-
Fototrend
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
rjy08
tag
válasz D-LAN|FuRioN #7745 üzenetére
Nekem akkor csinálta ezt, mikor be volt kapcsolva a DPI és IPS. Mikor kikapcsoltam és rebootoltam, akkor megjavult. Valamelyik korábbi controller verziónál volt ez. Azóta frissítettem és visszakapcsoltam. Nem jelentkezett a probléma.
-
user12
őstag
Unifi router/gw-ek esetén ugye két opció van IPS és IDS - ha jól tájékozódtam egyik a Prevention (megelőzés), másik a Detection (felismerés).
A hétköznapokban van különbség a két mód között? Pl throughput, biztonság terén, stbRendszergazda vagyok....ha röhögni lát, mentsen
-
Egon
nagyúr
Hogy a fenébe ne lenne.
Az IDS funkcionalitás csak logokat termel, riasztásokat gyárt. Az IPS ellenben képes megakasztani a(z elvileg) nem kívánt netes forgalmat is.
Az előző munkahelyemen vettek valami méregdrága Checkpoint IPS-t. Érteni nem értett hozzá senki. Amikor bekapcsolták, az IPS finomhangolás nélkül lelőtte a céges netforgalom harmadát... Erre gyorsan kikapcsolták, maradt IDS módban (persze a logok elemzésére nem volt sem szakértelem, sem kapacitás). Mire a felsővezetés szintjén is ismertté vált a probléma, a termék EOL státuszba került."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
user12
őstag
-
ricsip
addikt
De mikor a melós munkájához ténylegesen szükséges eszközt kellene jóváhagyni (ami ráadásul jóval kisebb árcedula), arra egyből megy a fogszívás meg a pofa vágás.
Sok hazai multinál egész éves nonstop feladat kiadva mindenkinek a kőccségcsökkentés: mindenféle filléres szarságok időtrabló felkutatásával és megszüntetésével. Az persze nembaj, hogy az emiatt kiesett (más lényeges feladattól elvont) munkaidő az emberek darabszámával és a fizetésükkel összeszorozva sokkal többre jön ki végül, mint a megspórolt kőccség.
Nálatok is egyedül a checkpoint-os sales-es/ lobbista járt jól.[ Szerkesztve ]
-
-
Egon
nagyúr
Így van, az IDS csak jelezni képes, ha problémát észlel.
ricsip: nem multi volt, egy nagy állami cég, és vélhetőleg többen is jól jártak ezzel a biznisszel (meg a hozzá kapcsolódó egyéb üzletekkel).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
vicze
félisten
IDS/IPS-nek nincs ilyen formában köze a tűzfalhoz.
IDS/IPS az átfolyó forgalmat vizsgálja, tehát ha a tűzfal már alapból kiszűr valamit az max. az IDS-be kerül, mint log. IDS/IPS lényege a hálózaton belüli nem kívánatos forgalom észlelése és jelzése, szűrése.
Nagyon leegyszerűsítve nem a bejutást, hanem a kijutást hivatott megakadályozni.Ha pl. nincs a tűzfaladon átengedett port, akkor mi akarsz szűrni? Ha van akkor minél előbb szüntesd meg.
Most megmondom, hogy az IP-det és az interneten kb. minden IP-t folyamatosan scannelik pingelik és csesztetik 1000 módon, hogy kiessen valami sérülékeny. Ezt maximum elég nagy zajként fogod majd észlelni az IDS logokban. Nagyon nehéz ezeket úgy belőni hogy az egyszeri user számára értelmezhető legyen.Ubiquti Suricata-t használja custom szabályokkal és gyak. 3éve próbálják használhatóra formálni, csak nem minding sikerül.(Abszulút nem egyszerű és sok év tudása kell hozzá.) És mivel beta és az is marad isten tudja meddig, így könnyű takarózni bármilyen hiba miatt.
Jelenleg ezeket a szabályokat használja amúgy. -
Zsolt_16
tag
Sziasztok,
Jelenlegi rendszerem felépítése internet -> mikrotik -> tplink switch (24 portos) -> unifi ap
Kérdésem hogyan tudnék radius hitelesítést (wifi) létrehozni a legjobb felhasználó barátabb módon? Esetleg plusz komponenssel?
[ Szerkesztve ]
-
Coyot
őstag
Sziasztok!
Beállítottam az új routert digi netre, minden szuper is belőttem a régi port forwardokat, de sajnos a pptp vpn, helyi szerverrel nem működik.
Az 1723 as portot kéne csak nyitnom neki be is van állítva de nem tudnak kintről csatlakozni. Már hozzáadtam a szabályt a tűzfalon is, de az sem oldotta meg a gondot.
Mit nézek be?
Így néz ki simán a port--forward listám: kép
De a többi port forwardom sem működik. Valamit nagyon benézek, remélem tudtok segíteniTudom, hogy pptp nem jó, ezért is lett ez a router. De időbe tellik mindenkinek átállni egyelőre muszáj lesz ezt használni.
[ Szerkesztve ]
Má' nem
-
rekop
Topikgazda
Úgy tudom a Digi pppoe-t használ, a port-forward beállításoknál a 'WAN interface"-t tedd át eth0-ról pppoe0-ra. A "WAN interface"-nek mindig azt az interfészt kell megadni, amelyik a publikus IP-t kapja.
Ha a Port-forward menüben az Advanced options-nál az Enable auto firewall -t bepipáltad, akkor nem kell külön tűzfal szabály.(ez csak tipp, de ennyi infóból nem lehet pontosan megmondani.
Első körben egyshow interfaces
majdconfigure
show port-forward
kimenet jó lenne)[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Coyot
őstag
Igen jogos, ezt néztem be, már van olyan port forward ami megy is
Ellenben a pptp még mindig nem megy, verify-sign-in-info aztán connecting-be ragadunk vele.
De mindjárt beállítom ezt pptp szervernek, gondolom az sem nagy feladat.
Ahogy látom a GRE protokollal van gondja. ha hozzáadom tűzfal rule-ba megoldja elvileg?[ Szerkesztve ]
Má' nem
-
rekop
Topikgazda
Ennyi a PPTP beállítás : EdgeRouter - PPTP VPN Server
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Coyot
őstag
ethernet eth0 {
description "Internet (PPPoE)"
duplex auto
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ************
user-id *************
}
speed auto
}
ethernet eth1 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
ethernet eth3 {
speed auto
}show port-forward
auto-firewall enable
hairpin-nat enable
lan-interface eth1
rule 1 {
description vpn-pptp
forward-to {
address 192.168.1.11
port 1723
}
original-port 1723
protocol tcp_udp
}
-- uazok ismétlődnek
rule 5 {
description app11-8088
forward-to {
address 192.168.1.11
port 8088
}
original-port 8088
protocol tcp
}
wan-interface pppoe0[ Szerkesztve ]
Má' nem
-
vicze
félisten
válasz Multibit #7769 üzenetére
Nem a "nem működésről" volt szó, hanem a felhasználó barátságról.
Azért se iOS-re se Androidra nem olyan pofon egyszerű egy nem hitelesített cert telepítése, minden más meg usernév jelszó, bár uesrnév így is kell (bár ez már beállítás függő, de minek RADIUS, ha nem akarsz külön usereket...). -
rekop
Topikgazda
Köszi, ez csak azért kértem, hogy lássam melyik a wan interfészed, és van-e auto firewall.
De amig szerkesztettem, már válaszoltál, hogy jó lett.A WAN_IN-be hozz létre egy új szabályt, amiben engedélyezed a GRE protokollt, a destinaton address a szerver IP-je legyen, és a Drop invalid szabály elé tedd.
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
-
rekop
Topikgazda
Igen, így. Lehet mégiscsak a WAN_LOCAL-ba kellene a gre engedélyezése, és nem kell destination address-t megadni...
Szerintem, ha a 1723 port forwardolva és gre engedve van, mennie kellene. De őszintén szólva soha nem használtam pptp-t, úgyhogy teljesen biztos azért nem vagyok benne.[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
rekop
Topikgazda
-
Coyot
őstag
Felbaszott annyira, hogy belőttem újra a router pptp szerverét, most szuper lett. Egyetlen furcsaság, hogy a usereket config tree-ben hiába bántom csak CLI-ből tudom őket módosítani, de ez nem gond - csak nagyon furcsán néztem jelszó módosítás utána, hogy nem sikerült..
Má' nem
-
donat_sz
senior tag
ma több FW is frissült (AP6-Lite, US-16-150W -itt elég sokáig volt provisioning, de úgy tnik megy végül minden tovább rendesen-, US-8-60W)
-
D-LAN|FuRioN
aktív tag
Ha esetleg használ valaki geoip filter-t udm vagy udm pro-n, Bulgáriát ne tegye bele... Kicsit mintha nem updatelnék a poolokat... Egy ideje nem megy az otp netbank asszonynál, gondoltam mostmár debuggolom a dolgot. Nézem TCP Retransmission van belépéskor a 84.1.236.10-re. Mobilon válaszol az ip a requestre. Néztem a poolt elvileg 2020.07 hóban módosult:
inetnum: 84.1.236.0 - 84.1.236.255
netname: OTP
descr: Internet service SG070135
descr: OTP Bank
descr: Budapest, Hungary
country: HU
admin-c: MTRA-RIPE
tech-c: MTNA-RIPE
status: ASSIGNED PA
mnt-by: MTELEKOM-MNT
created: 2006-09-28T22:14:26Z
last-modified: 2020-07-24T14:59:12ZOffoltam a geoip-t és tádám minden jó. Utána leszűrőztem Bulgária fogja meg, valószínű a pool előzőleg Bulgáriának volt delegálva. Cirka 1 éve. Ráférne az update a GeoIP részlegre úgy érzem...
Nálam is megszűnt kikapcs reboot után úgy 5 percre. :/ legújabb fw van fent. Nem igazán értem a miértet.
[ Szerkesztve ]
\'\'Sebességmámor, mindenki ezzel vádol, a kilóméteróra is csak lehunyt szemmel számol, a gumi lángol, az autó szinte táncol...\'\'
-
Coyot
őstag
válasz MasterMark #7782 üzenetére
Írtam feljebb sajnos egyéb okokból kell használnom - rakat kliensem van aki nem tud l2tp-t pl (régi win8ak), vagy csak nem akar - ott még registry-t kellett túrni hogy menjen ha jól rémlik.
Amúgy paralell menni fog a két féle vpn? Tehát elkezdem setupolni az l2tp-t míg a többiek dolgoznak pptp-n keresztül zavartalan.
Má' nem
-
Coyot
őstag
válasz MasterMark #7789 üzenetére
Próbáltam régebben és valamit kókányolni kellett registry-ben. Azt nem várhatom el egyik usertől sem, ellenben kettőt tudnak kattintani a régi kapcsolaton és csatlakozni - értelemszerűen ez a gyorsabb átállás számpontjából.
De ha megy paralell a kettő akkor innen már sok dolog nincs szép lassan átvezetm őket
Má' nem
-
MasterMark
titán
Ugyanúgy kell kliens oldalról beállítani a kettőt, csak itt van egy plusz jelszó is. Legrosszabb esetben adsz nekik egy telepítőscriptet ami mindent beállít, ha registry turkálás kéne. De én soha nem állítottam ott semmit.
Ami esetleg kellhet a szerver oldalon:
set vpn l2tp remote-access authentication require mschap-v2
Switch Tax
-
-
#68270080
törölt tag
Egyre inkább távolodom az UniFi-től. Már azt sem hiszem el, amit kérdeznek. Folyékonyan hazudják a fícsöröket, amit 2-3 év után sem tud az eszköz, ebből a megvilágításból én már csak szinten tartom az UniFi dolgaimat, és elindulok más irányba. Még gondolkozom a lehetőségeken, de az új cuccaim már nem Unifiből lesznek.
És hogy kapcsolódjon a bejegyzéshez, ne legyen full-off: papíron nagyon szép, de ebből sem lesz semmi, mint ahogy az UA-Pro képességei és a fícsörök is csak egy marketing mese, és maga az UDM-PRO is egy halom mindent nem tud, mint amit a kiadása idején beígértek, és aztán szépen lassan minden mézesmadzagot leradíroztak a honlapjukról.... csak az internet nem felejt, látom te is a webarchive-ról linkeltél. -
Egon
nagyúr
válasz #68270080 #7793 üzenetére
Nyilván kinek mire kell, én is futottam köröket, de (egyelőre?) nem találtam olyan ökoszisztémát (adott árszinten), ami hasonlóan felhasználóbarát módon menedzselhető, és tartalmaz minden (nekem szükséges) komponenst.
Ha találsz hasonló alternatívát, ne tartsd magadban."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Coyot
őstag
válasz MasterMark #7791 üzenetére
Igen igen ez megvan, itthoni rendszerem már így működk a kezdetek óta.
Viszont a parancs nincs beállítva itthon sem. Ami amúgy fura, hogy néha az itthoni rendszeremre haza szoktam "jönni" de viszonylag sűrűn szakad meg a kapcsolat. Van erre valami timeout vagy ilyesmi? Mert amugy gyors meg minden de néha eldobálja a kapcsolatot és csatlakozhatom újra. pptp-n ilyen mondjuk nincs
Egon:
Tudom, de nem tudok vele mit csinálni addig míg egyenként nem tudok a kliensekkel foglalkozni behatóbban. Ez is nagy lépés volt hogy a délutánt ellőttem az új hálózat megépítésére[ Szerkesztve ]
Má' nem
-
rekop
Topikgazda
Nem tudom, hogy ez egy bug vagy feature, de 6.2.26-os kontrollerből módosíthatóak a már EOL státuszban lévő AP-k beállításai. Csak érdekességként mondom, hátha jól jön valakinek.
Én egy gen1-es UAP-al próbáltam, tudtam csatornát, tx powert, stb állítani:
#7794 Egon
Én is jó párszor átgondoltam, hogy miből raknám most össze az otthoni hálózatot, ha az elejéről kezdhetném. Egy viszonylag nagy családi házról van szó, a bejövő net 1/1Gbps, három AP, négy kamera, és egy 24-es switch ami szükséges. A kábelezés minimum Cat6A lenne. Gateway/firewall-ból nekem ami számításba jöhetne az UniFi mellett az a pfSense.
Ez esetben én a gyári hw mellett maradnék, nem építenék, bár a beszerzése körülményes lenne itthon az biztos. (amit beírtam, csak egy kb összeg az US ár alapján)
Switch és AP vonalon már említettem itt az Aruba-t, abból is az Instant On termékvonalat. Ezek enterprise kategóriás hardverek, ugyan szoftveresen kevesebbet tudnak mint a nagy testvérei, de cserébe jóval kedvezőbb az árcédula is. Viszont gateway nincsen ebből a termékvonalból.
Kamerákhoz igazából nincsen sok közöm, elég sok összehasonító videót, tesztet megnéztem, engem a Hikvision győzött meg a legjobban, ha nem az UniFi-t, akkor én ezt választanám.
Ha belső hálón 10Gbps sebességet szeretnék, Aruba esetén ott lenne a 4db SFP+ port. Viszont a négy RJ45 SFP+ réz modul még plusz ~90-100k-ba, vagy a négy SFP+ modul 30-40k-ba kerül, és ez esetben még hozzájön az optikai kábel kiépítése a végpontokhoz.
UniFi oldalról most jelent meg az USW-Flex-XG, aminek van 4db 10GbE RJ45 csatija, ezáltal négy eszköz között lehetséges lenne 10Gbps (illetve 1/2.5/5/10Gbps) kapcsolat a meglévő kábelezést felhasználva. Ez 115k költséget jelentene még pluszban.
Nagyjából az alábbi árakkal lehetne számolni a két rendszer esetén (mindenhol kerekítettem), a végösszeg hasonló lett. Hogy melyik lenne, nem tudnám egyszerűen eldönteni. Mindegyik mellett lehetne érveket, ellenérveket felhozni, de én talán kicsit az UniFi fele hajlanék.Netgate 3100 145 000 Ft
Instant On 1930 24 port POE 130 000 Ft
Instant On AP22 3db 150 000 Ft
Hikvision 4MP bullet 4db 200 000 Ft
Hikvision NVR 50 000 Ft
------------------------------------------
Össz: 675 000 FtUDM-PRO 145 000 Ft
USW-24-POE 145 000 Ft
UnFI 6 Lite 3db 114 000 Ft
G4 Bullet 4db 290 000 Ft
------------------------------------------
Össz: 694 000 FtEladó dolgaim: https://tinyurl.com/5n7jmuvj
-
vicze
félisten
Azért a Netgate eszközök elég erőteljesen túlárazottak(nem hiszem hogy otthonra a supportot használnád), illetve az utóbbi 2év pfSense használata és nem kicsi problémái inkább az OpenSense felé terelnek épp.
Az általad leirt 2 Instant on mellett döntöttem végül és lassan cég vált Unifi-ról, úgyis lassan elérik az 5évet. Gateway pedig még pf marad egy G10 Plus micro-n, ami olcsóbb és sokkal erősebb mint a 3100. Bár igy már a full HP stacken és ClearOS-en is filóztam.
-
rekop
Topikgazda
Az Ubiquiti youtube csatornáján elérhető az UDM-Pro SE bemutatóvideója.
@ vicze1
Az OPNSense-t ki fogom próbálni egy teszt környezetben, mert kíváncsi vagyok rá. Van is itthon hozzá mindenem elfekvőben(régi gép, switch, AP), hogy összedobjak belőlük egy hálózatot. Viszont még mindig úgy vagyok vele, hogy PC-t nem akarok beállítani routernek, ezek az alacsony fogyasztású, intel NIC-el szerelt "mini-PC"-k szintén elég drágák(pl. egy Protectli i3-7100u ~500EUR a német amazonon). A HP G10+ micro nem tűnik rossznak, egyszerűen bővíthető akár 10Gbps-re, de az alap pentiumos változat is 180k. Otthonra azért nem tennék be egy ilyen gépet routernek, nem tudnám kihasználni.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
Új hozzászólás Aktív témák
- Milyen billentyűzetet vegyek?
- Kerékpárosok, bringások ide!
- Képeken az egyik kameráját elvesztő Sony Xperia 10 VI
- nVidia tulajok OFF topikja
- Vezetékes FÜLhallgatók
- Léghűtés topik
- Érkezik Magyarországa az LG szuper dizájnos hordozható projektora
- World of Tanks - MMO
- Otthoni hálózat és internet megosztás
- Ukrajnai háború
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest