-
GAMEPOD.hu
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
MasterMark
titán
válasz Varszegig #2038 üzenetére
Működik igen, nekem is EdgeRouter van, az IoT hálózat külön VLAN-os.
Így kell nagyjából. Ha van switch is, akkor Tagged-re kell állítani az AP és a router linkjét. Nálam HP switchen keresztül megy.
[ Szerkesztve ]
Switch Tax
-
Rolly
veterán
válasz Varszegig #2143 üzenetére
Köszi a válaszokat neked is és Cirbolya_sen fórum társnak is ... most hétvégén család látogatás van de hétfőn kipróbálom a javaslatokat... Most a smart otthoni eszközökre használt Home AP 5 GHz-s wifijét tiltottam.. mert az okos dugók, klímák és további eszközök úgyis csak 2,4 GHz-t ismerik... Ha majd így se tudok az inverterrel csatlakozni akkor kipróbálom a titkosítás módosítását ... persze csak úgy hogy mac szűrőt alkalmazok és a tűzfalon is beállítom miket érhet el mivel kommunikálhat...
Különben is majd 3 vlanra + 1 guest wifire is szét kellene osztanom a hálózatot:
- Céges biztonsági mentés
- Magán cuccaink (nas + eszközeink)
- Smart cuccok (itt a smart cuccok a többi vlannal nem kommunikálhatnak, s kifelé mind csak oda ahova valóban kell neki... (pl bosch termosztát bosch cloudban)
- viszont a domoticzet futtató gépet nekem el kellene tudnom érnem telefonról a magán cuccos vlanból)
- vendég wifi pedig csak internetet kap azt is korlátozva...Ez megoldható szerintetek amit leírtam?
-
Egon
nagyúr
válasz Varszegig #2164 üzenetére
Ezek az információk tévútra vihetnek.
Egyrészt milyen gépen, milyen gépparkkal törhető fel pl. 1000 év alatt egy jelszó? Nyilván adott gépre vonatkoztatva lehet ilyen tippeket adni - egy milliószor erősebb géppel (felhő,botnet stb.), nyilván emberi idő alatt is "törhető" egy adott jelszó.
Másrészt, milyen törésről beszélünk? Hash függvény legenerálása, függ az adott hash függvény számításigényétől is. Hat évvel ezelőtt, egy pár millából összerakott, sok vga-s kódtörő géppel, kevesebb mint 7 óra alatt fel lehetett törni bármely bonyolultságú, NTLMv1 hashelésű, 8 karakteres Windows jelszót a hash birtokában - egyszerűen az NTLM hash gyengesége miatt (ebből 350 milliárdot tud legenerálni másodpercenként a fenti masina (a még régebbi LM hash esetén mindössze 7 perc alatt végez...); bcrypt esetén csak 70 ezret...). [link]De szerintem elég az offolásból...
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
#19482368
törölt tag
válasz Varszegig #2166 üzenetére
Mint fentebb is próbáltam utalni rá, semmit nem jelent napjainkban a jelszó. Sokkal inkább ahol lehet, használjunk 2FA azonosítást, ahol lehet ott meg valami hardveres kulcsot. pl Yubikey, és társai.
A másik titok, amit pl nagyvállalatoknál már több mint 10-éve alkalmaznak, hogy 30.naponta jelszó csere.
De ki a fene tudja ezt nyomon követni, erre a célra jó megoldás pl a LastPass, és társai.
Azért írtam a lastPasst, mert minden rendszerre van. Ha a Mesterjelszót plusz védünk pl a yubikey-el akkor nagy gond nem lehet. Ha NFC-et veszünk, akkor arra lakalmas telefonhoz is tudjuk használni. Persze, ez nem azt jelenti hogy minden királyság. Mert az ördög nem alszik.
Másfelől, ssh-ra is lehet használni yubikey hardveres kulcsot.
Szóval, a magam nevében jobban hiszek a rendszeres jelszó cserékben, és hardveres kulcsokban. -
VeryByte
őstag
válasz Varszegig #3263 üzenetére
Kösz! Hasonlóban gondolkodtam, csak DigitalOcean és OpenVPN Access Server alapon. Maga az AS már megvan, az volt a legegyszerűbb része, a kliens eszközök tudnak openvpn kliensként működni. Most még magamnál tesztelek, de nem akar összejönni a kapcsolat, de szerintem csak a Sophos VPN kliensem (ami ugye egy fork-olt OpenVPN kliens) nem akar még rendesen kapcsolódni. Mindegy, megoldom, aztán meglátjuk.
Az ügyfél kérése az OpenVPN alap, mondjuk kicsit jobban is csípem min az ipsec-et."What is the most important thing in a woman?" - "The soul."
-
VeryByte
őstag
válasz Varszegig #3265 üzenetére
Ez pontosan így van, ahogy írod. És akkor át is térünk IPSec-re, mert hittem az ügyfélnek, hogy a router-e tud OpenVPN kliensként működni - és persze, hogy nem tud. De IPSec gateway-to-gateway-t tud, szóval, azt kell összeraknom, strongswan-nal. Jó móka lesz.
Van valami jó tutorial-od? Megköszönném.[ Szerkesztve ]
"What is the most important thing in a woman?" - "The soul."
-
VeryByte
őstag
válasz Varszegig #3374 üzenetére
Miért is?
Van egy trunk portod a switchen (monjuik 1+1 VLAN-nal) és mondjuk egy 8 portos switchen van 4 illetve 3 port a VLAN-okhoz. Akkor az azonos VLAN-hoz tartozó switch portok közötti forgalom miért menne el a router-ig?"What is the most important thing in a woman?" - "The soul."
-
#70234880
törölt tag
válasz Varszegig #3383 üzenetére
Pontosan.
Akkor is lehet tiltani eléréseket ha egy vlan, subnetben van, csak picit több szabály kell felvenni, alapban tiltod a két eszköz közti kommunikációt, majd megadod külön hogy milyen szolgálást érjen el. Hátránya nagyon időigényes. Es sok szablyát kell felvenni. Mondhatni értelmetlen. Ezért egyszerűb a vlan, mert abban az esetben egy subnetbe rakod a kiszolgáló eszközöket, míg a másik vlan-ba a kliens eszközöket. Megadva hogy csak a szükséges szolgáltatásokat érje el. Az átjárás tiltását meg RFC groupba teszed.[ Szerkesztve ]
-
VeryByte
őstag
válasz Varszegig #3383 üzenetére
Akkor egyről beszéltünk. :-)
@szir3na
Ha egy LAN subnetben vannak, akkor routeren nem tudod tiltani, mert nem megy el odáig. Elvileg ER-X-en se kéne működnie, hiszen ott van külön switch chip. Ha külön VLAN-ban, akkor igen, mert akkor játszik a router-on-a-stick móka. (Ha okos a switch-ed (mondjuk L3), akkor még azzal is lehet játszani.)De szerintem ne ragozzuk tovább ezt a témát. :-)
"What is the most important thing in a woman?" - "The soul."
-
#70234880
törölt tag
válasz Varszegig #3415 üzenetére
Látom sikerült megfogni a lényeget, nem az kérdés hogy nyitott, vagy jelszavas a wifi. Lehet akár radius azonosítás is. Sokkal inkább azon lenne a hangsúly, hogy ha UNIFi termék család mellet teszi le a voksot, akkor lényegesen egyszerűbb, és egy felület alatt tudja üzemeltetni, karbantartani stb... az egész hálózatot. Ráadásul bár ugyan az a kernel van mind kettő alatt, mégis több eltérés van a két termék család között. Mint kezelő felület, mint felügyelet. Mind kettőben lehet VLAN-létrehozni, mind kettőben lehet tűzfalazni. Ha wifi, akkor inkább Unifi család, pont a centralizál felügyelet alatt. Az automatizált frissítés beállítások miatt, és a több security lehetőségek miatt. A fenti szállodai példa tökéletesen tükrözi a kokány, gányolást. Pedig mennyire nagyra vannak emberek hogy Mikrotik. És konkrétan egy közönséges telefon app-al fel lehetett térképezni 10mp alatt a hálózatot. Úgy hogy a UPC modem konfigurációt is el lehetett érni. És a hálózatra csatlakozott szállodai vendégek eszközeit. Sejtheted, hogy azonnal le csatlakoztam róla, és inkább mobil internetet használtam. Ugyanakkor a vendégek folyamatosan panaszkodnak a rossz wifi miatt. Ami nagyon nem pozitív visszajelzés.
Pedig ott is lehet VLAN-ni, és le lehet tiltani a Modem eléréseket. A wifi ma már alap hogy hozzá tartozik a vendéglátó egységekhez. De biztonságos üzemeltetés, felügyelet a vendéglátó egység feladata. Na már most mivel napjainkban fontos hogy napra készen tartsuk a hálózatot, nagy segítség hogy email küld a rendszer, hogy 1-2 kattintással napra készen lehet tartani. Számtalan előnye van a Unifi-nek az Edge termékcsaláddal szemben. Persze nem azt jelenti hogy nem lehet Edge üzemeltetni, csak más.[ Szerkesztve ]
-
#70234880
törölt tag
válasz Varszegig #3424 üzenetére
Hogy biztonságosabb? Ki tudja. De egy biztos, lényegesen több beállítás áll alapban rendelkezésre. az Edge megoldással szemben Ilyenek pl
2fa belépési lehetőség.
Távolról is könnyedén felügyelhető, akár mobil telefonon keresztül
GeopIP szűrés
IPS/IDS szűrés TOR, Malware, Adware stb...
DPI szürés ( Ebben szerintem picit jobb az Edge) Viszont UNIFI vonalon még megvan a privat protokol szűrése. Ami pl nincs meg Edge vonalon jelen pillanatban.
Email riasztás, kiikszeléses módszer, rengeteg opció kategóriákra bontva.
automatizálható frissítés lehetősége.[ Szerkesztve ]
-
#70234880
törölt tag
válasz Varszegig #3740 üzenetére
Attól még ő tud csatlakozni az adott cég VPN szolgáltatáshoz, csak abban az esetben okozhat ilyen gondot, ha maga a Céges hálózat került NAT mögé. Ebben az esetben mint felhasználó semmi teendője nincs. Igaz erősen kétlem hogy céges feltehetően fix IP címet a szolgáltató nat mögé tenné. Igaz vannak csodák, de ... A probléma ott van, hogy a felhasználónál jelen esetben R.Woodoo nem megy ki a kapcsolódási kérelem a CÉG VPN szolgáltatásához. Amit feltehetően valamelyik tűzfalszabály fog meg. Ez lehet a router tűzfala, vagy az általa használt számítógép szoftveres tűzfala.
[ Szerkesztve ]
-
Adams007
tag
válasz Varszegig #4505 üzenetére
Köszönöm a válaszokat! (#4506) donat_sz köszi, hogy leírtad a tapasztalataidat, jó kiindulópont, mivel hasonló rendszert terveznék kialakítani.
Az IPv6 beállítással erre gondoltam: [link] Viszont ha jól értem csak annyit hátránya van a két termékcsalád keverésének, hogy nincs közös adminisztrációs felület. VLAN-okat tervezek használni, de akkor ott a digi lesz egyelőre limitáló ha ipv6-ot is szeretnék. -
Bubukain
senior tag
válasz Varszegig #4791 üzenetére
jelen pillanatban így van ahogy írod
a philips hue, homekit, TV-k, porszívó, stb.... működik is, ellenben a Sonos-t még nem bírtam működésre bírni az IOT vlan-ban.
csináltam 2 port group-ot egyet a tcp-nek egyet az udp-nekezután megcsináltam a szabályt az IOT IN-be ahogy javasoltátok
Namost nekem az edxgerouter x Switch-ként működik, amire rá van dugva egy Unifi 8-60w switch. Ennek az egyik portjára van rádugva vezetékkel egy Sonos boost ami szórja a netet a Sonos eszközöknek. Namost ezt a portot átállítva hogy az 50-es VLAN-ra csatlakozzon, szépen látom is a Unifi controllerben, hogy a hangszórók átmásznak a local netről az IOT VLAN-ra, meg is kapják a belső IP-ket 192.168.50.xxx címen, ennek ellenére a telefonon futó (local lan-ban lévő) controller app azt írja hogy nem található Sonos eszköz.
Szóval most itt tartok
A neten több helyen azt olvasom, hogy jobb ha a Sonos a local network-ben marad, de az túl egyszerű lenne -
Bubukain
senior tag
válasz Varszegig #4794 üzenetére
te vagy megzavarodva? akkor mit mondjak én
A Sonos-hoz ezek a portok kelleek, tehát ezeket IoT irányból a controller(ek) felé át kéne engedni.
ebből indultam ki, de hogy hogyan tovább megmondom őszintén. fogalmam sincs.
próbálok minden morzsába belekapaszkodni abból amit írtok, és tanulni tanulni tanulni, még ha nehezen is megy, de legalább van benne kihívásszóval ezért gondoltam hogy destination, mert hogy IOT irányból kontroller felé (a kontroller van a default networkben
-
Bubukain
senior tag
válasz Varszegig #4798 üzenetére
a szigorítást én is terveztem hogy csak a megadott IP-n lévő kontrollerek érjék el.
ezeket egy csoportba raknám és úgy adnám meg a source fülnél.
az "allow Sonos UDP" és az "allow Sonos TCP"-re kapcsoljam be a logolást?
és utána az IOT network-ben lévő Sonos IP-t logoljam a default network-ből? -
VeryByte
őstag
válasz Varszegig #4794 üzenetére
Miért nem? Pont az IOT-ból (ahol a boost és a hangfalak vannak) akarja elérni a default network-öt, tehát az IOT-ból akar befelé engedni.
(Mondjuk én azért a portokat lekorlátoznám, hogy pontosan hova is mehetnek, tehát a default network-ben lévő kontroller felé engedném csak, de ez az én bajom.
Persze, ha van a default-ra out szűrése akkor lehet baj.)"What is the most important thing in a woman?" - "The soul."
-
_Dumber_
őstag
válasz Varszegig #4831 üzenetére
Köszi a linket . tanulmányozom.
Azt hogy mi a raoming azt tudom, de a mesh valóban még egy kicsit sötét folt.
Azt látom, hogy a mesh egységek kábel nélkül csatlakoznak, de - mint írtad is - a legtöbb helyen a kliensátadást is kiemelik. (cc 8-10 oldalt olvastam ahol ezt kifejezetten írják).Ezen az oldalon még le is tesztelik a vezeték nélküli és vezetkes kapcsolat esetén:
https://szifon.com/2019/09/13/kezunkben-az-amplifi-instant-mesh-wi-fi-teszt-es-velemeny/
"Végül a házban kialakított vezetékes Ethernet hálózat miatt könnyedén, az alsó és a felső szinten is 400Mbit fölötti sebességet mértünk, mivel a két eszköz LAN-on csatlakozott egymáshoz."
Én is tudom, hogyha a wifin adogatom odébb a jeleket, akkor csökken a sávszél, és mivel nálam már ki van építve a LAN ezért fel is használnám ha lehet.Azt is tudom, hogy alapesetben a cliens dönti el, hogy hová kapcsolódjon. Ezért gondoltam, hogy a mesh-kén futó kábelen összekötött egységek képesek lökdösni/kényszeríteni a klienst, hogy mire kapcsolódjon fel.
Igazából nem a klasszikus roaming érdekel, mivel a kritikus gépek, melyeken lényeges lehet az alacsony ping és a stabil magas adatkapcsolat, azoknál nem jellemző a mozgás. Nem mondom, hogy egyszer kétszer nem hozdozom őket, de alapvetően egyhelyben vannak. (A ritkán, de előforduló mozgatás miatt nem kényeszerítem a klienseket egy adot AP-re, pedig ez linuxon beállítható lenne) -
VeryByte
őstag
válasz Varszegig #5003 üzenetére
Semmit nem csináltál rosszul, ez inkább firmware probléma. Nálam is hasonló van. Nálam van eg alap VLAN WPA2 enterprise radius-szal, és van 2 egyéb VLAN WPA2 pre-shared key-el. A radius-os a nativ VLAN, azzal megy mindig minden, a másik kettőnél előfordulnak hasonló anomáliák. Ja, nálam UAP-AC-Lite-ok vannak egy ES24Lite-ra fűzve, de a határ eszköz egy DELL Sonicwall nsa2600.
"What is the most important thing in a woman?" - "The soul."
-
Varszegig
veterán
válasz Varszegig #5003 üzenetére
Na akkor válaszolok magamnak, hátha más is beleesik ebbe a hibába Persze én voltam az ökör, sejthettem volna. A switchen elfelejtettem beállítani az új AP-k portjain, hogy a menedzsment LAN-t leszámítva minden VLAN-on tagged a port. Látszik, hogy kell aludni egyet a problémára, és máris kiszúrja a szemem
-
őstag
válasz Varszegig #5206 üzenetére
Köszönöm, igazából amire szerettem volna, hogy a drága Kínai és Orosz robotok/kutakodók ne jussanak be a hálózatomra, de akkor ezzel a VPN-el tényleg tévúton járok. Böngészés oldalon olvastam, hogy ezzel rejteni lehet honnan is vagyok úgymond.
(#5207) szir3na
Dream Machine Pro-t szeretnék decemberben, utánaolvasok ennek az IPD/IDS védelemnek akkor. Lehet ez amit én keresek.joceehunt felhasználónak 60 pozitív és 0 negativ értékelése van a fórumon! http://phmegbizhatosag.atw.hu/phtabla.php?nev=joceehunt
-
Egon
nagyúr
válasz Varszegig #6751 üzenetére
Sajnos nem ilyen egyszerű a helyzet. Az adatkezelés megvalósul már a tárolással is (érdemes elolvasni a kapcsolódó definíciót az Infotv-ben), nem kell kiraknod a YT-ra a felvételt ahhoz, hogy ne legyen jogszerű a felvétel készítés.
Nem csak a betörő perelhet: ha a postás kiszúrja, hogy őt veszi a kamera, akár ő (vagy értelemszerűen bárki más érintett) tehet bejelentést.
Ezen az sem változtat, hogy ezrével-tízezrével vannak az országban nem jogszerűen elhelyezett kamerák. Érdemes erre rákeresni, és elolvasni a különböző jogi állásfoglalásokat."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
shtirley
tag
válasz Varszegig #7617 üzenetére
Nem egy kategória, de azért a Mi Box elég jó ahhoz, hogy semmi ne indokolja a közel háromszoros árkülönbséget.
Ne érts félre, a Shield igen jó termék, de borsos áron mérik. Főleg ha azt nézzük, hogy valaki csak azért venné mert az amúgy drága okos tévéje valójában egy fos, és kéne valami rendes lejátszó.
Egyedül az ethernet csatit hiányolom a Mi Boxból. -
shtirley
tag
válasz Varszegig #7621 üzenetére
Ha a szempont alatt az árat érted akkor a Chromecast with Google TV még mindig másfélszer drágább, viszont nincs rajta USB port. Cserébe kapunk Google logót.
Működés, rendszer és használhatóság szempontjából a Mi Box még mindig közelebb áll a Shieldhez mint a Chromecast.
Tény, hogy a Shield nagypályás. Ha valaki engem kérdezne, hogy vegyen okos tévét, vagy vegyen egy kiváló képű "monitort" saját média boxszal, én a másodikat javasolnám Shielddel.
Igérem, ezzel befejeztem az offolást. -
Rolly
veterán
válasz Varszegig #7830 üzenetére
Végignéztem a beállításokat de nem jövök rá mi lehet, mert más eszközök csatlakoznak. Ha ez lenne amit írsz akkor az egész AP kiesne ... nem csak 2 géppel lenne probléma. Jelenleg az emeleti AP 10-11 Wifi eszköz van és van ami 5G képes is közüllük... még azt gondoltam letiltom az 5G-t hátha a winben valami bekattant
-
rjy08
tag
válasz Varszegig #7830 üzenetére
Én 1 éve szenvedek ezzel a problémával, és nincs vlanolás. Már a jó isten összes lehetséges variációját kipróbáltam, amiket javasoltak a hivatalos fórumokon is, eredménytelenül.
A vicces az, hogy a kliensen fix ip beállítása esetén is csinál olyat, hogy nincs net. Lecsatlakozás és visszacsatlakozás sokadszori nyomkodása megjön az ip cím és a net.
Az egész jelenség full random, nem tudom behatárolni sem. -
MasterMark
titán
válasz Varszegig #7931 üzenetére
Nekem is edgerouter van, nem attól függ.
Ha az új Alpha kliens vagy az új UI be van kapcsolva, akkor a klienseknél a táblázat jobb oldalán a három pontot nyomd be, és pipáld be az RX Rate és TX Rate mezőket. Akkor mutatni fogja a táblázatban. (Ezt a régin is érdemes megcsinálni, akkor mindenkinek látod rögtön a linksebességét.)
[ Szerkesztve ]
Switch Tax
Új hozzászólás Aktív témák
- Milyen légkondit a lakásba?
- Alacsony fogyasztású, 128 GB-os szervermemóriát kínál a Micron
- AMD off topik: VGA, CPU, APU és minden, ami AMD
- Ingatlanos topic!
- Tudományos Pandémia Klub
- Az NVIDIA szerint a partnereik prémium AI PC-ket kínálnak
- Xbox Series X|S
- Google szolgáltatás (GMS) Huawei telefonokra
- gban: Ingyen kellene, de tegnapra
- (nem csak) AMD FX / Ryzen tulajok OFF topikja
- További aktív témák...
- Xiaomi Redmi Buds 3 Lite, Vezeték nélküli fülhallgató, Fekete + szilikon védőtok
- Star Wars - Az eredeti trilógia - DVD kiadás (2022)
- Corsair 110Q ATX Gépház Eladó!
- Dell Latitude 3410 Quad Core i5- i5-10210U 10 generációs laptop 8 GB DDR4 SSD jó akkumulátor
- Star Wars - The Rise of Skywalker - 4K UltraHD Steelbook kiadás
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen