lehet érni a router gui felületét, stb...
A kérdés hogy lehet megoldani, hogy ez ne valósuljon meg?
Tehát egy teljesen elszeparált hálózatba menjen és csak oda legyen átjárás, ahova azt külön engedélyezem.
Megvalósítható ez? Ha igen, akkor hogyan? Sajna erre vonatkozóan nem találtam semmit.

Vagy egy más megoldást kell keresnem? Gondolok arra hogy a VPN feladatokat egy másik eszköz valósítja meg, és ki vannak forwaldva az eszköz/portok? És akkor tuti nincs átjárás, mert a front eszközön az adott interfacre tiltom?

[ Szerkesztve ]

Honnan adsz ki IP-t, milyen range-ből? Mi van, ha nem a belsőből adsz ki és mondjuk a lan_local-ban tiltod azt a range-et?
Vagy mondjuk azt a range-et, amit adsz tiltod a lan_local-ban, nem tudom érthető voltam-e?
(Adsz a vpn-nek egy /28-as range-et, (pl 192.168.100.128/28, ami ugye 129-142-ig tartalmaz ip-ket, tehát ezt adod meg a vpn-nél. Aztán a lan_local-ban meg tiltod ezt a range-et a management-re.)
Csak tipp.

[ Szerkesztve ]

"What is the most important thing in a woman?" - "The soul."

De nem oda megy, teljesen mindegy szerintem milyen címet adok, illetve hacsak a már meglévő dhcp szerver címet adsz meg, ami ugye egy interface-hez van kötve.
Ugye jelen dokumentáció alapján, tulajdonképpen nem is tudom honnan oszt címet, hiszen a DHCP-szerver résznél nem látható, és nincs is létre hozva úgy mint LAN esetében.
Ugye a tűzfalszabály csak WAN_Local-ra vonatkozik, ami alapján be tudsz jelentkezni.
De a VPN-hez nem tudok létrehozni tűzfal szabályt, mivel nincs interfacehez kötve.
Próbáld, ki te is, és meglátod te is.

Ugye a dokumentáció is így írja
set vpn l2tp remote-access client-ip-pool start 192.168.100.240
set vpn l2tp remote-access client-ip-pool stop 192.168.100.249

De ez nem DHCP, illetve az, de nem a LAN-ra vonatkozik.
Tehát amikor be jelentkezel VPN-en innen kapsz címet. De ez nem azonos a LAN-al, ezért szabályt se tudsz létrehozni, illetve nem tudom hogyan kell.

Ha ez így van beállítva sok helyen élesbe, akkor mindegy hogy a LAN, és VLAN-ok közöt milyen szabályok vannak, és tiltva van az átjárás, mert a VPN jelen esetben mint back-dor funkcionál, azaz mindent megkerül.
Hacsak nem jövök rá hogyan tudom ezt leválasztani.

[ Szerkesztve ]

Jogos.

Jogos, csak ötlet volt.
De elég érdekes a kérdés.

"What is the most important thing in a woman?" - "The soul."

Ezzel a vpn konfigurációval amit belinkeltél, szerintem nem valósítható meg a szűrés. Érdemes lenne próbát tenni Openvpn-el, mert ott létre kell hozni egy virtuális interface-t, és arra már lehet definiálni tűzfal szabályokat.
Egyébként én is L2TP-t használok, de csak saját részre pont azért, hogy elérjem a hálózati eszközeimet bárhonnan.
Viszont már gondolkoztam rajt régebben is, hogy inkább beállítok egy Openvpn szervert az routerre, ha a hétvégén lesz egy kis időm,megcsinálom és letesztelem hogy azon működik-e.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Személy szerint az openVPN-nel az a bajom, hogy kliens kell hozzá. Sose próbáltam, de Androidon megy openVPN kliens root nélkül?

"What is the most important thing in a woman?" - "The soul."

Ha rá vagy kapcsolódva VPN-nel, akkor CLI-ben a show interfaces mutat egy l2tp0-t. Talán config tree-ben vagy inkább CLI-ben lehetne ezzel kezdeni valamit.

