-
GAMEPOD.hu
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
rekop
Topikgazda
válasz Bubukain #4752 üzenetére
IOT-ból nem kell elérned a local-t, ez az egy dolog rendben van.
Akkor kezdésnek vedd le a tűzfalat amit írtam. Ehhez elég ha törlöd a hozzá tartozó interface-t és direction-t:
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > Inerfaces > Remove > Save ruleset
és
Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > Inerfaces > Remove > Save rulesetÉs akkor most kellene odáig eljutnod, hogy bármelyik hálózathoz csatlakozva megkapod a megfelelő IP-ket, van internet, és pingelhető oda-vissza minden. Ha ez megvan, akkor vissza lehet térni a IOT tűzfalhoz.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#70234880
törölt tag
válasz MasterMark #4733 üzenetére
Vagy
set service gui listen-address 127.0.0.1
És ha web gui van szükség akkorssh -L 443:127.0.0.1:443 192.168.X.1
Majd böngésző megnyit és 127.0.0.1 címet beír, és megjelenik a router web qui felülete.
Előnye hogy ad egy plusz titkosítást, plusz még véletlenül se jelenik meg a gui felület illetékteleneknek. Csak akkor ha előtte ssh bejelntkeztünk.[ Szerkesztve ]
-
Bubukain
senior tag
Következő lépés amivel nem jutok dűlőre.
IOT VLAN alatt van most egy Philips Hue eszköz amit HomeKit alól is szeretnék elérni a megadott eszközökkel a LOCAL LAN alól.
Annyit kiderítettem hogy a HomeKit a 80 és a 443 TCP portokat használja.
Csináltam egy port group-ot
Firewall/NAT > Firewall/NAT Groups > + Add Group
Name: Homekit Ports
Group Type: Port Group
Firewall/NAT > Firewall/NAT Groups > HomeKit Ports> Actions > Config
Port: 80
Port: 443
ezután csináltam egy csoportot azoknak akik elérhetik az eszközt
Firewall/NAT > Firewall/NAT Groups > + Add Group
Name: Homekit_address
Group Type: Address Group
Firewall/NAT > Firewall/NAT Groups > Address Group > Actions > Config
Address: 192.168.1.120
Address: 192.168.1.130
Address: 192.168.1.140
utána a meglévő IOT_LOCAL szabályhoz hozzáadtam a következőt
Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > + Add New Rule
Description: allow Homekit
Action: Accept
Protocol: TCP
Source > Address Group: Homekit_Address
Destination > Port Group: Homekit_PortsSajnos továbbra sem érem el a megadott eszközökkel a Homekit-en keresztül a Philips Hue eszközeit.
Mit csináltam rosszul? -
Bubukain
senior tag
válasz MasterMark #4757 üzenetére
átraktam IN-be de sajnos úgy sem működik
-
Bubukain
senior tag
nem tudtam mert erre hibát dob:
set service mdns repeater interface switch0 vif 50The specified configuration node is not valid
Set failed -
Bubukain
senior tag
válasz MasterMark #4761 üzenetére
-
MasterMark
titán
válasz Bubukain #4762 üzenetére
Ami hosztolja a homekit-et, azt add meg úgy, hogy engedjen át rá minden forgalmat, azt is amit az iot vlanból kezdenek.
Egyébként ilyesmihez jobban kéne tudni, hogy ezek pontosan hogy működnek, és mit használnak.
szerk.: Lehetséges az is, hogy nem routeolható kommunikciót használnak, akkor viszont nem fog menni vlan-ban.
szerk.2: Az mdns címét is engedd át a tűzfalon: 224.0.0.251
Esetleg ez segíthet: [link]
[ Szerkesztve ]
Switch Tax
-
Bubukain
senior tag
válasz MasterMark #4763 üzenetére
ezt a linket olvasgattam én is, és próbáltam beállítani a dolgokat mielőtt kérdeztem.
de köszönöm hogy segíteni próbálsz -
rekop
Topikgazda
Még próbáld meg ezt hozzáadni a tűzfalhoz. De megmondom ezzel kapcsolatban én is csak a sötétben tapogatózom. Nem ismerem a Philips Hue-t, nem használtam még. Homekit eszközöket használok ugyan, de nekem van AppleTV-m is, így bárhonnan elérhetőek egyébként is. De ha lesz időm megpróbálom anélkül, mert már én is kíváncsi vagyok miért nem működik.
set firewall name IOT_LOCAL rule 30 action accept
set firewall name IOT_LOCAL rule 30 description 'Accept mdns'
set firewall name IOT_LOCAL rule 30 destination port 5353
set firewall name IOT_LOCAL rule 30 protocol udp
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
MasterMark
titán
válasz MasterMark #4768 üzenetére
Jobban belegondolva porttal is mehetne, mert akkor is továbbengedné. Viszont így is IN kell sztem.
Switch Tax
-
rekop
Topikgazda
válasz MasterMark #4769 üzenetére
Meg is néztem gyorsan. Van egy Homekit-es termosztátom az IOT hálózatban. Az IP-je 192.168.30.107 Bekapcsoltam az IOT_LOCAL tűzfal log-olását:
Jun 19 17:45:20 ubnt kernel: [IoT_LOCAL-default-D]IN=eth1.30 OUT= MAC=01:00:5e:00:00:fb:70:ee:50:0d:f5:52:08:00:45:00:01:31 SRC=192.168.30.107 DST=224.0.0.251 LEN=305 TOS=0x00 PREC=0x00 TTL=255 ID=16884 PROTO=UDP SPT=5353 DPT=5353 LEN=285
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Bubukain
senior tag
beállítottam de továbbra sem megy sajnos, pedig valami adatmozgás van ott
közben és is olvasgattam, és arra jutottam hogy a HUE appban a HomeKit engedélyezéséhez át kell lépni az IOT networkbe, amit meg is tettem a telóval, így tudtam aktiválni.
azt írták utána vissza lehet lépni LOCAL-ba és akkor már mennie kell a vezérlésnek onnan is.
na ez az ami nem megy még mindig, az LG TV azért megy mert azt még nem raktam át az IOT networkbe -
rekop
Topikgazda
válasz Bubukain #4771 üzenetére
Kiiktattam az AppleTV-t, felvettem az IOT_LOCAL-ba az UDP 5353 engedélyezését. Nálam megtalálja a termosztátot a telefon az otthon alkalmazásból. (természetesen úgy, hogy nem egy hálózatban vannak).
Jun 19 19:04:52 ubnt kernel: [IoT_LOCAL-30-A]IN=eth1.30 OUT= MAC=01:00:5e:00:00:fb:70:ee:50:0d:f5:52:08:00:45:00:01:31 SRC=192.168.30.107 DST=224.0.0.251 LEN=305 TOS=0x00 PREC=0x00 TTL=255 ID=17280 PROTO=UDP SPT=5353 DPT=5353 LEN=285
Kapcsold be a log-olást az IOT_LOCAL default action-re:
Firewall Policies > IOT_LOCAL > Actions > Edit ruleset > Configuration > Default log > Save RulesetMajd nézd meg a log-ot, hátha kiderül hol akad el:
show log tail | grep <hue bridge IP címe>
[ Szerkesztve ]
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Bubukain
senior tag
-
betyarr
veterán
egy kis segítségért jöttem: vettem a fapad daikin klímámhoz egy wifi adaptert.vagy 2 órán át próbáltam csatlakozni a wifi hálómhoz,amit egy unifi ap lr szór,azonban nem akarta az igazságot az adapter.így kénytelen voltam a syno routerem wifijét is beüzemelni és wps-en kerszetül csatlakoztatni az adaptert (persze így sikerült).egyébként wps nélkül is lehetne csatlakozni a wifihez az adapterrel,de nem tudom miért nem ment.valamiért nem szereti a unifi ap-met ez a béna adapter?esetleg tudnátok javasolni valamit,hogy ne kelljen a router wifijét is használni?vagy miért nem megy vajon a csatlakozás?
nincs távol a két eszköz,kb. 5 méter és egy fal.2,4ghz természetesen. -
-
Chal
addikt
válasz betyarr #4774 üzenetére
Nem tudom mi a beállítás módja az eszköznél, de mostanában nagyon terjed a Espresiff (valójában a Texas Instruments találta ki, de mindegy) féle ESP-Touch inicializálás. Ez nagyjából azt csinálja, hogy a telefonos mobilapp udp csomagokkal bombázza a def gw-t., és a package length-be kódólja bele az SSID-t és a jelszót. A csatlakoztatni kívánt eszköz pedig sniffeli az ÖSSZES látható hálózat forgalmát, keresve benne a neki szóló spéci algoritmust. Mivel a packet length korrelál az ethernet frame méretével, így hálózaton kívüli eszköznek lehet leakelni adatot, na ezt használja ki a fenti beállítási mód, az SSID-t és a jelszót így juttatja el az eszköznek. (Összeségében elég durva, anno mikor az első ilyen cucc szembe jött, csak lestem, mert ötletem sem volt hogy csinálta. Nemm csinált magából AP-t, amivel rá kellett volna csatlakoznom a telefonommal, mint klasszikus esetben, nem volt BT kapcsolat, az Android/IOS meg ugye nem csatlakozik úgy rá valamire az user engedélye nélkül szóval a háttérben sem lehet ad-hoc wifis adatcser. Mégis valahogy sikerült neki, ekkor mélyedtem bele jobban a témába).
Simán el bírom képzelni, hogy valamilyen nem triviális Unifi feature képes ezt megnehezíteni, vagy akár blokkolni. Nálam egyébként utoljára működött, talán egy Google Home Mini-t kellett így beállítani. Viszont régebben sokat szívtam én is, akkoriban egy combosabb Zyxel AP-m volt, és pl. Sonoff eszközöket kellett volna így beléptetnem. Szintén "ezredik" próbálkozásra sikerült csak. Elég ötletes ez a megoldás, de nem igazán megbízható, főleg ha masszívan ki vannak tömve a 2.4-es csatornák a környéken.
[ Szerkesztve ]
-
rekop
Topikgazda
válasz Bubukain #4773 üzenetére
Még annyit lehetne, hogy eltávolítod a jelenlegi "Otthon"-t az alkalmazásból, és megpróbálod újra hozzáadni a bridge-t. Otthon>kiegészítő hozzáadása, és beszkenneled a kódot a bridge-ről. Én megcsináltam még egy Homekit-es Xiaomi Desk lámpával is, amivel az IOT-hoz csatlakoztam, és felismerte elsőre. Ha így sem megy akkor, több ötletem sajnos nincsen.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Chal
addikt
válasz betyarr #4779 üzenetére
Nekem is volt amikor azonnal ment. Gondolom erősen függ attól is, hogy a szomszédok éppen mennyire forgalmaznak, hiszen az új eszköznek a bekapcsolás és a párosítás pillanatában minden hálózatot figyelnie kell, azon a ponton még fogalma sincs róla, hogy melyik a tiéd, és hogy abból fog majd érkezni az ssid/pass.
-
Bubukain
senior tag
válasz MasterMark #4782 üzenetére
nem tudom, de nálam mind a kettőt be kellett kapcsolni
-
rekop
Topikgazda
válasz MasterMark #4782 üzenetére
Én úgy gondolom, hogy reflector esetén az mdns csomagok az összes interfész irányába továbbítva lesznek, repeater esetén pedig ezek konfigurálhatóak. Ezért javasolt inkább a repeater-t használni, csak a szükséges interfészekre.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Varszegig
veterán
válasz Bubukain #4773 üzenetére
Ez alapján a defaul szabályod dropolja az IoT-Local-ban a forgalmat a 192-168.50.1 felé (az 50.10-ből) UDP 5353-ról.
Feltételezve, hogy a default az utolsó szabályod, azt jelenti, hogy nincs olyan szabály, ami az up5353-at engedné a localban. Az UDP5353 az mDNS portja, azt mindenképp engedélyezni kell.
