Έχουμε έναν ubiguity Uni fi και θέλουμε να δημιουργήσουμε ένα υποδικτυο. Τι θα βάλω στο gateway/subnet ώστε να μην έχουν πρόσβαση όσοι συνδέονται στο δίκτυο αυτό καθόλου στο ρουτερ;
Εμφάνιση 1-15 από 19
Θέμα: Subnet work ubiguity
-
22-08-20, 07:56 Subnet work ubiguity #1Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
22-08-20, 12:36 Re: Subnet work ubiguity #2
Υποθέτω κάποιο usg router?
Επί της αρχής, και χωρίς να ξέρω το usg:
1. Φτιάχνεις ένα ξεχωριστό subnet,
και το κάνεις bind σε ένα interface, είτε physical είτε vlan
2. Τυπικά τρέχεις/ρυθμίζεις dhcp ώστε να ακούει/απαντάει στο παραπάνω interface και να μοιράζει διευθύνσεις από ένα αντίστοιχο pool,
και αντιστοίχως ρυθμίζεις ότι άλλα services θα χρειαστούν (upnp/ntp/dns proxy/whatever)
3. Φτιάχνεις τους σχετικούς κανόνες στο firewall.
Νομίζω στα ubnt το default firewall policy είναι "forward/allow all",
οπότε όλα τα subnets που ξέρει το router αρχικά επικοινωνούν μεταξύ τους.
Στο lite που είχα και έπαιζα, και στα άλλα της σειράς edge έτσι γινόταν.
Τώρα, τι έχουν κάνει στο usg με όλους αυτούς τους wizards που έχουν φτιάξει δεν το ξέρω.
Λίγο που το είχα δει όταν ήταν σε beta ακόμα,
τα είχαν κάνει όλα αυτόματα για να παίζει εύκολα με τα AP της σειράς (και καθόλου δεν μου άρεσε).
Τα docs του τι λένε?Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
23-08-20, 11:29 Απάντηση: Subnet work ubiguity #3
Χωρις και εγω να ξερω τα ubiquity και αναμεσα στο 1 και 2 που γραφει ο kim0n πρεπει ακομη να κανεις bridge τη θυρα που θα το κανεις bind. δλδ μολις το δηλωσεις στη θυρα που θες και του δωσεις και μια ip στο subnet που θες, μετα το κανεις bridge και μετα φτιαχνεις το dhcp server πανω του.
Άλλα Ντάλλα....
-
23-08-20, 12:55 Απάντηση: Subnet work ubiguity #4
Το ρουτερ είναι απλό.
Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
23-08-20, 13:09 Re: Απάντηση: Subnet work ubiguity #5
-
25-08-20, 18:10 Απάντηση: Re: Απάντηση: Subnet work ubiguity #6
Το ένα είναι το speedport που δίνει ο ΟΤΕ. Αλλά αυτό μάλλον πάει εκτός επειδή ο κάτοχός της γραμμής πληρωνόταν από τα κοινόχρηστα αλλά έδινε μόνο ένα mbps στο μάτι. Το άλλο λογικά θα είναι το H300 της Vodafone.
Εγώ δικές μου δοκιμές κάνω με το speedport plus.
Οταν φτιάχνεις LAN δίνει διευθύνσεις από το 192.168.1.1/24. (Gateway/subnet) Αυτό όμως δίνει πρόσβαση σε όποιον μπει στο μάτι να μπορεί να δει το ρούτερ. Κοινώς να υποκλέψει τον κωδικό.
Πήγα να κάνω subnet αλλά απέτυχα γιατί όποιο δίκτυο και να έδωσα δεν μπορεσα να εχω ιντερνετ στο υπόδίκτυο. Τι πρέπει να βάλω στο gateway/subnet ώστε να μην έχουν πρόσβαση. Με απλά λογάκια παρακαλώ.. Γιατί το πρόβλημα μου μάλλον ξεκινάει από το ότι δεν κάνω σωστά το VLANShotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
25-08-20, 20:03 Re: Απάντηση: Re: Απάντηση: Subnet work ubiguity #7Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
25-08-20, 20:35 Απάντηση: Subnet work ubiguity #8
Θέλω να ρυθμίσω το access point ώστε όταν κάποιος συνδέεται σε αυτό να μην μπορεί να συνδεθεί στο 192.168.1.1 ή 192.168.2.1
Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
26-08-20, 12:15 Re: Απάντηση: Subnet work ubiguity #9
Μάλιστα.
Αν καταλαβαίνω (σωστά?):
Το unifi είναι το AP.
To 192.168.1.1 είναι το router/gateway (ενδεχομένως το cpe του isp, speedport η ότι...).
Έταιροι ασύρματοι clients συνδέονται μέσω του AP στο subnet του speedport (192.168.1.0/24).
Κάπως έτσι:
--->xdsl--->modem/router--->lan (192.168.1.0)-->unifi ap--->wireless clients(192.168.1.xxx).
Δεν θες οι παραπάνω wireless clients να βλέπουν την σελίδα του speedport στο 192.168.1.1
Αν ισχύουν τα παραπάνω, τότε:
Τα access points λειτουργούν ώς bridges (διαφανώς), ότι συνδεθεί πάνω τους θα "δεί" όλο το subnet,
θα πάρει στοιχεία σύνδεσης (ip/dns/gateway) από τον dhcp του speedport,
άρα θα "δεί" (και μπορεί να αποπειραθεί να συνδεθεί) στο 192.168.1.1.
Ακριβώς όπως θα γινόταν αν τους είχες συνδέσει με καλώδιο σε μια πόρτα του speedport.
Άλωστε, άν οι clients δεν μπορούσαν να μιλήσουν με το 192.168.1.1 δεν θα είχαν και πρόσβαση στο internet.
Με λίγα λόγια, το AP δεν έχει λόγο για το πού πάει η κίνηση παρακάτω,
ούτε μπορεί να την επιτρέψει/απαγορέψει κάπως.
Και μέχρι εδώ σωστά κάνει την δουλειά του το AP.
Το firewall του 192.168.1.1 είναι αυτό που πρέπει να κόψει την πρόσβαση στην σελίδα του
με μια σειρά από κανόνες/κριτήρια.
Τα firewalls των modem/router των isp δεν έχουν τέτοιες ρυθμίσεις,
θεωρούν ότι άπαξ και είσαι ήδη στο lan μπορείς να δεις τα πάντα.
Θα χρειαστείς ένα "κανονικό" router ώστε να μπορείς να κάνεις drop/allow
το traffic στο input chain με κριτήρια ip/inteface/net/whatever.
Και ιδανικά να χωρίσεις το παραπάνω δίκτυο σε κομμάτια.
Με το speedport και τα παρόμοια, "υποδίκτυο", ή 2ό δίκτυο,
ή επιπλέον vlans, ή κανόνες στο firewall, δεν μπορείς να κάνεις.
Αυτά, *αν* έχω καταλάβει τι προσπαθείς να κάνεις...
ΥΓ
Τα vlans που λες παραπάνω που κολλάνε?
ΥΓ2
Το "μάτι" τι είναι?
ΥΓ3
Ποιόν κωδικό θα υποκλέψει?
ΥΓ4
Τα unifi υποστηρίζουν guest και πολλαπλά δίκτυα (με vlans) και πολλαπλά ssid,
με την προϋπόθεση:
α) είναι όλο στημένο με unifi (router+switch+ap = γίνεται ψιλό-αυτόματα), ή
β) δεν είναι όλο unifi *αλλά* έχεις "κανονικό" router και το router/switch είναι vlan-aware
και ξέρεις και να τα ρυθμίσεις.
Με το speedport etc όχι.
ΥΓ5
Αν καταλαβαίνω σωστά μάλλον προσπαθείτε να μοιράσετε το internet?
Αν ναι, νομίζω ότι πρέπει να μιλήσεις με έναν επαγγελματία.
- - - Updated - - -
UPDT:
Εναλλακτικά των παραπάνω (και ολίγον ανορθόδοξα),
θα μπορούσες να χρησιμοποιήσεις:
α) ένα bridged firewall ανάμεσα σε gateway/cpe <-> lan
(που πάλι θες επιπλέον μηχάνημα).
β) ένα AP που να έχει πάνω firewall είτε σε bridged είτε σε routing mode
(όπου δεν σου κάνει το unifi ap πλέον, αλλά θα μπορούσες να το κάνεις με tik/wrt).
Το ορθόδοξο/προτεινόμενο είναι να βάλεις ένα παραμετροποιήσιμο router
στην θέση του cpe και να χωρίσεις τα δίκτυα.Τελευταία επεξεργασία από το μέλος K1m0n : 26-08-20 στις 04:24. Αιτία: fixed typos
Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
26-08-20, 15:17 Απάντηση: Subnet work ubiguity #10
Μια χαρά τα κατάλαβες. Αν κάποιος μπει στο δίκτυο και το παρακολουθεί τότε μπορεί να μπει στο ρουτερ interface και να κάνει ότι θέλει. Πχ reset συνεχώς. Υπάρχει τρόπος το 192.168.1.1 να μπει σε https?
Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
26-08-20, 15:55 Re: Απάντηση: Subnet work ubiguity #11
Για να "παρακολουθεί" κάποιος το session από το pc σου (πχ) στο router
και να υποκλέψει το pass που θα είναι σε clear text (λόγω μη hhtps),
ή θα πρέπει να βάλει κάπου όπου περνάει αυτή η κίνηση ένα sniffer και να κάνει redirect την κίνηση κάπου προς περεταίρω ανάλυση,
ή κάπως η κίνηση αυτή να περνάει ή από το pc του ή από ένα router/firewall/switch υπό δικό του έλεγχο.
Όταν έχεις επικοινωνία:
x_wireless_client ---> unifi ap ---> lan ---> geteway/cpe
ο x_wireless_client δεν μπορεί κάπως να "δεί" την δική σου κίνηση:
pc(πχ) --->lan (ή wi-fi) ---> gateway/cpe ώστε να υποκλέψει το pass.
Αν θεωρείς ότι είναι ρεαλιστικά πιθανόν να εγκαταστήσει κάποιος sniffer στο lan,
οκ γίνεται.
Αλλιώς όχι.
Αλλά εάν θεωρείς πιθανόν κάποιος να εγκαταστήσει έναν sniffer, τότε:
α) μάλλον δεν είναι το forum κατάλληλο μέρος για να ζητάς τέτοιες συμβουλές, και
β) έχεις πολλά περισσότερα πράγματα να κάνεις για να ασφαλίσεις το δίκτυο πριν σε προβληματίσει το https του router.
Αν το router μπορεί να μπει σε https:
Αναλόγως το router...
έχει σχετική επιλογή?
τα docs του τι γράφουν?Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
26-08-20, 18:30 Απάντηση: Re: Απάντηση: Subnet work ubiguity #12Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
26-08-20, 18:43 Re: Subnet work ubiguity #13
^το βρίσκω ενδιαφέρον.
Ποιο το πρόγραμμα?
Να του ρίξω μια ματιά για να ενημερωθώ και εγώ.
updt:
σε ένα subnet, έχουμε 3 hosts = 1,2,3.
O 1 με τον 2 μιλάνε μεταξύ των.
Ο μόνος τρόπος ο host 3 να ακούσει την κίνηση,
είναι, είτε να παρεμβάλλεται ο ίδιος, ή να του στείλει την κίνηση ένας sniffer που παρεμβάλλεται ανάμεσα σε 1 & 2.
Εναλλακτικά, αν δεν έχουμε sniffer την ίδια δουλειά κάνει ένα hub.
Hub σήμερα θα βρεις ή σε μουσείο ή στους σωρούς με τα σκουπίδια της ανακύκλωσης.
Αν τότε που δοκίμασες το προγραμματάκι στα 7,
το δίκτυο σου συνέδεε τα pc και μοίραζε την κίνηση με hub αντί για switch (κακώς),
τότε όντως γίνεται.
Σήμερα, με τα switches που λογικά θα έχει το lan δεν γίνεται.
Αν έχει μείνει κανα hub πουθενά ξηλώστε το.
Μόνο για χρήση sniffer κάνει.Τελευταία επεξεργασία από το μέλος K1m0n : 26-08-20 στις 19:11.
Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
26-08-20, 19:28 Απάντηση: Re: Subnet work ubiguity #14Shotokan Karate Greece, μη κερδοσκοπική οργάνωση για τη διδασκαλία του Καράτε ως πολεμική τέχνη
Moksu στο γρασίδι
παίρνω προαγωγή, παίρνω δώρα, παίρνω τηλέφωνο αλλά περνώ το δρόμο, περνώ τα μαθήματα, περνάμε τις εξετάσεις
Προσοχή προσοχή έρχεται καταστολή
Anonymous vs Υπουργείο Δικαιοσύνης
-
26-08-20, 19:39 Re: Subnet work ubiguity #15
ναι, μια χαρά, μπορώ να μάθω *ποιά* η εφαρμογή?
Όνομα, homepage, url, κάτι τέλος πάντων.
Για να δω πώς μπορεί η x εφαρμογή να κάνει θαυματουργικώς sniff σε traffic που δεν περνάει από τον
host που τρέχει η ίδια.
Αν όντως το κάνει με ενδιαφέρει να δω πώς.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
Bookmarks