Επιλογές hardware για Firewall/UTM

[BlueChris]

Θα ήταν χρήσιμο ένα νέο τοπικ ειδικά για το θέμα “Ίντερνετ και parental controls”

Ναι συμφωνω

[riddle3]

Μήπως το ψάχνεις υπερβολικά για αυτή την περίπτωση για L7 filtering και τα λοιπά;
Αν βάλεις openwrt σε router των 50€/RaspberryPi/whatever για να έχεις τα time controls αν το router δεν έχει τέτοιες επιλογές και χρησιμοποιήσεις τους dns της cloudflare για οικογένειες ή adguard dns με τα αντίστοιχα options που θα σου δουλεύει και σε mobile για να κόψεις το πολύ porn και malware. Ίσως σε ένα δικό του αποκλειστικό vlan.
Στο openwrt επίσης εγώ έχω βάλει κάποια rules που κάνουν hijack κάθε dns request και το στέλνει πίσω στο openwrt router κυρίως για συσκευές που έχουν hardcoded dns πχ. chromecast, αλλά χρήσιμο αν κάποιος θέλει να είναι πονηρός και πάει να αλλάξει dns servers ή να βάλει άλλο router.
Εκτός αν θες να έχεις logging σε τι σελίδες πηγαίνει ή γενικώς τι κάνει, που εκεί μπορείς να πας σε άλλες λύσεις για πλήρη έλεγχο της συσκευής.
Βέβαια αν αρχίσεις το logging κεντρικά στο router, τώρα θα πρέπει να περιορίσεις να μαζεύει μόνο 1-2 συσκευές, γιατί μετά έχεις το πρόβλημα ότι έχεις data για όλων την κίνηση που μπορεί να δημιουργήσει άλλα προβλήματα.

[megahead13]

Εδώ και 2+ χρόνια έχω αυτό:

https://www.aliexpress.com/item/1005...280f15ebEG4IRP

Τρέχω pfSense και πάει αέρα Το είχα πάρει ~£165 μαζί με μεταφορικά και τελωνείο.

Πρώτη φορά στα τόσα χρόνια που το έχω που το Κινεζάκι μου κρασάρισε To crash dump το μόνο ουσιαστικό που γράφει είναι αυτό:

Κώδικας:

NMI indicates hardware failure

Μήπως ανέβασε θερμοκρασία για κάποιο λόγο;; Δεν έχω ανοιχτό και το server που τρέχω ένα VM με LibreNMS για monitoring να έβλεπα τι μπορεί να παίχτηκε.

Σε κάθε περίπτωση λέω να του κοτσάρω ένα 12mm usb ανεμιστηράκι.

[BlueChris]

Παίδες έχω ερώτηση και δεν έχουμε καθαρό νήμα για Unifi... οπότε ρωτάω εδώ

Σπίτι έχω untangle οκ αλλά θέλω να περάσω vlan στο wifi οπότε πήρα δοκιμαστικά από την δουλειά ένα Unifi u6 Pro και ένα USW-Lite-16-PoE.
Έστησα τον network controller σε ένα ubuntu επάνω και όλα καλά... τα είδα, τα έκανα update και παίζουν.

Το πρόβλημα τώρα... ΔΕΝ μπορώ να περάσω το DHCP relay προς τον Microsoft DHCP και DNS Server μου. Όταν πάω στα services , στο tab dhcp, τρώω καντήλι πως για να παίξει το DHCP Relay χρειάζεται υποχρεωτικά USG ...Στα φόρουμ της ubiquity που αντιμετώπισαν άλλοι το ίδιο θέμα, το έλυσαν δηλώνοντας τη ρύθμιση για το relay στο κεντρικό τους ρουτερ αλλά εγώ έχω κάτι tp-link 8άρια σπίτι που ναι μεν κάνουν vlan αλλά ΔΕΝ έχουν ρυθμίσεις DHCP....

Έχει κανείς καμία άλλη φαεινή ιδέα? έχω ένα USG-3P που κάθεται και μπορώ να το βάλω αλλά και δεν παίζει σε bridge mode και δεν νομίζω θα αντέξει το traffic που τραβάω κάποιες φορές με 2 x 5G συνδέσεις συν την VDSL μου....

- - - Updated - - -

Edit: ... είμαι γκασμάς... είχα ξεχάσει πως στο untangle έχω section με Custom dnsmasq options όπου στης δουλειάς το Untangle έχω βάλει εκεί δηλώσεις για αυτόν ακριβώς το λόγο...

dhcp-relay=Lan,LanAddressOfDHCPServer

Θα το δοκιμάσω σήμερα...

- - - Updated - - -

Τζιφός το unify μου μέσα... Ενώ τα switch τα απλά ότι vlan τους πεις σε μια πόρτα και κουμπώσεις εκεί pc, το pc φτάνει στο untangle που λέει στη συσκευή πως ο relay dhcp είναι ο τάδε οπότε η συσκευή παίρνει ip κανονικά από το vlan που πρέπει, το U6 Pro δεν...

Είναι και περίεργο αυτό που κάνω ρε γμτ και ελάχιστοι βλέπω στο ίντερνετ με σενάριο σαν το δικό μου.

[billy]

Θέλεις να έχεις υποχρεωτικά WiFi controller ?

[BlueChris]

Θέλεις να έχεις υποχρεωτικά WiFi controller ?

Όχι, ένα ρημαδι AP θέλω να σηκώσω 3 wifi το καθένα με το δικό του vlan.

Θα το παλέψω πιο μετά πάλι γιατί τώρα με πήζει ο μικρός

[fadasma]

Στο switch στην πόρτα που θα συνδέσεις το dhcp server κάνε eggress rule: untagged και βάλε τα vlan σε PVID.

[riddle3]

Όχι, ένα ρημαδι AP θέλω να σηκώσω 3 wifi το καθένα με το δικό του vlan.

Θα το παλέψω πιο μετά πάλι γιατί τώρα με πήζει ο μικρός

Δεν έχω unify, αλλά σε omada που είναι φωτοτυπία του unify, δεν μπαίνω καν στον κόπο να σεταρω DHCP (όπως δεν ασχολούμαι με το routing τους).

Για κάθε vlan φτιάχνω ένα νέο interface eth1.xxx καθώς και ένα νέο DHCP server στο Dnsmasq του openwrt και παίζω με firewall zone rules για ποιο vlan μπορεί να μιλήσει με τι.

Όλα κατεβαίνουν downstream στο omada switch και μετά στα APs.

Αν και δεν το έχω δοκιμάσει, υποθέτω ότι μπορείς να σεταρεις το κάθε Dnsmasq να είναι relay και σίγουρα μπορείς να του πεις να σπρώχνει άλλα dns (option 6,ip αν θυμάμαι καλά).

[BlueChris]

Thx παιδιά θα δοκιμάσω τις λύσεις σας αν και έτσι το έχω το untangle.

- - - Updated - - -

Ok Success ... αυτό που θα πω τώρα το λέω με πόνο καρδιάς και δεν θέλω ΠΟΛΛΑ ΓΕΛΙΑ!!!!

Ο Θεός ΔΕΝ ΕΙΧΑ ΚΑΝΕΙ ΚΑΝ το interface στο Untangle με το vlan... οπότε ποιο DHCP relay και φασόλια του έβαζα εγώ στα advanced options... .. μόλις το έκανα έπαιξαν όλα....

Εδώ που είμαι θα έρθετε και εσείς που χασκογελάτε τώρα

[ChriZ]

Μα την Παναγία ξεκινησα πριν κανα 3ωρο να γράφω απάντηση αλλά ήμουν για κούρεμα και στα μισά με φώναξε η κομμώτρια και δεν το έγραψα ποτέ...
Δεν θα ρωταγα αν έχεις φτιάξει τα vlan στο untangle (γιατι δεν μου πηγε το μυαλό ότι δεν το είχες κάνει ) αλλα από αυτό που σκοπευα να γράψω θα βοηθιοσουνα, έστω και καταλαθος
Δε σε ήθελε σημερα ρε φιλε ...

