simonebortolin hai fatto i filtri sia per ipv4 in GigabitEthernet0/Vlan101/MapT0 che ipv6 in GigabitEthernet0/Vlan101?
se sì allora molto probabilmente è dovuta all'accelerazione hardware per map-t perché altrimenti avresti performance in ipv4 ridicole... sarebbe da sentire il supporto
Poi che ti serve il firewall? fai una vlan separata per i device ristretti e agisci in modo diverso

Avevo già provato a creare una access-list separata e assegnarla a GigabitEthernet0/Vlan101/MapT0 in input ma non è cambiato nulla. In IPv6 sinceramente non ho fatto niente, anche perchè io filtravo solo subnet IPv4 dato che dietro i servizi non sono IPv6 enabled.
Il filtro lo vorrei applicare su IP pubblici, quindi niente VLAN in questo caso, oppure non ho capito cosa intendi. Senza HW Acceleration non sembra essere cambiato alcunché.

Comunque guardando la running-config le regole impostate via GUI da "Sky Italia (FTTH) (VLAN 101 - Internet)" le applica su GigabitEthernet0/Vlan101, che mi sembra strano. Non dovrebbero appunto insistere sulla /MapT0?

simonebortolin Lo devi fare via console, ma si riesce, devi assegnare un ip all'interfaccia GigabitEthernet0 e poi fare regole di routing, ovviamente la rete IP della lan deve essere diversa da quella dell'ONT.
Però a che ti serve?

Mi evito qualche passo per vedere i LED e controllare la potenza ottica senza perdere connessione ad internet 😅 Ho provato a configurare l'IP su praticamente tutte le interfacce ma mi da errore:

interface GigabitEthernet0 ip address 192.168.100.2/24

{
"prompt": "(config)",
"status": [
{
"status": "error",
"code": "6553609",
"ident": "Network::Interface::Ip",
"message": "unable to find GigabitEthernet0 in \"Network::Interface::Ip\"."
}
]
}

        HyperCooler Comunque guardando la running-config le regole impostate via GUI da "Sky Italia (FTTH) (VLAN 101 - Internet)" le applica su GigabitEthernet0/Vlan101, che mi sembra strano. Non dovrebbero appunto insistere sulla /MapT0?

        No certo che no, l'interfaccia MapT è una interfaccia virtuale che fa routing, dovrebbe essere giusto alla precedente.

        HyperCooler Senza HW Acceleration non sembra essere cambiato alcunché.

        è plausibile che non sia bypassabile.

        HyperCooler Mi evito qualche passo per vedere i LED e controllare la potenza ottica senza perdere connessione ad internet 😅 Ho provato a configurare l'IP su praticamente tutte le interfacce ma mi da errore:

        Forse ti manca di fare un interface on

        HyperCooler Avevo già provato a creare una access-list separata e assegnarla a GigabitEthernet0/Vlan101/MapT0 in input ma non è cambiato nulla. In IPv6 sinceramente non ho fatto niente, anche perchè io filtravo solo subnet IPv4 dato che dietro i servizi non sono IPv6 enabled.
        Il filtro lo vorrei applicare su IP pubblici, quindi niente VLAN in questo caso, oppure non ho capito cosa intendi. Senza HW Acceleration non sembra essere cambiato alcunché.

        Corretto, le porte pubbliche hanno device con un IP su altra sottorete, che gli mappi su una vlan dedicata e così non hai grosse regole da fare

                  simonebortolin è plausibile che non sia bypassabile.

                  Probabile. Ho provato a fare uno speedtest al volo in IPv4 senza accelerazione HW ed ero a oltre 750Mbps e 22% di CPU.

                  simonebortolin Forse ti manca di fare un interface on

                  Non sembra piacergli, prende "on" come nome di interfaccia e se lo metto alla fine non riconosce la sintassi.
                  La costa strana è che se vado per step e do "interface GigabitEthernet0" e invio, allora entra nel submenu, ma proseguendo con "ip address 192.168.100.2/24" stesso errore di prima.

                  simonebortolin Corretto, le porte pubbliche hanno device con un IP su altra sottorete, che gli mappi su una vlan dedicata e così non hai grosse regole da fare

                  Mi spiego meglio. Io vorrei solamente droppare tutte le connessioni provenienti da internet, esempio da 1.2.3.4/18, dirette alla porta TCP 1234 mentre accettare quelle da 5.6.7.8/21. Una VLAN non vedo in che modo possa aiutarmi in questo caso 🙂

                          HyperCooler Probabile. Ho provato a fare uno speedtest al volo in IPv4 senza accelerazione HW ed ero a oltre 750Mbps e 22% di CPU.

                          Non mi torna, io vedevo con l'hero WiFi 6 CPU molto più alta e velocità simili alla tua.

                          HyperCooler Non sembra piacergli, prende "on" come nome di interfaccia e se lo metto alla fine non riconosce la sintassi.
                          La costa strana è che se vado per step e do "interface GigabitEthernet0" e invio, allora entra nel submenu, ma proseguendo con "ip address 192.168.100.2/24" stesso errore di prima.

                          Non ricordo bene, lo avevo fatto, poi lo avevo tolto... non mi interessava.

                          HyperCooler Mi spiego meglio. Io vorrei solamente droppare tutte le connessioni provenienti da internet, esempio da 1.2.3.4/18, dirette alla porta TCP 1234 mentre accettare quelle da 5.6.7.8/21. Una VLAN non vedo in che modo possa aiutarmi in questo caso 🙂

                          Ahhhhh, che schifezza cablare gli IP così, usa una VPN o un altro tipo di autenticazione, non così...

                                  simonebortolin Non mi torna, io vedevo con l'hero WiFi 6 CPU molto più alta e velocità simili alla tua.

                                  Torna con il ragionamento di non poterlo disabilitare per il MAP-T. Magari serve un reboot per applicare, ma non viene specificato né da GUI né dalla documentazione.

                                  simonebortolin Ahhhhh, che schifezza cablare gli IP così, usa una VPN o un altro tipo di autenticazione, non così...

                                  Non posso. Devo collegare client diversi e spesso non è possibile configurarne una. Anche un secondo layer di autenticazione non è fattibile perchè ci sono first party app che non supportano un uso del genere.
                                  Resta solo quella soluzione.

                                      Ho scritto al supporto e mi hanno confermato il dubbio che avevo, ovvero che le regole di firewalling vanno applicate all'interfaccia del MAP-T, cioè GigabitEthernet0/Vlan101/MapT0.
                                      Era una prova che avevo già fatto, come avevo scritto, però questa volta ho provato anche a cancellare l'access-list della GUI dall'interfaccia GigabitEthernet0/Vlan101 ed ora sembra funzionare. Strano perchè avevo tutte le regole disabilitate 🤔
                                      Resta sempre il problema che da GUI non viene creato il tab corretto per la gestione del firewall in caso di connessioni MAP-T e immagino anche PPPoE ecc.

                                      Ho chiesto anche per l'ONT. Vi aggiorno.

                                        HyperCooler e immagino anche PPPoE ecc.

                                        no quelle vanno, è solo MAP-T, evidentemente le devi fare da console.

                                          A chiunque possa essere utile, per l'interfaccia dell'ONT si configura sulla GigabitEthernet0/Vlan101 con il seguente comando:

                                          interface GigabitEthernet0/Vlan101 ip alias 192.168.100.2/24

                                          • Parnas ha risposto a questo messaggio
                                          • Parnas ha messo mi piace.

                                            Parnas 192.168.100.2 è perchè il tuo ONT ha indirizzo 192.168.100.1, immagino ?

                                            Si esattamente.

                                            Sto anche cercando di replicare altre parti di configurazione che avevo in piedi sulla rete precedente (con un EdgeRouter) e con cui sto avendo difficoltà. Ad esempio una rete guest con accesso ai miei dispositivi AirPlay sotto due VLAN differenti.
                                            Se vi interessa aggiorno il thread una volta che riesco a farla funzionare.

                                            Comunque bisogna dire che sia il supporto che la documentazione di Keenetic sono davvero eccellenti. Hanno già degli prodotti ottimi ma quelle sono le ciliegine sulla torta che ti fanno cambiare ecosistema volentieri e senza guardarsi indietro.

                                              5 giorni dopo

                                              HyperCooler A chiunque possa essere utile, per l'interfaccia dell'ONT si configura sulla GigabitEthernet0/Vlan101 con il seguente comando:

                                              interface GigabitEthernet0/Vlan101 ip alias 192.168.100.2/24

                                              Ho provato sulla mia connessione (che non è Sky, ma una comune FTTH in Easy IP) ma non va...
                                              nel mio caso uso

                                              perchè la VLAN è 835 e l'IP dell'ONT è 192.168.1.1.
                                              Vedo dalla bash del router che mi ha correttamente configurato una rotta sulla subnet 192.168.1.0/24, ma comunque l'ONT non si pinga. 🤷🏻‍♂️

                                                  Parnas Ho provato sulla mia connessione (che non è Sky, ma una comune FTTH in Easy IP) ma non va...
                                                  nel mio caso uso
                                                  perchè la VLAN è 835 e l'IP dell'ONT è 192.168.1.1.
                                                  Vedo dalla bash del router che mi ha correttamente configurato una rotta sulla subnet 192.168.1.0/24, ma comunque l'ONT non si pinga. 🤷🏻‍♂️

                                                  Hai provato a collegarti direttamente con un PC e configurando 192.168.1.2 per confermare che funzioni?
                                                  Oltre quello io non ho dovuto fare altro, ma non vorrei che ci sia qualche regola di firewalling "automatica" che ti blocca.
                                                  Credo sia la cosa che mi piace di meno di questo sistema: fa molte configurazioni in automatico e quello va bene, ma almeno da CLI dovresti darmi la possibilità di vedere cosa è stato configurato, altrimenti il troubleshooting diventa un inferno.

                                                  Se collegato diretto funziona magari posta la conf. Potrebbe saltare all'occhio qualcos'altro che non lo fa funzionare 🙂

                                                  • Parnas ha risposto a questo messaggio

                                                      HyperCooler Hai provato a collegarti direttamente con un PC e configurando 192.168.1.2 per confermare che funzioni?

                                                      Sì certo, se collego l'ONT direttamente al PC accedo senza problemi alla sua web-gui. Ma è un po' scomodo perchè devo staccare fisicamente il cavo dal router.

                                                      HyperCooler Se collegato diretto funziona magari posta la conf.

                                                      La configurazione di cosa, del pc ? Niente di che, da pc (windows 11) non faccio altro che impostare manualmente IP 192.168.1.2 sulla scheda di rete e funziona.

                                                            @HyperCooler è uscito openWRT per keenetic. Ho letto che avevi dei problemi ad impostare delle regole di firewall/VLAN. Con openWRT non dovresti riscontrare problemi, è più aperto come OS.
                                                            Link

                                                              Parnas La configurazione di cosa, del pc ? Niente di che, da pc (windows 11) non faccio altro che impostare manualmente IP 192.168.1.2 sulla scheda di rete e funziona.

                                                              No intendo la conf del router

                                                              giuse56 è uscito openWRT per keenetic. Ho letto che avevi dei problemi ad impostare delle regole di firewall/VLAN. Con openWRT non dovresti riscontrare problemi, è più aperto come OS.
                                                              Link

                                                              Ho visto proprio ieri sera per caso mentre stavo togliendo router vari dal carrello Amazon, ma il mio Sprinter per ora ancora non è supportato. Comunque mi hanno detto dal supporto che il firewall è in corso di revisione completa. Per ora non passerei a OpenWRT anche se fosse disponibile.

                                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                  P.I. IT16712091004 - info@fibraclick.it

                                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile