-
IT café
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
haddent
addikt
válasz MasterMark #3701 üzenetére
Hmm, ez fura. Direkt többet teszteltem, cli -ből, explicit megadva a szervert. Legújabb fw raktam rá ami van jelenleg (ma), nem tudom most fejből melyik. Semmi szabály, 1 nat ugye + minden hw offload bekapcsolva. Esetleg a configot postolhatnád, kiváncsi vagyok
ggg666 nem, 1-1 teszt erejére, de szerintem azt tartja
-
-
rekop
Topikgazda
Elvileg ezek az beállítások megfelelőek digi-hez is(ha szükséges, az interfészeket módosítsd a sajátodnak megfelelően):
configure
set interfaces ethernet eth0 pppoe 0 mtu 1492
set firewall options mss-clamp mss 1452
set firewall options mss-clamp interface-type all
commit; save
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
rekop
Topikgazda
válasz MasterMark #3707 üzenetére
Routeren ő sem mérhette, ennyire nem képes az erl3.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
bon
őstag
Unifi kontrolleren hogyan tudom megnézni, hogy műkődik e a Site to site vpn. Volt a városunkban egy áramszünet és úgy néz ki az egyik telephely azóta elérhetetlen, nem érem el távolról.
A számítógépnek lelke van! - ASUS Prime Z690-P, Intel CoreI7 13700, 2x16GB DDR5 5200MHZ Kingston, Gigabyte GTX 1060 6GB, Sound Blaster Z, Cooler Master Cosmos C700P
-
haddent
addikt
válasz MasterMark #3707 üzenetére
PC -n mértem, megint megnéztem, ugyanezt a konfigot írtam magamtól amit rekop írt, nem megy át rajt annyi tűzfal nélkül sem, mint pfsense 2 vpn -nel meg szabályokkal vlanokkal
-
haddent
addikt
válasz Mr Bond 007 #3711 üzenetére
Persze, ez nem is kérdés, írtam is azt hiszem, i7 3770 -ből 2vcpu Én nem is csodálkoztam ezen, többiek írták, hogy többet tud náluk az ERL3, azért értetlenkedtem/ek kicsit
-
Cirbolya_sen
aktív tag
Sziasztok, az EdgeRouternél van pi-hole-hoz hasonló lehetőség a reklámok szűrésére? Az Ubi oldalán amit találtam elég nehézkesnek látszott, kipróbálni még nem próbáltam. Inkább előbb kérdezek
Cirbolya_sentinel
-
MasterMark
titán
-
Cirbolya_sen
aktív tag
válasz MasterMark #3714 üzenetére
köszönöm, megnézem ezt is, kicsit belekavarodtam, a mini pc-n futó ubuntu unifi controller, docker-es UNMS és a sima pi-hole, docker-es pi-hole portjaiba, webservereibe
Cirbolya_sentinel
-
#70234880
törölt tag
válasz Cirbolya_sen #3713 üzenetére
AdGuard Home?
A Pi-hole hasonló, egyébként erre a feladatra egy PI is tökéletes, bár unifi mostanában annyira nem komázza a Pi-hole DNS-t. -
MasterMark
titán
válasz Cirbolya_sen #3715 üzenetére
Ezt magára az EdgeRouter-re kell telepíteni, és ott is fut.
[ Szerkesztve ]
Switch Tax
-
Cirbolya_sen
aktív tag
válasz MasterMark #3717 üzenetére
igen láttam, azért is gondoltam valami ilyesmire, hogy a többi eszközzel való küzdést elkerüljem
Cirbolya_sentinel
-
rekop
Topikgazda
(#3712) haddent
Megmondom őszintén nem szoktam nézegetni a sebesség teszteket, de az előbb megnéztem ötször egymás után, és kb. hasonló értékeket kaptam minden esetben: speedtest
(másik szerveren mértem azért kevesebbet is) Szerintem erre is mondhatjuk, hogy kiakasztja a gigabites interfészt.
