EdgeRouter X - Ubiquiti - (ER X)

De BF Tp Link Deco M5 a fost la 650 ron (pachet de 3). Am luat un set...dupa cateva ore de joaca, sunt foarte multumit, ca viteza pe wifi e asemanator cu Archer c1200 in AP mode, dar seemless roaming face toti banii, mai ales daca device-urile sunt legate la retea prin cablu.

Edited by george_alexandru, 17 November 2019 - 19:10.

HOW TO
IPV6 PPPOE RDS - EDGEOS (INCLUSIV FIREWALL IPV6)
CONFIGURATIA ESTE VALIDA DOAR PENTRU EDGEROUTER-ELE CU PROCESOR CAVIUM, SI ANUME:
ERLITE-3, ERPOE-5, ER-8, ERPRO-8, EP-R8, ER-4, ER-6P, ER-8-XG (POSIBIL SI PENTRU ER-12, ER-12P, atata timp cat interfata lan folosita este routed si nu switched)
ADICA, DOAR PENTRU ECHIPAMENTELE CE NU AU UN SWITCH CHIP INCORPORAT.
CONFIGURATIA SE POATE ADAPTA SI PENTRU ROUTER-ELE CU PROCESOR MEDIATEK (ER-X, ETC).
TOTUSI TREBUIE PUTINA ATENTIE LA DEFINIREA INTERFATEI LAN CARE IN CAZUL ECHIPAMENTELOR MEDIATEK (CE AU UN SWITCH CHIP INCORPORAT) ESTE SWITCH0 (SWITCHX DUPA CAZ).

Exemplul de mai jos pleaca de la premisa ca exista deja o conexiune la internet via pppoe RDS (pppoe0) deja valida.

ASADAR,
SE VOR DEFINI PENTRU INCEPUT REGULILE DE FIREWALL IPV6 (descrierea regulilor este in engleza pentru a putea "compara" configuratia cu n exemple disponibile online)
WAN6_IN: CE VINE DIN INTERNET VIA IPV6 SPRE RETEAUA NOASTRA (ACCEPTAM DOAR CE S-A INITIAT DIN LAN SI RESTUL DROP)

configure
set firewall ipv6-name WAN6_IN default-action drop
set firewall ipv6-name WAN6_IN description 'WAN inbound ipv6 traffic forwarded to LAN'
set firewall ipv6-name WAN6_IN rule 10 action accept
set firewall ipv6-name WAN6_IN rule 10 description 'Allow established/related'
set firewall ipv6-name WAN6_IN rule 10 state established enable
set firewall ipv6-name WAN6_IN rule 10 state related enable
set firewall ipv6-name WAN6_IN rule 20 action accept
set firewall ipv6-name WAN6_IN rule 20 description 'Allow ICMPv6'
set firewall ipv6-name WAN6_IN rule 20 protocol icmpv6
set firewall ipv6-name WAN6_IN rule 30 action drop
set firewall ipv6-name WAN6_IN rule 30 description 'Drop invalid state'
set firewall ipv6-name WAN6_IN rule 30 state invalid enable
commit; save; exit

SE APLICA REGULILE DEFINITE MAI SUS PE INTERFATA WAN A CONEXIUNII (IN sau FORWARD cum este definit in iptables), CARE IN CAZUL RDS ESTE PPPOE!

configure
set interfaces ethernet eth0 pppoe 0 firewall in ipv6-name WAN6_IN
commit; save; exit

Definim chain-ul WAN6_LOCAL: CE VINE DIN INTERNET AVAND CA DESTINATIE ROUTER-UL (pt ipv6 trebuie sa acceptam protocolul icpmpv6 precum si solicitarile dhcpv6)

configure
set firewall ipv6-name WAN6_LOCAL default-action drop
set firewall ipv6-name WAN6_LOCAL description 'WAN inbound ipv6 traffic to the router'
set firewall ipv6-name WAN6_LOCAL rule 10 action accept
set firewall ipv6-name WAN6_LOCAL rule 10 description 'Allow established/related'
set firewall ipv6-name WAN6_LOCAL rule 10 state established enable
set firewall ipv6-name WAN6_LOCAL rule 10 state related enable
set firewall ipv6-name WAN6_LOCAL rule 20 action drop
set firewall ipv6-name WAN6_LOCAL rule 20 description 'Drop invalid state'
set firewall ipv6-name WAN6_LOCAL rule 20 state invalid enable
set firewall ipv6-name WAN6_LOCAL rule 30 action accept
set firewall ipv6-name WAN6_LOCAL rule 30 description 'Allow ICMPv6'
set firewall ipv6-name WAN6_LOCAL rule 30 protocol icmpv6
set firewall ipv6-name WAN6_LOCAL rule 40 action accept
set firewall ipv6-name WAN6_LOCAL rule 40 description 'Allow DHCPv6 client/server'
set firewall ipv6-name WAN6_LOCAL rule 40 destination port 546
set firewall ipv6-name WAN6_LOCAL rule 40 protocol udp
set firewall ipv6-name WAN6_LOCAL rule 40 source port 547
commit; save; exit

SE APLICA REGULILE DEFINITE MAI SUS PE INTERFATA WAN A CONEXIUNII (LOCAL, sau INPUT cum este definit in iptables), CARE IN CAZUL RDS ESTE PPPOE!

configure
set interfaces ethernet eth0 pppoe 0 firewall local ipv6-name WAN6_LOCAL
commit; save; exit

Nu avem nevoie de redirects

configure
set firewall ipv6-receive-redirects disable
set firewall ipv6-src-route disable
commit; save; exit

Avand in vedere ca RDS nu respecta (inca) RFC4628 (mtu1500 pppoe) trebuie sa modificam mss-ul pentru ipv6 pppoe:

configure
set firewall options mss-clamp6 interface-type pppoe
set firewall options mss-clamp6 mss 1432
commit; save; exit

C-am astea ar fi regulile de firewall minim aceeptabile pentru ipv6.

Setare ipv6 RDS
Se pleaca de la urmatoarele premise:
1) CONEXIUNEA PPPOE SE FACE PE INTERFATA ETH0 (CABLUL CE VINE DINSPRE RDS INTRA FIZIC IN ETH0)
2) INTERFATA LAN (CABLUL CE PLEACA DIN ROUTER CATRE RETEAUA LOCALA - MAI PRECIS SPRE UN SWITCH/AP SAU UN CLIENT FINAL - ESTE CONECTAT IN ETH3)
Se pot folosi orice alte variante, orice interfata poate fi configurata dupa preferinte.
RDS ofera un prefix dinamic de /56 pentru ipv6 - asta inseamna 256 de lan-uri locale (256 de subneturi /64) minimul recomandat de RIPE.
Ca nr de ip-uri asta ar insemna 4.722.366.482.869.645.213.696 ip publice oferite de RDS per conexiune pppoe "casnica".
Pentru inceput, activam offload-ul pt ipv6:

configure
set system offload ipv6 forwarding enable
set system offload ipv6 pppoe enable
commit; save; exit

CEREM DE LA RDS /56-le care "ni se cuvine", via prefix delegation si folosim ns-urile oferite de ei (pt inceput e acceptabil folosirea ns-urilor RDS, intr-un alt how to le vom schimba)

configure
set interfaces ethernet eth0 pppoe 0 ipv6 enable
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd pd 0 prefix-length 56
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd rapid-commit enable
set interfaces ethernet eth0 pppoe 0 name-server auto
commit; save; exit

Delegam un /64 din /56 cerut catre interfata eth3 in spatele careia este reteaua noastra locala, si folosim slaac (autoconfigurare)

configure
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd pd 0 interface eth3 host-address '::1'
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd pd 0 interface eth3 prefix-id ':1'
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd pd 0 interface eth3 service slaac
commit; save; exit

Configuram ipv6 pe interfata eth3 unde tocmai am delegat mai sus un /64, pentru 30 zile (2592000 secunde - unii sigur nu vor fi de acord cu un interval
asa de mare, DAR cel putin in cazul personal, conexiunea RDS este indeajuns de stabila)

configure
set interfaces ethernet eth3 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth3 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth3 ipv6 router-advert link-mtu 0
set interfaces ethernet eth3 ipv6 router-advert managed-flag false
set interfaces ethernet eth3 ipv6 router-advert max-interval 600
set interfaces ethernet eth3 ipv6 router-advert other-config-flag true
set interfaces ethernet eth3 ipv6 router-advert prefix '::/64' autonomous-flag true
set interfaces ethernet eth3 ipv6 router-advert prefix '::/64' on-link-flag true
set interfaces ethernet eth3 ipv6 router-advert prefix '::/64' valid-lifetime 2592000
set interfaces ethernet eth3 ipv6 router-advert reachable-time 0
set interfaces ethernet eth3 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth3 ipv6 router-advert send-advert true
commit; save; exit

Re-initiam conexiunea pppoe pentru a primi ipv6:
ATENTIE! NU SUNTEM IN CONFIG MODE, CI UN OPERATIONAL MODE, AVEM $ nu # in fata.

disconnect interface pppoe0
connect interface pppoe0

Si ar trebui sa avem ceva de genul:

ogo@gw-001-main:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface	IP Address						S/L Description
---------	----------						--- -----------
eth0		 -								 u/u
eth1		 -								 u/D
eth2		 -								 u/D
eth3		 192.168.0.1/24					u/u Intranet (LAN)
			 2a02:2f0d:xxxx:xxxx::1/64
lo		 127.0.0.1/8					 u/u
			 ::1/128
pppoe0	 5.14.xxx.xxx					 u/u internet RDS
			 2a02:2f0d:xxxx:ffff::xxxx:xxxx/128

Pentru test (ping din interfata router-ului):

ping6 google.ro
ar trebui sa aiba un output:
PING google.ro(ams16s32-in-x03.1e100.net (2a00:1450:400e:80c::2003)) 56 data bytes
64 bytes from ams16s32-in-x03.1e100.net (2a00:1450:400e:80c::2003): icmp_seq=1 ttl=56 time=36.0 ms

(control+c sa oprim ping-urile)

Iar pe un client se poate accesa:
http://isp.test-ipv6.com/
Iar ca output ar trebui sa fie ceva de genul:

Help desk code: 46
Dual Stack
IPv4: Good, AS8708 - RCS-RDS 73-75 Dr. Staicovici
IPv6: Good, AS8708 - RCS-RDS 73-75 Dr. Staicovici
OtherSites: 68/68 good
IPv4 address: 5.14.xxx.xxx
IPv6 address: 2a02:2f0d:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

Succes!

HOW TO
PORT FORWARD EDGEOS RDS PPPOE
(CU PUTINA ATENTIE LA ALEGEREA INTERFATEI WAN, CONFIGURATIA SE POATE ADAPTA PENTRU ORICE FEL DE CONEXIUNE: DHCP/STATIC/ETC)
Port forward, spre deosebire de alte setari, poate fi facut simplu si din interfata web.

Premise:
- conexiune RDS pppoe (pppoe0)
- interfata WAN unde rezida conexiunea pppoe este eth0 (interfata unde intra cablul dinspre RDS)
- interfata LAN este ETH3 [interfata de unde pleaca cablul din router catre reteaua locala (switch/ap/client) - LAN]

EXEMPLU 1 ESTE VALID PENTRU PLATFORMA CAVIUM (ERLITE-3, ERPOE-5, ER-8, ERPRO-8, EP-R8, ER-4, ER-6P, ER-8-XG
POSIBIL SI PENTRU ER-12, ER-12P, atata timp cat interfata lan folosita este routed si nu switched)
In exemplul de mai jos se va face port forward tcp/udp din interfata WAN (pppoe0) port 12345
catre IP LOCAL 192.168.0.100 pe port 54321 din interfata eth3 (LAN).

configure
set port-forward wan-interface pppoe0
set port-forward lan-interface eth3
set port-forward auto-firewall enable
set port-forward hairpin-nat enable
set port-forward rule 10 forward-to address 192.168.0.100
set port-forward rule 10 original-port 12345
set port-forward rule 10 forward-to port 54321
set port-forward rule 10 protocol tcp_udp
commit; save; exit

EXEMPLU 2 ESTE VALID  PENTRU PLATFORMA MEDIATEK (ER-X, ER-X-SFP, EP-R6, ER-10X)

Premise:
- conexiune RDS pppoe (pppoe0)
- interfata WAN unde rezida conexiunea pppoe este eth0 (interfata unde intra cablul dinspre RDS)
- interfata LAN este switch0, interfata din care fac parte eth1/eth2/eth3/eth4 [interfata de unde pleaca cablul din router catre reteaua locala (switch/ap/client) - LAN si poate fi fizic oricare din [i]eth1/eth2/eth3/eth4/inclusiv eth5 pt ER-X-SFP ][/i]
In exemplul de mai jos se va face port forward tcp/udp din interfata WAN (pppoe0) port 12345
catre IP LOCAL 192.168.0.100 pe port 54321 din interfata switch0 (LAN), oricare ar fi interfata fizica in care e conectat LAN-ul local (eth1/eth2/eth3/eth4/inclusiv eth5 pt ER-X-SFP).

configure
set port-forward wan-interface pppoe0
set port-forward lan-interface switch0
set port-forward auto-firewall enable
set port-forward hairpin-nat enable
set port-forward rule 10 forward-to address 192.168.0.100
set port-forward rule 10 original-port 12345
set port-forward rule 10 forward-to port 54321
set port-forward rule 10 protocol tcp_udp
commit; save; exit

Daca portul ce se doreste forward-at din WAN este acelasi ca in LAN, atunci se poate omite linia cu "forward-to port" (de exemplu un server de back-up a carui aplicatie foloseste portul 22522 atat pe wan cat si local) -exemplu pt MEDIATEK:

configure
set port-forward wan-interface pppoe0
set port-forward lan-interface switch0
set port-forward auto-firewall enable
set port-forward hairpin-nat enable
set port-forward rule 20 forward-to address 192.168.0.100
set port-forward rule 20 original-port 22522
set port-forward rule 20 protocol tcp_udp
commit; save; exit

Ca protocol pentru port forward se poate alege: tcp, udp sau ambele: tcp_udp.


Enjoy!

PS
se poate adauga si o descriere pentru fiecare regula de port-forward (aditional la ultimul exemplu, regula 20, sa zicem ca pe serverul respectiv ruleaza aplicatia plex - exemplu este aleatoriu)

configure
set port-forward rule 20 description 'WAN plex access'
commit; save; exit

Cred ca am inceput "prea brusc" cu setari "ceva mai avansate", mai multi useri in privat au mici "nelamuriri" cu setarile de baza.

Asadar, o sa o iau cu step 0, configurarea de baza pentru stabilirea unei conexiuni pppoe (RDS) si crearea unui LAN.

HOW TO - EDGEROUTER SI RDS - CONFIGURATIE DE BAZA/INCEPUT
Exista 2 variante:
1) varianta din GUI (BASIC SETUP)
si
2) varianta din CLI (linia de comanda) - care va fi intr-un alt how to.

SETARE EDGEROUTER VARIANTA GUI (explicatiile text iar in attachament sunt pozele cu pasi necesari)
Se aplica pentru orice Edgerouter singura diferenta va fi la interfata LAN, unde router-ele care au un switch chip ER-X, ER-X-SFP (etc) vor avea ca interfata LAN switch0.

- se va seta pe placa de retea a calculatorului un ip static din range-ul 192.168.1.2-192.168.1.224, iar ca subnetmask 255.255.255.0
-se va conecta cablul in interfata eth0 a router-ului (atentie sa nu confundati cu console la er-3/4/5/6/etc)
- se acceseaza router-ul via https la adresa default: https://192.168.1.1
- username: ubnt /   parola: ubnt
- se verifica cu ce versiune firmware a venit router-ul si se va face update daca trebuie - in interfata grafica, in stanga sus langa logo-ul EdgeMAX apare si versiunea de firmware ce ruleaza.
  firmware-ul se poate verifica la https://www.ui.com/download/edgemax/ - ultimul firmware disponibil cand a fost scris acest how to este 2.0.6

  pentru EdgeRouter ER-X/ER-X-SFP/EP-R6/ER-10X: https://dl.ui.com/fi...0.6.5208541.tar
  pentru EdgeRouter ERLite-3/ERPoe-5: https://dl.ui.com/fi...0.6.5208553.tar
  pentru EdgeRouter ER-8/ERPro-8/EP-R8: https://dl.ui.com/fi...0.6.5208554.tar
  pentru EdgeRouter ER-4/ER-6P/ER-12/ER-12P: https://dl.ui.com/fi...0.6.5208554.tar
  pentru EdgeRouter 8-XG: https://dl.ui.com/fi...0.6.5208554.tar

  Se downloadeaza in calculator/laptop firmware-ul corespunzator.
  Se va accesa din interfata grafica a router-ului tabul SYSTEM - este undeva in stanga jos de tot
  Se va derula pana la Upgrade System Image - este undeva in dreapta mijloc - si se apasa UPLOAD A FILE - iar dupa se va selecta din calculator/laptop
  firmware-ul download-at anterior - upload/ok/confirm (sau ce mai cere)
  Router-ul se va restarta.

- se acceseaza router-ul (din nou) via https la adresa default: https://192.168.1.1
- username: ubnt /   parola: ubnt
- se verifica daca update-ul de firmware este facut - in interfata grafica, in stanga sus langa logo-ul EdgeMAX apare si versiunea de firmware ce ruleaza.

  daca totul este ok se trece mai departe la setarea propriu-ziua a router-ului:

- se acceseaza tabul WIZARDS (cel mai din dreapta de sus) (poza 1)
- se acceseaza optiunea BASIC SETUP (prima din lateral stanga) (poza 2)
- in meniul Internet port se selecteaza:
  1)  Port: eth0
  2)  internet connection typpe: PPPoE
  2a) se completeaza username / parola conexiune PPPoe (din contractul cu RDS)
- optiunea VLAN ramane DEBIFATA
- se bifeaza IPv4 Firewall (enable the default firewall)
- se bifeaza IPv6 Firewall (enable the default firewall)
- se bifeaza DHCPv6 PD (Enable DHCPv6 prefix delegation) iar in meniul ce apare se seteaza:
  1) prefix length: /56 (clic pe sageata si se alege /56)
  2) IPv6 LANs (ramane cum e)
- in tabul DNS Forwarding se selecteaza Configure DNS Servers
  1) server #1:  1.1.1.1
  2) server #2:  9.9.9.9

- optiunea BRIDGING RAMANE NEBIFATA PENTRU ER-3LITE, ER-4, ER-6P, ER5POE

LAN PORTS
1) Pentru ER-X va fi switch0 pentru ER-3LITE, ER-4, ER-6P, ER5POE va fi eth1 (ca in poze). - se poate folosi orice interfata libera eth1/eth2/eth3/etc,
deocamdata acesta este doar un fast config pentru introducerea in lumea edgeos.
- se va seta subnetul local, default este 192.168.1.1 / 255.255.255.0 (sau pe scurt 192.168.1.1/24)
- recomand sa folositi un subnet /24 este indeajuns in proportie de 99,(9)% pentru uzul casnic.
- puteti folosi orice /24 din 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16

- se va bifa ENABLE DHCP SERVER - astfel se va creea automat un server dhcp pe interfata LAN (se poate modifica ulterior fara nicio problema).
Optional exista posibilitatea sa setati pe interfata eth2 un alt subnet (vlan) (default vine ca 192.168.2.1 / 24) cu serverul propriu de DHCP - mentionez ca aceasta optiune apare la echipamentele fara switch chip: ER-3LITE, ER-4, ER-6P, ER5POE
Puteti lasa default cum este bifat.

Ultima optiune este user setup
Recomand sa bifati create new admin user unde introduceti noul username si parola, si sa nu folositi userul/parola default care sunt ubnt/ubnt.
Prin crearea unui admin personalizat userul ubnt va fi sters automat; nu folositi username-ul "consacrate": root/admin/administrator/superuser/etc
ci ceva mai "intim".

Dupa ce se va re-verifica/nota toate datele introduse (subnet lan/user name/parola) se apasa cu incredere pe APPLY - va cere reconfirmarea si dupa router-ul se va restarta.

Daca indicatiile au fost respectate, va puteti loga cu noul user creat nu inante sa conectati cablul ce vine dinspre RDS in interfata eth0 (unde erati
conectati pana acum), sa bifati in configurarea placii de baza a calculatorului/laptopului optain an ip address / dns server address  automatically, si
sa va conectati cu cablul din laptop/calculator in interfata eth1 (pentru er3/er-3/4/5/6 sau in oricare interfata inafara de eth0 care este deja ocupata
pentru ER-X/SFP).

Activati ipv6 pe calculatorul/laptopul si bifafi optain an ipv6 address automatically / optain dns server address automatically (la fel ca la ipv4).

IPV4 se poate verifica accesand orice site web, pt ipv6 recomand http://isp.test-ipv6.com/

Cam astea ar fi setarile minime de baza ca sa mearga internet-ul.

Totusi, pentru un throughput maxim mai este nevoie de cativa pasi, pasi care se pot face numai din CLI.
Astfel, daca totul este ok accesam interfata router-ului la https://192.168.1.1, ne logam cu noul user/passwd.
In dreapta sus de tot sunt 3 tab-uri: UNMS  /   CLI   /   TOOLBOX
Se acceaseaza tabul CLI si se va intruduce username-ul[enter]/parola[enter]
Suntem in modul operational.
se introduce:
show ubnt offload
ar trebui sa aveti offload loaded (minimum) dupa cum urmeaza:
ipv4: forwarding/vlan/pppoe
ipv6: forwarding/pppoe
Daca sunt prezente, totul este OK, configurarea de baza s-a incheiat!

Daca offload-ul este disable, trebuie introduse urmatoarele comenzi  in terminal:
PENTRU ER-X, ER-10X, ER-X-SFP, EP-R6:

configure
set system offload hwnat enable
set system offload ipsec enable
commit; save; exit
reboot

PENTRU RESTUL ER3/4/5/6/ETC

configure
set system offload ipv4 bonding enable
set system offload ipv4 gre enable
set system offload ipv4 pppoe enable
set system offload ipv4 vlan enable
set system offload ipv6 bonding enable
set system offload ipv6 forwarding enable
set system offload ipv6 pppoe enable
commit; save; exit
reboot

Gasiti atasat pozele cu pasi descrisi mai sus.

Succes!

Edited by ogo, 21 November 2019 - 20:27.

Mulțumim, practic ai spus tot, daca se uita lumea si la începutul topicului nu are ce sa rateze.

@wolfy
Cum ziceam, setup-ul initial este basic, el mai trebuie polish-at.
Voi reveni cu configuratia via cli care este ceva mai "stufoasa" si include toti pasii (eu, defapt wizard-ul sare niste chestii de finete) pentru o configuratie home standard.
Dar asta in next episode

Pai da, in afara de setup-ul initial am aplicat si adaptat ce ai spus pe aici pentru mine si pentru petman. Este un mix intre setup-ul initial si via cli.
Erau chestii care lipseau asa ca a trebuit sa improvizez.

Configurari aditionale la setup-ul BASIC din postul https://forum.softpe...4#entry25547096
Configurarile aditionale sunt doar CLI
Pentru asta trebuie sa va conectati via ssh la router cu Putty sau din interfata grafica din tabul CLI (STANGA SUS).

UPGRADE BOOTLOADER:

show system boot-image

- daca aveti un out-put de genul:

"New uboot version is available: boot_ [...] Run "add system boot-image" to upgrade boot image."

atunci:

add system boot-image

asteptati pana aveti un mesaj de genul:

"Checking upgrade image...Done
Writing image...Done
Upgrade boot completed"

si dupa

reboot

Setari mtu/mss-clamp ipv4/ipv6

configure
set interfaces ethernet eth0 pppoe 0 mtu 1492

###pentru ER3/4/5/6
set interfaces ethernet eth1 mtu 1500
set interfaces ethernet eth2 mtu 1500
###pentru ERX
set interfaces switch switch0 mtu 1500

set firewall options mss-clamp interface-type pppoe
set firewall options mss-clamp mss 1452
set firewall options mss-clamp6 interface-type pppoe
set firewall options mss-clamp6 mss 1432
commit; save; exti

Nu recomand folosirea static-arp

configure
set service dhcp-server static-arp disable
commit; save; exit

cu atatea chestii "inteligente"/streaming/etc in reteaua locala, ar fi indicat sa aveti setat mdns

configure
set service mdns reflector
commit; save; exit

Pentru acces de urgenta la router (se uita parola/booteaza si nu il puteti accesa/intamplari de genul) iar cum in cele mai multe cazuri nimeni nu are un console-cable la indemana.
Se poate seta ssh-recovery pt o durata de 30/60/600/3600 sau forever. Recomand pastrarea portului default 60257 sau setarea unui port usor de adus aminte.
Mai multe detalii aici: https://help.ubnt.co...er-SSH-Recovery

configure
set service ssh-recovery lifetime forever
set service ssh-recovery listen-on eth1 ###PENTRU ER3/4/5/6
###SAU
set service ssh-recovery listen-on switch0 ###PENTRU ERX
set service ssh-recovery port 60257
commit; save; exit

Discover este un protocol proprietar ubnt prin care echipamentele lor "se cauta" unul pe altul in retea.
Nu prea isi au rostul intr-o retea de-acasa. Personal folosesc dar recomand sa le dati disable.

configure
set service ubnt-discover disable
set service ubnt-discover-server disable
commit; save; exit

UPNP. Sunt mii de pagini scrise cu privire la insecuritatea protocolului dar multe device-uri se bazeaza pe upnp.

configure
set service upnp2 listen-on eth1 ###(PENTRU ER3/4/5/6 conform set-up-ului initial)
sau
set service upnp2 listen-on switch0 ###(PENTRU ERX setup inital)

set service upnp2 nat-pmp enable
set service upnp2 secure-mode enable
set service upnp2 wan pppoe0
commit; save; exit

Re-configurare servere ntp si re-definire timezone

configure
delete system ntp server
delete system time-zone
set system time-zone Europe/Bucharest
set system ntp server 0.ro.pool.ntp.org
set system ntp server 1.ro.pool.ntp.org
set system ntp server 2.ro.pool.ntp.org
commit; save; exit

La cele de mai sus adaugati BOGONS-IPV4, how to aici: https://forum.softpe...8#entry25496882
Ar mai trebui BOGONG-IPV6 dar intr-o alta zi
Succes!

How to EdgeOS L2TP IPSEC VPN SERVER

Ca tot e la moda "privacy-ul":

Accesam CLI (ori din interfata web a router-ului: dreapta sus) SAU folosim Putty.

Pentru inceput trebuie sa verificam ce range are serverul de dhcp pe lan-ul local (o sa ne trebuiasca mai incolo):

configure
show service dhcp-server shared-network-name

si in out-put-ul generat o sa avem ceva de genul:

shared-network-name LAN1 {
	 authoritative enable
	 subnet 192.168.0.0/24 {
		 default-router 192.168.0.1
		 dns-server 192.168.0.77
		 dns-server 192.168.0.70
		 domain-name purple.lan
		 lease 21600
		 start 192.168.0.100 {
			 stop 192.168.0.200
		 }
control+c
discard; exit

Ne intereseaza: start 192.168.0.100 stop 192.168.0.200
Asadar putem pt L2TP sa oferim ca dhcp range orice adresa intre 192.168.0.201-192.168.0.254
(se poate si intre 192.168.0.2-192.168.0.99 dar in exemplul de mai sus in range-ul respectiv sunt niste adrese statice)
Daca aveti pe dhcp tot subnetul, i.e. 192.168.0.2-192.168.0.254 ar trebui sa-l restrangeti sau sa folositi alt subnet pt l2tp (vedeti mai jos).

(suntem inca in CLI)
Verifcam offload-ul pt ipsec (daca s-au folosit exemplele de configuare precedente ar trebui sa aveti o linie care are un output de genul):

show ubnt offload
IPSec offload module: loaded

daca nu

configure
set system offload ipsec enable
commit; save; exit; reboot

(revenim in CLI daca a trebui sa dam reboot - daca ipsec era enabled suntem tot in cli)

Verificam numarul regulilor de firewall pe chain-ul local (input) sa nu "stricam" ceva deja configurat.
Daca s-a urmat how to-urile precendete ar trebui sa avem 4 reguli: regula 10, 20, 100 si 10000 (cea default):

show firewall name WAN_LOCAL
IPv4 Firewall "WAN_LOCAL":
Active on (pppoe0,LOCAL)
rule action proto	 packets bytes
---- ------ -----	 ------- -----
10 accept all	 63393 37494950
condition - state RELATED,ESTABLISHED
20 drop	 all	 23064 1646828
condition - state INVALID
100 drop	 all	 6	 264
condition - match-set BOGONS src LOG enabled
10000 drop	 all	 230248 16055794

- pt ipsec avem nevoie de 4 reguli de firewall: putem asadar sa avem regula 30, 40, 50 si 60. Sau orice numar care nu este 10/20/100/10000.
(dar cum chaos is not a ladder in networking, o oarecare ordine ar fi bine de urmat) - personal recomand sa folositi 30/40/50/60 cum va fi si in exemplul ce urmeaza. (SE POATE FOLOSI ORICE NUMAR PT REGULILE DE FIREWALL: 1, 6, 9, 1045, 2156, ETC, dar recomand o ordine cat de cat, DAR atentie ca regulile pt l2tp pe chain-ul local <input la iptables>sa fie dupa primele 2 reguli cele cu related/established si invalid)

Sa incepem cu adevarat:
Pt l2tp ipsec avem nevoie ca porturile 500, 4500si 1701protocol UDP sa fie accesibile din WAN (internet),  precum si de protocolul ESP (click AICIpt mai multe info).

configure
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description ike
set firewall name WAN_LOCAL rule 30 destination port 500
set firewall name WAN_LOCAL rule 30 log disable
set firewall name WAN_LOCAL rule 30 protocol udp

set firewall name WAN_LOCAL rule 40 action accept
set firewall name WAN_LOCAL rule 40 description esp
set firewall name WAN_LOCAL rule 40 log disable
set firewall name WAN_LOCAL rule 40 protocol esp

set firewall name WAN_LOCAL rule 50 action accept
set firewall name WAN_LOCAL rule 50 description nat-t
set firewall name WAN_LOCAL rule 50 destination port 4500
set firewall name WAN_LOCAL rule 50 log disable
set firewall name WAN_LOCAL rule 50 protocol udp

set firewall name WAN_LOCAL rule 60 action accept
set firewall name WAN_LOCAL rule 60 description l2tp
set firewall name WAN_LOCAL rule 60 destination port 1701
set firewall name WAN_LOCAL rule 60 ipsec match-ipsec
set firewall name WAN_LOCAL rule 60 log disable
set firewall name WAN_LOCAL rule 60 protocol udp

commit; save; exit

vom folosi autentificarea locala (se poate si cu RADIUS dar implica sa aveti un server RADIUS deja configurat)
iar ca user vom aveam ogo, ca pre-shared-secret: ofrazasecreta iar ca parola parolamea.
Inlocuiti dupa preferinte/nevoi/etc.

configure
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret ofrazasecreta
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username ogo password parolamea
commit; save; exit

(puteti adauga cati user doriti folosind ultima comanda de mai sus)


Configuram ce ip-uri locale va folosi clientul vpn (d-asta aveam nevoie la inceput sa stim ce range are serverul de dhcp si am aflat ca putem intre 192.168.0.201-192.168.0.254) Vom folosi in exemplu "doar" 192.168.0.220-192.168.0.250

configure
set vpn l2tp remote-access client-ip-pool start 192.168.0.220
set vpn l2tp remote-access client-ip-pool stop 192.168.0.250
commit; save; exit

definim ce servere de dns va folosi clientul vpn (daca aveti un server local de dns, de ex folosit pihole, puneti ip-ul local al pihole-ului)

configure
set vpn l2tp remote-access dns-servers server-1 1.1.1.1
set vpn l2tp remote-access dns-servers server-2 .9.9.9.9
commit; save; exit

definim interfata WAN pe care vom primit cererile l2tp de la client (in cazul RDS aceasta este pppoe):

configure
set vpn l2tp remote-access outside-address 0.0.0.0
commit; save; exit

pt cei care obtin un ip public de la isp via dhcp va fi
set vpn l2tp remote-access dhcp-interface eth0

iar pt cei cu ip static
set vpn l2tp remote-access outside-address ip-ul-public-ipv4

definim interfata fizica pe care vin cererile clientilor l2tp (seamana ca precedenta dar nu e chiar asa)
conform how-to-urilor, am folosit eth0 (asta e defapt interfata in care intra cablul de la RDS - modificati conform setup-ului local)

configure
set vpn ipsec ipsec-interfaces interface eth0
commit; save; exit

setam mtu pe l2tp via pppoe care este 1452

Quote

configure
set vpn l2tp remote-access mtu 1452
commit; save; exit

am terminat


Mai trebuie sa aflam ip-ul public oferit via pppoe de RDS:
(acum suntem inca modul operational $)

show interfaces

si ar trebui sa avem (si) o linie de genul:

pppoe0	 5.14.XXX.XXX

inca nu iesim din CLI



Luam un telefon, ne neconectam de la wifi-ul de acasa, si setam o conexiune VPN l2tp unde vom avea:
tip: l2tp
server: ip-public-de-la-Rds (aflat mai sus)
username (account): ogo
password: parolamea
secret: ofrazasecreta

bifam send all traffic in clientul vpn si dam ok/connect sau cum mai e acolo.

acum, daca totul e configurat cum ar trebui, revenim la cli si:

show vpn remote-access

ar trebui sa aiba ca output:

Active remote access VPN sessions:
User	 Time	 Proto Iface Remote IP	 TX pkt/byte RX pkt/byte
---------- --------- ----- ----- --------------- ------ ------ ------ ------
ogo	 00h52m01s L2TP l2tp0 192.168.0.220 44.5K 45M 26.4K 11.4M

iar la:

show vpn ipsec sa

output-ul va fi (e putin redactat)

r

emote-access: #3, ESTABLISHED, IKEv1, 2af356xxxxxxxxxxx6a_i 60xxxxxxxxxxxxxxxxxxxxxad_r*
local 'IP-PUBLIC-RDS' @ IP-PUBLIC-RDS[4500]
remote 'IP-LOCAL-PROVIDER-GSM' @ IP-PUBLIC-PROVIDER-GSM[44148]
AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
established 3174s ago
remote-access: #3, reqid 3, REKEYED, TRANSPORT-in-UDP, ESP:AES_CBC-128/HMAC_SHA1_96
installed 3174s ago
in ca4ce688, 11998968 bytes, 26301 packets, 43s ago
out 0590fd73, 45774711 bytes, 44413 packets, 51s ago
local IP-PUBLIC-RDS/32[udp/l2f]
remote IP-PUBLIC-PROVIDER-GSM/32[udp/49861]
remote-access: #4, reqid 3, INSTALLED, TRANSPORT-in-UDP, ESP:AES_CBC-128/HMAC_SHA1_96
installed 292s ago
in c82fb021, 27256 bytes, 215 packets, 43s ago
out 028beec2, 47838 bytes, 200 packets, 51s ago
local IP-PUBLIC-RDS/32[udp/l2f]
remote IP-PUBLIC-PROVIDER-GSM/32[udp/49861]

iesim din CLI

exit

ta-da!
Job done.

Succes!

Edited by ogo, 23 November 2019 - 06:48.

Pacat sa nu folosesti Wireguard

Stai ca e pt inceput.
arat si wireguard. Maine
Am si openvpn in “sacosa”

Edited by ogo, 23 November 2019 - 14:04.

Da pentru aia fara ereesh si fara ppoe ce ai pregatit?

Am mentionat si pt cei non-pppoe ce setari trebuie facute.
Ce te intereseaza mai exact si revin cu configuratia personalizata.

Am aplicat cateva setari date de tine si sincer, am uitat de router. Totul este ok, totul functioneaza cum trebuie.

Ma uitam la NanoStation loco M2 pe care le am de acu 3 an si n-am nimic sa le reprosez. In afara de niste opriri din cauza eon n-am avut niciodata nevoie sa le dau restart (Uptime:35 days 11:51:21)

Edited by petman, 23 November 2019 - 18:01.

MembruAnonim, on 23 noiembrie 2019 - 11:27, said:

La cererea publicului, EdgeOS Wireguard.

Mai multe detalii despre wireguard AICI.

Wireguard pt edgeos are variante pentru fiecare hardware si pentru fiecare firmware train.
Asadar, inainte o mica introducere:
Fiecare router din gama edge de la ubiquiti apartine de o platforma:
PLATFORMA - NUME COMERCIAL
E50 - EdgeRouter X
E100 - Edgerouter 3 Lite, Edgerouter 5 Poe
E200 - Edgerouter 8, Edgerouter 8pro
E300 - Edgerouter 4, Edgerouter 6p, Edgerouter 12
E1000 - Edgerouter Infinity (ER-8-XG)

Pentru gama edge sunt 2 train-uri: firmware 1.10.X  si  2.0.X

Wireguard face diferente de model si de firmware. Asadar atentie ce versiune downloadati! Oricum, da eroare daca nu e cea care trebuie
Un mic how to pentru o mai clara indentificare a modelului si firmware-ului.

identificare model (ne conectam via Putty sau web-based-CLI din interfata web - dreapta sus)

ogo@gw-001-main:~$ cat /etc/version | egrep -o '(e100|e1000|e200|e300|e50)'
e300
ogo@gw-001-main:~$

identificare firmaware

show version
Version:	 v2.0.8-beta.2
Build ID:	 5241140
Build on:	 10/29/19 09:41
Copyright: 2012-2019 Ubiquiti Networks, Inc.
HW model:	 EdgeRouter 4
HW S/N:	 788A20DFBBC5
Uptime:	 01:53:55 up 16 days, 4:17, 3 users, load average: 0.11, 0.08, 0.08

Asadar, exemplul va folosi versiunea de wireguard pentru modelul e300 si train-ul 2.0.X pentru firmware

Versiunile le gasiti aici:
https://github.com/L...eguard/releases
si dupa click pe Assets

Iar in exemplul nostru avem nevoie de wireguard-v2.0-e300-0.0.20191012-1.deb

(suntem inca conectati la router via cli)

cd /tmp

downloadam versiunea care ne trebuie

curl -L -O https://github.com/Lochnair/vyatta-wireguard/releases/download/0.0.20191012-1/wireguard-v2.0-e300-0.0.20191012-1.deb

o instalam

sudo dpkg -i wireguard-v2.0-e300-0.0.20191012-1.deb

(si o sa avem un output de genul)

Selecting previously unselected package wireguard.
(Reading database ... 37008 files and directories currently installed.)
Preparing to unpack wireguard-v2.0-e300-0.0.20191012-1.deb ...
Adding 'diversion of /opt/vyatta/share/perl5/Vyatta/Interface.pm to /opt/vyatta/share/perl5/Vyatta/Interface.pm.vyatta by wireguard'
Adding 'diversion of /opt/vyatta/share/vyatta-cfg/templates/firewall/options/mss-clamp/interface-type/node.def to /opt/vyatta/share/vyatta-cfg/templates/firewall/options/mss-clamp/interface-type/node.def.vyatta by wireguard'
Unpacking wireguard (0.0.20191012-1) ...
Setting up wireguard (0.0.20191012-1) ...

La orice update de firmware, din pacate, nefiind un pachet nativ edgeos, vom ramane fara wireguard instalat (dar exista "scurtaturi", vedeti mai jos), dar macar configurarea sa ramana si mai ales cheile!
In edgeos, tot ce in in /config, supravietuieste insa oricarui update.
asadar, facem un "folder" in /config pt wireguard

mkdir /config/wireguard
cd /config/wireguard

generam cele 2 chei, una publica si una privata:

wg genkey | tee wg-private.key | wg pubkey > wg-public.key

vom avea 2 chei (1 publica, si una privata)

ogo@gw-001-main:/config/wireguard$ ls
wg-private.key wg-public.key
cat wg-private.key
2BPDgtjohmleXXXXXXXXXXXXXXXXXXXXXXVeDq2Fn28=

cat wg-public.key
Z78IxwmT42XrXXXXXXXXXXXXXXXXXXXXXXXN91+sMj8=

"ne asiguram"ca doar noi putem citi/scrie fisierele respective

chmod 600 wg*

precum si ca doar noi le putem executa folderul respectiv.

chmod 700 .

(notati cheia publica, vom avea nevoie de ea)

acum, configuram wireguard:
suntem inca in

ogo@gw-001-main:/config/wireguard$ pwd
/config/wireguard

ne "mutam" cu

cd

"acasa"

ogo@gw-001-main:/config/wireguard$ cd
ogo@gw-001-main:~$ pwd
/home/ogo
ogo@gw-001-main:~$

si ne apucam "in sfarsit" de configurat interfata wireguard, ii definim un subnet, wireguard deobicei functioneaza pe portul udp 51820 (se poate schimba portul nu si protocolul), iar private key-ul e cel definit mai sus (prefer sa trec /calea decat sa dau paste la key in configuratie).
mtu = 1432 pt pppoe RDS ipv4 fara iv6    sau 1440 pt restul isp-urilor fara pppoe si numai ipv4)

- 20-byte IPv4 header (or 40 byte IPv6 header)
- 8-byte UDP header
- 4-byte type
- 4-byte key index
- 8-byte nonce
- N-byte encrypted data
- 16-byte authentication tag

dar sa configuram interfata, cum ziceam:

configure
set interfaces wireguard wg0 address 172.20.0.1/24
set interfaces wireguard wg0 listen-port 51820
set interfaces wireguard wg0 route-allowed-ips true
set interfaces wireguard wg0 private-key /config/wireguard/wg-private.key
set interfaces wireguard wg0 mtu 1432
commit; save; exit

Astfel, am definit interfata wireguard, care arata cam asa:

show interfaces wireguard
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address					 S/L Description
--------- ----------					 --- -----------
wg0		 172.20.0.1/24					 u/u

Ca mentiune, in edgeOS, by default, orice vlan se vede cu orice vlan, asa ca o sa puteti accesa din 172.20.0.1/24 orice alt subnet local.


Acum trebuie sa adaugam in chain-ul firewall WAN_LOCAL (pachete ce vin din internet si au ca destinatie o interfata directa a router-ului) regula necesara pentru a accepta conexiunile clientilor wireguard.
Pentru asta avem nevoie sa sa stim ce reguli sunt deja in vigoare (daca s-au urmarit how-to-urile si l2tp/ipsec nu este configurat, ar trebui sa avem asa):

show firewall name WAN_LOCAL
IPv4 Firewall "WAN_LOCAL":
Active on (pppoe0,LOCAL)
rule action proto	 packets bytes
---- ------ -----	 ------- -----
10 accept all	 101360 45481881
condition - state RELATED,ESTABLISHED
20 drop	 all	 23809 1702951
condition - state INVALID
100 drop	 all	 6	 264
condition - match-set BOGONS src LOG enabled
10000 drop	 all	 238110 16672695

asadar, vom adauga o noua regula, regula 30, care va accepta pe interfata router-ului orice pachet ce foloseste protocolul udp si vine pe portul 51820 asa cum l-am definit mai sus:

configure
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 protocol udp
set firewall name WAN_LOCAL rule 30 description 'WireGuard'
set firewall name WAN_LOCAL rule 30 destination port 51820
commit; save; exit

Si deocamdata am terminat cu router-ul
Acum, ca exemplu de client o sa folosesc un iphone ce are ios 13.1.3
Descarcam aplicati WIREGUARD din appstore (https://apps.apple.c...rd/id1441195209) si o configuram:

click create from scratch
interface name: un nume reprezentativ, sa-i zicem wg0 ca sa fim in "trend"
click pe generate keypar - o sa avem nevoie de public key mai incolo
la addresses: trecem o adresa din subnetul declarat in router: 172.20.0.2/32 (de preferat notatia completa ca la subnet, chiar daca 172.20.0.2 = 172.20.0.2/32)
listen port: lasam cum e, automatic
mtu: 1432 (ca la router)
dns server: daca aveti un server local de dns il treceti pe acesta, daca nu merge f bine si cloudflare 1.1.1.1

tabul peer
public key: e cheia publica a router-ului care am generat-o mai sus:
Z78IxwmT42XrXXXXXXXXXXXXXXXXXXXXXXXN91+sMj8=

preshared key: lasati necompletat

endpoint: adresa publica a router-ului+portul pe care ruleaza wireguard
daca folositi ddns de la rds puteti trece: numelemeu.go.ro:51820, DACA nu ip: 300.300.300.300:51820

allowed ips: 0.0.0.0/0, ::/0 (in viitor poate delagam si pe wireguard un /64 din /56 oferit de RDS pt ipv6)

exclude private ip ramane debifat

persistent keep alive: 25


Si SAVE (dreapta sus) - am terminat cu telefonul

ne intoarcem la router si "dam" acces telefonului sa se conecteze la router:

configure
set interfaces wireguard wg0 peer CHEIA-PUBLICA-GENERATA-PE-TELEFON allowed-ips 172.20.0.2/32
commit; save; exit

Folosind comanda de mai sus puteti adauga cati clienti doriti, cu ip-uri si chei publice diferite bineinteles (in limita a 253 conform subnetului /24 declarat pe router) dar, repet! sa nu uitati de cheile publice de setat atat la client cat si in router!

si..daca totul e bine, ar trebui sa avem un output de genul in router:

ogo@gw-001-main:~$ sudo wg
interface: wg0
public key: Z78IxwmT42XrXXXXXXXXXXXXXXXXXXXXXXXN91+sMj8=
private key: (hidden)
listening port: 51820

peer: +S0kCXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXNLv2k=
endpoint: 178.138.XX.XX:59753 <<<<<<se vede ca e ip-ul public al telefonului (telekom)
allowed ips: 172.20.0.2/32 <<<<<<<<< ip local al telefonului in reteaua router-ului
latest handshake: 11 minutes, 19 seconds ago
transfer: 14.66 MiB received, 198.91 MiB sent
ogo@gw-001-main:~$

- daca se face update la edgeos si ramanem fara wireguard - exista solutia urmatoare (fara reboot):

downloadam ultima versiune de wireguard necesara (board si firmware train) cum am prezentat la inceput:
si dupa:

configure
set interfaces wireguard wg0 route-allowed-ips false
commit
delete interfaces wireguard
commit
sudo rmmod wireguard
sudo dpkg -i /path/to/wireguard.deb
sudo modprobe wireguard
load
commit
exit

ViPieNeala placuta, cum ar zice Viorica-Vasilica

PS
wireguard merge si pe gama UNIFI: USG/USG-PRO/ETC.

Prea dimineata, am gresit eu

Edited by petman, 24 November 2019 - 09:53.

Le. 172.20.0.1/24 - folosim tot interfata asta?

Edited by petman, 24 November 2019 - 10:18.