- Samsung Galaxy S24 - nos, Exynos
- Poco X6 Pro - ötös alá
- Alkalmazásbemutató: Keep
- Futott egy Geekbench kört egy új HTC készülék
- Azonnali mobilos kérdések órája
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- Huawei Mate 10 Pro - mestersége az intelligencia
- Vodafone-ra áttért Digi Mobilosok
- Xiaomi Mi 11 Ultra - Circus Maximus
- iOS alkalmazások
Hirdetés
-
Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
it Egyre nagyobb probléma az AI hallucinálása – most az osztrák adatvédelmi hatóság veheti elő a ChatGPT miatt az OpenAI-t, alapvetően a GDPR megsértése miatt.
-
Samsung Univerzum: Így ismerhető meg a Galaxy AI bármilyen telefonon
ma A Try Galaxy webalkalmazás kontrollált környezetben mutatja meg, mit tud a One UI 6.1-es rendszer és a mesterséges intelligencia.
-
Toyota Corolla Touring Sport 2.0 teszt és az autóipar
lo Némi autóipari kitekintés után egy középkategóriás autót mutatok be, ami az észszerűség műhelyében készül.
-
Mobilarena
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
#70234880
törölt tag
válasz Bubukain #2770 üzenetére
Ez abban az esetben érvényes ha rendelkezel unifi USG-vel.
A USG-ben lehetőség van bekapcsolni a radius servert.
Létrehozol egy Enterprise wifit. PL lakasom-wifi ssid. és kiválasztod a radius azonosítást.
Létrehozol a network résznél vlan-kat.
Pl:
192.168.77.1/24 --> vlan id 77 --> gyerek vlan
192.168.88.1/24 --> vlan id 88 --> szülő vlan
192.168.99.1/24 --> vlan id 99 --> vendég, ebben az esetben nem az corporate hozod létre hanem a guest-re.bekapcsolod a radius szervert, létrehozod a felhasználókat, és itt adod meg melyik felhasználó melyik vlan-hoz tud csatlakozni.
Ha gyerek akkor 77 írsz a vlan részhez, ha vendég akkor 99, stb...
Tehát a felhasználóhoz kötöd (rendeled) ki melyik vlan-ba csatlakozzon.
Ennyi az egész dióhéjban.
Ha cégről van szó, akkor ajánlott saját radius szerver használata.[ Szerkesztve ]
-
#70234880
törölt tag
-
MasterMark
titán
válasz Bubukain #2774 üzenetére
azt hogy tudom megoldani hogy van egy IoT vlan ami az okosotthon eszközök vannak, és hogy a szülö vlan lássa a rajta lévő eszközöket de a gyerek vlan ne férjen hozzá.
Tűzfalszabály.
Alapból minden VLAN egymáshoz fér a routeren keresztül, hiszen a routeren bekerül a routing táblába connected hálózatként.
[ Szerkesztve ]
Switch Tax
-
#70234880
törölt tag
válasz Bubukain #2774 üzenetére
Ja én fejből írtam le az információkat, de jogos ez a rész kimaradt.
Több megoldás van egyrészt a létrehozol egy rfc1918 group-ot. és tűzfal szabályba felveszed hogy a két vlan között ne legyen átjárás.
RFC 1918 group tartalma192.168.0.0/16
172.16.0.0.12
10.0.0.0./8Ha nem akarsz vele nagyon foglalkozni akkor a gyerek vlant nem corporate rakod hanem guest-re.
Így semmit nem fog elérni a belső hálózaton csak az internetet.Vagy az első megoldás, ami egy kis tűzfalazást igényel.
Megvalósítási példák
https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-How-to-Disable-InterVLAN-Routing-on-the-UniFi-USGHa vizuális vagy akkor népszerű youtube csatornák lesznek segítségedre.
[ Szerkesztve ]
-
MasterMark
titán
válasz Bubukain #4381 üzenetére
Ez egy router. Csak router. Az ERX egy router + switch egybeépítve.
Használhatod a maradék portot egyébként ugyanúgy mint egy switch (bridging), csak nincs meg benne a hardver a switch működéshez. Azaz minden forgalom a processzorán keresztül fog menni, vagyis jóval lassabb lesz.
