Ahoj, chci se zeptat jak nastavit shield jako bridge pokud to jde? Nechci mít jeden NAT na shieldu a druhý na svém routeru za ním. Chci zachovat můj router JAKO hlavní DHCP a nat.
Díky za radu.
Honza
Pozdravy
Bohužel se Štítem to není tak snadné.
Pro pokročilá nastavení musíte vstoupit do ssh root@192.168.1.1 a provést další nastavení.
Pokud to nejste obeznámeni, je to bohužel nesprávný hardware, protože pokud vím, měl by být štít pouze Simple Adaptive Firewall přes Plug and Play. Bez pravidel brány firewall atd.
Pokud si to chcete vyzkoušet, podívejte se na následující, ale mějte na paměti, že zde podpora končí.
OpenWRT - vytvoření mostu
https://openwrt.org/docs/guide-user/network/wifi/relay_configuration
Pozdravy
[Přeložit pomocí google překladu z němčiny do vaší]
1 Like
SSH je dostupný? @cynerd psal, že k dispozici není, ale pokud ano, leccos půjde nastavit (i když chápu, že to nebyl záměr).
Řek bych, i podle vedlejšího vlákna, že Shield často koupí lidi v omylu, poněvadž to CZNIC inzeruje jako HW Firewall. Což doslova neplatí. Je to převlečený MOX takže router (vč. NAT) + firewall + switch. A to bez možnosti jakýhokoliv nastavení routingu, NATu, atd. Takže, co si o tom divajsu myslet? Předpoklad je (*1) že si to koupí lidi co tomu nehoví, a zapojí si [router od ISP] > [router Shield] > [router svuj, typicky nejaky TPLink]. Tento způsob trojitého NATu se mi zdá poněkud nešťastný… Port Forward přes to neproleze, IPv6 přes to neproleze…
(*1) https://www.turris.cz/cs/shield/predstaveni/ : “…Zapojuje se mezi modem a router.” … “Žádné nadprůměrné IT dovednosti nejsou třeba”…
1 Like
No bohužel jsem ho už vrátil, koupil jsem ho také jako hw firewall, ale očekávání bylo opravdu jiné než to co jsem dostal. Neměl jsem sice jeho zakoupením trojitý nat, jen jeho a na svém mikrotiku, ale i tak je to jak říkáte nešťastné řešení. Mám tedy jen jeden vlastní nat, protože od ISP mám jen anténu v bridge a veřejnou IP adresu, kterou natuji na mikrotiku. Díky, ale radši se holt naučím nastavení firewallu u routeru mikrotik. Kdyby měl někdo nějaký zajímavý tip, předem děkuji.
Škoda, ale je to pochopitelné. Robustnější specifikace produktu na e-shopech by skutečně neškodila, i když je to trochu také na obchodníkovi samotném.
@Victor
ano ssh je k dispozici, ale není podporován štítem Turris.
Koupil jsem si také štít, protože jsem věděl, že jde o konfigurovatelný firewall. Zde je popis produktu zjevně nesprávný.
Alternativně mohu doporučit Turris-Mox
Po označení jsem koupil následující: startér a ethernetový adaptér za asi 168 €
Zde máte další možnosti nastavení, které také podporuje Turris.
@Jan_Safar_jr
Nevím přesně, jaký je Mikrotek a co to stojí, alternativně je vše založeno na Linuxu / BSD a používá IPTables.
Znamení bylo v pořádku, ať chcete, od Turrisu nedostávám žádné peníze, ale podle mého názoru je Turris Mox dobrým kompromisem mezi otevřeným zdrojem, snadným nastavením a spoustou nastavení, zejména proto, že jej můžete snadno vymazat a PFSense atd. Bude fungovat umět. 
Pozdrav
1 Like
Pre istotu upozornim, ze na pouzitie bridge firewallu musi zariadenie podporovat rozbalovanie protokolov ako pppoe a pppoa pripadne dalsich, do ktorych bude router bali internetovu konektivitu.
Taktiez, nie som si presne isty ako by mala fungovat konfiguracia bridge, pokial by nemal vlastnu IP adresu.
On ma potom privatni, neco jako 10.1.2.3, nemusi mit verejnou. Tak se na ni dostane uzivatel i provider.
provideri predpokladam blokuju neverejne IP adresy od klientov, teda, aspon by mali.
Jasne, tedy myslim ze se na administraci toho zarizeni oba [provider a uzivatel, nikdo jiny] dostanou z vnitrni site, ne z internetu.
Privatni IP nemusi “blokovat”, ty vubec nejdou routovat po Internetu.
Vzpominam si kdyz jsem kdysi mel UPC modem v bridgi, tak jsem se dostal na jeho info stranku na nejake te 10kove adrese, ale bez hesla jsem moh maximalne prohlizet nejaky statistiky myho provozu.
1 Like
ja som tym chcel povedat ze na pouzitie shieldu ako neNATujuci bridge medzi routerom a internetom:
- musi shield podporovat protokoly, do ktorych mozu routery balit internetovu prevadzku ako su pppoe pppoa a ine (musi do nich vidiet a vediet ich zablokovat)
- nemoze mat shield IP viditelnu z routera aj z internetu, pretoze provider poskytne len jednu a tu si (celu) vezme router.
… cize to je prakticky neuskutocnitelne.
Ono by to šlo. Např. tak, že kromě bridge portů (WAN/LAN) bude přítomen ještě konfigurační konektor (něco jako konzolový), který bude připojen do vnitřní sítě. Komunikace může probíhat na dedikovaném portu, který lze (pokud má být ten cfgport přístupný i zvenčí) forwardovat na routeru. Potom by pakety cestovaly ze sítě přes bridgeFW do routeru a druhým kabelem (nevýhoda) zase do routeru.
Jako bezpečnější bych ale viděl, že port forwardovaný není, zvenčí tedy nelze do FW sáhnout, ale FW sám umí aktivně požádat o update. Jeden UDP paket dotaz (mám databázi z tohoto timestampu - je to aktuální?), jeden UDP paket odpověď (ano/ne) - a pokud něco nového je, FW si stáhne nový security patch.
Jiným řešením by pochopitelně byl (asi natvrdo zadrátovaný) port pro obsluhu FW s tím, že pokud přijdou data na tomto portu ze správného serveru, je to signál, že je nová definice ohrožení. Tedy např. že pokud přijde paket na TCP portu 43210 z IP 111.222.33.44, bere se to jako signál “server hlásí, že má novou definici - jukni na ni”, stejný port z jiného serveru projde bez povšimnutí dál.