Ciao a tutti.

Ho da poco migrato in FTTH con Sky WiFi, quindi ho preso la palla al balzo e ho rimosso finalmente la CPE dell'operatore. Ho scelto un Keenetic Sprinter proprio per i pareri positivi sul forum, e in generale perchè ha quello che cercavo come funzionalità.
Dopo averlo configurato però mi sono schiantato su un paio di problemi:

  1. Firewall
    Ho bisogno di fare Port Forwarding verso una specifica porta, e questo funziona correttamente se configurato sull'interfaccia "GigabitEthernet0/Vlan101/MapT0" e destinato a un client registrato. Funziona, ma da qualsiasi IP, mentre con il mio vecchio router filtravo tutto tranne alcune subnet.
    Ho quindi letto la documentazione e specificano che il router crea da solo le regole di permit. Allora ho creato una serie di regole, una per subnet, dove esplicito il permit, e una al termine per i deny di tutte le restanti.
    Qualsiasi cosa inserisca nella sezione "Sky Italia (FTTH) (VLAN 101 - Internet)" del firewall viene ignorata e continua a funzionare da tutte gli IP.
    Qualcuno ha una configurazione simile e funzionante?

  2. Pagina di management dell'ONT
    Sul vecchio router avevo configurato un IP sull'interfaccia WAN che mi permetteva il routing verso la pagina di management dell'ONT. Con il Keenetic non riesco a configurarla.
    Qualcuno sa per caso come fare?

Grazie a chiunque legga il pippone 🙂

    HyperCooler Qualsiasi cosa inserisca nella sezione "Sky Italia (FTTH) (VLAN 101 - Internet)" del firewall viene ignorata e continua a funzionare da tutte gli IP.

    hai fatto i filtri sia per ipv4 in GigabitEthernet0/Vlan101/MapT0 che ipv6 in GigabitEthernet0/Vlan101?
    se sì allora molto probabilmente è dovuta all'accelerazione hardware per map-t perché altrimenti avresti performance in ipv4 ridicole... sarebbe da sentire il supporto

    Poi che ti serve il firewall? fai una vlan separata per i device ristretti e agisci in modo diverso

    HyperCooler Pagina di management dell'ONT
    Sul vecchio router avevo configurato un IP sull'interfaccia WAN che mi permetteva il routing verso la pagina di management dell'ONT. Con il Keenetic non riesco a configurarla.
    Qualcuno sa per caso come fare?

    Lo devi fare via console, ma si riesce, devi assegnare un ip all'interfaccia GigabitEthernet0 e poi fare regole di routing, ovviamente la rete IP della lan deve essere diversa da quella dell'ONT.

    Però a che ti serve?

          simonebortolin hai fatto i filtri sia per ipv4 in GigabitEthernet0/Vlan101/MapT0 che ipv6 in GigabitEthernet0/Vlan101?
          se sì allora molto probabilmente è dovuta all'accelerazione hardware per map-t perché altrimenti avresti performance in ipv4 ridicole... sarebbe da sentire il supporto
          Poi che ti serve il firewall? fai una vlan separata per i device ristretti e agisci in modo diverso

          Avevo già provato a creare una access-list separata e assegnarla a GigabitEthernet0/Vlan101/MapT0 in input ma non è cambiato nulla. In IPv6 sinceramente non ho fatto niente, anche perchè io filtravo solo subnet IPv4 dato che dietro i servizi non sono IPv6 enabled.
          Il filtro lo vorrei applicare su IP pubblici, quindi niente VLAN in questo caso, oppure non ho capito cosa intendi. Senza HW Acceleration non sembra essere cambiato alcunché.

          Comunque guardando la running-config le regole impostate via GUI da "Sky Italia (FTTH) (VLAN 101 - Internet)" le applica su GigabitEthernet0/Vlan101, che mi sembra strano. Non dovrebbero appunto insistere sulla /MapT0?

          simonebortolin Lo devi fare via console, ma si riesce, devi assegnare un ip all'interfaccia GigabitEthernet0 e poi fare regole di routing, ovviamente la rete IP della lan deve essere diversa da quella dell'ONT.
          Però a che ti serve?

          Mi evito qualche passo per vedere i LED e controllare la potenza ottica senza perdere connessione ad internet 😅 Ho provato a configurare l'IP su praticamente tutte le interfacce ma mi da errore:

          interface GigabitEthernet0 ip address 192.168.100.2/24

          {
          "prompt": "(config)",
          "status": [
          {
          "status": "error",
          "code": "6553609",
          "ident": "Network::Interface::Ip",
          "message": "unable to find GigabitEthernet0 in \"Network::Interface::Ip\"."
          }
          ]
          }

                HyperCooler Comunque guardando la running-config le regole impostate via GUI da "Sky Italia (FTTH) (VLAN 101 - Internet)" le applica su GigabitEthernet0/Vlan101, che mi sembra strano. Non dovrebbero appunto insistere sulla /MapT0?

                No certo che no, l'interfaccia MapT è una interfaccia virtuale che fa routing, dovrebbe essere giusto alla precedente.

                HyperCooler Senza HW Acceleration non sembra essere cambiato alcunché.

                è plausibile che non sia bypassabile.

                HyperCooler Mi evito qualche passo per vedere i LED e controllare la potenza ottica senza perdere connessione ad internet 😅 Ho provato a configurare l'IP su praticamente tutte le interfacce ma mi da errore:

                Forse ti manca di fare un interface on

                HyperCooler Avevo già provato a creare una access-list separata e assegnarla a GigabitEthernet0/Vlan101/MapT0 in input ma non è cambiato nulla. In IPv6 sinceramente non ho fatto niente, anche perchè io filtravo solo subnet IPv4 dato che dietro i servizi non sono IPv6 enabled.
                Il filtro lo vorrei applicare su IP pubblici, quindi niente VLAN in questo caso, oppure non ho capito cosa intendi. Senza HW Acceleration non sembra essere cambiato alcunché.

                Corretto, le porte pubbliche hanno device con un IP su altra sottorete, che gli mappi su una vlan dedicata e così non hai grosse regole da fare

                          simonebortolin è plausibile che non sia bypassabile.

                          Probabile. Ho provato a fare uno speedtest al volo in IPv4 senza accelerazione HW ed ero a oltre 750Mbps e 22% di CPU.

                          simonebortolin Forse ti manca di fare un interface on

                          Non sembra piacergli, prende "on" come nome di interfaccia e se lo metto alla fine non riconosce la sintassi.
                          La costa strana è che se vado per step e do "interface GigabitEthernet0" e invio, allora entra nel submenu, ma proseguendo con "ip address 192.168.100.2/24" stesso errore di prima.

                          simonebortolin Corretto, le porte pubbliche hanno device con un IP su altra sottorete, che gli mappi su una vlan dedicata e così non hai grosse regole da fare

                          Mi spiego meglio. Io vorrei solamente droppare tutte le connessioni provenienti da internet, esempio da 1.2.3.4/18, dirette alla porta TCP 1234 mentre accettare quelle da 5.6.7.8/21. Una VLAN non vedo in che modo possa aiutarmi in questo caso 🙂

                                  HyperCooler Probabile. Ho provato a fare uno speedtest al volo in IPv4 senza accelerazione HW ed ero a oltre 750Mbps e 22% di CPU.

                                  Non mi torna, io vedevo con l'hero WiFi 6 CPU molto più alta e velocità simili alla tua.

                                  HyperCooler Non sembra piacergli, prende "on" come nome di interfaccia e se lo metto alla fine non riconosce la sintassi.
                                  La costa strana è che se vado per step e do "interface GigabitEthernet0" e invio, allora entra nel submenu, ma proseguendo con "ip address 192.168.100.2/24" stesso errore di prima.

                                  Non ricordo bene, lo avevo fatto, poi lo avevo tolto... non mi interessava.

                                  HyperCooler Mi spiego meglio. Io vorrei solamente droppare tutte le connessioni provenienti da internet, esempio da 1.2.3.4/18, dirette alla porta TCP 1234 mentre accettare quelle da 5.6.7.8/21. Una VLAN non vedo in che modo possa aiutarmi in questo caso 🙂

                                  Ahhhhh, che schifezza cablare gli IP così, usa una VPN o un altro tipo di autenticazione, non così...

                                          simonebortolin Non mi torna, io vedevo con l'hero WiFi 6 CPU molto più alta e velocità simili alla tua.

                                          Torna con il ragionamento di non poterlo disabilitare per il MAP-T. Magari serve un reboot per applicare, ma non viene specificato né da GUI né dalla documentazione.

                                          simonebortolin Ahhhhh, che schifezza cablare gli IP così, usa una VPN o un altro tipo di autenticazione, non così...

                                          Non posso. Devo collegare client diversi e spesso non è possibile configurarne una. Anche un secondo layer di autenticazione non è fattibile perchè ci sono first party app che non supportano un uso del genere.
                                          Resta solo quella soluzione.

                                              Ho scritto al supporto e mi hanno confermato il dubbio che avevo, ovvero che le regole di firewalling vanno applicate all'interfaccia del MAP-T, cioè GigabitEthernet0/Vlan101/MapT0.
                                              Era una prova che avevo già fatto, come avevo scritto, però questa volta ho provato anche a cancellare l'access-list della GUI dall'interfaccia GigabitEthernet0/Vlan101 ed ora sembra funzionare. Strano perchè avevo tutte le regole disabilitate 🤔
                                              Resta sempre il problema che da GUI non viene creato il tab corretto per la gestione del firewall in caso di connessioni MAP-T e immagino anche PPPoE ecc.

                                              Ho chiesto anche per l'ONT. Vi aggiorno.

                                                HyperCooler e immagino anche PPPoE ecc.

                                                no quelle vanno, è solo MAP-T, evidentemente le devi fare da console.

                                                  A chiunque possa essere utile, per l'interfaccia dell'ONT si configura sulla GigabitEthernet0/Vlan101 con il seguente comando:

                                                  interface GigabitEthernet0/Vlan101 ip alias 192.168.100.2/24

                                                  • Parnas ha risposto a questo messaggio
                                                  • Parnas ha messo mi piace.

                                                    Parnas 192.168.100.2 è perchè il tuo ONT ha indirizzo 192.168.100.1, immagino ?

                                                    Si esattamente.

                                                    Sto anche cercando di replicare altre parti di configurazione che avevo in piedi sulla rete precedente (con un EdgeRouter) e con cui sto avendo difficoltà. Ad esempio una rete guest con accesso ai miei dispositivi AirPlay sotto due VLAN differenti.
                                                    Se vi interessa aggiorno il thread una volta che riesco a farla funzionare.

                                                    Comunque bisogna dire che sia il supporto che la documentazione di Keenetic sono davvero eccellenti. Hanno già degli prodotti ottimi ma quelle sono le ciliegine sulla torta che ti fanno cambiare ecosistema volentieri e senza guardarsi indietro.

                                                      5 giorni dopo

                                                      HyperCooler A chiunque possa essere utile, per l'interfaccia dell'ONT si configura sulla GigabitEthernet0/Vlan101 con il seguente comando:

                                                      interface GigabitEthernet0/Vlan101 ip alias 192.168.100.2/24

                                                      Ho provato sulla mia connessione (che non è Sky, ma una comune FTTH in Easy IP) ma non va...
                                                      nel mio caso uso

                                                      perchè la VLAN è 835 e l'IP dell'ONT è 192.168.1.1.
                                                      Vedo dalla bash del router che mi ha correttamente configurato una rotta sulla subnet 192.168.1.0/24, ma comunque l'ONT non si pinga. 🤷🏻‍♂️

                                                          Parnas Ho provato sulla mia connessione (che non è Sky, ma una comune FTTH in Easy IP) ma non va...
                                                          nel mio caso uso
                                                          perchè la VLAN è 835 e l'IP dell'ONT è 192.168.1.1.
                                                          Vedo dalla bash del router che mi ha correttamente configurato una rotta sulla subnet 192.168.1.0/24, ma comunque l'ONT non si pinga. 🤷🏻‍♂️

                                                          Hai provato a collegarti direttamente con un PC e configurando 192.168.1.2 per confermare che funzioni?
                                                          Oltre quello io non ho dovuto fare altro, ma non vorrei che ci sia qualche regola di firewalling "automatica" che ti blocca.
                                                          Credo sia la cosa che mi piace di meno di questo sistema: fa molte configurazioni in automatico e quello va bene, ma almeno da CLI dovresti darmi la possibilità di vedere cosa è stato configurato, altrimenti il troubleshooting diventa un inferno.

                                                          Se collegato diretto funziona magari posta la conf. Potrebbe saltare all'occhio qualcos'altro che non lo fa funzionare 🙂

                                                          • Parnas ha risposto a questo messaggio

                                                              HyperCooler Hai provato a collegarti direttamente con un PC e configurando 192.168.1.2 per confermare che funzioni?

                                                              Sì certo, se collego l'ONT direttamente al PC accedo senza problemi alla sua web-gui. Ma è un po' scomodo perchè devo staccare fisicamente il cavo dal router.

                                                              HyperCooler Se collegato diretto funziona magari posta la conf.

                                                              La configurazione di cosa, del pc ? Niente di che, da pc (windows 11) non faccio altro che impostare manualmente IP 192.168.1.2 sulla scheda di rete e funziona.

                                                                    @HyperCooler è uscito openWRT per keenetic. Ho letto che avevi dei problemi ad impostare delle regole di firewall/VLAN. Con openWRT non dovresti riscontrare problemi, è più aperto come OS.
                                                                    Link

                                                                      Parnas La configurazione di cosa, del pc ? Niente di che, da pc (windows 11) non faccio altro che impostare manualmente IP 192.168.1.2 sulla scheda di rete e funziona.

                                                                      No intendo la conf del router

                                                                      giuse56 è uscito openWRT per keenetic. Ho letto che avevi dei problemi ad impostare delle regole di firewall/VLAN. Con openWRT non dovresti riscontrare problemi, è più aperto come OS.
                                                                      Link

                                                                      Ho visto proprio ieri sera per caso mentre stavo togliendo router vari dal carrello Amazon, ma il mio Sprinter per ora ancora non è supportato. Comunque mi hanno detto dal supporto che il firewall è in corso di revisione completa. Per ora non passerei a OpenWRT anche se fosse disponibile.

                                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                          P.I. IT16712091004 - info@fibraclick.it

                                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile