-
IT café
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
Scoobyte
csendes tag
Hali!
Adott egy gigabites Voda koax internet gyári routerrel és mivel nem lehet bridge módba tenni ezért minden port át van irányítva a saját routerem (unifi USG 3) IP-jére ami mögötte van. A hálózaton van egy syno NAS amin AdBlock server fut dockerban, ez van beállítva elsődleges DNS-ként a saját routeremben.
Megy minden rendesen, kivéve hogy a NAS-om DDNS címén nem érek el semmit helyi hálózatról (wifi vagy wired mindegy)! Mobilnetről megy rendesen azaz elérem a DDNS címet de belülről nem. Arra már sikerült rájönnöm hogy valószínűleg NAT loopback-et (hairpin) kellene engedélyezni a saját routeremen de sehogy nem bírom megtalálni hol kellene...
Köszi!
[ Szerkesztve ]
-
Scoobyte
csendes tag
válasz MasterMark #5103 üzenetére
Az a "gond" hogy nem csak egy eszközt szeretnék elérni egy DDNS címmel hanem különböző portokon különböző IP-jű eszközöket... Egyébként nem tragédia ha nem megy mert IP-vel eléreklk mindent de elegánsabb lenne ha menne rendesen.
Hát ha a szolgáltatói routeren kellene csinálni akkor szívás... egy nyamvadt bridge módot se tud, konfigot sem lehet menteni és még sorolhatnám napestig.
[ Szerkesztve ]
-
Drag77
senior tag
válasz MasterMark #5105 üzenetére
Vagy ha lehet dmz be tedd a szolgáltatói eszközben a ipt
http://draginet.hu , MCSA, MCSE, UEWA, Microsoft 365 Certified: Modern Desktop Administrator Associa Microsoft Certified: Windows Server Hybrid Administrator Associatete,
-
Scoobyte
csendes tag
válasz MasterMark #5105 üzenetére
Segíts hogy induljak el? Csak nagy vonalakban, a részleteknek utána olvasok majd!
-
MasterMark
titán
Az sajna nem segítene a NAT hairpin helyett.
Scoobyte: Nginx reverse proxy dockerben a nasra, két portforward a 80/443-ra, és URL vagy subdomain, szerint döntöd el, hogy belül melyik IP-re és portra irányítod tovább.
Pl. nálam a plex.mydomain.com azt belül az IP:PORT-ra irányítja ahol a plex van. Ugye ha nincs saját domaned hanem csak ddns, akkor úgy tudod hogy pl: mydomain.ddns.net/plex és akkor azt irányítja tovább. Stb. Ezzel minden kinti kapcsolódás egy helyre jön be, és te ott irányítod tovább ahova akarod.
És akkor kintrő is meg bentről is a reverse proxy-ra mész. Akkor már fel tudod venni DNS szerint a belső IP-re.
[ Szerkesztve ]
Switch Tax
-
D-LAN|FuRioN
aktív tag
válasz Scoobyte #5107 üzenetére
Mennyire fontos, hogy az a sok dolog publikból elérhető legyen? Tucatnyi statikus pfw-ot nem szoktam már javasolni, akkor már inkább egy vpn. Akkor pedig csak pár port kell. Kérdés, hogy mit szeretnél megvalósítani a hálózaton. Ha weblapokat publikálni, akkor ahogy MasterMark mondta nginx reverse proxy, ha csak alkalmazásoknak publik portot adni a működéshez akkor upnp (biztonságosabb mint static pfw), ha webui, ftp elérés, afp, esetleges rmd vagy bármi ilyesmi akkor meg inkább vpn. Reverse proxy esetén javaslom, hogy 80-as portról kapásból csinálj átirányítást a 443-ra. Persze itt is kérdés, hogy mi a mögöttes tartalom, de olyan cuccot nem engednék a netről befelé ami csak http-t eszik meg.
\'\'Sebességmámor, mindenki ezzel vádol, a kilóméteróra is csak lehunyt szemmel számol, a gumi lángol, az autó szinte táncol...\'\'
-
Scoobyte
csendes tag
válasz D-LAN|FuRioN #5109 üzenetére
Akkor röviden: A belső hálózaton jelenleg van NAS, riasztó, kamerarendszer amiket el szeretnék érni DDNS címen amit jelenleg a syno NAS biztosít free of charge (xxxxxx.synology.me). A Voda gigabites routren mivel semmit nem lehet csinálni ezért átirányítottam 1-65535 portot a USG routeremre. Így most kívülről lehet csatlakozni a DDNS címmel mindenhez, megy is az összes szolgáltatás de belső hálóról nem működik a DDNS címen elérés csak az IP-s. Illetve a NAS-on fut az AdGuard Home reklámszűrő DNS szerver, ez van beállítva elsődleges DNS-nek az USG routeremben.
Ezért amikor otthoni hálózatra vagyok csatlakozva (wifi vagy vezetékes) nem tudom megnézni a szolgáltatásokat csak ha mindenhol felveszek egy párhuzamos hozzáférést local IP-vel, de az meg kintről nem megy ugye szóval mindig lesnem kell hol vagyok és a szerint csatlakozni.
VPN be van konfigurálva és megy is azzal a belső IP címes elérés de nem akarok állandóan csatlakozni hozzá ha rá akarok nézni valamire és lecsatlakozni utána. Szeretném ha rendesen menne a névfeloldás bentről is.
[ Szerkesztve ]
-
adika4444
addikt
válasz Scoobyte #5110 üzenetére
Próbáld ki azt, hogy az átirányított portokra az USG címén csatlakozol. Pl. ha az USG 192.168.2.1-en érhető el, és valamely szolgáltatásod a 8000-es porton van, akkor az előbbi cím:port kombót próbáld. Ha így megy, akkor vegyél fel egy DNS-bejegyzést, ami az USG átjárójára mutat a belső hálózaton. Ez sem tökéletes megoldás, meg nem is elegáns, de szerintem ez lenne a legjobb tüneti kezelés.
szerk: Ha az USG belső IP-jével nem megy, akkor a fenti módszer szerint a Vodafone eszköztől kapott USG IP-t is próbáld meg.[ Szerkesztve ]
üdv, adika4444
-
Scoobyte
csendes tag
válasz adika4444 #5111 üzenetére
Nem megy egyikkel sem.
Ami viszont működik az az AdGuard DNS szerverben "DNS rewrite". A gond csak az hogy portokat nem enged beírni csak IP-t azaz a syno DDNS-emet EGY IP-re tudom csak átdobatni vele, egy szolgáltatás tud csak menni így rendesen a három szükségesből...
-
Scoobyte
csendes tag
válasz Scoobyte #5110 üzenetére
Közben nyomozgattam és a névfeloldás úgy néz ki megy mert ha megpingelem belülről a DDNS címet az válaszol, de ha böngészőbe DDNS:portszámmal írom be akkor semmi, akkor sem ha a külső ip-t írom be porttal szóval nem a névfeloldással lehet gond ha jól látom hanem a porttovábbítással.
-
adika4444
addikt
válasz Scoobyte #5113 üzenetére
A névfeloldás annyi, hogy visszaadja az IP-t amire a DDNS van irányítva. Ezt az IP-t éred el kívülről, amikor a router befelé irányítja. A baj az, hogy belülről ugyan eléred az IP-t, de a Vodafone útválasztó nem routolja tovább, szóval bármilyen kérést maga a Vodadoboz kap, ami meg nem tud rá válaszolni, és nem is dobja tovább ahová szól a forward.
Szerintem ilyen esetben marad a fenntebb írt Nginx proxy-zás...
üdv, adika4444
-
noorbertt
őstag
Sziasztok,
Eljött az idő és vissza mentem a múltba... Dobtam a digi netet és Telenor korlátlan nettel folytatom az utam..
Felépítés:
Mikrotik LHG adja a netet de vlan segítségével az USG3 irányít mindent (port továbbítás stb) + van unifi AP és elosztó is.Amit szeretnék és kérdeznék:
Van az USG-n a WAN beállításánál egy olyan hogy "Smart Queues" es oda meg kell adni a jelenlegi sebességet amit mérek, ez konkrétan mit csinál? Neten 1-2eves anyagok szerint inkább VoIP miatt van szerepe,de semmi konkrét.Jó lenne elosztani a netet és prioritást is csinálni.
Pl a letöltések (amiknek tudok adni külön Ip címet )azok legyen háttérben ha bármilyen másik eszköznek szüksége van a netre.
Vannak kamerák is és némi okositani a házra amit elakarok érni bármikor és azt sem szeretném ha a net miatt később jönne az értesítés mert most épp nézi valaki a neten az RTL-t..Van a nas-on wireguard ami nagyon ritkán elérhetetlen amikor olyanja van, ezért melyik vpn megoldás lenne a legjobb és biztonságosabb az USG-n? (Kamera és lan elérés a cél)
Nézegettem és van olyan hogy radius szerver , ez konkrétan mire is jó illetve hogyan kell normálisan használni?Remélem nem túl sokk,
Köszönöm :) -
adika4444
addikt
válasz Scoobyte #5116 üzenetére
Igen, ha ez HTTP/HTTPS forgalom, akkor az nginx-xel tudod irányítani, azaz te mindig az Nginx-et hívod meg, max. más portokon / aldoméneken / URL-eken, aztán, ha az megvan, majd ő proxy-zik a céleszközre. Ez azért jó, mert tudsz elé kötni basic HTTP auth-ot, vagy kismillió más biztonsági dolgot. Alternatívaként még a Traefik-re is ránézhetsz, én mostanság szemezgetek vele.
üdv, adika4444
-
#68270080
törölt tag
Érdemes ezt a két videót megnézni a UniFi Dream Machine Pro kütyüről (szumma 30 perc):
Ja és 1 kérdés: ezzel a Gerimaster-féle hozzászólással egyetértetek?
[ Szerkesztve ]
-
Cirbolya_sen
aktív tag
-
#70234880
törölt tag
válasz #68270080 #5120 üzenetére
Szerintem elmondtak mindent, vannak még benne kezelhető hibák, de az irány jó.
(#5118) noorbertt
Én személy szerint nem tartom jó ötletnek, megoldásnak hogy routeren van a VPN. Akkor már egy erre a célra dedikált külön eszköz, akár PI, vagy valami olcsó halk PC. Ha mindenképpen routeren akarod megvalósítani, akkor erre a célra, vennék valami olcsó MikroTik routert, és azt állítanám be, mint VPN. Unifi esetében nincs szükség plusz VPN kapcsolatra ahhoz hogy rá tudj nézni mi folyik a hálózaton.
A Radius szerver unifi esetében én Wifi használatra használtam, ismerkedés céljából. Annyit csinált, hogy egy Wifi SSID, volt létrehozva, és a Radius user határozta meg, ki melyik VLAN-ba csatlakozik. lásd pl IOT eszközök esetében. De pl olyan hálózati eszközök esetében is lehet használni, ahol van erre lehetőség. Pl radius user accont-al lehet belépni, nem lokális felhasználóval. Szóval minden olyan eszközre, ami támogatja.[ Szerkesztve ]
-
-
D-LAN|FuRioN
aktív tag
válasz #68270080 #5120 üzenetére
Tapasztalatok videónál egy elég hosszú kommentben kifejtettem a hiányosságokat és a parákat. Bár lekopogom egyre jobb és stabilabb, még vannak azért hiányosságok, szóval van hova fejleszteni, de alakul. Nekem fél éve működik, az elmúlt pár hónapban nem kellett igazán hozzányúlnom, teszi a dolgát és pont. Gerimaster féle hozzászólásban van igazság, hasonlóan láttam én is, kicsit elkapkodva hozták ki és elég bugos volt.
\'\'Sebességmámor, mindenki ezzel vádol, a kilóméteróra is csak lehunyt szemmel számol, a gumi lángol, az autó szinte táncol...\'\'
-
Egon
nagyúr
válasz D-LAN|FuRioN #5124 üzenetére
Akkor lehet ezért volt akciós a minap...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
rekop
Topikgazda
UniFi Network Controller 5.14.23 - Stable
(Vigyázat, inkább csak béta tesztelőknek javasolt, instabil funkciókat nyomokban tartalmazhat! )(#5125) Egon:
Igen, ez volt az oka. Senki nem vette a használhatatlan alpha állapotú hardvert, hasonlóan gyenge szoftverrel. Még szerencse hogy nem rendeltél belőle.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
-
őstag
Sziasztok,
Egy kérdés.
Ha az Unifi EU Store-ból vásárolok valamit akkor arra hogy működik a garancia probléma esetén?
Erősen agyalok egy Dream Machine Pro-n, sajnos már van CK gen2 plus-m is, de gondolom eladható dolgok ezek.
Elég meleg van a Rack szobámba, szimpatikusabb egy a Machine Pro talán hűtéssel jobb mint a sima USG.
Kicsit attól azért tartok ha gond van vele egyben elmegy minden .joceehunt felhasználónak 60 pozitív és 0 negativ értékelése van a fórumon! http://phmegbizhatosag.atw.hu/phtabla.php?nev=joceehunt
-
rekop
Topikgazda
válasz JoceeHunt #5129 üzenetére
Itt találod az Általános Szerződési Feltételeket. A kézbesítéstől számítva két év jótállás az Európai Unióban. Ha meghibásodik a termék ezen az oldalon kell leadni a garanciális igényt. Illetve annyit írnak még, hogy az Ubiquiti megtéríti a hibás termék visszaküldésével kapcsolatban felmerült "ésszerű" költségeket. Hogy ez a gyakorlatban hogyan működik, azt nem tudom. Elvileg cseh országból jön a csomag, ha oda is megy vissza, akkor egy UDM Pro méretű csomag küldése ahogy nézem ~7k-tól indul felfele, futárszolgálattól függően.
(#5128) Egon
Én is! (legalábbis próbáltam, reflektálva a korábbi árukeresős véleményre)Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#68270080
törölt tag
UniFi Network Controller 5.14.23 - Stable
Ráhegesztettem az RPi-re, noproblémó - eddig legalábbis....
Nagyon új dolgokat nem találok rajta... de ... de.... de... jön a 6-os verzió, már RC állapotú[ Szerkesztve ]
-
#70234880
törölt tag
válasz noorbertt #5133 üzenetére
A lényeg pont az lenne hogy a VPN egy külön eszközön menjen. Ha az kompromittálódik akkor borul az egész hálózat. Ha VPN-el valami gond van, és külön eszközön fut a VPN akkor simán lehúzod a hálózatról, amíg megoldod a problémát. Az hogy All IN ONE akarod megoldani, az nem jó irány. (Szerintem) Főleg ha a controller-t is azon akarod futtatni. Gondolod végig mit nyersz, és ha gond van mit veszítesz, mennyi időt, energiát pocsékolsz el a helyre állításokkal. Nem kell feltétlen rosszra gondolni, elég csak az egyik program hibásan működik, pl egy update után stb... Ezeket is vedd számításba.
A Pi-hole is leválasztanám, hiszen az egy belső tartalom szűrést csinál, ami DNS alapon szűri a nem kívánatos web oldalakt. Pi-Hole-nak elég egy PI2 is, Nekem azon futott, és nem volt vele gond. Egy PI2 a használt piacon meg szinte aprópénz. -
noorbertt
őstag
válasz Cirbolya_sen #5134 üzenetére
CPU: Broadcom BCM2837B0, Cortex-A53 64-bit SoC @ 1.4GHz
Memória: 1GB LPDDR2 SDRAMCsak vpn (inkább wireguard), pihole és a controller lenne rajta.
-
rekop
Topikgazda
válasz noorbertt #5137 üzenetére
Wireguard egyébként felrakható USG-re is.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#68270080
törölt tag
válasz noorbertt #5133 üzenetére
RPi3B+-on megy az Unifi Controiller, és a Pi-hole.
Az UnifiPi-t felejtsd el, zsákutca, próbáltam. Igaz, hogy pár klikk és rajta van a Raspberryn, de ritkán frissítik, és nekem valamiért nem akart rendesen szűrni.Én ez alapján telepítettem a Rpi-re az oprendszert, majd Putty-val bejelentkezve a rendszerbe
sudo su
curl -sSL https://install.pi-hole.net | bash
Kövesd a fehér nyulat... izé... kövesd a telepítési lépéseket.
A felületét így éred el: http://<A.PIHOLE.IP.CÍME>/admin/Ennyike.
De van egy szkript, ami mindent egyben letelepít: UniFi Controllert és Pi-Hole-t is.
Ez az:wget "https://github.com/SmokingCrop/UniFi/raw/master/update-unifi-pihole-English.sh" -O update.sh && chmod +x update.sh && ./update.sh
[ Szerkesztve ]
-
noorbertt
őstag
Köszönöm mindenkinek az infót hétvégén atnézem az opciókat:)
Usg-re annyira nem akarom a vpn-t mivel mobilnetem van ezért lehet bekapcsolom a védelmi opciókat is így még jobban terhelve lenne a router. -
addikt
Sziasztok!
Telekom iptv-t kellene engedélyeznem a belső hálózaton. Ubiquiti eszközök vannak csak a rendszerben. Igmp snooping engedélyezve a kontrollerben, de nem működik sajna. Mi az amit elrontottam
A kicsire nem adunk... a nagyot meg leszarjuk!
-
rekop
Topikgazda
Ez így elég kevés információ. Hogyan áll össze a hálózat, milyen Ubiquiti eszközök pontosan, szolgáltatói eszköz pppoe passthrough módban van-e (ha optikád van)...
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Ozeki Kft.
Város: Debrecen