Az IOT-Localban alapvetően 3 portot kell engedélyezni:
1) 53 (DNS)
2) 67 (DHCP)
3) 5353 (mDNS)Minden más drop. Nálam így még semmi nem panaszkodoptt, ami az IoT-ben van.
Az IN szabályok már ennél sokkal összetettebbek, és helyi dolgoktól függenek. -
Bubukain
senior tag
válasz Varszegig #4791 üzenetére
jelen pillanatban így van ahogy írod
a philips hue, homekit, TV-k, porszívó, stb.... működik is, ellenben a Sonos-t még nem bírtam működésre bírni az IOT vlan-ban.
csináltam 2 port group-ot egyet a tcp-nek egyet az udp-nekezután megcsináltam a szabályt az IOT IN-be ahogy javasoltátok
Namost nekem az edxgerouter x Switch-ként működik, amire rá van dugva egy Unifi 8-60w switch. Ennek az egyik portjára van rádugva vezetékkel egy Sonos boost ami szórja a netet a Sonos eszközöknek. Namost ezt a portot átállítva hogy az 50-es VLAN-ra csatlakozzon, szépen látom is a Unifi controllerben, hogy a hangszórók átmásznak a local netről az IOT VLAN-ra, meg is kapják a belső IP-ket 192.168.50.xxx címen, ennek ellenére a telefonon futó (local lan-ban lévő) controller app azt írja hogy nem található Sonos eszköz.
Szóval most itt tartok
A neten több helyen azt olvasom, hogy jobb ha a Sonos a local network-ben marad, de az túl egyszerű lenne -
Varszegig
veterán
válasz Bubukain #4792 üzenetére
Várj, egy kicsit meg vagyok már zavarodva, ha ezekre a portora van szüksége a Sonosnak, akkor az vagy nem In, vagy ők nem destination, hanem source.
Mindig a router szempontjából bnézzük. In ami az IoT-ből érkezik, és menne valahová tovább. Most ezzel a szabályrendszerrel Te azt mondtad, hogy ami az IoT-ből jön, és ezek a portok a célok, az mehet. Ezzel nem engedélyezted a forgalmat a sonosból a default network felé. -
Bubukain
senior tag
válasz Varszegig #4794 üzenetére
te vagy megzavarodva? akkor mit mondjak én
A Sonos-hoz ezek a portok kelleek, tehát ezeket IoT irányból a controller(ek) felé át kéne engedni.
ebből indultam ki, de hogy hogyan tovább megmondom őszintén. fogalmam sincs.
próbálok minden morzsába belekapaszkodni abból amit írtok, és tanulni tanulni tanulni, még ha nehezen is megy, de legalább van benne kihívásszóval ezért gondoltam hogy destination, mert hogy IOT irányból kontroller felé (a kontroller van a default networkben
-
Varszegig
veterán
válasz Bubukain #4797 üzenetére
Ja értem már. Tehát a controller a defaultban van, a sonos meg ezeket kell hogy elérje a controlleren.
Akkor ez így jó, IN-ben kell legyen, és dest a portgroup. Eddig ok. Majd ha egyszer működik, ezen szigorítanék, mert ez most azt jelenti, hogy minden kütyü az IoT-ben eléri a defaultban mindennek a 80-as portját, amit én nagyon nem akarnék. Tehát szűkíteném source ip-vel, meg dest ip-vel. De most ne, előbb találd meg, hogy miért nem megy.
Most kéne egy logolást csinálni ezekre a szabályokra, és megnézni, mit ír ki. -
Bubukain
senior tag
válasz Varszegig #4798 üzenetére
a szigorítást én is terveztem hogy csak a megadott IP-n lévő kontrollerek érjék el.
ezeket egy csoportba raknám és úgy adnám meg a source fülnél.
az "allow Sonos UDP" és az "allow Sonos TCP"-re kapcsoljam be a logolást?
és utána az IOT network-ben lévő Sonos IP-t logoljam a default network-ből?