Älykoti WIKI

Suomen Älykoti tiedon juuri ja lähde kaikkeen äly rakentamiseen

Käyttäjän työkalut

Sivuston työkalut

Jäljet:
start:tietoliikenne:palomuurit:edgerouter:edgerouter_esimerkkikonffis1

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Seuraava revisio		Edellinen revisio
start:tietoliikenne:palomuurit:edgerouter:edgerouter_esimerkkikonffis1 [2022/04/18 20:17] – luotu Olli Attilastart:tietoliikenne:palomuurit:edgerouter:edgerouter_esimerkkikonffis1 [2022/05/01 17:50] (nykyinen) – ulkoinen muokkaus 127.0.0.1
Rivi 1: Rivi 1:
-TEST+====== Esimerkkikonffis Edgeroutterille ====== 
 + 
 +  
 +==== Verkkokuva ==== 
 + 
 +{{:start:tietoliikenne:palomuurit:edgerouter:edgerouter-esimerkkiverkko.jpeg?600|}} 
 +  
 +=== Verkkotiedot esimerkissä === 
 +  
 +Edgerouterin portti / nimi / aliverkko / vlan: 
 +  * ETH0 / Internet interface modeemille / operaattorilta dhcp:llä / - 
 +  * ETH1 / Trunk portti / 192.168.[1-2].0/24 / VLAN100 untagged & VLAN200 tagattu 
 +  * ETH2 / Kodin luotetut laitteet / 192.168.1.0/24 / VLAN100 untagged 
 +  * ETH3 / Kodin luotetut laitteet / 192.168.1.0/24 / VLAN100 untagged 
 +  * ETH4 / Kodin luotetut laitteet / 192.168.1.0/24 / VLAN100 untagged 
 +  
 +==== Tiivistelmä tehtävästä konfiguraatiosta ==== 
 +  
 +Ajatuksena tehdä kohtuu simppeli kahden vlanin kotiverkko, jota voi tarvittaessa muokata haluamakseen lisäämällä / poistamalla vlaneja. Älykotihengessä tässä esimerkissä tehdään VLAN100 kodin luotetuille laitteille sekä VLAN200 kodin IOT laitteille joilta halutaan estää liikenne internetin suuntaan. 
 +  
 +**Tarkennusta palomuurille tehtävästä konffiksesta:** 
 + 
 +  * ETH0 portti internettiin (Kytketty modeemille/mokkulalle joka siltaavassa tilassa) 
 +  * ETH1 porttiin esim wlan tukiasema toiseen päähän, joka osaa tagata vlan verkkoja 
 +  * ETH1-4 porteista tuleva liikenne tägätään Edgerouterilla oletuksena VLAN100 verkoksi,joka käsittää ns. normaalin kotiverkon. Kaikki näihin portteihin untagged liikenne katsotaan siis kuuluvan kotiverkkoon. 
 +  * ETH1 portissa sallittu myös VLAN200 tagattu liikenne  (IOT verkko joka liikennöi esim mainitun wlan tukiaseman kautta). Tässä pitää huomioida että vastapään (wlan tukiasema) on oltava vlan kykyinen & osattava tagata liikenne oikealla 100 tai 200 vlan merkinnällä riippuen kumman verkon SSID kautta ollaan kiinni WLAN:ssa. 
 +  * Paikallinen DNS (Mahdollistaa omien DNS nimien käytön kotiverkossa) 
 +  * NAT ipv4 liikenteelle 
 +  * IPV6 konffis VLAN100 kotiverkolle  
 +  * Tarvittavat palomuurisäännöt jotka lisätään oikeille edgerouterin liitännöille 
 +  
 +  
 +==== Tarkempi dokumentaatio Edgerouteriin ==== 
 +  
 +  * Huom: Ohjekirja GUI puolelle täältä: https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf 
 +  * Komentoriviconfigin käsittelyohje: https://help.ui.com/hc/en-us/articles/204960084-EdgeMAX-Manage-the-configuration-file 
 +  * Komentorivin yleinen ohje: https://help.ui.com/hc/en-us/articles/204960094-EdgeRouter-Configuration-and-Operational-Mode 
 +  
 +  
 +==== Johdanto palomuurin komentoriville ==== 
 +  
 +Palomuurin komentorivikonffis on objekti -tyylinen, joka muistuttaa Juniperin reitittimiä aika paljon. Yhtäläisyyksiä Cisco maailmaan ei juurikaan ole, paitsi "configure" komento jolla siirrytään perus tilasta konfigurointitilaan vrt. Ciscon klassinen "configure terminal"  -komento. 
 +  
 +**Edgerouterissa on 3 eri konfiguraation tasoa:** 
 +  * Working config - Ei-aktiivinen konfiguraatio jota ei vielä olla otettu ajoon "commit" komennolla. Kaikki uudet muutokset lukeutuvat ensin tähän konffikseen. Muutokset eivät ole vielä ajossa / aktiivisia. 
 +  * Active config -  Aktiivinen konffis jota ei vielä ole tallennettu "save" komennolla Boot/startup konfigiksi. Jos olet ajanut uusien muutoksiesi jälkeen "commit" komennon niin silloin muutokset lukeutuvat tähän konffikseen ja ne tulevat ajoon / aktiiviseksi. 
 +  * Boot/startup config - Ladataan aina käynnistyessä (config.boot). Kun olet ajanut "save" komennon niin sen jälkeen muutokset lukeutuvat tähän konffikseen. 
 +  
 +Käytännössä siis kun olet tehnyt muutoksia ja haluat ne ajoon, niin ajat ensin "commit" ja kun tämä menee läpi (muutokset tulevat tässä kohtaa ajoon) ,niin voit tallentaa configin pysyvästi Edgeroutterille "save" komennolla niin se kestää myös bootin yli. Erillinen "save" komento on hyvä ja pelastava asia  jos esim. satut lukitsemaan itsesi ulos commitilla. Edgeroutterin bootti tässä kohtaa palauttaa vanhan toimivan konffiksen ja pääset taas kiinni järjestelmään. 
 +Tässä esimerkin omaisesti "interfaces" objekti, joka sisältää tässä esimerkissä yhden ethernet (eth0) objektin ja sen alla mm. palomuurisäännöt niin ikään omina objekteinaan. Objektin tunnistaa aina sen perässä olevista aaltosulkeista. 
 + 
 +  # Configure tilaan siirtyminen 
 +  configure 
 +    
 +  #Näytä verkkoliitännät 
 +  show interfaces 
 +  ... 
 +  interfaces { 
 +      ethernet eth0 { 
 +          address dhcp 
 +          description "Internet interface" 
 +          duplex auto 
 +          firewall { 
 +              in { 
 +                  name WAN_IN 
 +              } 
 +              local { 
 +                  name WAN_LOCAL 
 +              } 
 +          } 
 +          speed auto 
 +      } 
 +  } 
 + 
 + 
 +  
 +Esimerkiksi objektin "interfaces -> ethernet eth0 -> firewall" konffikset voidaan luoda seuraavilla yksinkertaisilla komennoilla jotka luovat omat "in" ja "local" aliobjektit ja  näille omat sääntölistat WAN_IN sekä WAN_LOCAL: 
 +  
 +  # Siirrytään configure tilaan 
 +  configure 
 +  # Luodaan kaksi uutta palomuuriobjektia oikeisiin "polkuihin"
 +  set interfaces ethernet eth0 firewall in name WAN_IN 
 +  set interfaces ethernet eth0 firewall local name WAN_LOCAL 
 + 
 +  
 +Objektien alle voi myös navigoida suoraan "edit" komennolla ja antaa ko .polussa  "show" komennon joka printtaa vain kyseisen objektin + sen mahdollisten aliobjektien konffikset. Tabitäydennys toimii komentorivillä toimiessa: 
 +  
 + 
 +  edit interfaces ethernet eth0 firewall in 
 +  [edit interfaces ethernet eth0 firewall in] 
 +  show 
 +   name WAN_IN 
 +  [edit interfaces ethernet eth0 firewall in] 
 + 
 +  
 +"up" komennolla pääsee takaisin / ylöspäin objektien hierarkiassa. Hakasulut näyttävät aina objektin polun missä käyttäjä sillä hetkellä on: 
 +  
 + 
 +  [edit interfaces ethernet eth0 firewall in] 
 +  up 
 +  [edit interfaces ethernet eth0 firewall] 
 +  show 
 +   in { 
 +       name WAN_IN 
 +   } 
 +   local { 
 +       name WAN_LOCAL 
 +   } 
 + 
 +  
 +Käytännössä jos siis menet palomuurin kaikista ylimmälle tasolle ja annat show komennon niin koko palomuurin konffis printtaantuu objekteina näytölle. "top" komennolla pääset aina suoraan koko hierarkian ylimmälle tasolle. 
 + 
 +==== Konfiguraation harjoitteleminen ==== 
 + 
 +Ennenkuin alat runnomaan koko konffista sisään Edgerouterille, niin harjoitellaan vähän objektin lisäämistä ja poistoa manuaalisesti. Opit samalla navigoimaan eri objektien välillä konfiguraatiossa: 
 +  
 + 
 +  # Kun Edgerouteria asennetaan ensimmäistä kertaa eli kun ollaan 
 +  # tehdasasetuksilla niin kytke Läppäri 
 +  # ensin Edgerouterin/palomuurin eth0 liitäntään ja ota puttyllä ssh 
 +  # palomuurin IP osoitteeseen: 192.168.1.1 
 +  # Huom! Läppärin IP osoitteen oltava samasta aliverkosta 
 +  # Laita winukasta kiinteä ip esim 192.168.1.2. 
 +  # Username: ubnt 
 +  # Password: ubnt 
 +    
 +  # Poistetaan ensin pari tehdasasetusta 'interfaces -> ethernet' polun alta. 
 +  # Siirry configure tilaan 'configure' komennolla 
 +  configure 
 +    
 +  # Siirry edit komennolla oikeaan polkuun eth0 objektin sisälle 
 +  edit interfaces ethernet eth0 
 +  # Anna nyt show komento jolla printtaat eth0 objektin sisällön 
 +  show 
 +  # Poista eth0 objektin osoitemäärittely ja lisää dhcp määritys. 
 +  # Osoitemäärittelyä ei tarvita koska tämä liitäntä tulee onkimaan dhcp:llä 
 +  # julkisen ip osoitteen operaattorin verkosta 
 +  # ks. verkkokuvan modeemi <-> edgerouter välinen yhteys 
 +  delete address 192.168.1.1/24 
 +  set address dhcp 
 +  set description 'Internet interface' 
 +    
 +  # Anna compare komento niin näet mitä olet ajamassa sisään (plussa ja miinus kertovat) 
 +  # Muutoksia ei vielä ajeta sisään, vaan tämä tehdään yhdellä commitilla vasta aivan lopussa. 
 +  compare 
 +    
 +  # Siirry tämän jälkeen eth1 objektin alle  
 +  edit interfaces ethernet eth1 
 +  # Anna show komento jolla printtaat eth1 objektin sisällön 
 +  show 
 +  # Poista eth1 portin dhcp määrittely objektista (tälle liitännälle ei tehdä muuta) 
 +  delete address dhcp 
 +    
 +  # Anna taas compare komento niin näet mitä olet ajamassa sisään (plussa ja miinus kertovat) 
 +  compare 
 +    
 +  # Muutoksia ei olla vielä otettu käyttöön koska et ole commitoinut konffista.  
 +  # Ennen committia sinun tulee jatkaa allaolevalla ohjeella "Koko palomuurin konffis" ja lyödä loput konffikset sisään. 
 + 
 +  
 +==== Koko palomuurin konffis ==== 
 +  
 + 
 +  ########################################################################################### 
 +  # Edgerouter konffis, jonka päälle voit rakennella oman ympäristösi 
 +  # 
 +  # Verkollisia olettamuksia, joita konffiksessa käytetty 
 +  # VLAN100 => Kodin luotettu verkko 192.168.1.0/24 
 +  # VLAN200 => IOT laitteet joita ei haluta päästää juttelemaan internettiin 192.168.2.0/24 
 +  ########################################################################################### 
 +    
 +  # Kun Edgerouteria asennetaan ensimmäistä kertaa eli kun ollaan tehdasasetuksilla niin kytke Läppäri 
 +  # ensin Edgerouterin/palomuurin eth0 liitäntään ja ota putty ohjelmalla ssh yhteys 
 +  # palomuurin IP osoitteeseen: 192.168.1.1 
 +  # Huom! Oman koneesi IP osoitteen oltava samasta aliverkosta (Esim 192.168.1.2) 
 +  # Username: ubnt 
 +  # Password: ubnt 
 +    
 +  # Kun ssh yhteys on auennut, niin siirry configure tilaan jossa voidaan syöttää varsinaiset komennot sisään 
 +  configure 
 +    
 +  # Asetetaab aluksi system offload päälle. 
 +  # Tämä siirtää kaksi laitteen ominaisuutta (nat & ipsec) 
 +  # prosessorin käsittelystä hardwaren käsittelyyn. 
 +  # Tämä lisää pakettien läpikytkentänopeutta Edgeroutterin läpi. 
 +  # Erityisesti hwnat system offload on tavalliselle ipv4 käyttäjälle hyödyllinen. 
 +  set system offload hwnat enable 
 +  set system offload ipsec enable 
 +    
 +  # Eth0 (Internetin suuntaan oleva liitäntä) 
 +  # Skippaa tämä jos teit jo harjoitusosion, koska silloin nämä on jo tehty. 
 +  # Poistetaan ensin pari tehdasasetusta eth0 ja eth1 alta jotta voidaan ottaa uudet omat asetukset käyttöön 
 +  delete interfaces ethernet eth0 address 192.168.1.1/24 
 +  delete interfaces ethernet eth1 address dhcp 
 +  set interfaces ethernet eth0 address dhcp 
 +  set interfaces ethernet eth0 description 'Internet interface' 
 +    
 +  # Interfaces (Switch port & ETH porttimääritykset LAN varten) 
 +  # Switch määrittely kytkee palomuurin portit softatasolla niin siihen liitetyt portit toimivat 
 +  # palomuurin silmin kytkimenä ja mahdollistaa tätä myöden vlanien käytön. 
 +  # pvid = vlan id itse portille (tagaamaton liikenne leimataan tällä id:llä) 
 +  # vid = tagattu vlan liikenne joka sallitaan portin läpi (vain wlan tukarin trunk portille) 
 +  set interfaces switch switch0 firewall in 
 +  set interfaces switch switch0 mtu 1500 
 +  set interfaces switch switch0 switch-port vlan-aware enable 
 +  set interfaces switch switch0 switch-port interface eth1 vlan pvid 100 
 +  set interfaces switch switch0 switch-port interface eth1 vlan vid 200 
 +  set interfaces switch switch0 switch-port interface eth2 vlan pvid 100 
 +  set interfaces switch switch0 switch-port interface eth3 vlan pvid 100 
 +  set interfaces switch switch0 switch-port interface eth4 vlan pvid 100 
 +    
 +  # DHCP (Osoitteiden jakaminen LAN:iin) 
 +  # DHCP yleiset asetukset 
 +  set service dhcp-server static-arp disable 
 +  set service dhcp-server use-dnsmasq enable 
 +  set service dhcp-server disabled false 
 +  set service dhcp-server hostfile-update disable 
 +  # Kotiverkko luotetuille laitteille (nimetään VLAN100) 
 +  set service dhcp-server shared-network-name VLAN100 authoritative disable 
 +  set service dhcp-server shared-network-name VLAN100 subnet 192.168.1.0/24 default-router 192.168.1.1 
 +  set service dhcp-server shared-network-name VLAN100 subnet 192.168.1.0/24 dns-server 192.168.1.1 
 +  set service dhcp-server shared-network-name VLAN100 subnet 192.168.1.0/24 domain-name koti.local 
 +  set service dhcp-server shared-network-name VLAN100 subnet 192.168.1.0/24 lease 86400 
 +  set service dhcp-server shared-network-name VLAN100 subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.199 
 +  # IOT verkko, josta blokataan yhteys oman verkkonsa ulkopuolelle (nimetään VLAN200) 
 +  set service dhcp-server shared-network-name VLAN200 authoritative disable 
 +  set service dhcp-server shared-network-name VLAN200 subnet 192.168.2.0/24 default-router 192.168.2.1 
 +  set service dhcp-server shared-network-name VLAN200 subnet 192.168.2.0/24 dns-server 192.168.2.1 
 +  set service dhcp-server shared-network-name VLAN200 subnet 192.168.2.0/24 domain-name iot.local 
 +  set service dhcp-server shared-network-name VLAN200 subnet 192.168.2.0/24 lease 86400 
 +  set service dhcp-server shared-network-name VLAN200 subnet 192.168.2.0/24 start 192.168.2.100 stop 192.168.2.199 
 +    
 +  ######################## 
 +  ### Palomuurisäännöt ### 
 +  ######################## 
 +  # LOCAL = liikenne sisään palomuurille, joka kohdistuu palomuurin omaan local osoitteeseen 
 +  # IN = liikenne sisään palomuurille, joka menossa palomuurin läpi muualle verkkoon 
 +    
 +  # BOGON ryhmä, jonka verkot tunnistetaan ei valideiksi internetin puolella. 
 +  # Käytetään blacklistana eth0 liitännän puolella koska internetistä ei voida tulla näillä osoitteilla missään tilanteessa sisään, 
 +  # eli liikenne näistä voidaan suoraan heittää roskiin 
 +  set firewall group network-group BOGON network 0.0.0.0/8 
 +  set firewall group network-group BOGON network 10.0.0.0/
 +  set firewall group network-group BOGON network 100.64.0.0/10 
 +  set firewall group network-group BOGON network 127.0.0.0/
 +  set firewall group network-group BOGON network 169.254.0.0/16 
 +  set firewall group network-group BOGON network 172.16.0.0/12 
 +  set firewall group network-group BOGON network 192.0.0.0/24 
 +  set firewall group network-group BOGON network 192.0.2.0/24 
 +  set firewall group network-group BOGON network 192.168.0.0/16 
 +  set firewall group network-group BOGON network 192.18.0.0/15 
 +  set firewall group network-group BOGON network 198.51.100.0/24 
 +  set firewall group network-group BOGON network 203.0.113.0/24 
 +  set firewall group network-group BOGON network 224.0.0.0/
 +  set firewall group network-group BOGON network 240.0.0.0/
 +    
 +  # Säännöt toimivat sillä periaatteella että ruleja käydään läpi pienimmästä suurimpaan ja jos mikään sääntö ei osu niin default-action toteutetaan. 
 +  # WAN local (WAN puolen liikenne palomuurin omaan ip osoitteeseen) 
 +  set firewall name WAN-LOCAL default-action drop 
 +  set firewall name WAN_LOCAL description 'Traffic from internet to the router WAN IP' 
 +  set firewall name WAN_LOCAL enable-default-log 
 +  set firewall name WAN_LOCAL rule 10 action drop 
 +  set firewall name WAN_LOCAL rule 10 description 'Drop invalid state' 
 +  set firewall name WAN_LOCAL rule 10 log disable 
 +  set firewall name WAN_LOCAL rule 10 state invalid enable 
 +  set firewall name WAN_LOCAL rule 20 action drop 
 +  set firewall name WAN_LOCAL rule 20 description 'Drop BOGON source' 
 +  set firewall name WAN_LOCAL rule 20 source group network-group BOGON 
 +  set firewall name WAN_LOCAL rule 30 action accept 
 +  set firewall name WAN_LOCAL rule 30 description 'Allow Established' 
 +  set firewall name WAN_LOCAL rule 30 log disable 
 +  set firewall name WAN_LOCAL rule 30 state established enable 
 +  set firewall name WAN_LOCAL rule 30 state related enable 
 +    
 +  # WAN inbound (WAN puolen liikenne joka tulossa sisään ja menossa kotiverkkoon) 
 +  set firewall name WAN_IN default-action drop 
 +  set firewall name WAN_IN description 'Traffic from Internet to LAN' 
 +  set firewall name WAN_IN enable-default-log 
 +  set firewall name WAN_IN rule 10 action drop 
 +  set firewall name WAN_IN rule 10 description 'Deny Invalid' 
 +  set firewall name WAN_IN rule 10 log enable 
 +  set firewall name WAN_IN rule 10 state invalid enable 
 +  set firewall name WAN_IN rule 20 action drop 
 +  set firewall name WAN_IN rule 20 protocol all 
 +  set firewall name WAN_IN rule 20 source group network-group BOGON 
 +  set firewall name WAN_IN rule 30 action accept 
 +  set firewall name WAN_IN rule 30 description 'Allow established/related state' 
 +  set firewall name WAN_IN rule 30 log disable 
 +  set firewall name WAN_IN rule 30 state established enable 
 +  set firewall name WAN_IN rule 30 state related enable 
 +    
 +  # VIFv6_IN (virtuaaliliitäntöjen (sisäverkon) ipv6 liikenne joka tulossa sisään ja menossa muualle verkkoon) 
 +  set firewall ipv6-name VIFv6_IN default-action accept 
 +  set firewall ipv6-name VIFv6_IN description 'VLAN ipv6 traffic in' 
 +    
 +  # WAN ipv6 liikenne joka tulossa sisään ja menossa muualle verkkoon 
 +  set firewall ipv6-name WANv6_IN default-action drop 
 +  set firewall ipv6-name WANv6_IN rule 9 action accept 
 +  set firewall ipv6-name WANv6_IN rule 9 description 'Allow established/related state' 
 +  set firewall ipv6-name WANv6_IN rule 9 log disable 
 +  set firewall ipv6-name WANv6_IN rule 9 state established enable 
 +  set firewall ipv6-name WANv6_IN rule 9 state related enable 
 +  set firewall ipv6-name WANv6_IN rule 10 action accept 
 +  set firewall ipv6-name WANv6_IN rule 10 description 'Allow ICMPv6 packets' 
 +  set firewall ipv6-name WANv6_IN rule 10 log disable 
 +  set firewall ipv6-name WANv6_IN rule 10 protocol icmpv6 
 +    
 +  # WAN ipv6 local liikenne palomuurin omaan ip osoitteeseen. 
 +  # Sallitaan vain ipv6 liikenteelle tärkeitä protokollia portteineen. 
 +  set firewall ipv6-name WANv6_LOCAL default-action drop 
 +  set firewall ipv6-name WANv6_LOCAL description 'WAN ipv6 inbound to router' 
 +  set firewall ipv6-name WANv6_LOCAL rule 10 action accept 
 +  set firewall ipv6-name WANv6_LOCAL rule 10 description 'Allow established/related' 
 +  set firewall ipv6-name WANv6_LOCAL rule 10 state established enable 
 +  set firewall ipv6-name WANv6_LOCAL rule 10 state related enable 
 +  set firewall ipv6-name WANv6_LOCAL rule 20 action drop 
 +  set firewall ipv6-name WANv6_LOCAL rule 20 description 'Drop invalid' 
 +  set firewall ipv6-name WANv6_LOCAL rule 20 state invalid enable 
 +  set firewall ipv6-name WANv6_LOCAL rule 30 action accept 
 +  set firewall ipv6-name WANv6_LOCAL rule 30 description 'Allow IPv6 ICMP' 
 +  set firewall ipv6-name WANv6_LOCAL rule 30 protocol ipv6-icmp 
 +  set firewall ipv6-name WANv6_LOCAL rule 40 action accept 
 +  set firewall ipv6-name WANv6_LOCAL rule 40 description 'Allow DHCPv6' 
 +  set firewall ipv6-name WANv6_LOCAL rule 40 destination port 546 
 +  set firewall ipv6-name WANv6_LOCAL rule 40 protocol udp 
 +  set firewall ipv6-name WANv6_LOCAL rule 40 source port 547 
 +    
 +    
 +  # Sääntölistat kotiverkolle VLAN100 (sallitaan oletuksena kaikki in&local) 
 +  set firewall name VLAN100_IN default-action accept 
 +  set firewall name VLAN100_LOCAL default-action accept 
 +    
 +  # Sääntölistat IOT verkolle (tänne voi laittaa poikkeuksia jos haluaa sallia pääsyn toisiin verkkoihin kuten esim ruless 20) 
 +  # IN 
 +  set firewall name VLAN200_IN default-action drop 
 +  set firewall name VLAN200_IN description 'VLAN200 IOT traffic IN' 
 +  set firewall name VLAN200_IN rule 10 action accept 
 +  set firewall name VLAN200_IN rule 10 description 'Allow established and related' 
 +  set firewall name VLAN200_IN rule 10 log disable 
 +  set firewall name VLAN200_IN rule 10 protocol all 
 +  set firewall name VLAN200_IN rule 10 state established enable 
 +  set firewall name VLAN200_IN rule 10 state invalid disable 
 +  set firewall name VLAN200_IN  rule 10 state new disable 
 +  set firewall name VLAN200_IN rule 10 state related enable 
 +  set firewall name VLAN200_IN rule 20 action accept 
 +  set firewall name VLAN200_IN rule 20 description 'Esimerkki: Salli liikenne MQTT brokerille, joka sijaitsee luotettujen verkkojen vlanissa' 
 +  set firewall name VLAN200_IN rule 20 destination address 192.168.1.20 
 +  set firewall name VLAN200_IN rule 20 destination port 1883 
 +  set firewall name VLAN200_IN rule 20 protocol tcp 
 +  # LOCAL (Sallitaan iot laitteille pääsy perus palveluihin kuten dns, dhcp ja ntp. Ilman näitä on monesti vaikea elää.) 
 +  set firewall name VLAN200_LOCAL default-action drop 
 +  set firewall name VLAN200_LOCAL rule 10 action accept 
 +  set firewall name VLAN200_LOCAL rule 10 description 'allow dns' 
 +  set firewall name VLAN200_LOCAL rule 10 destination port 53 
 +  set firewall name VLAN200_LOCAL rule 10 log disable 
 +  set firewall name VLAN200_LOCAL rule 10 protocol tcp_udp 
 +  set firewall name VLAN200_LOCAL rule 20 action accept 
 +  set firewall name VLAN200_LOCAL rule 20 description 'allow dhcp' 
 +  set firewall name VLAN200_LOCAL rule 20 destination port 67 
 +  set firewall name VLAN200_LOCAL rule 20 log disable 
 +  set firewall name VLAN200_LOCAL rule 20 protocol udp 
 +  set firewall name VLAN200_LOCAL rule 30 action accept 
 +  set firewall name VLAN200_LOCAL rule 30 description 'allow ntp' 
 +  set firewall name VLAN200_LOCAL rule 30 destination port 123 
 +  set firewall name VLAN200_LOCAL rule 30 log disable 
 +  set firewall name VLAN200_LOCAL rule 30 protocol udp 
 +    
 +  # Asetetaan luodut sääntölistat paikalleen oikeisiin liitäntöihin 
 +  set interfaces ethernet eth0 firewall in name WAN_IN 
 +  set interfaces ethernet eth0 firewall local name WAN_LOCAL 
 +  set interfaces ethernet eth0 firewall in ipv6-name WANv6_IN 
 +  set interfaces ethernet eth0 firewall local ipv6-name WANv6_LOCAL 
 +  set interfaces switch switch0 vif 100 firewall in ipv6-name VIFv6_IN 
 +  set interfaces switch switch0 vif 100 firewall in name VLAN100_IN 
 +  set interfaces switch switch0 vif 100 firewall local name VLAN100_LOCAL 
 +  set interfaces switch switch0 vif 200 firewall in name VLAN200_IN 
 +  set interfaces switch switch0 vif 200 firewall local name VLAN200_LOCAL 
 +    
 +  ##################### 
 +  ### LAN asetuksia ### 
 +  ##################### 
 +    
 +  # Virtual interface määritteet (virtuaaliset liitännät, jotka tarvitaan jotta voit käyttää vlaneja. Kaikki liitetään switch0 instanssiin.) 
 +  set interfaces switch switch0 vif 100 address 192.168.1.1/24 
 +  set interfaces switch switch0 vif 100 description 'Kotilaitteet' 
 +  set interfaces switch switch0 vif 200 address 192.168.2.1/24 
 +  set interfaces switch switch0 vif 200 description 'IOT laitteet joilta inet blokattu' 
 +    
 +  # DNS määritykset (sidotaan tiettyihin virtuaaliliitäntöihin, jotta vlanit saavat DNS resurssin käyttöön) 
 +  set service dns forwarding cache-size 400 
 +  set service dns forwarding listen-on switch0 
 +  set service dns forwarding listen-on switch0.100 
 +  set service dns forwarding listen-on switch0.200 
 +  set service dns forwarding name-server 8.8.8.8 
 +    
 +  # NAT (eth0 portista nat ulos kaikelle ulos lähtevälle liikenteelle) 
 +  set service nat rule 5010 description 'NAT rule for home network' 
 +  set service nat rule 5010 log disable 
 +  set service nat rule 5010 outbound-interface eth0 
 +  set service nat rule 5010 protocol all 
 +  set service nat rule 5010 type masquerade 
 +    
 +  # SSH hallintaportti palomuurin hallintaan sisäverkossa 
 +  set service ssh port 22 
 +  set service ssh protocol-version v2 
 +    
 +  # IPV6 (Tehty sillä olettamuksella että operaattori jakaa /56 verkon ja siitä delegoidaan /64 eteenpäin kodin LAN verkkoon. Kohtuu standardi tapa.) 
 +  # Jos et saa tällä toimimaan ipv6 liikennettä, niin tarkista operaattoriltasi oikeat asetukset. 
 +  # Huom! Tässä esimerkissä tehdään ipv6 asetukset vain sisäverkon VLAN100:lle, koska se on tässä setupissa ainoa verkko jolla pääsy internettiin. 
 +  # Tarvittaessa voit monistaa VLAN100 (switch0.100) asetuksia muihin inettiä kaipaaviin VLAN verkkoihisi (huom, muista tällöin juoksuttaa prefix-id lukua suuremmaksi jos aina uuden verkon kohdalla). 
 +  set interfaces ethernet eth0 dhcpv6-pd no-dns 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address '::1' 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 no-dns 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id ':1' 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service dhcpv6-stateless 
 +  set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56 
 +  set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable 
 +  set interfaces ethernet eth0 ipv6 address autoconf 
 +  set interfaces ethernet eth0 ipv6 dup-addr-detect-transmits 0 
 +    
 +  # System settings (Perus asetuksia ja muuta optimointia) 
 +  # Domain-name ja host-name kohdan voi halutessaan vaihtaan toisen nimiseksi. Liikenteellisesti näillä ei ole väliä. 
 +  set service unms disable 
 +  set system conntrack expect-table-size 2048 
 +  set system conntrack hash-size 32768 
 +  set system conntrack modules sip disable 
 +  set system conntrack table-size 262144 
 +  set system domain-name home.local 
 +  set system host-name edgerouter 
 +  set system name-server 127.0.0.1 
 +  set system ntp server 0.fi.pool.ntp.org 
 +  set system ntp server 1.fi.pool.ntp.org 
 +  set system ntp server 2.fi.pool.ntp.org 
 +  set system ntp server 3.fi.pool.ntp.org 
 +  set system time-zone Europe/Helsinki 
 +  set system traffic-analysis dpi disable 
 +  set system traffic-analysis export disable 
 +  set firewall all-ping enable 
 +  set firewall broadcast-ping disable 
 +    
 +  # commitoi muutokset 
 +  # (allaoleva ottaa asetukset käyttöön, mutta asetukset eivät vielä pysy bootin yli) 
 +  commit 
 +  # Yhteys varmaan katkeaa tässä vaiheessa joten vaihda nyt piuha esim eth4 porttiin  
 +  # Ota uusi SSH yhteys 192.168.1.1 osoitteeseen tunnareilla: 
 +  # Username: ubnt 
 +  # Password: ubnt 
 +  # Kun olet päässyt kiinni palomuurille uudestaan niin katso että kaikki on kuin pitää 
 +  # ja tallenna konffis pysyvästi "save" konennolla: 
 +  save 
 +    
 +  # Luo itsellesi oma tunnus palomuurille 
 +  configure 
 +  set system login user kayttajanimesi authentication plaintext-password jokusalasana 
 +  set system login user kayttajanimesi level admin 
 +  commit 
 +  save 
 +  exit 
 +  # Loggaa uudestaan sisään juuri luomillasi tunnareilla ja poista ubnt käyttäjä 
 +  delete system login user ubnt 
 +  commit 
 +  save 
 +    
 +  # Tämän jälkeen käynnistä varmuuden vuoksi Edgerouter vielä uudelleen ja sitten voit kirjautua web selaimella hallintaan: https://192.168.1.1 
 +  # ja käydä tarkastamassa miltä palomuurin konffis näyttä UI puolella. 
 + 
start/tietoliikenne/palomuurit/edgerouter/edgerouter_esimerkkikonffis1.1650313054.txt.gz · Viimeksi muutettu: 2022/05/01 17:50 (ulkoinen muokkaus)