"What is the most important thing in a woman?" - "The soul."

Nekem csak arra kellet volna hogyha ismeretlen, felügyeletlen hálózaton vagyok, mégis egy relatív biztonságosabb hálózaton keresztül tudjak dolgozni. De ilyen áron nem kell, inkább lemondok róla.
Ez így ebben a formában, hogy nem lehet szabályozni, kontrollálni olyan mint halottnak a csók.

Ha meg openVPN akkor itt egy AsusN18U abban van openvpn, rádugom edge router dedikált interfacere, vagy csinálok neki egy VLAN-t és úgy próbálom meg kontrollálni mi mehet ki, mi nem, mi látható mi nem. És egyszerűen ki forwardolom a szükséges portokat. Vagy egyszerűen lemondok arról hogy haza VPN-zek, és egy külső cég szolgáltatásait veszem igénybe. Lehet ezt választom, hiába semmi porcikám nem kívánja.

Hát ebben a tekintettben van hova fejlődnie még a UBNT-nek. De inkább ne tudja, mint hamis biztonság érzetet adjon a felhasználóknak. Illetve annak jó, aki mindent el akar érni VPN-en keresztül. De nekem ez az opció most nem játszik.
Köszönöm mindenkinek a választ, segítséget. Még futok pár kőrt ebben a kérdésben, azt hiszem. És mérlegre teszem, és majd meglátjuk mi lesz a vége.

Ja én alapban a Config tree-ben állítottam be.
show interfaces mutat egy l2tp0-t
Ja és CLI-ban próbáljam hozzá adni egy IN, LOCAL részt, de akkor miért nem látszik gui-ban? Mert ott nincs.

Mert a gui baromira nincs felkészítve az l2tp ipsec-re. Ezért is kell CLI-zni. Majd talán egyszer...

Ez kb ugyanaz mint a site-to-site is igazán csak IP alapúra van felkészítve, holott az már eléggé túlhaladott, itt bent a SonicWALL tud minden csodát - mondjuk az azért más kategória.

[ Szerkesztve ]

"What is the most important thing in a woman?" - "The soul."

Nem gond a CLI nekem, de profi se vagyok benne, na akkor majd megnézem újra.
Csak azt nem értem, ha már CLI-ban írja a dokumentáció akkor miért nem mellékelik hozzá egy Tűzfal leírást, hogy így tudod kontrollálni, felügyelni CLI keresztül. Ezt nem értem.
Vagy akkor csináljanak egy VPN HW-t ami valóban biztosítja a megfelelő VPN beállításokat. Mert ami most van ez elég szegényes, minden tekintettben. Azt hiszem nincs mit tenni csak helyén kezelni ezt is. Azaz, valami más megoldást keresni ami megfelel az elvárásaimnak, és ár/érték arányban is megfelelő.

Sose próbáltam, de Androidon megy openVPN kliens root nélkül?
Megy.
Pont azért raktam én is OpenVPN klienst a - nem rootolt - telefonomra, mert a céges gépre nincs jogom telepíteni. Így elérhetem a munkahelyemről az otthoni hálózatomat. Igaz, nem olyan kényelmes, mintha PC-ről tenném, de ez is több a semminél.

Kicsit szét néztem, vajon másnak is feltűnt hogy L2TP VPN-nél ilyen problémák merülhetnek fel, ők azt írják gondolkozzunk másképp, és fordítsuk meg, azaz, LAN felől tiltsuk a VPN átjárást.
PL

set firewall name LAN_OUT default-action accept
set firewall name LAN_OUT rule 10 action accept
set firewall name LAN_OUT rule 10 description 'permit l2tp'
set firewall name LAN_OUT rule 10 source address <l2tp-range>
set firewall name LAN_OUT rule 10 destination address <host>
set firewall name LAN_OUT rule 10 destination port <port>
set firewall name LAN_OUT rule 10 protocol tcp_udp

set firewall name LAN_OUT rule 20 action drop
set firewall name LAN_OUT rule 20 description 'deny l2tp'
set firewall name LAN_OUT rule 20 source address <l2tp-range>
set firewall name LAN_OUT rule 20 destination address <lan-ranges>

set interfaces ethernet ethx firewall out name LAN_OUT

Tehát magát a VPN-hez nem lehet szabályt létrehozni, de a nem kívánatos LAN-ok, VLAN-ok *** _OUT szabály létrehozásával, lehet tiltani az átjárásokat. A VPN-en kimenő protokollokat, globális szinten kell megadni a WAN_ra vonatkozóan.

[ Szerkesztve ]

Illetve most találtam egy L2TP VPN zóna alapú tűzfal-konfiguráció segítséget.

# This config assumes full tunnel mode to complete network.
# VPN client will have address in LAN.
# eth4 is my WAN interface.
set vpn ipsec ipsec-interfaces interface eth4
set vpn ipsec auto-firewall-nat-exclude enable
# Give access to everything
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn l2tp remote-access authentication mode local
# Create as many users you need
set vpn l2tp remote-access authentication local-users username JOHN password DOE
# My LAN is on 192.168.1.1 so I give an address on the LAN.
# This way with a Windows VPN connection and "Use default gateway on remote network" disabled you have at least access to your LAN.
# Use addresses not used by the DHCP on the LAN subnet.
set vpn l2tp remote-access client-ip-pool start 192.168.1.244
set vpn l2tp remote-access client-ip-pool stop 192.168.1.249
# I use the EdgeRouter as my DNS server so I can resolve local hosts.
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret MYSHAREDSECRET
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access dhcp-interface eth4
# If you have a static IP use this instead:
# set vpn l2tp remote-access outside-address STATICIP
set vpn l2tp remote-access mtu 1492
# This is a special command to allow the VPN client to use the EdgeRouter DNS. Only needed if the EdgeRouter is your DNS server.

set service dns forwarding options "listen-address=192.168.1.1"

# Add this firewall rule to your WAN to local-zone

set firewall name WAN-local rule 1000 action accept
set firewall name WAN-local rule 1000 description 'Allow L2TP VPN'
set firewall name WAN-local rule 1000 destination port 500,l2tp,4500
set firewall name WAN-local rule 1000 protocol udp

# Add the l2tp+ interface to your LAN zone policy.
set zone-policy zone LAN interface l2tp+
# You can instead create a specific zone policy for l2tp+ and create all the necessary firewall rules you need.

forrás: community.ubnt.com

[ Szerkesztve ]

Ooops, a legvége az érdekes, a többi a szokásos. Szólj, ha kipróbáltad és működik.

"What is the most important thing in a woman?" - "The soul."

Igen megy root nélkül, én napi szinten használom.

http://draginet.hu , MCSA, MCSE, UEWA, Microsoft 365 Certified: Modern Desktop Administrator Associa Microsoft Certified: Windows Server Hybrid Administrator Associatete,

Nos volt egy kis szabadidőm és beállítottam az Openvpn szervert. A cert-ek generálását majd aláírását, illetve a tüzfal beállítását nem írom le, vannak leírások, de itt is megtalálható egy segédlet.

Így néz ki az openvpn config a routeren:
rekop@ubnt# show interfaces openvpn
openvpn vtun0 {
description "OpenVPN server"
encryption aes256
firewall {
in {
name vpn_in
}
local {
name vpn_local
}
}
hash sha256
mode server
openvpn-option "--port 1194"
openvpn-option --tls-server
openvpn-option "--comp-lzo yes"
openvpn-option --persist-key
openvpn-option --persist-tun
openvpn-option "--keepalive 10 120"
openvpn-option "--user nobody"
openvpn-option "--group nogroup"
server {
name-server 192.168.2.1
push-route 192.168.2.0/24
subnet 10.10.10.0/24
}
tls {
ca-cert-file /config/auth/cacert.pem
cert-file /config/auth/host.pem

Illetve ezeket a beállításokat használtam a kliensen:
client
dev tun
proto udp
remote "yourhostname" 1194
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
redirect-gateway def1
nobind
comp-lzo yes
persist-key
persist-tun
user nobody
group nogroup
verb 3
ca cacert.pem
cert client1.pem
key client1.key

Ezután a vtun0 interface-re már létrehozhatóak a tűzfal szabályok, és megoldható a korlátozás/engedélyezés. Letesztem működik.
Ami a hátránya a dolognak egyszer a sebessége mert openvpn-re nincs hardveres gyorsítás, illetve minden platformra kliens kell hozzá.
Én a fenti beállítsokkal 8-10Mbps-t értem el telefonon 4G-t használva(ami nálam ~50Mbps).
A routerem most egy ERL3, ami nem túl erős prociban, egy ER4 szerintem 4-5x gyorsabb lehet. (ha van esetleg valakinek, letesztelhetné... )

[ Szerkesztve ]

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Üdv!

Olyan problémám van, hogy lóg a hálózaton egy WD TV Live Streaming, amit csak ritkán használunk. A filmeket egy XPenology-t futtató NAS-ról játsszuk le. Nyaralásról jöttünk haza, korábban minden áramtalanítva lett. Ilyenkor általában a lejátszó elveszíti a tartalomforrást, azt újra fel kell deríteni és csatolni. Sajnos most viszont nem talál semmilyen gépet a hálózaton a médialejátszó, pedig a NAS-on kívül a Windows-os klienseket is látni szokta, ezért hajlamos vagyok arra gondolni, hogy a router-ben van valami beállítás, ami gátolja a lejátszót a hálózat felderítésében.
Kérem segítségeteket, hogy mit kellene konfigurálnom annak érdekében, hogy elérjem a filmeket a NAS-on.
Köszi előre is.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem lehet hogy több lan csatlakozó van a nason? Engem is így viccelt már meg hogy a qnapon 4 lan csati van és a 2 alsó helyett a 2 felsőbe dugtam vissza a lan kábeleket mikor hazajöttem, így a dhcp szerver nem ugyanazt az ip-t osztotta nekik amit kellett volna, mert másik mac cím volt. Emiatt semmi se működött.

[ Szerkesztve ]

Nem, közben meglett a "hiba": elég volt újraindítanom a médialejátszót.
Szerintem ha előbb kap IP-t mint a NAS, akkor hajlamos megzavarodni a rendszer.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Sziasztok!

Bocsánat, hogy belepofázok a párbeszédbe, de kellene egy kis segítség. Otthonra szeretnék egy új routert. Az Edgerouter Lite, az Edgerouter 4, és az Edgerouter PRO közül kellene kiválasztanom a megfelelőt.

Van már egy Edgeswitch 48-as switch-em. Elég sok IP-s eszköz van, PC-k, kamerák, házautomatizálás.

1000-es DIGI Internet van jelenleg, de szükséges lesz majd VPN, VLAN, és egyéb szolgáltatásokra is.

Ehhez mérten melyik router volna az megfelelő? Középútnak az Edgerouter 4 tűnik ideálisnak, de ekkora összeg kiadása előtt azért érdekelne más véleménye is. A válaszokat előre is köszönöm!

Éljen a SkyNET! :D - http://sites.google.com/site/htpconweb/Home

Gigás digit az erlite is bőven kiszolgálja. Ubi kb 100-150 kliensig ajánlja. (ebből a szempontból nem tudod már azt se kihajtani még 1000/1000Mbit-el se)
A vpn már viszont megfogja, kb 100-150 megabitet tud. Ha ez kevés, vagy akarsz még valami cpu igényes extrát akkor az edgerouter 4 kell. (esetleg ha a digi majd emeli a feltöltést akkor vpn-nél később jól jöhet majd az edgerouter 4)

[ Szerkesztve ]

Szia!

Nyugodtan válaszd az Edgerouter4-t. Akár még a lite is elég lehetne, de a jövőre (és a vpn-re is) gondolva már nem ajánlanám.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj