הגדרת Eero pro עם מודם

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.

מנהל: מנהלי HTPC ועיבוד תמונה

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #16 

compman112 כתב: pfsense אני מבין שזה קוד פתוח, אפשר להתקין את זה על rpi? או על שרת unraid?
או שאני חייב מחשב ייעודי.
האם זה סוגר את כל הפינה של התקפות זדוניות, פילטור תכנים וכו'?
...
דבר ראשון, נכון לכרגע אין לי ניסיון עם pfsense, דווקא יש לא מעט כאן בפורום עם ניסיון וקיוותי שהם ירימו את הכפפה.

בכל אנסה לענות למיטב ידעתי: pfsense חזק יחסית ולדעתי יהיה הרבה יותר "לסגור את כל הפינה..." מכל פתרון אחר. מה שכן אני לא בטוח עד כמה זה להתקין וגמרנו, אין פה קיצורי דרך, במיוחד בנושאים של אבטחה צריך הבנה מסויימת בנושא ולקנפג את הציוד בצורה מתאימה ולעקוב אחרי עדכונים והתראות וכו'. ממה שאני מכיר לעשות את כל זאת עם pfsense הרבה יותר קל ויעיל מאשר בפלטפורמות אחרות, במיוחד יחסית לאופציות האחרות שהועלו כאן.

לגבי החומרה, זה כנראה תלוי באיזה ביצועים אתה רוצה ממנו. ככל שאתה מחפש להפעיל יותר תכונות ולקבל ביצועים תצטרך חומרה יותר חזרה. לגבי השאלות שלך, למיטב הבנתי אפשר להריץ pfsense על unraid VM. על ה-pi אין תמיכה רישמית וזה כנראה גם מאד בעייתי כי pfsense לא מכוונים ל-ARM, אבל לדוגמא openwrt כן אפשר להתקין:
https://medium.com/swlh/raspberry-pi-as ... 9afc7a9574
compman112 כתב:יש שירות שיכול לתת לי לדוגמא גם מידע על התעבורה ברשת בבית בנוסף?
quad9 זה לא דומה בעצם לpihole? אני הרי שם DNS חדש.
...
שוב אין לי ניסיון עם pihole ולכן העדפתי שמישהו אחר יענה אבל למיטב הבנתי:

א. בצורה גסה הייתי אומר שאלה שני דברים מקבילים, ה-pihole יושב אצלך בבית ויש לך שליטה מלאה על הסינונים שלו, ובין אם אתה משתמש ב-pihole או לא תמיד בסופו של דבר תפנה לשרת DNS חיצוני מסויים (עם או בלי סינון).

ב. pihole מכוון בראש וראשונה לחסום פרסומת אבל בסופו של דבר עובד ע"י קבלת blacklist וחסימת בקשות DNS לפני ה-blacklist. במובן הזה, בהנחה שיש רשימות blacklist טובות לחסימת אתרים זדוניים ואתה משתמש בהם, זה נשמע מקביל יחסית לשירות DNS שעושה סינון כמו לדוגמא quad9. השאלה היא רק האם אתה יותר סומך על ה-blacklist שנגיד quad9 מנהלים או על הרשימה שאתה נרשם אליה ב-pihole.

כמובן שזה רק חלק מהגמישות שיש לך ברגע שאתה מפעיל pihole, תקרא לדוגמא את השירשור הזה:
https://discourse.pi-hole.net/t/best-se ... -dns/27834

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #17 

eran405 כתב:
...
...
שוב אין לי ניסיון עם pihole ולכן העדפתי שמישהו אחר יענה אבל למיטב הבנתי:

א. בצורה גסה הייתי אומר שאלה שני דברים מקבילים, ה-pihole יושב אצלך בבית ויש לך שליטה מלאה על הסינונים שלו, ובין אם אתה משתמש ב-pihole או לא תמיד בסופו של דבר תפנה לשרת DNS חיצוני מסויים (עם או בלי סינון).

ב. pihole מכוון בראש וראשונה לחסום פרסומת אבל בסופו של דבר עובד ע"י קבלת blacklist וחסימת בקשות DNS לפני ה-blacklist. במובן הזה, בהנחה שיש רשימות blacklist טובות לחסימת אתרים זדוניים ואתה משתמש בהם, זה נשמע מקביל יחסית לשירות DNS שעושה סינון כמו לדוגמא quad9. השאלה היא רק האם אתה יותר סומך על ה-blacklist שנגיד quad9 מנהלים או על הרשימה שאתה נרשם אליה ב-pihole.