Azok a portok arra valóak, hogy különböző hálózatokat összeköss. Erre való egy rotuer.
Switch Tax
-
rekop
Topikgazda
válasz Bubukain #4439 üzenetére
Én mondjuk nem így csinálnám, ha mindenképp egy SSID-kell akkor például RADIUS Assigned VLAN-al. Pfsense-hez pedig van freeraduis csomag, így elég egyszerű lenne.
A Te verziódhoz pedig szerintem kellene egy tűzfal szabály amiben engedélyezed, hogy az AP-d(fix IP-t adsz neki) hozzáférhessen a 192.168.1.240-hez, majd ssh-val belépve az AP-be
aset-inform http://192.168.1.240:8080/inform
paranccsal adoptálod.[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
-
Cirbolya_sen
aktív tag
válasz Bubukain #4648 üzenetére
Csak akkor hiányozhat, ha szeretnéd visszarakni a korábbi verziót.
Important notes
The ER-X/ER-X-SFP/EP-R6 has more limited storage, and in some cases, an upgrade may fail due to not enough space. If this happens, remove the old backup image first (using "delete system image" CLI command, see here for more details) before doing an upgrade.
Cirbolya_sentinel
-
MasterMark
titán
válasz Bubukain #4730 üzenetére
Stateful tűzfal, csinálj olyan szabályt, hogy te tudd szólítani az eszközöket onnan, viszont ők ne tudjanak maguktól átbeszélni, csak válaszolni arra, ha valaki onnan keresi.
Így néz ki nálam:
name BLOCK_IN {
default-action accept
description "IoT to internal"
rule 10 {
action accept
description "Accept established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log enable
state {
invalid enable
}
}
rule 30 {
action drop
description "Drop PROTECT_NETWORKS"
destination {
group {
network-group PROTECT_NETWORKS
}
}
log enable
protocol all
}
}Switch Tax
-
rekop
Topikgazda
válasz Bubukain #4730 üzenetére
Úgy kellene beállítani, ahogyan MasterMark leírta.
De leírom én is kicsit részletesebben.
Első lépésben létrehozunk egy "network-group"-ot amibe felveszed azokat hálózatokat amelyeket nem szeretnél majd elérni az IOT hálózatból. Például:
Firewall/NAT > Firewall/NAT Groups > + Add GroupName: PROTECT_NETWORK
Group Type: Network Group
Firewall/NAT > Firewall/NAT Groups > PROTECT_NETWORK > Actions > ConfigNetwork: 192.168.1.0/24
Network: 10.10.0.0/24
Jöhet az IOT_IN tűzfal szabály létrehozása, itt adhatjuk meg az IOT hálózatból a lan/wan irányú korlátozásokat. Az alapértelmezett művelet ennél az irányú forgalomnál az engedélyezés:
Firewall/NAT > Firewall Policies > + Add RulesetName: IOT_IN
Description: iot to lan/wan
Default action: Accept
Engedélyezzük, hogy az IOT eszközök, tudjanak "válaszolni" a "megkeresésekre":
Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > + Add New RuleDescription: Allow established/related
Action: Accept
Protocol: All protocols
Advanced > State: Established / Related
A korábban felvett hálózatokba irányuló csomagokat pedig "eldobjuk":
Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > + Add New RuleDescription: drop iot to protect
Action: Drop
Protocol: All protocols
Destination > Network Group : PROTECT_NETWORK
Csatoljuk a tűzfalat a megfelelő interfészhez:
Firewall/NAT > Firewall Policies > IOT_IN > Actions > InterfacesInterface: eth1.20
Direction: in
Létrehozhunk még egy IOT_LOCAL szabályt is, hogy ebből a hálózatból ne érjük el a routerünket:
Firewall/NAT > Firewall Policies > + Add RulesetName: IOT_LOCAL
Description: iot to router
Default action: Drop
A DNS-t és DHCP-t pedig engedélyezzük:
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > + Add New RuleDescription: allow DNS
Action: Accept
Protocol: Both TCP and UDP
Destination > Port: 53
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > + Add New RuleDescription: allow DHCP
Action: Accept
Protocol: UDP
Destination > Port: 67
Ezt is csatoljuk a megfelelő interfészhez és irányba:
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > InterfacesInterface: eth1.20
Direction: local
Nagyjából ennyi lenne. Értelemszerűen a hálózatokat és az interfészt módosítsd a saját konfigodnak megfelelően. Remélem nem rontottam el sehol, futtában írtam csak, sajnos nem sok időm van ilyesmire mostanában.
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
VeryByte
őstag
válasz Bubukain #4742 üzenetére
A Sonos-hoz ezek a portok kelleek, tehát ezeket IoT irányból a controller(ek) felé át kéne engedni.
Lehet, hogy Hue-val is van ugyanilyen.Most lokálisan csak a saját gépemen megnéztem és ezeket kellett nyitnom a gép tűzfalán, hogy menjen rendesen a controller.
[ Szerkesztve ]
"What is the most important thing in a woman?" - "The soul."
-
rekop
Topikgazda
válasz Bubukain #4742 üzenetére
Először szerintem ellenőrizd le, hogy a szabályok szerint működik-e minden.
Tehát csatlakozol az IOT-hoz, megnézed van-e internetelérés, pineglető-e a local network valamegyik IP-je, és a router.
Ha minden rendben, vissza a default-ba, innen pedig pingelhető-e az IOT valamelyik eszköze.Amit még meg lehetne próbálni, engedélyezni a multicast DNS repeater-t.
configure
set service mdns repeater interface switch0
set service mdns repeater interface switch0 vif 50
commit ; save
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
rekop
Topikgazda
válasz Bubukain #4752 üzenetére
IOT-ból nem kell elérned a local-t, ez az egy dolog rendben van.
Akkor kezdésnek vedd le a tűzfalat amit írtam. Ehhez elég ha törlöd a hozzá tartozó interface-t és direction-t:
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > Inerfaces > Remove > Save ruleset
és
Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > Inerfaces > Remove > Save rulesetÉs akkor most kellene odáig eljutnod, hogy bármelyik hálózathoz csatlakozva megkapod a megfelelő IP-ket, van internet, és pingelhető oda-vissza minden. Ha ez megvan, akkor vissza lehet térni a IOT tűzfalhoz.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
MasterMark
titán
válasz Bubukain #4762 üzenetére
Ami hosztolja a homekit-et, azt add meg úgy, hogy engedjen át rá minden forgalmat, azt is amit az iot vlanból kezdenek.
Egyébként ilyesmihez jobban kéne tudni, hogy ezek pontosan hogy működnek, és mit használnak.
szerk.: Lehetséges az is, hogy nem routeolható kommunikciót használnak, akkor viszont nem fog menni vlan-ban.
szerk.2: Az mdns címét is engedd át a tűzfalon: 224.0.0.251
Esetleg ez segíthet: [link]
[ Szerkesztve ]
Switch Tax
-
rekop
Topikgazda
válasz Bubukain #4771 üzenetére
Kiiktattam az AppleTV-t, felvettem az IOT_LOCAL-ba az UDP 5353 engedélyezését. Nálam megtalálja a termosztátot a telefon az otthon alkalmazásból. (természetesen úgy, hogy nem egy hálózatban vannak).
Jun 19 19:04:52 ubnt kernel: [IoT_LOCAL-30-A]IN=eth1.30 OUT= MAC=01:00:5e:00:00:fb:70:ee:50:0d:f5:52:08:00:45:00:01:31 SRC=192.168.30.107 DST=224.0.0.251 LEN=305 TOS=0x00 PREC=0x00 TTL=255 ID=17280 PROTO=UDP SPT=5353 DPT=5353 LEN=285
Kapcsold be a log-olást az IOT_LOCAL default action-re:
Firewall Policies > IOT_LOCAL > Actions > Edit ruleset > Configuration > Default log > Save RulesetMajd nézd meg a log-ot, hátha kiderül hol akad el:
show log tail | grep <hue bridge IP címe>
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
rekop
Topikgazda
válasz Bubukain #4773 üzenetére
Még annyit lehetne, hogy eltávolítod a jelenlegi "Otthon"-t az alkalmazásból, és megpróbálod újra hozzáadni a bridge-t. Otthon>kiegészítő hozzáadása, és beszkenneled a kódot a bridge-ről. Én megcsináltam még egy Homekit-es Xiaomi Desk lámpával is, amivel az IOT-hoz csatlakoztam, és felismerte elsőre. Ha így sem megy akkor, több ötletem sajnos nincsen.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Varszegig
veterán
válasz Bubukain #4773 üzenetére
Ez alapján a defaul szabályod dropolja az IoT-Local-ban a forgalmat a 192-168.50.1 felé (az 50.10-ből) UDP 5353-ról.
Feltételezve, hogy a default az utolsó szabályod, azt jelenti, hogy nincs olyan szabály, ami az up5353-at engedné a localban. Az UDP5353 az mDNS portja, azt mindenképp engedélyezni kell.
Az IOT-Localban alapvetően 3 portot kell engedélyezni:
1) 53 (DNS)
2) 67 (DHCP)
3) 5353 (mDNS)Minden más drop. Nálam így még semmi nem panaszkodoptt, ami az IoT-ben van.
Az IN szabályok már ennél sokkal összetettebbek, és helyi dolgoktól függenek. -
Varszegig
veterán
válasz Bubukain #4792 üzenetére
Várj, egy kicsit meg vagyok már zavarodva, ha ezekre a portora van szüksége a Sonosnak, akkor az vagy nem In, vagy ők nem destination, hanem source.
Mindig a router szempontjából bnézzük. In ami az IoT-ből érkezik, és menne valahová tovább. Most ezzel a szabályrendszerrel Te azt mondtad, hogy ami az IoT-ből jön, és ezek a portok a célok, az mehet. Ezzel nem engedélyezted a forgalmat a sonosból a default network felé. -
Varszegig
veterán
válasz Bubukain #4797 üzenetére
Ja értem már. Tehát a controller a defaultban van, a sonos meg ezeket kell hogy elérje a controlleren.
Akkor ez így jó, IN-ben kell legyen, és dest a portgroup. Eddig ok. Majd ha egyszer működik, ezen szigorítanék, mert ez most azt jelenti, hogy minden kütyü az IoT-ben eléri a defaultban mindennek a 80-as portját, amit én nagyon nem akarnék. Tehát szűkíteném source ip-vel, meg dest ip-vel. De most ne, előbb találd meg, hogy miért nem megy.
Most kéne egy logolást csinálni ezekre a szabályokra, és megnézni, mit ír ki. -
shtirley
tag
válasz Bubukain #4856 üzenetére
Szerintem megoldás lehet, de vagy adsz neki saját SSID-t és át kell rá csatlakozni, v ha a meglévő SSID-n megy, a controller jajgatni fog rough ap miatt. Persze ettől még működik majd, csak nem elegáns.
Ez saját tapasztalat, persze lehet hogy az "advanced users" mindjárt leolt, hogy mit csináltam rosszul. -
bon
őstag
válasz Bubukain #4856 üzenetére
Ha már a gyenge jelet erődítené fel a repeater akkor nem lesz jobb a megoldás. Én inkább raknék egy AP-t a kertbe is lekábelezve.
A számítógépnek lelke van! - ASUS Prime Z690-P, Intel CoreI7 13700, 2x16GB DDR5 5200MHZ Kingston, Gigabyte GTX 1060 6GB, Sound Blaster Z, Cooler Master Cosmos C700P
-
D-LAN|FuRioN
aktív tag
válasz Bubukain #5089 üzenetére
Nekem udm-pro kontrollerben most is így van. Erre gondoltál? Bal oldalon ott van az "Add Wall(s)" ceruza ikonos cucc, azzal tudsz falakat hozzá adni a képes alaprajzhoz.
\'\'Sebességmámor, mindenki ezzel vádol, a kilóméteróra is csak lehunyt szemmel számol, a gumi lángol, az autó szinte táncol...\'\'