[BlueChris]

Μα την Παναγία ξεκινησα πριν κανα 3ωρο να γράφω απάντηση αλλά ήμουν για κούρεμα και στα μισά με φώναξε η κομμώτρια και δεν το έγραψα ποτέ...
Δεν θα ρωταγα αν έχεις φτιάξει τα vlan στο untangle (γιατι δεν μου πηγε το μυαλό ότι δεν το είχες κάνει ) αλλα από αυτό που σκοπευα να γράψω θα βοηθιοσουνα, έστω και καταλαθος
Δε σε ήθελε σημερα ρε φιλε ...

Τώρα έσβησα το παλιό AP και παίζουν όλα όπως ήταν, όλα οκ.... θα ποσταρω άλλο πράγμα τώρα στο IoT νήμα...

[ChriZ]

(To γράφω εδώ, γιατί δεν βρίσκω καλύτερο θέμα για να το αναφέρω..)
Χαζεύοντας χτες στο ίντερνετ, έπεσα σε μια πολύ καλή -και φτηνή - λύση για internet backup. Αυτό ισχύει για αυτούς που έχουν εξοπλισμό που υποστηρίζει dual (ή παραπάνω) wan και δεν έχουν ήδη μια άλλη λύση βέβαια για backup. (π.χ. εγώ έχω 2 adsl συν 4G που δίνει το booster, οπότε δεν μου είναι αναγκαίο κάτι τέτοιο)
Να σημειώσω οτι η συγκεκριμένη λύση είναι κατάλληλη για όσους δεν επιθυμούν έξτρα χρεώσεις (2η ADSL/VDSL ή ξεχωριστό συμβόλαιο/κάρτα).
Η λύση λοιπόν είναι με χρήση του tethering του κινητού.. (θα μου πείτε τώρα "όπα ρε μεγάλε κάτι μας είπες, το ξέρουν και οι πέτρες αυτό")
Στην περίπτωση tethering λοιπόν, αν σου πέσει το ίντερνετ κάνεις tethering και λες στους υπόλοιπους να συνδεθούν στο wifi του κινητού για να βγουν στο ίντερνετ μέχρι να επανέλθει το σταθερό ίντερνετ.
Βέβαια, αν θες να συνδέσεις και άλλες συσκευές πάνω (π.χ. playstation, smartTV κλπ) εκεί έχεις θέμα, γιατί πρέπει να πας να τα αλλάξεις όλα αυτά και να τα ξανα-αλλάξεις πάλι όταν επανέλθει η σταθερή σύνδεση
Σε αυτό που λέω, το μόνο που χρειάζεται είναι να ανοίξεις το tethering του κινητού όταν πέσει το σταθερό ίντερνετ και δεν ασχολείσαι με τίποτα άλλο.
Και προφανώς αυτό είναι λύση μόνο όταν είσαι στο σπίτι.
Στο ζουμί τώρα...
mikrotik map ή map-lite
Τα γυρνας σε λοιτουργία station αντί για AP, ορίζεις το wifi σαν WAN, συνδέεις τη LAN με μια secondary wan στο ρούτερ/firewall, την ορίζεις σαν failover wan και αυτό ήταν.
Όταν υπάρξει ανάγκη, απλά ανοίγεις το tethering, συνδέεται στο κινητό το map, ενεργοποιείται η wan στο firewall και δεν αλλάζεις τίποτε άλλο, ούτε λες στην οικογένεια να συνδεθεί σε άλλο SSID. Και ούτε έχεις θέμα να κάθεσαι να αλλάζεις ρυθμίσεις σε τηλεοράσεις και λοιπά.
Όπως προανέφερα, εμένα δεν μου είναι απαραίτητη σαν λύση αλλά μάλλον θα χτυπήσω ένα για να παίξω λίγο..

[riddle3]

Σε openwrt router το αντίστοιχο γίνεται με το πακέτο mwan3 και τα αντίστοιχα πακέτα για usb αν το router έχει usb υποδοχή.
Επειδή κυρίως τρέχω το router σε VM και το usb passthrough είναι επίφοβο, για αυτή την χρήση έχω πάρει ένα usb to ethernet adapter και με ενα usb OTG καλώδιο τo συνδέω στο κινητό, και από εκεί πάει σε πόρτα στο switch σε ξεχωριστό vlan.
Δηλαδή η wan port του openwrt έχει πάνω της τα vlan 100 και vlan 200, όπου 100 το vdsl modem και 200 το usb ethernet και αντίστοιχα στο switch τα αντιστοιχα vlan στις αντίστοιχες πόρτες.

[minas]

Σε παραπλήσια λογική, στα Mikrotik με USB παίζει αξιόπιστα το USB tethering, αν και προσωπικά έχω ένα στικάκι 4G πάνω στη USB.

[ChriZ]

Σε openwrt router το αντίστοιχο γίνεται με το πακέτο mwan3 και τα αντίστοιχα πακέτα για usb αν το router έχει usb υποδοχή.
Επειδή κυρίως τρέχω το router σε VM και το usb passthrough είναι επίφοβο, για αυτή την χρήση έχω πάρει ένα usb to ethernet adapter και με ενα usb OTG καλώδιο τo συνδέω στο κινητό, και από εκεί πάει σε πόρτα στο switch σε ξεχωριστό vlan.
Δηλαδή η wan port του openwrt έχει πάνω της τα vlan 100 και vlan 200, όπου 100 το vdsl modem και 200 το usb ethernet και αντίστοιχα στο switch τα αντιστοιχα vlan στις αντίστοιχες πόρτες.

Σε παραπλήσια λογική, στα Mikrotik με USB παίζει αξιόπιστα το USB tethering, αν και προσωπικά έχω ένα στικάκι 4G πάνω στη USB.

(Για κάποιο λόγο δεν είδα ειδοποίηση για απάντηση, ή μάλλον μου ξεφυγε την πρώτη φορά.. Τέλος πάντων..)
Ναι, το είπα και πιο πάνω ότι τρόποι υπάρχουν ήδη. Κι εγώ προσωπικά για χρόνια είχα στο sophos ένα 3G στικάκι με μια data card που την ανανέωνα κάθε διμηνο και έπαιζε σαν failover. Απλά τα τελευταία χρόνια έχω 2 γραμμές, εκ των οποίων η μία είναι το speedbooster, οπότε αν πέσει η μια adsl έχω την άλλη και αν πέσεουν και οι δύο έχω το 4G από το speedbooster, οπότε και το έκοψα το στικάκι..

Σε αυτό που αναφέρω, όμως, δεν χρειάζεται να κουμπώσεις πουθενά το κινητό, ούτε και χρειάζεται ξεχωριστό στικάκι μιας και αυτό στις περισσότερες περιπτώσεις χρειάζεται ξεχωριστή συνδρομή ή/και συχνή ανανέωση.
Αν πέσει το ίντερνετ από την κύρια γραμμή, από τον καναπέ που κάθεσαι απλά ανοίγεις το wifi tethering στο κινητό, το mtik που είναι ρυθμισμένο να συνδέεται στο κινητό θα βρει το AP του κινητού και θα συνδεθεί, θα ενεργοποιηθεί η WAN που είναι συνδεμένη με το mtik και δουλεύει το failover. Και εφόσον είναι και δηλωμένη σαν primary η σταθερή, όταν επανέλθει θα αλλάξει αυτόματα και θα τους ρουτάρει μετά όλους πάλι από τη σταθερή.