כמובן שזה רק חלק מהגמישות שיש לך ברגע שאתה מפעיל pihole, תקרא לדוגמא את השירשור הזה:
https://discourse.pi-hole.net/t/best-se ... -dns/27834
...
·
הבנתי, איך אתה מאבטח את הרשת הביתית שלך? את הבית החכם?
מה ההמלצה שלך אליי?



לגבי החיבור בין eero ל vr600, בגלל זה כל מה שמחובר דרך הוויפי הכתובת השתנתה ל192.168.4.1 וכו ומה שמחובר קווי הוא על 192.168.1.1 וכו.
לחבר לvr600 דרך הכניסה wan/lan ולא לכניסות lan האחרות?

מה בעצם ההשלכות?

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #18 

compman112 כתב: הבנתי, בגלל זה כל מה שמחובר דרך הוויפי הכתובת השתנתה ל192.168.4.1 וכו ומה שמחובר קווי הוא על 192.168.1.1 וכו.
לחבר לvr600 דרך הכניסה wan/lan ולא לכניסות lan האחרות?
...
ההשלכות שעולות לי לראש הם:

א. אם מכשיר מהרשת הראשונה, לדוגמא 192.168.1.17 רוצה לדבר עם מכשיר ברשת השניה לדוגמא 192.168.4.27 הוא לא יצליח (הוא ישלח את ההודעה ל-default gateway שזה ה-VR600 שלא ידע להעביר את זה ל-eero). הכיוון השני דווקא כן אמור לעבוד תודות ל-NAT (בקיצור רב אם 192.168.4.27 שולח הודעה ל-192.168.1.17 אזי הוא מעביר את זה ל-eero שיעשה NAT ויעביר את לרשת הראשונה תוך שהוא משתמש בכתובת שלו ברשת הזאת ולכן התקשורת תעבוד).

בנוסף כל דבר שמסתמך על broadcasts, כרגיל דברים של גילוי מכשירים ברשת וכו', לא יעברו בין הרשתות (לשני הכיוונים). כמובן שבתוך כל רשת בנפרד broadcasts יעבדו.

ב. כל המכשירים ברשת השניה 192.168.4 יהיו מאחורי double NAT. אם בגלל א' אתה מעביר את כל המכשיר לרשת השניה (הפתרון שלדעתי יותר הגיוני), אז בעצם כל המכשירים יהיו מאחורי double NAT.

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #19 

compman112 כתב:·
הבנתי, איך אתה מאבטח את הרשת הביתית שלך? את הבית החכם?
...
דבר ראשון אין לי בית חכם (אולי אם היה לי היה לי יותר חשוב הנושא של אבטחה). אני בין כה וכה משתמש ב-edgerouter ומבין יחסית בהגדרות שלו ובמה אני פותח החוצה (וכמובן דואג להתקין עידכונים). לפחות לכרגע אני לא מודאג מספיק מהנושאים האלה בשביל להרגיש צורך ביותר מזה (דברים כמו ניטור פעילות חשודה ברשת וכו'). אני בהחלט מקווה שבעתיד יהיה לי את הזמן והמאשבים ל"שחק" עם pfsense ולהבין את כל היכולות שלו אבל זה יותר מתוך עניין מאשר שאני מרגיש שאני צריך את זה לאבטח את בית שלי. כמובן אם היה מדובר על עסק רציני זה כבר משהו אחר....

עד עכשיו אפילו השתמשתי ב-DNS unfiltered אבל לאור כל הדיון כאן החלטתי לנסות את quad9 וכרגע החלפתי את ה-upstream DNS אליו, בתקווה לא יהיו בעיות.
compman112 כתב:·
מה ההמלצה שלך אליי?
...
זה מאד קשה להגיד, כל אחד וההבנה שלו בנושא ועד כמה הוא מודאג ורוצה להשקיע בנושא. לדעתי כל הפתרונות שהעלינו כאן לגיטימיים, כמה שידוע לי כמה ה-eero secure או פתרון "מוכן" אחר יכול להיות פתרון טוב אם אתה רוצה לקבל כמה שיותר שקט נפשי בלי להבין יותר מידי. במקרה שלך אם אני מבין נכון ה-eero secure מכריח אותך לעבוד ב-double NAT אז צריך להבין האם זה deal breaker בשבילך.

אל אף האמור לעיל, חשובה הבנה מסויימת ברשתות. לדוגמא אם אתה משקיע (כספית) ומתקין את ה-eero secure ונגיד שהם עושים עבודה מצויינת אבל במקביל אתה פותח פורטים בשביל הבית החכם, מי שינסה לפרוץ אליך לא מנסה להתקיף את ה-eero secure אלא פשוט מחפש פרוצות כמו לדוגמא פורטים פתוחים למוצר עם פרצות ידעות (אני לאוו דווקא טוען שיש פרצות אבטחה במוצרי הבית החכם שלך אבל יש לי הרגשה שרמת האבטחה שלהם כמה רמות פחות מכל האופציות שדיברנו בשירשור הזה).

כיוון אחד שמקובל להתחיל ממנו באבטחת רשת (כולל רשת ביתית), הוא להבין איזה שירותים אתה פותח לגישה
מכיוון האינטרנט ומנסה להעביר כמה שיותר מהם ל-VPN. בנוסף שוקל בחיוב להשתמש ב-VLANs להפריד בין המחשבים שאתה רוצה להגן עליהם ומכשירים שאתה פחות סומך עליהם (אולי בית חכם וכו'). שם לב שלא תוכל לעשות זאת עם הציוד שכרגע יש לך, אבל כנראה שאפשר להוסיף ראוטר ואולי סוויצ'ים מתאימים ולהשאיר את ה-eero בשביל הרשת האלחוטית (במצב bridge) ואת ה-VR600 כמובן כמודם בלבד לתשתית בזק.

הנושא הזה מאד מאד נרחב ואין אפשרות לכסות אותו בדיון כמו זה בפורמים. אתה צריך להחליט בדיוק ממה אתה מפחד (אם בכלל) ולנסות להבין איזה כיוון ראלי בשבילך להתמודד איתו. אם יש משהו מאד ספציפי שאתה מודאג ממנו ולא יודע איך להתמודד, אני מציע לפתוח שירשור חדש ולפרט.

עוד אופציה היא כמובן למצוא בעל מקצוע רלוונטי ולהיעזר בו.
compman112 כתב:·
לגבי החיבור בין eero ל vr600, בגלל זה כל מה שמחובר דרך הוויפי הכתובת השתנתה ל192.168.4.1 וכו ומה שמחובר קווי הוא על 192.168.1.1 וכו.
לחבר לvr600 דרך הכניסה wan/lan ולא לכניסות lan האחרות?
מה בעצם ההשלכות?
...
בתקווה הדבר היחיד שלא עניתי בפוסט לעיל הוא "לחבר לvr600 דרך הכניסה wan/lan ולא לכניסות lan האחרות?", אם אני מבין ה-vr600 משמש גם כמודם לתשתית בזק ולכן ה-wan/lan משמש כפורט lan נוסף. עד כמה שיודע לי אין שום הבדל בינו לפורטי ה-lan האחרים ואין משמעות לאן אתה מחבר מה.

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #20 

הבנתי תודה רבה.
אנסה לחקור לעומק יותר ברשת.
יש לי רישיון משפחתי של eset cyber security pro שהבנתי שעושה הרבה בעיות אם אני מפעיל על המחשב.

ד''א.
כל הפורטים שבמודם VR600 אמורים להיות עכשיו לא מחוברים? כל מה שאני מחבר אליהם בעצם יצור בעיה לרשת? אז אני מפסיד 3 חיבורי LAN למכשירים? או שעדיין אפשר לחבר לשם משהו

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #21 

עוד משהו שאני מנסה להגדיר משהו ונתקע.
למה הVR600מוגדר בתור 192.168.1.1 והeero כ 192.168.4.1+ ומעלה?
למה לא לשנות בvr600 את ה DHCP Server את הip גם בIPv4 ו-6 ל192.168.4.1?

