» »

Nova škatla, novi problemi

Nova škatla, novi problemi

CyberPunk ::

Nekdo si je zaželel Siol Box in sedaj bo, kot kaže, potrebno spremeniti nekaj zadev v LANu (ker so razvijalci Boxa očitno pozabili na to, da bi le-ta imel še en mrežni priključek... :O )...

Dosedanja postavitev (okvirno):
-siol modem: bolj ali manj skrbel samo za sinhronizacijo linije in delitev "signalov" na internet, TV, telefon. Zunanji IP je statičen.
-Asus WL500g Premium z DD-WRT firmwareom: ki skrbi za vse ostalo (vklj. firewall in vzpostavitev PPPoE povezave), nanj so priklopljeni vsi računalniki.

Ob priklopu Siol Boxa le-ta ni kazal EPGja in ostalih "dodatnih" vsebin. Montažer je ugotovil, da zato, ker uporabljamo router (ki tudi vzpostavlja PPPoE za internet), Box ne more vzpostaviti relevantne podatkovne povezave za te vsebine in bi morali vklopiti wireless. To smo (začasno) tudi naredili in vsebine so bile prikazane.

Vendar pa bi rad videl kakšno "permanentejšo" rešitev ob naslednjih dveh omejitvah:
-brezžičnega omrežja (samo zaradi Boxa) ne bomo vklapljali (poleg razlogov, v katere se ne bom spuščal, ker niso predmet te debate, mi "pristojni" tudi niso točno povedali, ali se preko take podatkovne povezave pretakajo samo občasni podatki manjše količine (npr. EPG, razne komande, vreme, Facebook ipd.) ali pa furajo tudi VoD (pri slednjem bi verjetno to potem pomenilo, da ko nekdo gleda film iz videoteke, ostane internetni povezavi recimo samo še 2 MBit downstreama, kar tudi pod razno ni sprejemljivo).
-da WL500 še naprej služi za firewall in ostale povezane funkcionalnosti (zadevne funkcionalnosti v Sinopeju se pač z Asusom ne morejo kosati).

Bi bilo izvedljivo na naslednji način (ali pa kakšen drug ob zgoraj navedenih dveh omejitvah)?
-modem (ki "po novem" tudi hendla PPPoE, ne pa tudi firewalla; torej da naprej spušča vse podatke in nima nikakšrnega filtriranja ali NATa vklopljenega)
-router (ki bi, kot do sedaj, še vedno hendlal firewall & co., razen seveda PPPoE)

Verjetno bi moral potem na routerju definirati "zunanji IP" kot 192.168.1.2 (ali kar pač da modem na notrani strani) ali celo spremeniti operation mode? Katere konkretne spremembe bi moral tu izvesti?
Na Siolovi strani so zgolj osnovni napotki za brez-routersko in wi-fi posredno povezavo, za ta primer pa nič.

BlueRunner ::

Bistveno je samo to, da imaš na kablu do Box-a dve VLAN-a. Prvi je neoznačen (untagged), kjer se pretaka internetni del komunikacije. Drugi pa je označen (tagged), po njemu pa gre vse tisto, kar je že prej "gledal" Sagem - torej IPTV, videoteka in sorodna solata.

V vsakem primeru moraš na modemu imeti en port nastavljen za Box.

Potem pa imaš dve varianti:
- Prva je, da na ta "poseben" port prključiš WAN port iz DD-WRT, nato pa na njemu ustvariš prehod (bridge), ki bo označen VLAN iz WAN porta odpeljal naravnost do Box-a mimo kakršnega koli usmerjanja. Če imaš Box priključen neposredno na DD-WRT, ti bi to moralo delovati.
- Druga varianta pa je, da WAN port iz DD-WRT priključiš na 1. navaden port na modemu, potem pa z drugim kablom povežeš enega izmed LAN portov iz DD-WRT na 2. navaden port na modemu. Na modemu pa potem onemogočiš DHCP (pa po možnost še spremeniš LAN IP v nekaj, kar bo dostopno iz tvojega notranjega omrežja), da bo Box vedno dobil IP naslov tvojega omrežja. Box pa potem priključiš na njegov poseben port na modemu, kjer bo dobil in MC del in tudi po ovinku pripeljan tvoj lokalni internet.

Ni estetsko, bo pa delalo...

CyberPunk ::

Porti modema so:
1: data (ta gre na WAN na Asusu)
2: data (prazno)
3: video (na switch in potem na navaden STB od Sagema oz. VLC player)
4: trunk (na Siol Box)

Varianta 1 se mi "od oka" zdi bolj varna od variante 2 (neposredna fizicna povezava LAN in WAN...). Tu bi torej moral prestaviti Asus iz Port1 na Port4, Box pa namesto na Port4 dati na enega od LAN portov na Asusu? Kaj pa bi moral vnesti ali nastaviti na Asusu, da se nastavi bridge? Z bridgei in VLANi se namrec se nisem veliko ukvarjal in nisem tako domac.

A LAN IP od modema pa lahko v vsakemu primeru zamenjam v takega, ki bo dostopen iz notranjega omrezja (torej iz 192.168.1.1 na npr. 192.168.29.99, ce so ostale masine 192.168.29.xx) - in se ne bo "teplo" s kaksno drugo konfiguracijo?
(Zaenkrat lahko dostopam do modema samo ce vnesem v Asusu ti dve vrstici (ki sem jih nekje "pobral")
ifconfig vlan1:0 192.168.1.2 netmask 255.255.255.0
iptables -I POSTROUTING -t nat -o vlan1 -d 192.168.1.0/24 -j MASQUERADE
ker je v LANu pac drug rang 192.168.x.y.)

Aja, pa da ne bo pomote... Do Boxa (ali iz Boxa) ne rabim(o) nobenega "lokalnega dostopa" iz LANa (za predvajati fotografije z racunalnika ali nevemkajvsese ponujajo).
Zgolj to, da bo deloval, kot mora (torej tudi EPG, vreme/novice/ipd., kar je sedaj prazno; npr. v sporedu je vsaka oddaja "Neznana oddaja", pri videoteki pa pri vseh javi, da vsebina trenutno ni na voljo), in da ob tem ne bo kuril pasovne sirine od interneta ali "ogrozal varnosti" LANa. ;)

BlueRunner ::

Varianta 1 se mi "od oka" zdi bolj varna od variante 2 (neposredna fizicna povezava LAN in WAN...).


Glede varnosti je oboje pr' en glih. Če modem sam nima vzpostavljene PPPoE povezave, potem je ves promet, ki pride do njega mimo, razen PPPoE prometa, ki ga "prepušča" skozi. Ena varianta vključuje več packanja po DD-WRT, druga varianta pa več packanja s kabli. Tako, da je izbira predvsem stvar želja in možnosti...

Tu bi torej moral prestaviti Asus iz Port1 na Port4, Box pa namesto na Port4 dati na enega od LAN portov na Asusu?

Da.

Kaj pa bi moral vnesti ali nastaviti na Asusu, da se nastavi bridge?

Setup -> Networking imaš nastavitve za "VLAN Tagging" in za "Bridging". Pri "VLAN Tagging" narediš ustrezne VLAN na WAN in LAN portih, pod "Bridging" pa najprej narediš nov prehod, potem pa v ta nov prehod dodaš ustrezna dva navidezna VLAN porta, ki si ju ustvaril v prvem koraku. VLAN ID za IPTV "promet" boš pa moral koga iz Telekoma prepričati, da ti ga pove, ali pa boš vzel v roke Wireshark in z njim nekaj časa prisluškoval na 4. vratih modema, da boš ujel kateri ID se uporablja.

Pa najprej si naredi varnostno kopijo nastavitev... če boš kaj zašuštral, boš moral narediti celoten reset in potem znova od začetka.

A LAN IP od modema pa lahko v vsakemu primeru zamenjam v takega, ki bo dostopen iz notranjega omrezja (torej iz 192.168.1.1 na npr. 192.168.29.99, ce so ostale masine 192.168.29.xx) - in se ne bo "teplo" s kaksno drugo konfiguracijo?

Da. Na takšen način boš še vedno lahko dostopal do modema in na njemu ne bo nič prenehalo delovati. Če pa boš želel vzpostaviti še 2. varianto, pa mu onemogoči tudi DHCP strežnik, da ne bosta dva istočasno kričala v to omrežje - če tega ne boš storil, bodo nekateri računalniki do interneta dostopali normalno (IP naslov prehoda .1 bodo dobili iz ASUS-a), nekateri pa ne (IP naslov prehoda .xxx bodo dobili iz modema). Seveda pri pogoju, da je modem pripet na LAN port ASUS-a in ne na WAN.

(Zaenkrat lahko dostopam do modema samo ce vnesem v Asusu ti dve vrstici (ki sem jih nekje "pobral")

Konfiguracija je ustrezna zato, ker modem pri tvoji trenutno postavitvi ne ve nič o tvojem privatnem omrežju, ki se "skriva" za ASUS-om. Zato tudi ne ve kam posredovati pakete, ki so naslovljeni za 192.168.29/24. Z NAT se skriješ za ASUS-ovim 192.168.1.xx IP-jem, ki je modemu lokalen in mu posledično zna vrniti paket nazaj na pravo napravo, ta pa nazaj pravem računalniku.

Aja, pa da ne bo pomote... Do Boxa (ali iz Boxa) ne rabim(o) nobenega "lokalnega dostopa" iz LANa (za predvajati fotografije z racunalnika ali nevemkajvsese ponujajo).

V vsakem primeru bo to, česar ne potrebuješ, postala stranska posledica pravilnega priklopa.

Zgolj to, da bo deloval, kot mora (torej tudi EPG, vreme/novice/ipd., kar je sedaj prazno; npr. v sporedu je vsaka oddaja "Neznana oddaja", pri videoteki pa pri vseh javi, da vsebina trenutno ni na voljo), in da ob tem ne bo kuril pasovne sirine od interneta ali "ogrozal varnosti" LANa. ;)

Ne bo šlo... Box del podatkov pridobiva iz nekega privatnega omrežja (zato imaš sedaj trunk port na modemu), drugi del pa iz interneta. Kaj točno od kje pa ti ne vem povedati, zagotovo pa so FB, vreme in ostale "internetne" vezane na to, da ga usposobiš v lokalnem omrežju in mu s tem tudi omogočiš kurjenje pasovne širine.

Glede na to, da pa imaš DD-WRT, pa mu lahko to pasovno širino omejiš oziroma mu tudi omejiš do česa bo sploh smel dostopati. Hkrati pa boš lahko videl tudi to, do česa sploh poskuša dostopati.

CyberPunk ::

Hvala za vse info, zdaj mi je zadeva bolj ali manj jasna (od Telekoma dobiš samo osnovne informacije, če nimaš glih sreče, da naletiš na ta pravega "referenta"). 8-)

BlueRunner je izjavil:


Glede varnosti je oboje pr' en glih. Če modem sam nima vzpostavljene PPPoE povezave, potem je ves promet, ki pride do njega mimo, razen PPPoE prometa, ki ga "prepušča" skozi.

Torej če prav razumem, to pomeni, da na modemovem Portu2, definiranem kot DATA (ob statičnem IPju) dejansko ne dobiš ničesar razen odzivov od modemovega DHCP serverja? In pri varianti 2 Port 2 in Port 4 na modemu med sabo delujeta zgolj kot switch (preko katerega iz Asusa pridobi Box tiste podatkovne streame, ki jih sicer ne more; torej podobno kot bi ("uradno") te podatke preko wifija dobil)?

Potem je varianta 2 v tem trenutku najhitrejša, dokler ne najdem VLAN ID od TV. A kaj veš, če je ID isti za obe naročeni TV liniji (in je vseeno, če ga posnifam na Portu3, kamor je že priklopljen VLC in Sagem STB, ali pa Portu4, kjer je Box)?

Z NAT se skriješ za ASUS-ovim 192.168.1.xx IP-jem, ki je modemu lokalen in mu posledično zna vrniti paket nazaj na pravo napravo, ta pa nazaj pravem računalniku.

Pa je sedanja postavitev, ko sta različna subneta, bolj varna od eventuelne nove (kjer je tudi modem isti subnet kot router in računalniki)?

Ne bo šlo... Box del podatkov pridobiva iz nekega privatnega omrežja (zato imaš sedaj trunk port na modemu), drugi del pa iz interneta. Kaj točno od kje pa ti ne vem povedati, zagotovo pa so FB, vreme in ostale "internetne" vezane na to, da ga usposobiš v lokalnem omrežju in mu s tem tudi omogočiš kurjenje pasovne širine.

OK, za tiste nedvomno "internetne" podatke ni problematično, ker je vse skupaj pač "še en računalnik", bolj sem bil "zaskrbljen", ker sem nekje zasledil, da tudi videoteka oz. VoD kuri internetni bandwidth - tu bi se pa lahko že ornk poznalo, če bi nekdo začel gledati kakšen film, pa bi na računalnikih bilo bolj malo bandwidtha na voljo. lahko pa so bile samo nepreverjene informacije.

BlueRunner ::

Torej če prav razumem, to pomeni, da na modemovem Portu2, definiranem kot DATA (ob statičnem IPju) dejansko ne dobiš ničesar razen odzivov od modemovega DHCP serverja?

Statičen IP tukaj ne igra vloge. Če modem ne vzpostavlja PPPoE povezave, potem na DATA portu dobiš od odvečnih stvari samo kakšen zablodel PPPoE paket, ki ti ne more škoditi. Ostalo je tvoje notranje omrežje in pod tvojim neposrednim nadzorom.

In pri varianti 2 Port 2 in Port 4 na modemu med sabo delujeta zgolj kot switch (preko katerega iz Asusa pridobi Box tiste podatkovne streame, ki jih sicer ne more; torej podobno kot bi ("uradno") te podatke preko wifija dobil)?

Da. Interno je ima ta modem, kot tudi 99% vseh tovrstnih naprav (tudi tvoj ASUS) na LAN segmentu en omrežni vmesnik, ki je vezan na kakšen generičen ethernet switch čip. Tako so eth1-eth4 porti samo porti na switchu, čeprav jih na modemu na žalost sam ne moreš konfigurirati v večjem obsegu, kot ti to dopušča Telekom. Konfiguracija portov "DATA", "VOICE", "VIDEO" in "TRUNK" ti dejansko samo ponastavi VLAN konfiguracije na tem switchu, podobno, kakor boš sedaj to počel na ASUS-u.

WiFi je pa dejansko tretji vmesnik za katerega je narejen "bridge" na LAN vmesnik in sicer neoznačen VLAN (untagged VLAN) na DATA porte. In ja... promet lahko na enem VLAN-u (eni broadcast domeni) brez večje škode pomešaš, če paziš na nekaj stvari. To, kar pa preko WiFi-ja pride do Box-a pa je internetni del komunikacije.

Potem je varianta 2 v tem trenutku najhitrejša, dokler ne najdem VLAN ID od TV. A kaj veš, če je ID isti za obe naročeni TV liniji (in je vseeno, če ga posnifam na Portu3, kamor je že priklopljen VLC in Sagem STB, ali pa Portu4, kjer je Box)?

Da. Isti je, ker mora biti isti. Če ne bi bil, potem stvari ne bi delovale. Ne boš ga pa mogel posnifati na portu 3 ali 4 (tam, kjer imaš označeno konfiguracijo "VIDEO"), ker pride ta promet na tem portu ven neoznačen (untagged). Če pa ni značke, pa tudi ne moreš ugotoviti kateri VLAN ID to je. Dejansko ga lahko posnifaš samo na "TRUNK" portu in nikjer drugje... to je tudi eden izmed razlogov, zakaj ta VLAN ID ni ravno široko poznan.

Pa je sedanja postavitev, ko sta različna subneta, bolj varna od eventuelne nove (kjer je tudi modem isti subnet kot router in računalniki)?

Odvisno pred kom in čem se ščitiš. Pri trenutni postavitvi mora nekdo najprej priti na modem, iz modema pa potem še na ASUS-a, da ti bi lahko "prodrl" v omrežje. Priti na modem ni ravno enostavno, ker v svetu ni ravno veliko sploit-ov, katerih tarča bi bil ravno modem. Priti na ASUS-a pa tudi ne, ker je DD-WRT aktivno se razvijajoč kos programske opreme, kjer se varnostne napake sprotno odpravljajo. Teoretično pa bi bilo tvoje lokalno omrežje izpostavljeno napadu ali nadzoru nekoga iz Telekoma, ki do modema zagotovo ima dostop.

Torej je to stvar stopnje paranoje do tvojega ISP-ja. Načeloma mu ni dobro zaupati kar tako na pamet, po drugi strani pa je vprašanje kaj bi lahko s tem napadalec sploh dosegel, kar ne more doseči že z dostopi do drugih sistemov znotraj Telekoma (iz vidika zlorabe storitev).

bolj sem bil "zaskrbljen", ker sem nekje zasledil, da tudi videoteka oz. VoD kuri internetni bandwidth - tu bi se pa lahko že ornk poznalo, če bi nekdo začel gledati kakšen film, pa bi na računalnikih bilo bolj malo bandwidtha na voljo.

Hmmm.... ne morem ti reči 100% kakšno je tukaj stanje, lahko ti pa rečem 99% zagotovo, da videoteka ne kuri internetnega dela povezave. To pa zato, ker deluje na Sagem-u, ki internetne povezave nikoli ni zares imel. Torej se VoD distribuira preko IPTV omrežja, ki je ločeno od tvoje internetne pasovne širine.

Vprašanje pa je, če to pokriva vse video vsebine na zahtevo, ker ima Telekom tudi neko I/O storitev, ki pa je dostopna preko spleta in računalnika. Posledično pa bi vsebine iz te storitve prihajale preko internetnega linka....

Sicer pa tudi ni logike, da bi "tapravi" VoD deloval preko internetnega dela, ker bi potem morali biti filmi kodirani na manj kot 1Mbit/s. Kar je najpočasnejša hitrost internetega dela povezave. Nekako potem ni logike v gledanju nečesa, kar se zatika ali pa nečesa, kar izgleda kot "smudge TV".

CyberPunk ::

BlueRunner je izjavil:


Da. Interno je ima ta modem, kot tudi 99% vseh tovrstnih naprav (tudi tvoj ASUS) na LAN segmentu en omrežni vmesnik, ki je vezan na kakšen generičen ethernet switch čip. Tako so eth1-eth4 porti samo porti na switchu, čeprav jih na modemu na žalost sam ne moreš konfigurirati v večjem obsegu, kot ti to dopušča Telekom. Konfiguracija portov "DATA", "VOICE", "VIDEO" in "TRUNK" ti dejansko samo ponastavi VLAN konfiguracije na tem switchu, podobno, kakor boš sedaj to počel na ASUS-u.
WiFi je pa dejansko tretji vmesnik za katerega je narejen "bridge" na LAN vmesnik in sicer neoznačen VLAN (untagged VLAN) na DATA porte. In ja... promet lahko na enem VLAN-u (eni broadcast domeni) brez večje škode pomešaš, če paziš na nekaj stvari. To, kar pa preko WiFi-ja pride do Box-a pa je internetni del komunikacije.

To je torej tale shema od Asusa. Zato imajo vsi LAN porti enak MAC...
Ce prav razumem Port4 (trunk) na modemu, je to dejansko "data+video"? Ob tem, da "data" nima nicesar, ker PPPoE vzpostavlja sele router, preko povezave LAN2(router)-Port2(modem/data) pa dobi tudi te podatke na Port4(modem/trunk). Ce grem v "finese" - kaksna bi bila potem razlika, ce bi na Port4 na modemu dal switch in nanj priklopil kabel iz LAN2 na routerju? Domnevam, da zgolj v tem, da bi LAN segment na routerju "izpostavil" video prometu iz modema (cesar na modemovem portu2 zaradi konfiguracije ni)?
Sicer pa bi verjetno lahko na Port4 dejansko prestavil "TV" switch iz Porta3 in bi nanj lahko priklopil tako Box kot Sagem in VLCje?
Pri eventulelni izvedbi v zacetku omenjene prve variante pa bi na LAN porte od Asusa lahko priklopil vse omenjeno.

Vprašanje pa je, če to pokriva vse video vsebine na zahtevo, ker ima Telekom tudi neko I/O storitev, ki pa je dostopna preko spleta in računalnika. Posledično pa bi vsebine iz te storitve prihajale preko internetnega linka....

Makes sense. Tisto, kar je tako ali tako v browserju (tudi Io.siol.net in YouTube), pac kuri internetno povezavo, vse ostalo pa je TV.

BlueRunner ::

Ce prav razumem Port4 (trunk) na modemu, je to dejansko "data+video"? Ob tem, da "data" nima nicesar, ker PPPoE vzpostavlja sele router, preko povezave LAN2(router)-Port2(modem/data) pa dobi tudi te podatke na Port4(modem/trunk).

Da. Podatke znotraj enega VLAN-a bo switch na modemu pridno razswitchal na vse ustrezne porte, kjer je ta VLAN prisoten. Vmes boš imel pomešan tudi PPPoE promet, ki pa ne bo brzel ven, ker si (pameten) switch zapomne na katerem portu se nahaja kateri MAC in bo MAC za telekomov usmerjevalnik vedno usmerjal na Telekom in ga ne bo vračal nazaj k tebi v omrežje. Switch ni hub predvsem v tem smislu, da ne razpošlje vsakega dohodnega paketa na vseh portih ven, ampak to dela po tabeli kje je kaj. To je tisto, kar prepreči, da ti bi PPPoE smetil nazaj v LAN.

kaksna bi bila potem razlika, ce bi na Port4 na modemu dal switch in nanj priklopil kabel iz LAN2 na routerju? Domnevam, da zgolj v tem, da bi LAN segment na routerju "izpostavil" video prometu iz modema (cesar na modemovem portu2 zaradi konfiguracije ni)?

Če boš dal vmes unmanaged stikalo, ti bo to najverjetneje odrezalo video VLAN, ker takšna stikala praviloma ne znajo posredovati paketov, ki vsebujejo VLAN oznako. Torej sem 90% prepričan, da ti bi LAN oz. PPPoE deloval, tisti VIDEO del pa ti bi verjetno odrezal.

Če bi zvezal trunk in LAN2 brez kakršne koli spremembe v konfiguraciji, ti bo ASUS zagotovo odrezal video LAN, ker pač ni nastavljen. Kabel lahko potegneš tudi tako, vendar pa boš še vedno moral nastaviti VLAN ID-je in porte kam se ta VLAN tagira in kam se ne tagira. Ne bi pa rabil delati mostu med WAN:VLAN na LAN:VLAN. Malo drugačna konfiguracija, ampak izvedljiva.

Ne priporočam pa ti, da bi zvezal netagiran VIDEO port iz modema direktno na LAN port na ASUS-u, ker ti bi multicast (gledanje TV-ja) najverjetneje ubilo WiFi povezavo. Pa tudi tega ne vem, kako, če sploh, dela IGMP snooping na DD-WRT. TV, ti bi potem na žici delal, verjetno pa ti bi odpovedali kaj drugega, zaradi poplave mc prometa.

Sicer pa bi verjetno lahko na Port4 dejansko prestavil "TV" switch iz Porta3 in bi nanj lahko priklopil tako Box kot Sagem in VLCje?

Nope. To ti pa ne bi delovalo, kot si misliš. Unamanged stikalo bo najverjetneje (90%+) odrezalo VIDEO VLAN, s čemer ti VIDEO ne bo deloval na Box-u. Tudi, če ga ne bo odrezalo, pa ti ne bo deloval video na STB in VLC, ker ta dva pričakujeta netagiran VIDEO promet, ki ga skozi takšno stikalo v nobenem primeru ne moreta dobiti. Internetni del Box-a pa ti tudi ne bo deloval, ker v port4 (trunk) še vedno nisi spravil svojega lokalnega omrežja, preko katerega se sploh da iti v internet.

Pri eventulelni izvedbi v zacetku omenjene prve variante pa bi na LAN porte od Asusa lahko priklopil vse omenjeno.

Zato, da boš omrežje vzpostavil v skladu s svojimi željami, potrebuješ t.i. managed switch. ASUS + DD-WRT je trenutno edini, ki ga imaš na voljo in si lahko pomagaš samo z njim. Ne morem ti pa kar tako svetovati nakup dodatnega web-managed stikala, ker najcenejša začno tam nekje pri 80EUR+.

Pesimist ::

To je hec ta box ja. Jaz ga ravno zarad tega nimam, ker se mi neda spuscat v vso to reconfiguracijo in moljenje da nebo novi firmware blokal tudi tv na pc. Trenutno imam stari prospero za kerega trdijo da negre nadgradit. Tak da sem se na varnem ce nimam boxa.

Zgodovina sprememb…

  • spremenilo: Pesimist ()

BlueRunner ::

V privzeti konfiguraciji, ki jo uprablja večina uporabnikov storitev SiOL, je zadeva poštimana. Problem je tam, kjer si ljudje iz različnih razlogov kupijo lasten usmerjevalnik. Tam pa se strinjam, da stvari nenadoma postanejo kar precej zaj***ne, če ne obvladaš mrežne tehnike.

Mislim pa, da se da z nekaj pomoči, volje in poskušanja stvar še vedno urediti v 99% vseh domačih postavitev.

Pesimist ::

problem ocitno postane samo v primeru staticnega ipja. Vsej kolko sem tu razumel. Ampak nevidim problema zakaj ne pustiti siol modemu da hendla pppoe. V mojem modemu sicer dnsji niso nastavljivi, tako da z uporabo googlov sem mega pospesil strani kot youtube... To bi mi seveda suxalo big time.

Zgodovina sprememb…

  • spremenilo: Pesimist ()

x.sci ::

BlueRunner je izjavil:

Glede varnosti je oboje pr' en glih. Če modem sam nima vzpostavljene PPPoE povezave, potem je ves promet, ki pride do njega mimo, razen PPPoE prometa, ki ga "prepušča" skozi. Ena varianta vključuje več packanja po DD-WRT, druga varianta pa več packanja s kabli. Tako, da je izbira predvsem stvar želja in možnosti...


Kolikor vem, je tule bistvena razlika (1 varianta je seveda bolj varna). Ce ima kdo kake informacije, da siol/telekom filtrira promet do tebe, bi bil vesel, ce bi jih delil. Samo po izkusnjah z nekaterimi drugimi slovenskimi isp-ji, bi rekel, da ne :)

Edit: Poleg tega ni treba zaupat telekomu, da ne bo nic pocel na tvojem omrezju, ker ne more (sicer ne da bi drugace imel kak razlog...).

Zgodovina sprememb…

  • spremenil: x.sci ()

BlueRunner ::

Kolikor vem, je tule bistvena razlika (1 varianta je seveda bolj varna).

Modem, ki vzpostavi PPPoE povezavo in opravlja vlogo usmerjevalnika je pr' en glih toliko varen kot ASUS/D-Link/Linksys/... usmerjevalnik, ki opravlja isto delo. Nanizati več takšnih naprav v verigo tako iz tega vidika bistveno ne povečuje varnosti.

Ce ima kdo kake informacije, da siol/telekom filtrira promet do tebe, bi bil vesel, ce bi jih delil.

To bi bilo relevantno, če bi bilo govora o temu, da PPPoE povezavo vzpostavlja neposredno PC. To pa tukaj ni bila niti ena izmed omenjenih možnosti.

Poleg tega ni treba zaupat telekomu, da ne bo nic pocel na tvojem omrezju, ker ne more

Operater, ki ima poln dostop do modema, kjer deluje NAT in požarni zid, ki ti enakovrednega dostopa ne omogoča, kar pomeni, da vseh nastavitev ne moreš sam neodvisno nadzorovati, ki je dejansko lastnik te naprave in, ki lahko na tej napravi kadarkoli ponastavi dostop do interneta, VLAN-e, nastavitve telefonije, NAT in nastavitve požarnega zidu po tvojem mnenju torej ni faktor tveganja, ker nečesa "ne more". Nope. Ne sprejmem. Verjamem, da tega ne počne, ker so znotraj firme verjetno lažji načini kako doseči karkoli bi že želeli doseči. Nikakor pa ne velja, da tega ne bi mogel početi. Ravno nasprotno. Uporabnik tega ne more početi, Telekom pa tehnično gledano to dejansko lahko počne.

x.sci ::

Poanta je ravno v tem, da med omrezje ponudnika (modem) in lastno lokalno omrezje postavis firewall (rutercek), katerega nadziras ti in ne tvoj isp. Posledicno isp ne more do tvojega omrezja, ce mu tega ne omogocis. Temu se odpoves, ce uporabljas modem kot ruter oz. switch. Ampak kot receno, v vecini primerov to ni problem, ker se pac ispju ne da ukvarjat s tem, kaj ti delas na domacem lanu (poleg tega, da je verjetno nelegalno).

Edit: Mogoce te je zmotila uporaba besedice bistveno v mojem prejsnjem postu. Gre se seveda s stalisca teoreticne varnosti, prakticno pa ni tako velike razlike (kot sem zgoraj napisal).

Zgodovina sprememb…

  • spremenil: x.sci ()

CyberPunk ::

Poleg varnosti (in funkcionalnosti, ki so na voljo) pa je vprasljiva tudi dejanska zmogljivost modema kot routerja/firewalla v primerjavi s kaksnim lastnim Asusom ali Linksysom... Kot se spomnim, je bila v prvih verzijah njihovih modemov ta funkcionalnost celo zaklenjena ravno iz razloga, ker so bili presvoh. Pri novem modemu (R3) pa vem, da takrat, ko je v omrezju najbolj pestro na vseh segmentih, ima ta se probleme s prikazom statusno-konfiguracijskih strani (rabi precej dolgo, da prikaze). Kaj bi sele bilo, ce bi mu dodelil se kaksno funkcijo... ;)

BlueRunner ::

Mogoce te je zmotila uporaba besedice bistveno v mojem prejsnjem postu. Gre se seveda s stalisca teoreticne varnosti, prakticno pa ni tako velike razlike (kot sem zgoraj napisal).

Jp. Zmotila me je tista "bistvena" razlika. Ki je dejansko ni, če sešteješ 1 + 1 in rečeš, da lahko tvoj ISP (protizakonito) večino škode naredi tudi pred tvojo pregrado. Tisto, da pa lahko pride za tvojo pregrado pa je že vprašanje, kaj bi tam sploh lahko dosegel, kar ne more doseči pred njo.

Sicer pa nimam nič proti zdravi paranoji in sam doma seveda uporabljam svojo varnostno opremo in se ne prepuščam dobri volji ISP-ja. :D

Poleg varnosti (in funkcionalnosti, ki so na voljo) pa je vprasljiva tudi dejanska zmogljivost modema kot routerja/firewalla v primerjavi s kaksnim lastnim Asusom ali Linksysom...

Mal gnarja, mal muzke. Modem je od najcenejšega ponudnika in je temu primerno tudi sposoben. Če si kje izbrskaš kakšen "odklenjen" primerek, pa se kar razglej po njemu. Boš ugotovil, da na mrežnem delu (switching) ni ravno podhranjen, je pa zagotovo podhranjen na aplikativnem delu - tam kjer deluje spletni vmesnik, SIP, uPNP, NAT, ... Torej je to tudi stvar tega kako ga lahko doma najbolj učinkovito uporabiš.

dukedl ::

Živjo

Imam mikrotik rb2011uas-2hnd, siolovo optiko in siolov box. siol bel modem je skonfiguriran kot modem in mi pppoe na prvem portu dela mikrotik.

video port na siolovem modemu je priključen v siolov box in tv dela bp. Težava je z epgjem, ker pač siolov box zdej nima dostopa do neta (tudi nima wifija). Premišljeval sem, da bi v mikrotik pripeljal video signal, nato pa na drugem portu združil z vlani oba signala (na netu sem našel da ma siol vlan0 za internet in vlan3999 za video) - ubistvu bi naredil trunk (kamor bi nato priklopil box). V teoriji naj bi delalo a ne? Kako se pa to v praksi izvede? Pa mislim, da mikrotik nima možnosti določitve vlana z idjem 0...

al ima kdo kakšno drugo rešitev?
Mimogrede, je možno narest, da bi šel iptv tudi preko mikrotikovega wifija (multicast to unicast)?

hvala za pomoč
lp dukedl

Tuhi ::

Hej.

V kolikor nimaš statičnega IP naslova lahko s svojim uporabniškim imenov dvigneš dve PPPoE seji. Torej eno imaš normalno na mikrotiku kot dosedaj, drugo pa dvigni na modemu in bo služila samo internetnemu dostopu za siolbox.

Lp

dukedl ::

mnja, žal imam statičen ip :)
lp dukedl

kihc ::

Zdravo,

ali je komu uspelo rešit to zadevo (lasten ruter s PPPoE in statičen IP)? Namreč, jaz sem po zgornjih nasvetih povezal DATA port na modemu na WAN na ruterju (kjer se vzpostavi PPPoE) in nato iz ruterja še en kabel v drug DATA port - ampak gre modem v reboot, naj bi šlo za loop?

Za varianto da bi mi ruter TRUNK port razdelil na posamezne VLANe pa žal nimam dovolj portov na ruterju. Ruter je drugače Mikrotik.

LP
Miha
6e673e69b8f91709aefa16c3594bb113


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Telekom Neo in Asus router

Oddelek: Omrežja in internet
201699 (667) simpleshop
»

ASUS RT-N66U 3x (strani: 1 2 )

Oddelek: Omrežja in internet
786707 (5296) styled
»

Modem -> Router, statičen IP

Oddelek: Omrežja in internet
171830 (1504) crniangeo
»

IPTV in WLAN na RUCKUS 7811+7111

Oddelek: Omrežja in internet
193991 (3194) CyberDuck
»

ADSL modem -> Switch -> Router, kako da so vsi v istem subnetu?

Oddelek: Omrežja in internet
383965 (3484) SasoS

Več podobnih tem