Ny ruter fra Telenor ZyXEL P8702N

[torob]

Lurer litt på brannmuren i denne ruteren. Hvis man skal åpne en port utenfra så må man normalt gjøre to ting. Først må man sette opp en NAT regel som gjør at trafikk på den bestemte porten rutes til riktig IP internt. Deretter må man åpne i brannmuren slik at trafikken slipper gjennom.

 

Men når jeg tester dette, så ser det ut som bare det første punktet er nødvendig. Er det lagt inn noe som gjør at den automatisk legger til en skjult regel i brannmuren?

 

Vet at Telenor gjorde dette blant annet på de siste firmware utgavene på Zyxel P-2602HWT. Noe jeg synes var litt forvirrende og irriterende. Men det var vel for at det skulle være enklere for "folk flest".

 

Men jeg ønsker av og til å begrense hvilke eksterne IP'er som skal få tilgang til en bestemt port. Av sikkerhetsmessige grunner trenger for eksempel ikke SSH være åpen for alle. Det holder at den er åpen fra de IP'ene jeg vil koble til fra.

 

Jeg testet litt rundt dette og det jeg fant ut, var at hvis jeg først la til en regel i brannmuren som tillater trafikk fra en bestemt IP, og deretter en regel som blokkerer, så virker det som ønsket, at bare trafikk fra den/de ønskede IP'ene slipper gjennom.

 

Noen som har noen erfaringer rundt dette? Eventuelt noen fra Telenor som leser denne tråden som kan bekrefte at min teori her er riktig, at det legges til skjulte regler i brannmuren når man åpner en port via NAT oppsettet?

[sdf123]

Hei,

 

Kan man bytte ut P8702N med en egen router?

Slik at man går fra fiberomformer og rett inn i ny egen router? Kunne godt tenkt med å sette opp en router selv med pfsense.

[sedsberg]

Hei,

 

Kan man bytte ut P8702N med en egen router?

Slik at man går fra fiberomformer og rett inn i ny egen router? Kunne godt tenkt med å sette opp en router selv med pfsense.

Ja, det kan du.

[sdf123]

Flott.

 

Er det noen som har erfaringer med router som kjører pfsense som virker?

[Mastiff]

Er det ikke bedre å bruke en eller annen form for boks, og så ha ren omformer til nettverk? Jeg har en sånn som fungerer ypperlig på fibernettverket på hytta:

 

https://www.netgate.com/solutions/pfsense/sg-3100.html

 

Jeg har også en boks i huset hjemme som er koblet til møkkaruteren til Telenor (dessverre ikke i bridge, da nektet WiFi-tale på S9-en å fungere), det er en ASUS AT5IONT-I mini ITX - Intel Atom D525 med et fireporters Intel Server-nettverkskort i tillegg til det på hovedkortet (som brukes som WAN), og den fungerer også 100 % stabilt (egentlig smør på flesk, for alt under 100 % er ikke stabilt).

[sdf123]

Er det ikke bedre å bruke en eller annen form for boks, og så ha ren omformer til nettverk? Jeg har en sånn som fungerer ypperlig på fibernettverket på hytta:

 

https://www.netgate.com/solutions/pfsense/sg-3100.html

 

Jeg har også en boks i huset hjemme som er koblet til møkkaruteren til Telenor (dessverre ikke i bridge, da nektet WiFi-tale på S9-en å fungere), det er en ASUS AT5IONT-I mini ITX - Intel Atom D525 med et fireporters Intel Server-nettverkskort i tillegg til det på hovedkortet (som brukes som WAN), og den fungerer også 100 % stabilt (egentlig smør på flesk, for alt under 100 % er ikke stabilt).

Har du da fiberomformeren koblet rett inn på SG-3100? Hvordan har du koblet det videre?

 

En boks ala SG-3100 kunne absolutt vært nyttig, hva gjorde at du valgte den? Og hvorfor valgte du å lage en boks selv hjemme og ikke kjøre feks SG-3100 der og?

 

Alt fungerer egentlig greit her, men trangen etter å ha litt bedre kontroll gjør at jeg har lyst å sette opp en slik løsning.

 

Har selv S9. Tror bare jeg har 4G tale aktivert på den.

[Mastiff]

Jeg bruker Altibox' fiberruter som modem, altså i bridge mode. Da funker den som enhver omformer. Og så har jeg flere subnet på boksen ut. Grunnen til at jeg valgte akkurat den, er at den er den rimeligste med pfSense som takler så høy hastighet som 300/300, de billigere greiene stopper på 100. Det er egentlig rent tilfeldig at jeg tok en ferdig løsning det ene stedet og en gjør det selv-boks på det andre.

[janfredrik]

Er det noen som har fått til Bridge-modus på denne?

Finner valget, og får aktivert det. Men selv etter flere forsøk deler ikke boksen ut noen IP til ny ruter.

 

Vil bruke egen ruter da jeg finner denne veldig ustabil, flere enheter som sliter med å koble på wifi.

[Mastiff]

Det funker når du er på riktig port. Jeg tror faktisk ikke det er port 1 som funker med bridge. Det står et sted i bruksanvisningen.

[janfredrik]

Nullstilte den uten å ha den koblet i WAN, så fikk jeg satt den i bridge fra Zyxel-gui'en. Funker bra.

[ddb2002]

Høres merkelig ut, du skal ikke få innstillingene dine overskrevet når du ikke er tilkoblet Telenors nett. Prøv med en nedgradering til AAJX13. Jeg har min 8702 satt opp som router bak en Altibox-boks i brige mode, og har full kontroll over denne, med lokal tilgang, også med AAJX14.

 

Hei, jeg vet dette er lenge siden, men jeg har ikke snøring om dette så.

Skal bytte til en ikke-Telenor leverandør og har denne ruteren, etter hard-reset antar jeg at man ikke får noe oppdatering fra Telenor lenger. Hva er siste fastvare man kan oppdatere til da selv? Eller, må man bruke det gamleste. Kanskje Telenor har ordnet opp i totalt faluse og lar oss nå endre på ting uten å være på deres nett, fordi det går jo selvfølgelig ikke når det nettet ikke eksisterer...

 

Edit: beklager, at jeg ikke leser tråden ordentlig. Så jeg lastet ned AAJX.14 og den funger veldig bra. Det eneste er at ruteren bruker 100 år på å boote uten at den er på Telenor sitt nett, siden den da ikke får kontakt og sikkert "gir opp" etter en stund... Ikke oppdatert siden 2017, er vel helt vanlig for Telenor sine fastvarer som egentlig bare er en liten egen modifikasjon med fjerning av nyttige features OEM la inn, men kundene ikke fortjener, slik som den gamle ZyXEL'en jeg hadde.

Jeg tror det at ingen oppdateringer lages skyldes mer at ZyXEL selv gir blaffen og bare releaser 1.00 og denne blir det aldri fikset kritiske sikkerhetsfeil på, siden Telenor allerede har betalt osv, osv. Mener å huske en Kina-representant svarte noen på Twitter med litt gebrokken engelsk at ja, dem bryr seg ikke, så dette er bekreftet. Den gamle-gamle klarte jeg imidlertid å kompilere OpenWRT til. Sikerheten var så bra at du kunne komme rett inn på superuser/root via den klassiske telnet 0 day-exploiten OG IKKE SPØR MEG OM OPENWRT. Om du har den gamle ruteren ikke gjør det. Du må shorte boardet, bruke custom bootloader og du vil ha et jalla-setup for brannmur, siden det er en Lantiq prosessor ingen med vett bruker.

Endret 25. mai 2019 av ddb2002

[AnnJeanett]

Hei alle flotte og flinke IT mennesker!

 

Nå er jeg lei, og jeg er lei av montørene til telenor som ikke klarer å fikse dette..

 

Jeg har to slike Zyxel routere, den ene var satt opp med bredbåndstelefon og den andre som bridge (grunnet stort hus så rekker ikke signalet ut til hele huset). SÅÅÅ kom det en fjomp fra selskapet som telenor leier inn for å innstalere stasj. Denne gangen var det opplegg til canal digital dekoder i en leilighet i bygget. Han klarte av alle ting å koble fra den ene routeren så det kun var telefonen som fungerte. Vi holdt på å pusse opp så den gamle routeren ble kastet. Da jeg fant ut av dette så ringte jeg telenor å krevde at de kom å fikset det så jeg kunne få samme oppsettet som tidligere. 1 router med telefon og en med bridge. Det kom en kar, men det var ikke sjans i havet at han klarte det. Har prøvd å trykke meg litt frem inne i oppsettet selv med hjelp jeg har funnet i dette forumet, men jeg får det ikke til. 

 

Så da spør jeg dere, o´store internett genier, om noen har en løsning for meg. Har begge routerene liggende og er ganske handy selv, klarer i hvertfall å følge en step by step om noen kan tilby en guide..

 

Krysser fingrene for at en som kan litt mer enn telenor kan hjelpe meg.

 

Takk på forhånd.

 

Mvh Ann-Jeanett!

[ddb2002]

Hei alle flotte og flinke IT mennesker!

 

Nå er jeg lei, og jeg er lei av montørene til telenor som ikke klarer å fikse dette..

 

Jeg har to slike Zyxel routere, den ene var satt opp med bredbåndstelefon og den andre som bridge (grunnet stort hus så rekker ikke signalet ut til hele huset). SÅÅÅ kom det en fjomp fra selskapet som telenor leier inn for å innstalere stasj. Denne gangen var det opplegg til canal digital dekoder i en leilighet i bygget. Han klarte av alle ting å koble fra den ene routeren så det kun var telefonen som fungerte. Vi holdt på å pusse opp så den gamle routeren ble kastet. Da jeg fant ut av dette så ringte jeg telenor å krevde at de kom å fikset det så jeg kunne få samme oppsettet som tidligere. 1 router med telefon og en med bridge. Det kom en kar, men det var ikke sjans i havet at han klarte det. Har prøvd å trykke meg litt frem inne i oppsettet selv med hjelp jeg har funnet i dette forumet, men jeg får det ikke til. 

 

Så da spør jeg dere, o´store internett genier, om noen har en løsning for meg. Har begge routerene liggende og er ganske handy selv, klarer i hvertfall å følge en step by step om noen kan tilby en guide..

 

Krysser fingrene for at en som kan litt mer enn telenor kan hjelpe meg.

 

Takk på forhånd.

 

Mvh Ann-Jeanett!

 

Du kan vel fint sette opp en annen ruter som er bedre til å være bridge, f.eks. en ASUS som bare ber deg om tastetrykk for å velge rett modus og om du skal sette den opp via Wi-Fi oppgi navn og passord på nettet så gjør den alt for deg, så lett får du jo selvfølgelig ikke det med Telenor da! men jeg har hatt en historie med at forskjellige merker for nettverkskort, f.eks. MediaTek og Broadcom IKKE liker å samarbeide noe særlig godt, så man kan vel like godt bruke samme på begge for å være sikker.

 

Vi kan vel si at dette er tilfelle: Begge ruterene har samme konfigurasjon i utgangspunktet, og du trenger da å endre oppsett på den som ikke er hovedruteren som tar inn internett. (jeg vet ikke om du bruker repeater trådløst eller kablet) så nå har du altså lagt en kabel fra LAN i hovedruteren til WAN i den andre ruteren, dette kan jeg si med sikkerhet fordi denne greia sikkert ikke støtter å koble til et annet nett via Wi-Fi siden Telenor hater alt som heter nyttig funksjonalitet. Det beste du kan gjøre her er å endre LAN adresse til din andre ruter. La oss si hovedruteren bruker 10.0.0.138, som er standard hos Telenor, ja da får den andre 10.0.0.139. Du skrur da også av DHCP på denne ruteren, for da får de adresser utdelt fra hovedruteren og da også tar kontakt med den for å gi enhetene koblet til adresse og nett, og du har fint tilgang til enhver enhet på nettet uavhengig av hvor den er koblet til og kan endre instillingene på begge ruterene.

 

For å gjøre dette? Ja, i min router som ikke bruker Telenor sin sentraliserte løsning nå er det Network Setting > Home Networking og der får du mulighet til å endre IPv4 addressen til ruteren, til da .139 og så kan du endre DHCP serveren til rett status, som er avslått eller evt. hvis det ikke fungerer skal det være et annet valg der.

 

En annen veldig lett løsning er rett og slett bare å endre på adressen på samme måte til 10.0.0.139, da får jo begge internett tilgang og men du kan da ikke se enheter som ligger på ruter 2 fra ruter 1, som kun har noe å si om du skal f.eks. dele printere, filer på tvers av nettet gjennom workgroup o.l. Med andre ord, en litt mer primitiv løsning.

 

Jeg kan ikke begripe meg på at noen som skal kunne dette ikke vet hvordan man gjør enkle ting som dette her.

[kizzykazz]

Long story didn't read. Er det umulig å sette zyxel i bridge modus? Min router blir tilegna 10.0.0.0 adresse, og i wifi.telenor.no finner eg ingen plass å sette i bridge mode.
Telenor chat sier det ikke er restriksjon men jeg må ringe telenoreksperten til 30kr minuttet...

[Hårek]

Har du DSL? Hvis P8702N brukes som modem så bør det vær mulig. Men hvis du bruker WAN inngang er det ikke noe poeng å sette den i bridge - da har boksen ikke lenger noen funksjon.

[kizzykazz]

DSL ja, og kobla i DSL. Men må eg ringe inn til telenor og få dei til å utføre dette, virkelig? Før var det et veldig greit gui som vi alle veit.

[Hårek]

Hva ser du hvis du går inn på Actions - WAN protokoll? 

[kizzykazz]

Wifi.telenor.no ...

[Hårek]

???

Ref bildet i dette innlegget, ser du noe lignende? Se svaret fra bmork under.

[kizzykazz]

Aha! Der var det, glimrende, takk for svar :-)