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #22 

@compman112
·

בהנחה שאתה לא הופך אחד מהם ל-bridge אז לכל אחד מהם חייב להיות סבנט שונה. הסבנטים בהחלט לא חייבים להיות ספציפית 192.168.1.0 ו-192.168.4.0 אבל הם כן חייבים להיות שונים (במקרה של כתובת כאלה שונים במספר השלישי), וחייבים להיות מטווחי הכתובת השמורים לרשתות פרטיות:
https://en.wikipedia.org/wiki/Private_n ... _addresses

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #23 

eran405 כתב:@compman112
·

בהנחה שאתה לא הופך אחד מהם ל-bridge אז לכל אחד מהם חייב להיות סבנט שונה. הסבנטים בהחלט לא חייבים להיות ספציפית 192.168.1.0 ו-192.168.4.0 אבל הם כן חייבים להיות שונים (במקרה של כתובת כאלה שונים במספר השלישי), וחייבים להיות מטווחי הכתובת השמורים לרשתות פרטיות:
https://en.wikipedia.org/wiki/Private_n ... _addresses
...
·למה?
1. שאני נכנס להגדרות של vr600 הכתובת שהוא נותן לeero pro זה 192.168.1.180 לצורך העיניין, ושאני נכנס להגדרות של eero pro האייפי שלו זה 192.168.4.1.

2. נוצרה לי בעיה כי יש לי מחשב unraid שהכתובת שלו היא 192.168.4.xxx אבל אני מנסה להגדיר לדוקר פנימי כתובת אייפי קבועה (homebridge לצורך העיניין) שבנויה מ-4 אבל הוא אומר לי שהsubnet הוא 192.168.0.1...ואי אפשר. ולא משנה אם הגדרתי לו כתובת IP מ-4 או מ-1 אי אפשר להכנס פתאום (היה אפשר לפני).

3. זה לא נקרא בעצם הסיפור הזה double nat?
4. להפוך לברידג' אחד מהם - מה החסרונות ויתרונות של זה? אני חושב שהvr600 על מצב ברידג'
5. שאני פותח פורט, איפה אני עושה את זה? VR600 או eero pro? כי בשניהם יש אופציה

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #24 

@compman112
·

1. כן, ככה זה צריך להיות.

2. אין לי מושג מה אתה מנסה לעשות אבל אתה כנראה לא עושה זאת נכונה. תתחיל מחיפושים בגוגל איך לעשות את מה שאתה מנסה ואם צריך תפתח שירשור חדש עם כל הפרטים הרלוונטים ואולי מישהו שמכיר את הנושא יכול לעזור. אין שום קשר לכל הדיון כאן.

3. כן זה נקרא double NAT, ראה את כל הדיון שכבר נידון בהודעות הקודמות בשירשור הזה.

4. ראה את כל הדיון שכבר נידון בהודעות הקודמות בשירשור הזה.

5. זה אחד החסרונות של double NAT, די בטוח שכבר הרחבתי על הנושא באחד מהפוסטים הקודמים בשירשור זה. ב-double NAT אתה צריך לדעת מה שאתה עושה בשביל לפתוח פורטים. בגדול אתה מפנה את הפורט מהראוטר הראשון לשני ומהשני למכשיר הרלוונטי.

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #25 

הבנתי,
6. אי אפשר לשנות את הכתובת בVR600 שיהיה 192.168.4 ולא 192.168.1 וככה זה יעבוד?

7. יכול להיות שאם אני אחבר את המחשב unraid שמחובר קווי, ישירות לvr600, הוא. יהיה על כתובת IP 192.168.1.XX וככה זה יעבוד?

8. השאלה אם לדוגמא אני מתקין pihole על המחשב unraid שמחובר קווי לvr600 והוא 192.168.1.x, הוא יעבוד על כל הרשת כולל המכשירים עם אייפי 4 שמחוברים לeero?
כנ''ל לדוגמא homebridge שאני מניח שאתה יודע מה זה, שאני בעצם ישלוט על מכשיר דרך home של אפל (במידה ואתה יודע על מה מדובר כמובן), שהמכשיר הזה בעצם נוסף דרך הhomenridge, מה תיאורטית לא יעבוד טוב, החסרון של זה...?


תודה ערן על הסבלנות, אני לומד הרבה

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #26 

@compman112
·

6.
eran405 כתב: בהנחה שאתה לא הופך אחד מהם ל-bridge אז לכל אחד מהם חייב להיות סבנט שונה. הסבנטים בהחלט לא חייבים להיות ספציפית 192.168.1.0 ו-192.168.4.0 אבל הם כן חייבים להיות שונים (במקרה של כתובת כאלה שונים במספר השלישי), וחייבים להיות מטווחי הכתובת השמורים לרשתות פרטיות:
https://en.wikipedia.org/wiki/Private_n ... _addresses
...
·

7. הכל "יכול להיות", במיוחד שאתה לא מגדיר מה זה "יעבוד" (מבחינתי גם אם בכלל הכתובת לא תקינה ה-unraid עובד, אתה לא יכול לגשת אליו מהרשת כי הכתובת לא תקינה אבל זה "עובד"...).

8. לגבי pihole, יש לפחות 2 דרכים שונות שאני יכול לחשוב עליהם שזה אמור להיות תקף גם מהרשת השניה (כמו שכבר כתבתי הכיוון ההפוך הוא הבעייתי). לגבי ה-homebridge, אני לא מכיר ומחיפוש מאד מאד זריז לא מצליח להבין בדיוק איך זה עובד אז קשה להגיד. גם לא פירטת בדיוק איך אתה רוצה לחבר ולהגדיר אותו אז כנראה שגם אם הייתי מכיר לא יכולותי לענות.

ברגע שיש לך את כל השימושים "המסובכים" האילו, זה מאד בעייתי שיש double NAT, במיוחד כשאתה מתחיל לחבר חלק מהמכשיר ברשת הראשונה וחלק ברשת השניה. זה הופך כמעט כל דבר ללא טריוויאלי ודורש הבנה מסויימת ברשתות בשביל להגדיר נכון ולתחזק.

הפתרון במקרה שלך הוא להפוך את ה-eero ל-bridge. כן אתה מאבד את התכונות הרלוונטיות שלו אבל כל השימושים שאתה מתאר לעיל יעבדו בלי שתצטרך לעבור קורס ברשתות קודם...

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #27 

גם אם אני אחליף למודם על פנים שקיבלתי בעבר מבזק (dlink), זה לא יפתור את זה? איכשהו להעביר את המודם למצב bridge מלא?
תמיד במצב הנוכחי ישאר לי המצב של double nat...?

כי יש אפשרות בvr600 לשנות למצב bridge, אבל אין שם אופציה להכניס את הפרטי חיבור מבזק (משתמש וססמא), השאלה אם זה איכשהו עבר כבר לeero שאפשר למחוק את ההגדרה pppoe_ptm_0_0_d שבפנים יש את כל הInternet Connection Setup

eran405
סמל אישי של משתמש
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3132
הצטרף: פברואר 2012
נתן תודות: 306 פעמים
קיבל תודות: 692 פעמים

לינק להודעה #28 

@compman112
·
eran405 כתב: לגבי ה-pppoe, כבר רציתי לענות לך שעוד לא נתקלתי בראוטר שאין לו אופציה של pppoe, אבל כנראה שיש פעם ראשונה לכל דבר:
https://support.eero.com/hc/en-us/artic ... ort-PPPoE-
זה אומר שלא יהיה לך חיבור אינטרנט ללא ראוטר נוסף לפני ה-eero ואתה צריך להשתמש לדוגמא ב-VR600 כראוטר הראשי (לא bridge). על פניו האופציה הכי טובה היא להפוך את ה-eero ל-bridge ולהשתמש בו כ-AP בלבד. אין לי מושג מה זה ה-secure הזה שלהם, אבל אם זה חשוב לך אז בתקווה אתה יכול לחיות עם החסרונות של double NAT (מצב שאתה מחובר מאחורי ראוטר שמחובר מאחורי עוד ראוטר). הייתי מנסה את שתי הקונפיגורציות ורואה איזה עובדת לך יותר טוב.
...

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #29 

אוקיי הבנתי.
אופציה אחרונה , יש משהו שאפשר לעשות ולהתקשר לספק ולבקש מהם אולי שישנו משהו? או שאין קשר

compman112
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2521
הצטרף: יולי 2005
נתן תודות: 41 פעמים
קיבל תודות: 14 פעמים

לינק להודעה #30 

מצאתי משהו בפורום שלכם שמישהו רשם שהוא הפעילDMZ במודם שלו גם שלtp link וזה פתר לו משהו.
ההודעה שלו מתחילה ב Ok so am not an I.T expert , וזה לפני חודשיים
https://community.eero.com/t/m2mjka/fea ... -for-pppoe


האם הפעלת הפעלת הDMZ הזה לדעתך תפתור את הסיפור? קראתי קצת ברשת על זה וכתוב זה סיכון אבטחה להפעיל את זה.

שלח תגובה

חזור אל “רשתות, IT ומחשוב”