Illetve csak most figyeltem fel rá, hogy cli-ből futtattad a tesztet, azzal phyton script-el nekem is olyan 800 környékén szokott csak lenni, én úgy vettem észre az eléggé össze-vissza mér. Esetleg próbáld meg böngészőből, vagy a windows-os speedtest app-al. De nem hiszen hogy bármi jelentősége van, hogy 850-et vagy 920-at mutat a program. De mérhetsz belső hálódon is NAT throughput-ot iperf-el, és akkor az biztos, hogy kizártad a szolgáltatói részt(pl. túlterhelt/lassabb szerver)Többször belefutottam már a WireGuard VPN-be, gondoltam én is kipróbálom, mert engem is kíváncsivá tett, és Edgerouter-re is telepíthető.
A WireGuard egy rendkívül egyszerű, mégis gyors és modern VPN, amely a legkorszerűbb kriptográfiát használja, és jelentősen jobban teljesít mint az OpenVPN. Eredetileg Linux kernelhez kiadott, de mára már sokféle platformon elérhető (Windows, macOS, BSD, iOS, Android). Jelenleg még fejlesztés alatt áll, de már a legbiztonságosabb, legkönnyebben használható és legegyszerűbb VPN-megoldásnak tekinthető az iparágban.
Nézzük akkor a telepítést!
Letöltjük a legfrissebb verziót a github-ról(nekem ERL-m van ezért az E100-as verzóra van szükségem):cd /tmp
curl -qLs https://github.com/Lochnair/vyatta-wireguard/releases/download/0.0.20191219-2/wireguard-v2.0-e100-0.0.20191219-2.deb -o wireguard.deb
sudo dpkg -i wireguard.deb
Az első lépésben generálunk egy privát kulcsot és egy nyilvános kulcsot, amit majd megadunk kliensek számára.
SSH a routerbe, majd:wg genkey | tee /dev/tty | wg pubkey
Ez a parancs két karaktersorozatot fog adni, az első sor lesz a private key a második sor a public key.Wireguard beállítása a routeren:
configure
set interfaces wireguard wg0 address 192.168.33.1/24
set interfaces wireguard wg0 listen-port 51820
set interfaces wireguard wg0 route-allowed-ips true
set interfaces wireguard wg0 private-key <az előzőleg generált private key>
commit; save
Ezek után jöhet a kliens konfigurálása. Én csak iOS-en csináltam meg eddig. Generálunk itt is egy kulcspárt, majd a többi beállítás az alábbi kép szerint:
Most, hogy megvan a kliensünk publikus kulcsa, frissítjük a router konfigurációját:
set interfaces wireguard wg0 peer <public key a kliensből> allowed-ips 192.168.33.2/32
És engedélyezzük a tűzfalon a bejövő 51820 udp portot:set firewall name WAN_LOCAL rule 80 action accept
set firewall name WAN_LOCAL rule 80 description WireGuard
set firewall name WAN_LOCAL rule 80 destination port 51820
set firewall name WAN_LOCAL rule 80 protocol udp
commit; save; exit
Én korábban már próbálgattam az OpenVPN sebességét ERL-en, olyan 8-10Mbps sebességet értem el átlagban ezért nem is használtam. WireGuard-al ez átlag 45Mbps lett, ez már nem olyan rossz szerintem. ER-X-en ahogy olvasgattam a teszteket ~140Mbps várható átlagban.
Ami kifejezettem tetszik az iOS kliensben(szerintem Androidban is benne kell hogy legyen), hogy megadható "On-demand activation" melynek segítségével beállítható például, hogyha nem egy(vagy akár több) beállított SSID-hez kapcsolódik a telefon, akkor automatikusan indítja a VPN kapcsolatot!
Ami viszont mindenképp hátránya a dolognak, hogy mivel a Wireguard egyelőre nem része az Edgeos-nek, így egy firmware update után ismét telepítenünk kell a csomagot.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
haddent
addikt
Ez új nekem, elég erős openvpn hívő voltam mindig is, de igazából 1 mondattal meggyőzött 1 ember: https://lists.openwall.net/netdev/2018/08/02/124
Ki is próbálom én is, köszi a tippet! Esetleg ötlet, hogy milyen vpn szolgáltató támogatja már? Legjobb lenne ingyenes, pl protonvpn (na ők tuti nem )
Semmi jelentősége, illetve annyi, hogy maximalista vagyok. Részben hálózatos a munkaköröm (is) jelenleg, ezért itthon tényleg ki kell maxolni mindent, meg kísérletezni stb Ötletem sincs, hogy akkor mi lehet. Iperf sajnos nem elég, kár is megnézni, biztos vagyok benne, hogy lan-to-lan nattal együtt is meglesz, itt a pppoe lehet az, ami kicsit meggyepálja csórót
[ Szerkesztve ]
-
MasterMark
titán
Néztem a speedtest-es képet, és mondom magamban, hogy hé várjunk csak, mi az a wireguard port ottan? Erre olvasom tovább a hsz.-ed, és pont le is írod. Köszi.
Wireguard mitől jobb mint a beépített L2TP?
Ha jól olvastam TCP-t nem tud, így nem lehet átmenni a tűzfalas wifiken vele, amire alapból az OpenVPN-t használnám.szerk.: OpenVPN AS dokkerben meg nem bírtam rávenni a port-shareing-re, így igazából most az sincs.
[ Szerkesztve ]
Switch Tax
-
haddent
addikt
Nah, csak nem nyugodtam, játszottam még kicsit a hw offloadokkal, így kijött az mint nektek, de továbbra is teljes mértékben nem tudományos alapon, hanem "érzésre" valamivel kevesebb volt. Értsd: lassabban pörgött fel a végső sebességre, jobban fluktuált stb. Ezért gyorsan beröffentettem a vyos vm -em teljesen a pfsense -zel megegyező erőforrásokkal és beállításokkal és ott is ezt tapasztaltam. Ez mind nagyon nem megalapozott, kivéve azt, hogy szokták is mondani, hogy a bpf hatékonyabb, mint az iptables. Ez a végső kb. megérzés szintű hülyülés már ennek tudható be, szerintem. Mindegy, bocs a sok félig-offért, számomra érdekes kísérletek/mérések De tényleg nem kell velem foglalkozni ilyen szinten, most épp azon szenvedek, hogy IPS/IDS -sel együtt tudja ezt, 850MBits már megvan
MasterMark mit szeretnél pontosan dockeres ovpn-as -sel?
[ Szerkesztve ]
-
MasterMark
titán
válasz haddent #3723 üzenetére
Nincs köze az EdgeRouter-hez, szerveren futtattom és port-share-t szeretnék a 443-ra, ami nem vpn traffic azt engedje át az nginx-re. De nem bírom beállítani.
Azért is futtattnám szerveren, mert annak van ereje az OpenVPN-hez is és így a mindenféle tűzfalon át lehetne jutni vele.
Egyébként az EdgeRouter L2TP VPN-jét használom.
szerk.: Vagy a másik megoldás a reverse proxyzás lenne nginx-en keresztül külön venni a http meg a stream forgalmat, de múltkor azt se sikerült összehozni.
De most rajta vagyok megint, mert eszembejutott.
[ Szerkesztve ]
Switch Tax
-
haddent
addikt
válasz MasterMark #3724 üzenetére
Na ez egy szép feladat, még nem csináltam, de [link] ez alapján gondolom ezt hozzáadtak az ovpn-as szerver konfigjához. Innentől viszont szerintem routing probléma. Nem ütközik a Docker subnet és/vagy a Docker konténer (belülről) subnete az ovpn-as szerveredével, tehát jó helyen keresi / jó helyre routol?
-
MasterMark
titán
válasz MasterMark #3726 üzenetére
Jó nem sikerült megint, el is engedtem. Egy DPI-s tűzfal úgyis megfogná az OpenVPN-t is.
Switch Tax
-
Játékos
addikt
Sziasztok!
Segítséget szeretnék kérni tőletek. A rendszerben: USG, 8 portos switch, UAP AC LR, illetve CK. Hónapok óta megy rendesen, ma reggel szólt a gazdi, hogy a wifin csak a vendég hálózat elérhető, a "belső" nem. Rápillantottam itthonról, találtam frissítést az UAP-hoz is, meg a CK-hoz is. Engedtem a frissítést, és az óta offline az egész rendszer. Sejtem, hogy el kell mennem hozzájuk, de mi a leggyorsabb módja az egész rendszer visszaállításának, ha nincs hálózat tényleg?
Előre is köszönöm a segítséget!Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
-
Játékos
addikt
válasz MasterMark #3729 üzenetére
1-2 eszköz rajta volt, de sok nem tudott csatlakozni.
Most viszont reseteltem a helyszínen a CK-t...Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
-
Játékos
addikt
válasz Játékos #3730 üzenetére
Reset után hiába töltöttem vissza a 2 napos mentést, semmi nem ismert fel semmit. Lehetséges, hogy azért, mert közben a CK-n firmware frissítés történt?
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
-
MasterMark
titán
Ha így installálok egy dnsutils package-t, akkor az perzisztens marad firmware update-re is?Ja ott van a válasz abban amit linkeltem: Installed packages are lost on firmware upgrades.
[ Szerkesztve ]
Switch Tax
-
Játékos
addikt
válasz MasterMark #3733 üzenetére
Szia!
Ezt nekem írtad?
Installed packages are lost on firmware upgrades.
Ha igen, akkor köszönöm, többet nem frissítek FW-t, ígérem!
Tehát vissza lett állítva 3 nappal ez előtti mentésből a CK. Most rábeszéltem a gazdit, hogy legyen már az irodában is egy UAP AC Lite, mert most csak egy AP van, de nem hord el az irodáig rendesen, így volt (eddig) egy TP-Link extender a rendszerben.
Kivitelezhető a FW-frissítés ilyen problémák nélkül?
Köszi sokadszor is.Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
-
MasterMark
titán
válasz Játékos #3734 üzenetére
Nem, csak eszembe jutott a frissítésről, de meg is válaszoltam magamnak.
Neked azt akartam írni, hogy csak akkor frissíts firmware-t ha tuti minden jó a hálón, pláne remote. Így hogy nem volt valami stabil hülyeség volt rányomni a firmware frissítést, ráadásul magára a CK-ra. (Csak nem írtam végül, mert nagyon kioktatós. De végül is ha már kérdezted.)
Alapból nem kéne, hogy egy firmware frissítés probléma legyen. Itt se az volt a gond, hanem az amiért egyáltalán hozzányúltál.
[ Szerkesztve ]
Switch Tax
-
MasterMark
titán
válasz MasterMark #3727 üzenetére
Mégsem engedtem el...
Majdnem sikerült is megcsinálni, csak kisebb problémák állnak fent. Port-share lenne a jó, nem ez az nginx-es bénázás. De sajnos az nem megy a dokkerben amit használok.Egy kis érdekesség, hogy Let's Encrypt-es tanúsítványt viszonylag egyszerűen lehet használni EdgeRouter GUI-hoz:
Ha megvan a generálás, akkor a priv-fullchain-bundle.pem fájlt kell csak átmásolni.
configure
set service gui cert-file /config/ssl/priv-fullchain-bundle.pem
commit;save;exitÉs megy is.
Ehhez kérdeznék, hogy hogy tudnám automatizálni a rámásolást? Most WinSCP-vel tettem rá.
Switch Tax
-
adika4444
addikt
válasz MasterMark #3736 üzenetére
Ha egy linux szerverrel (Debian, Ubuntu etc) csinálod a tanusítványt a doménre, akkor SCP-vel másold, ezt cronnal tudod időzíteni. Meg kell hozzá egy publikus és privát RSA-kulcspár, jelszó nélkül, ahol a privát a tanusítványt generáló gépen van, és a publikus hozzá van adva egy felhasználóhoz az ER-en.
üdv, adika4444
-
Játékos
addikt
válasz MasterMark #3735 üzenetére
Köszönöm, remélhetőleg megoldódik minden baj, ha megérkezik az új AP.
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
-
R.Woodoo
tag
Sziasztok!
A segítségeteket szeretném kérni az otthoni Ubi hálozatomat tekintve. Edgerouter Lite-om van egy Unifi Ap Ac Lite-al, 3 switchel. A helyi hálozatomon semmi extra és bonyolult dolog nincs, 2 asztali gép, 1 micrsoerver, egy konzol, telefonok, teblet. Decemberben felraktam a 2.08-as firmwaret mert régebben voltam timeoutjaim egyes weboldalaknál és játékoknál. Namármost ez megszünt és ennek nagyon örülök. Viszont a céges VPN amihez kapcsolodom az most nem müködik az update óta. A rendszergazdával már kitotoztuk, hogy a connect próbálkozásom a serveren nem is látszik, jelszó acc rendben. Firmware frissítés előtt rendben volt. Upgrade után a setup nem változott a routeren, mi lehet a gond? Előre is köszönöm a segítséget! Átlag user vagyok, sajnos annyira nem értek hozzá csak alapszinten.
-
#70234880
törölt tag
válasz Varszegig #3740 üzenetére
Attól még ő tud csatlakozni az adott cég VPN szolgáltatáshoz, csak abban az esetben okozhat ilyen gondot, ha maga a Céges hálózat került NAT mögé. Ebben az esetben mint felhasználó semmi teendője nincs. Igaz erősen kétlem hogy céges feltehetően fix IP címet a szolgáltató nat mögé tenné. Igaz vannak csodák, de ... A probléma ott van, hogy a felhasználónál jelen esetben R.Woodoo nem megy ki a kapcsolódási kérelem a CÉG VPN szolgáltatásához. Amit feltehetően valamelyik tűzfalszabály fog meg. Ez lehet a router tűzfala, vagy az általa használt számítógép szoftveres tűzfala.
[ Szerkesztve ]
-
Varszegig
veterán
válasz #70234880 #3742 üzenetére
Hát még azt sem tudjuk, hogy min fut a kliens. Elvileg valóban nem okozhat gondot a NAT, de azért én leellenőrizném. Kifelé azért nem hinném, hogy bármit megfog a router tűzfala, ahogy a pc-é sem. Nagyon szigorú szabály lenne az, amit azért defaultban semmi nem állít, azaz arról csak tudna, ha ilyet ír. Nálam pl. a kamerák kifelé menő kommunikációja drop, de ezt be kellett állítani.
R.Woodoo: össze kéne hasonlítani a routeren látható ip-t azzal amit az ip checker oldalak látnak. -
MasterMark
titán
válasz R.Woodoo #3739 üzenetére
Szokásos MSS clamping gond.
configure
set firewall options mss-clamp interface-type all
set firewall options mss-clamp mss 1452
set firewall options mss-clamp6 interface-type all
set firewall options mss-clamp6 mss 1432
commit;save;exit(Ha nem PPPoE, akkor mehet 1460/1440 is elméletileg, de a fentivel is működnie kell.)
szerk.: És / vagy DNS szerver gond. Azt használd amit ajánlanak a cégnél, vagy cloudflare/google.
[ Szerkesztve ]
Switch Tax
-
TigerCat
nagyúr
Sziasztok!
Ha jól tudom a UniFi Network Controller Mac-es telepítője már nem tartalmazza a Java-t, viszont utóbbit nem szeretném telepíteni. Van erre valami más megoldás?
Köszi!
♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu
-
TigerCat
nagyúr
válasz MasterMark #3747 üzenetére
Korábban tartalmazott valamit, amivel futott, de csak emiatt franc se tenné fel. Na mindegy. más választásom nem nagyon van... Köszi!
♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu
-
#70234880
törölt tag
válasz TigerCat #3748 üzenetére
Vagy veszel egy C.K 1-et, vagy egy ócska PC-t amire feltelepítesz egy ubuntu szervert, amire rá rakod a usdn-t, vagy bérelsz egy VPS szervert, és arra telepíted. Van sok megoldás, csak ki kell választani, ami számodra megfelelő. Én személy szerint a C.K javaslom, hosszú távon megéri. Ha csak wifi, akkor MasterMark javaslata is elegendő lehet. Bár kevesebb lehetőséget biztosít.