Gå til innhold

Edgerouter spørsmål


Anbefalte innlegg

Ja, nå har jeg fått satt opp en edgerouter her. Er ikke så kyndig på det her. Etter mye lesing og "studering" har jeg fått til både internett og TV. Har også fått blokkert tilgang til barna basert på MAC adresser. Det jeg egentlig kunne tenkt meg var heller og hatt ett eget vlan som ungene kunne brukt, som jeg kunne blokkert tidsmessig basert på VLAN/subnet, eventuelt blokkere på MAC på det aktuelle subnet. Er dette mulig å få til? Eventuelt hva blir jeg nødt til å gjøre for å få det til?

 

Litt tungvindt slik det er i dag. Ved å blokkere MAC adresser på WAN OUT så blokkerer jeg jo for de uansett hvilket nett de er på. Hvis jeg da skal vike fra regelen så blir jeg nødt til å endre på alle ungene, ja tungvindt. Ser heller for meg en brannmur regel på VLAN50 som bare stenger tilgangen på hele VLAN'et

Er dette mulig å få til?

 

Legger ved config fil hvis det er noen som har lyst til å ta en titt, sensurerte litt  :)

 

 

 

 

 

firewall {

all-ping enable
broadcast-ping disable
group {
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 20 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {q
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "Block MAC Adress"
rule 41 {
action drop
description IpadAir2
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 19:00:00
stoptime 17:00:00
weekdays !Fri,Sat
}
}
rule 42 {
action drop
description ns_Telefon
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 19:00:00
stoptime 17:00:00
weekdays !Fri,Sat
}
}
rule 43 {
action drop
description nsPC
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 20:00:00
stoptime 07:00:00
weekdays !Fri,Sat
}
}
rule 44 {
action drop
description ns_Telefon_Helger
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 20:00:00
stoptime 17:00:00
weekdays Fri,Sat
}
}
rule 45 {
action drop
description ncPC_Helger
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 20:00:00
stoptime 17:00:00
weekdays Fri,Sat
}
}
rule 46 {
action drop
description ens_Telefon
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 19:00:00
stoptime 17:00:00
weekdays !Fri,Sat
}
}
rule 47 {
action drop
description ens_Telefon_Helger
log enable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 20:00:00
stoptime 17:00:00
weekdays Fri,Sat
}
}
rule 48 {
action drop
description IpadAir2_Helger
log disable
protocol all
source {
mac-address
}
time {
startdate 2019-02-14
starttime 20:00:00
stoptime 17:00:00
weekdays Fri,Sat
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
}
ethernet eth1 {
address 192.168.1.1/24
description LAN1
duplex auto
firewall {
in {
}
}
speed auto
vif 50 {
address 192.168.50.1/24
description Ungene
mtu 1500
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
disable
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.10.1/24
description IPTV
duplex auto
firewall {
in {
}
}
mtu 1500
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
description "WAN IN SFP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
duplex auto
mac
speed auto
vif 100 {
description ALTIBOX_CONFIG
mtu 1500
}
vif 101 {
address dhcp
description "Altibox IPTV"
dhcp-options {
default-route no-update
default-route-distance 210
name-server update
}
}
vif 102 {
address dhcp
description "Altibox Internet"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth1
rule 1 {
description Plex
forward-to {
address 192.168.1.50
port 32400
}
original-port 32400
protocol tcp_udp
}
wan-interface eth5.102
}
protocols {
igmp-proxy {
interface eth3 {
role downstream
threshold 1
}
interface eth5.101 {
alt-subnet 172.21.0.0/16
role upstream
threshold 1
}
}
static {
route 172.21.0.0/16 {
next-hop 10.xxx.xx.1 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name IPTV {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 92
dns-server 10
lease 86400
start 192.168.10.2 {
stop 192.168.10.254
}
}
}
shared-network-name LAN1 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
static-mapping AcProKjkkenet {
ip-address 192.168.1.2
mac-address fc:
}
static-mapping AcProSoverom1Etasje {
ip-address 192.168.1.3
mac-address fc:
}
static-mapping AcProSoverom2Etasje {
ip-address 192.168.1.4
mac-address fc:
}
static-mapping AcProStue2Etasje {
ip-address 192.168.1.5
mac-address fc:

}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.254
}
}
}
shared-network-name VLAN50 {
authoritative disable
subnet 192.168.50.0/24 {
default-router 192.168.50.1
dns-server 8.8.8.8
lease 86400
start 192.168.50.2 {
stop 192.168.50.254
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 10000
listen-on eth1
listen-on eth2
listen-on eth3
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
repeater {
interface eth1
interface eth2
}
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth5.102
type masquerade
}
rule 5011 {
description "MASQ for ALTIBOX IPTV"
destination {
address 172.21.0.0/16
}
outbound-interface eth5.101
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
domain-name home
host-name edgerouter
login {
user us {
authentication {
encrypted-password
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Oslo
}

 

Lenke til kommentar
Videoannonse
Annonse

ser i configen din at du referer til ac pro. Jeg tar utgangspunkt i det er accesspunktet du bruker, da må du sette opp port mot AP som en trunk med native vlan LAN1 og tagget vlan50.

Deretter oppretter du en ny ssid på AP og mapper denne mot vlan50, deretter går du til firewall instillinger og legger på en regel som går på vlan50-out og lager regler for å blokkere trafikken der.

  • Liker 1
Lenke til kommentar

ser i configen din at du referer til ac pro. Jeg tar utgangspunkt i det er accesspunktet du bruker, da må du sette opp port mot AP som en trunk med native vlan LAN1 og tagget vlan50.

Deretter oppretter du en ny ssid på AP og mapper denne mot vlan50, deretter går du til firewall instillinger og legger på en regel som går på vlan50-out og lager regler for å blokkere trafikken der.

 

Ja, har gjort alt det unntatt det med uthevet skrift. Er der jeg sliter. Men det får komme litt etterhvert tenker jeg. Her var det mye å sette seg inn i  :)  <---Var det jeg først hadde tenkt til å skrive, men etter å ha sitti å knåla i lenger tid så har jeg utrolig nok fått det til  :w00t:

 

Routeren er konge den. Syntes den var litt for avansert til å begynne med men ting går sakte men sikkert strake vegen forut  :)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...