Let's encrypt ei saa asennettua sertifikaatteja koska VMG3925-B10B:n hallinta on portissa 80

  • 11 kesäkuu 2017
  • 11 kommenttia
  • 759 katselukerrat

Voisko Elisa ystävällisesti muuttaa hallintaportin johonkin muuhun kuin porttiin 80?
Tiedän että siirtämällä palvelimeni bridge-porttiin (liitteen kuvassa lan2) voin ogelmaa kiertää mutta se tuo mukanaan muita ongelmia kun palvelin ei olekaan samassa sisäverkossa.

Palstalla on pyydetty samaa asiaa aiemminkin, vähemmän yllättäen elisa ei ole viitsinyt vaivautua asiaa korjaamaan.

11 kommenttia

Tässä vielä mainittu liite
Käyttäjätaso 7
Kunniamerkki +3
Kun et jaksa enää odottaa korjausta ongelman syyhyn, kierrä se:

Jos käyttöjärjestelmäsi taipuu tähän, määrittele verkkosovittimelle kaksi IP-osoitetta, toinen DHCP ja toinen kiinteä 192.168.1.xxx, niin tietokoneesi on yhtä aikaa sekä internetissä omalla IP-osoitteellaan että sisäverkossasi.

Jos käyttöjärestelmäsi ei tähän suostu, kuten Windows, asenna tietokoneeseesi toinen verkkokortti ja kytke se kaksilla Ethernet-johdoilla VMG3925-B10B. Toinen johto modeemin sillattuun porttiin ja toinen reititettyyn porttiin.
Käyttäjätaso 7
Kunniamerkki +3
Hei! Välitän tuosta toivetta eteenpäin, jos tuohon hallintaliittymään saataisiin toista porttia tai vaikka itse säädettävää porttia päivityksellä jossain kohtaa mahdollisesti aikaiseksi. Siihen asti melkein tarvitsee toimia jollain kikkakolmosella, irritus laittoi todella hyvät vaihtoehdot mistä lähteä liikkeelle.
OS on Linux. Voisin harkita laittaa toisen interfacen (eth0) VDSL2:n lan-porttiin 2 jolloin saisi sieltä DHCP:llä IP:n ja koneessa oleva wlan0 olisi sisäverkossa 192.168.0. wlan joka on käytössä ei ole VDSL2:n wlan.

Default GW:n saanee ainakin VDSL2:n asetuksista jollei muualta, tai komennolla OS:stä. Näyttää pikaisen kuuklailun perusteella vaativan # sysctl -w net.ipv4.ip_forward=1 ja parit route-komennot. Haluan että default GW on eth0:ssa ja jos IP vaihtuu niin sitten tarvii gw:kin vaihtaa joka kerta joka tietysti onnistuu simppelillä scriptillä jonka voi laittaa croniin. Helpoin ratkaisu pitkässä juoksussa olisi vaihtaa VDSL2:n hallintaportti 80:stä johonkin muuhun (mutta EI 21, 22,123, 443 ym yleisesti käytössä olevat) jolloin palvelisi suurempaa elisan asiakaskuntaa.
Käyttäjätaso 7
Kunniamerkki +3
Jos muut sisäverkkosi laitteet menevät internettiin suoraan VMG3925-B10B kautta, ei route komentoihin tarvitse turvautua. Kun konfiguroit tietokoneesi hakemaan julkisen IP-osoitteen DHCP:llä ja asetat sisäverkon sovittimeen kiinteästi IP, maski ja DNS, mutta ei lainkaan yhdyskäytävää, homma toimii automaattisesti niin kauan kun sisäverkkosi ei ole jakaantunut useisiin aliverkkoihin.

Jos VMG3925-B10B perään on rakennettu useita aliverkkoja, tällöin on pakko määritellä yhdyskäytävä ja reitit.

# sysctl -w net.ipv4.ip_forward=1, IP Masqueradet sun muut tarvitaan mielestäni vasta, jos tietokoneesi hoitaa reititykset internetin ja sisäverkon välillä. Eli sisäverkko ei ole lainkaan yhteydessä VMG3925-B10B:hen.

Parasta toki olisi, että VMG3925-B10B laiteohjelmistoon tulisi korjaus, jolla hallintasivuston portin voi vaihtaa ja näin saada portin 80 vapautettua muuhun käyttöön.
Tarviipa kokeilla. Huomasin että smart-tv ottaa joka yö yhteyden jonnekin (ainakin nostaa IP:n itselleen pystyyn) ja tästä ei ole mainintaa manuaalissa. Pelottavia vehkeitä nuo TV:t, saattavat aivan hyvin lähettää tallettamansa kuvat ja äänet jonnekin joten ehkä vielä rakennan linux-koneesta routterin jolloin pääsen monitoroimaan/filtteröimään ja blokkaamaan yhteyksiä.
Toimii. Palvelimeni toinen "jalka" (eth0) on VDSL2:n portissa 2 ja saa public IP:n. Jalan pari (wlan0) on staattisella ip:lla sisäverkossa ja /etc/network/interfaces-filessä lukee:
---
auto wlan0
iface wlan0 inet static
address 192.168.0.111
netmask 255.255.255.0
up /sbin/ifconfig wlan0 192.168.0.111 up
wpa-essid Agent47
wpa-psk MostSecured
---

Lisäksi tietysti iptables ja fail2ban. Näillä mennään toistaiseksi.
Käyttäjätaso 6
Kunniamerkki +3
Selvitämme laitevalmistajan kanssa mahdollisuuksia toteuttaa alkuperäisessa viestissä ehdotettua muutosta. Tällä hetkellä meillä ei ole tarkempaa tietoa / aikataulua asiasta.
Hieno juttu!
Teknistä estettä portin vaihtamiselle laitteessa tuskin on.
Ei taida onnistua eikä elisaa kiinnosta. Kiinostaisiko edes avata CLI (komentorivipohjainen yhteys sisäverkosta) jolloinn voisi scriptata väliaikaisen porttiohjauksen workaroundina. Samaa CLI:tä voisi käyttää resetoimaan VDSL-purkki tarvittaessa. Yhteysnopeus on todettu käytännössä pikkuhiljaa hidastuvan ja "ivo-resetti" kerran viikkoon on toimiva purkkaviritys
Minun puolesta Dinosaurus-Elisa saa unohtaa tämän. Hommasin laitteen (Asus) johon elisa ei pääse sisälle ja jolla homma toimii.

Osallistu keskusteluun