Vastattu

Elisa Netti Lite (Arris-kaapelimodeemi) ja oma palomuuri

  • 2 November 2022
  • 16 kommenttia
  • 211 katselukerrat

Taloyhtiössämme on käytössä Elisa Netti Lite Arriksen-kaapelimodeemilla, jonka kaikki neljä Ethernet/RJ45-liitäntää on eri käyttötarkoituksessa, joista osa on tarpeen eristää talon sisäisessä LANissa toisistaan omalla palomuurilla (kaapelimodeemihan sisältää WAN/LAN välisen palomuurin, muttei LANin porttien välillä. Aikaisemmin oman palomuurin kanssa ei ollut ongelmia, mutta joku aika (1-2kk) sitten tilanne muuttui, ettei nettiin enää päässyt/pääse esim. selaimella, jos oma palomuuri oli välissä. Ensiksi ajattelin, että oma ZyXELin palomuuri on mennyt rikki, mutta nyt kun on ollut aikaa tutkia asiaa tarkemmin, myös toisen, vastaavan ZyXELin palomuurin kanssa, niin kummassakaan palomuurissa ei vaikuttaisi olevan mitään vikaan. Yhdistelmästä tietokone - ZyXEL - Arris menee kyllä läpi Ping Elisan nimipalvelimelle (DNS), mutta mikään monimutkaisempi protokolla (esim. POP/sähköposti tai HTTP(S)/selain) ei siitä menekään läpi. Kun ZyXELin palomuurin poistaa välistä, niin yhteydet pelaavat. 

 

Sisäverkon (LAN) puolella ei siis ole tapahtunut mitään muutoksia, joten tiedustelen onko Elisan verkon määrityksissä tapahtunut jotakin muutoksia, joka estää oman palomuurin käytön LANin puolella? DHCP ym. asetuksen olen tarkistanut moneen kertaan, eikä LANin puolella tai Arriksin asetuksissa ole tehty mitään muutoksia, vaan nettiyhteys lakkasi vain toimimasta, jos välissä on ZyXELin palomuuri.

 

icon

Vastauksen tähän kysymykseen jakoi MacJore 3 November 2022, 13:54

Katso alkuperäinen viesti

16 kommenttia

Käyttäjätaso 2

Siinä on tupla NAT nyt käytössä, voi sekoittaa pakkaa. Zyxelin asetuksissa jotain vikaa veikkaisin. Postaa zyxelin asetussivut tänne niin niistä näkee heti...

Jupe76: Asetuksiin (Arris eikä ZyXEL) ei tehty muutoksia, vaan nettiyhteys Pingiä lukuunottamatta vaan lakkasi toimimasta. Siksi kyselin mahdollisista muutoksista Elisan verkon puolella. 

Epäilin siis ensin vanhan ZyXELin hajonneen, kokeilin toisella vastaavilla asetuksilla (oli valmiina asetuksineen varapalomuurina), ei auttanut, kumpikin palomuurilla sellaisilla asetuksilla, joilla toimi aikaisemmin,  näiden/vastaavien laitteiden asetusten kanssa olen touhunnut aina sieltä ADSL-ajoista lähtien, sitä ennen mm. modeemien kanssa :-) 

 

Käyttäjätaso 2

Joo ja minä vielä kauemmin. Siinä saattaa olla että zyxeliin on tullut autom. softapäivitys/sähkökatko/venäläiset ja se on muuttanut asetuksia. Kuulostaa siltä että zyxel blokkaa kaiken tcp liikenteen lan->wan. Ping käyttää icmp:tä. Palomuurin asetuksia lähtisin eka laittaan tehdasasetuksille ja sitten resetoi koko modeemi. Tuplanatin ei periaatteessa pitäis vaikuttaa mutta saattaa vaikuttaa. Verkot pystyy jakamaan virtuaalisesti osasiin perustamalla kytkimen (arris) lan-porteille erilliset VLAN-ryhmät jos arris sitä tukee joten et vältsysti tarvii koko zyxeliä. Postaa vaan rohkeesti ne zyxelin webguin näytöt siitä näkee kaiken tai laita yv.

Käyttäjätaso 2

Elisan verkossa tuskin mitään häikkää jos arris saa Elisan dhcp:ltä ip-osoitteen jne. Epäilen zyxelin asetuksia. Ne voi mennä segasi erilaisissa tilanteissa

Sen verran vanhat ZyXELit, ettei ole saatavissa päivityksiä, kaapissa varalaitteena olleeseen ZyXELiin eivät sähköt eikä venäläiset ole päässet vaikuttamaan :-D

Arris-kaapelimodeemissa ei ole mahdollisuutta määritellän LANin porteille VLANeja. 

Miksi ZyXEL olisi ilman mitään muutoksia itsestään alkanut blokata TCP-liikennettä?

Tuon tehdasasetuksilla käytön voi vielä jossain vaiheessa tehdä (kunhan ehdin). 

Käyttäjätaso 2

Nuo kuluttajatason vehkeet menee joskus täysjumiin ilman mitään syytä, tehdasasetuksille palautus saattaa auttaa. Vika voi olla kyllä lukemattomissa muissakin paikoissa kuten esmes zyxeliin kytketyissä laitteissa, arriksessa tai erittäin epätodnäk Elisan päässä. Komboja on monia ja vaikea neuvoa ilman pääsyä asetuksiin. Lokeista näkyy aika paljon jos niitä on eri laitteissa. Laitevika tuskin usein nuo hajoo niin että joko toimii tai ei toimi ja kaikkea sitä väliltä. Kaikki on nähty.

Kuten jo alkuperäisessä viestissä kerroin Arris je verkkoyhteys toimii sen kautta ilman välissä olevaa ZyXELin palomuuria, jonka asetukset on tarkistettu (kahdellakin eri palomuurilla), joilla toimi aikaisemmin. LANin puolella ei siis MITÄÄN muutoksia ZyXELin asetuksia myöten (kokeiltu myös joitakin muita vaihtoehtoja, esim. poistettu ZyXELin palomuuri pois päältä asetuksista. Mikään ei indikoi, että  ZyXELin palomuurit olisivat menneet rikki (LAN-WAN), muttei sitä voi testata, kun vain käytössä vain tämä yksi Elisan WAN-yhteys.

 

Käyttäjätaso 2

Kuten sanoin vika voi olla lukemattomissa paikoissa. Saako zyxel oikeat osoitteet arriksen dhcp-palvelimelta, saako clientit oikeat osoitteet zyxelin dhcp-palvelimelta? Onnistuuko dns-kyselyt (nslookup)? Toimiiko tracert dns nimillä ja ip-osoitteilla esmes Googlen dns palvelimeen 8.8.8.8 jne. Näillä perustyökaluilla pystyy määrittelemään hyvin tehokkaasti mihin liikenne pysähtyy. Tee toki ensin zyxeliin ja ehkä arrikseenkin tehdasasetusten palautus ja nollaa clienttien verkkoadapterit. Lokeja tiiraamalla voi saada myös osviittaa ongelman laadusta. Se että hokee että lan-puolelle ei oo tehty muutoksia ei auta vaan lusikka kauniiseen käteen ja troubleshoottaamaan

Käyttäjätaso 7
Kunniamerkki +3

@MacJore - Kyllä tämä itsellekin kuulostaa siltä, että kyse on tuosta tupla NAT:sta mistä @Jupe76 mainitsi. Tupla NAT:n takaa ei oikein saa tietääkseni yhteyttä esimerkiksi sähköpostipalvelimeen.

Käyttäjätaso 7
Kunniamerkki +4

kaikki neljä Ethernet/RJ45-liitäntää on eri käyttötarkoituksessa, joista osa on tarpeen eristää talon sisäisessä LANissa toisistaan omalla palomuurilla

Mitä nuo muut kolme laitetta Zyxelin palomuurin ohella ovat? Tarvitseeko niiden olla osoitemuunnoksen eli NAT:in takana? Pelikonsolille julkinen ip-osoite olisi parempi kuin muunnettu osoite. IOT laitteille osoitemuunnoksen takana pitäminen on sen sijaan turvallisempaa.

┈─┈

Jos Arrikseen kytketyillä laitteilla saa olla kaikilla julkinen ip-osoite, eikä niiden tarvitse pystyä viestimään keskenään, suoraviivaisin ratkaisu olisi kääntää Arriksesta langaton lähiverkko pois päältä ja sillata koko laite.

Tällöin kaikki Arrikseen kytketyt laitteet saisivat julkiset ip-osoitteet, jolloin sisäverkkojen asetuksiin ei tarvitse paneutua.

┈─┈

Jos Arriksen takana olevien laitteiden tulee olla NAT:tin takana, silloin täytyy varmistaa, ettei minkään reitittimen osoiteavaruudet mene päällekäin. Jos sekä Arris että Zyxel ovat molemmat esimerkiksi 192.168.100.1, niin tuohan ei kerta kaikkiaan voi toimia.

Operaattorin toimittaman laitteen asetukset voivat muuttua ohjelmistopäivityksen yhteydessä.

Varmista siis, että laitteiden osoiteavaruudet eivät ole muuttuneet itsekseen. Tyypillistä verkkomaskia 255.255.255.0 käytettäessä varmista siis, että Arris on esimerkiksi 192.168.0.1 ja Zyxel 192.168.1.1. Lihavoidut numerot eivät saa olla molemmissa reitittimissä samoja. Luvun tulee olla väliltä 0 – 255.

Zyxelin asetuksista kannattaa myös varmistaa, etteivät palomuurisäännöt ole jotenkin seonneet tilaan kaikki kielletty.

Tupla NAT:n takaa ei oikein saa tietääkseni yhteyttä esimerkiksi sähköpostipalvelimeen.

Sähköposti ja www-selailu toimivat kyllä vaikka tripla-natinkin takaa.

Hieman vaativampien protokollien kanssa voi tulla ongelmia. Mikäli tökkivä protokolla käyttää tiettyjä portteja, sen saa usein toimimaan määrittelemällä jokaiseen nattiin tarvittavat portinohjaukset. Joskus joutuu myös määrittelemään sovelluksiin ulkoverkon ip-osoitteen käsin.

Täysautomaattiset natinkiertoratkaisut voivat lahota moninkertaiseen nattiin, kuten esimerkiksi Microsoft Skype.

Käyttäjätaso 2

Tupla tai moninkertaisempi NAT ei oikein konfiguroituna vaikuta sposti/http jne. protokolliin kuten @irritus mainitsi. Päällekkäiset osoiteavaruudet NAT:in eri kerroksissa ei pitäisi teoriassa vaikuttaa koska julkisen internetin osoitteet ovat sisäisten osoiteavaruuksien ulkopuolella. käytännössä jos kaksi reititintä peräkkäin samassa osoiteavaruudessa niin jäljempi reititin (zyxel) ei vältsysti osaa lähettää ulkopuolelle menevää pakettia arrikselle osoitteeseen 192.168.x.1 (näin joss sekä zyxelin että arriksen ip:t samat)

Tarvitseeko Zyxelin tehdä osoitteenkääntö? jos ei, niin silloin nat ja dhcp pois ja palomuuri päälle ja koko höskä samaan osoiteavaruuteen jollon zyxelissä kiinni olevat LAN-puolen laitteet hakevat dhcp-osoitteen arrikselta ja käyttävät arrista DNS-palvelimena ja gatewayna.

ilman screenshotteja arriksen ja zyxelin konfiguraatiosta tätä on todella vaikea diagnosoida.

Käyttäjätaso 7
Kunniamerkki +4

Päällekkäiset osoiteavaruudet NAT:in eri kerroksissa ei pitäisi teoriassa vaikuttaa koska julkisen internetin osoitteet ovat sisäisten osoiteavaruuksien ulkopuolella.

Kyllä se vaikuttaa, jos kaksi samaa osoiteavaruutta käyttävää laitetta on kytketty toisiinsa.

Kerrosvoileipänä tuo toki toimii. Julkinen → 192.168.1.1 → 192.168.100.1 → 192.168.8.1 → 192.168.1.1 nelinkertainen osoitemuunnos toimisi, koska kaksi 192.168.1.1 reititintä ei ole kytketty toisiinsa, vaan välissä on kaksi muuta reititintä eri osoiteavaruuksissa.

 

Tarvitseeko Zyxelin tehdä osoitteenkääntö? jos ei, niin silloin nat ja dhcp pois ja palomuuri päälle ja koko höskä samaan osoiteavaruuteen

Yleensä palomuurit toimivat ainoastaan reitittävässä tilassa, joten näillä asetuksilla Zyxel ei enää palomuuraa mitään, vaan se toimii pelkkänä Ethernet-kytkimenä.

Toisin sanoen, palomuurilaitetta on mahdotonta saada Arriksen kanssa samaan osoiteavaruuteen niin, että palomuuraus vielä toimii.

Peliä ei ole kuitenkaan vielä kokonaan menetetty.

Palomuurilaitteen voi vaihtaa nat-reitityksestä aitoon reititykseen, jolloin nat-tasoja on käytössä vain yksi, Arriksessa, mutta aliverkoja on silti useita. Tämä konfiguraatio voisi mennä esimerkiksi näin:

Arris

  • nat päällä
  • lan-osoite 192.168.0.1, maski 255.255.255.0
  • kiinteä reitti 192.168.1.0, maski 255.255.255.0, yhdyskäytävä 192.168.0.2
  • varmista, että 192.168.0.2 on vapaana Zyxeliä varten

Zyxel

  • nat pois
  • reititys ja dhcp päällä
  • lan-osoite 192.168.1.1, maski 255.255.255.0
  • wan-osoite 192.168.0.2, maski 255.255.255.0, yhdyskäytävä 192.168.0.1.
  • nimipalvelimet Elisa 193.229.0.40 ja 193.229.0.42 tai maun mukaan
Käyttäjätaso 7
Kunniamerkki +4

Onko Zyxelissä VPN käytössä?

Jos on, eihän VPN-yhteys ole mennyt poikki ja asetukset edellyttävät, että kaiken liikenteen tulee kulkea VPN-tunnelin kautta?

Käyttäjätaso 2

@irritus tiedät kyllä mistä puhut 👍

Käyttäjätaso 7
Kunniamerkki +4

Eihän tuo Zyxelin palomuuri vain ole samaa ikäluokkaa Prestige 660-sarjan ADSL-modeemien kanssa? Prestige 660-sarjalaisista ethernet-portit tuppaavat iän myötä hajoamaan.

Kannattaa pingata Zyxeliä tai Zyxelin läpi Arrista isoilla paketeilla muutaman minuutin ajan. Jos Zyxel alkaa olemaan ser-kamaa, pienet paketit voivat vielä päästä läpi, mutta isoja hajoaa matkalla.

Jos Zyxelin osoite on 192.168.1.1, Windowsissa pitäisi siis loitsuta ping -n 180 -l 1472 192.186.1.1 tai Linuxissa ping -c 180 -s 1472 192.186.1.1

Tästähän syntyi mielenkiintoinen keskustelu, kiitoksia kaikille ja erityisesti Supersankarille (irritus).

Vanhoja nämä Zyxelit ovat, joten ensin epäilinkin niitä, nyt kuitenkin kävi niin, että “valohoito” auttoi eli kun palautin sen vanhemman Zyxelin takaisin käyttöön niin ainakin peruskäyttö (selain/sposti) toimii kuten pitääkin.

Zyxelin (tai Arriksen) asetuksiin ei siis tarvinnut tehdä varsinaisia muutoksia, mutta tässä ketjussa hyvä vinkki NATin poistosta (vastaisuuden varalle). 

Elisa Netti Lite on siis yritysliittymä (tässä tapauksessa taloyhtiön), joten toiveena olisi, että kaapelimodeemissa pystyisi eristamään portit toisistaan, esim. omiksi VLANeiksi,   Arris TG2482-kaapelimodeemissa tätä ominaisuutta ei ole.

 

Osallistu keskusteluun