ADSL/Palomuuri/Reititin purkit ja tietoturva

[Hajakenttä]

Tuanoinnii... passaisko kysyä? Tämä nyt ei suoraan ohjelmistojen tietoturvaan liity, mutta välillisesti. Kun minulla on ADSL yhteys ja sen modemissa on sisäinen palomuuri. Kuinka tärkeä se palomuuri on? Nimittäin, vuosikausia oli Elisan nettiyhteys ja ko. palomuuri päällä. Sitten vaihdoin (hintapolitiikan takia) TeliaSoneran yhteydeksi. Nyt ei yhteyttä synny lainkaan jos modemin oman palomuurin laittaa käyttöön. Ei edes internet lamppu syty modemipurkin päälle. Siis tarkoitan sitä ruksia, jossa lukee siltaava tai reitittävä. Se on oltava siltaava asennossa, muuten ei toimi.

Voiko sen modemin nyt kaapata esim. nettihyökkäyksen apuriksi?

Myös Ubuntulle ja Xubuntulle tuli joka käynnistyksellä ilmoitus Avahin poiskytkennästä .lokale asetuksen vuoksi. Sitäkään ei ennen (Elisan yhteydellä) tullut. TeliaSonera toi sen tullessaan ja esteettisistä syistä puukotin sen ilmoituksen pois. Onkohan sekin tietoturvariski? Siis se Avahin poiskytkentä ja .lokale asetus jossain tuolla missälie?

[qwertyy]

Jos motukka on siltaavassa tilassa niin voisi melkein sanoa, että kyseessä on tietoturvallisesti lähes pahin mahdollinen tilanne.

Esim. tuolla nyt on jotain perusjuttua. Googlella löytyy paljon juttua asetuksista. Erityisesti jos hakee englanniksi.
http://verkko.tontut.fi/ohje_montakonetta.shtml

[ditl]

Tuanoinnii... passaisko kysyä? Tämä nyt ei suoraan ohjelmistojen tietoturvaan liity, mutta välillisesti. Kun minulla on ADSL yhteys ja sen modemissa on sisäinen palomuuri. Kuinka tärkeä se palomuuri on? Nimittäin, vuosikausia oli Elisan nettiyhteys ja ko. palomuuri päällä. Sitten vaihdoin (hintapolitiikan takia) TeliaSoneran yhteydeksi. Nyt ei yhteyttä synny lainkaan jos modemin oman palomuurin laittaa käyttöön. Ei edes internet lamppu syty modemipurkin päälle. Siis tarkoitan sitä ruksia, jossa lukee siltaava tai reitittävä. Se on oltava siltaava asennossa, muuten ei toimi.

Täällä on aina ollut ADSL purkki reititys-moodissa ja NAT päällä ja palomuuri pois (tai tarkasti ottaen on siinä
default blokkaa tuleva liikenne vaikka mitään muuta ei  olekaan määritelty).
Koita konfata palomuuri pois, jos siinä on vanhan yhteyden asetuksia.

[Hajakenttä]

Asetusten profiili on haettu TeliaSoneralta. Kertooko oheinen kuva mitään? Jos siltaavan muuttaa reitittäväksi ei yhteyttä saa syntymään. Elisan yhteydellä sai. TeliaSoneran antama ohjekin kehotti laittamaan asetukset näin siinä kirjeessä, joka tuli yhteyttä tilatessa. Puhelimessa vielä tytöltä kysyin, että onko oikeasti siltaava oltava ja sanoi ihmeissään, että tietysti. Kertooko se mitään, että koneilla, jotka ovat saman modemin sisältämän WLAN tukiaseman yhteyden varassa, on kyllä ihan eri ip-osoite (mallia: 192.168.0.nnn) kuin ulkoverkossa (mallia: 88.195.nnn.nn)? Onko se WLAN aina reitittävä ihan teknisesti? Onko tuo NAT joku suojaus? Miten palomuuria voi muuttaa tai ottaa pois päältä? Siinä on vaikka mitä asetteluja, joista en ymmärrä mitään. Olen joo yrittänyt googlettaa ja paljon tietoa löytyy, mutta ei näin yksinkertaiselle.

E: Siis onhan se NAT juurikin se osoitteita muuttava ja jakava juttu, mutta onko se jotenkin palomuurimaisesti suojaava? Sitä piti kysymäni?

[qwertyy]

E: Siis onhan se NAT juurikin se osoitteita muuttava ja jakava juttu, mutta onko se jotenkin palomuurimaisesti suojaava? Sitä piti kysymäni?

Kyllä.

Aika outoa kyllä jos pakotetaan käyttämään sillattua tilaa. Oma edellinen adsl-purkki operaattorillani oli kyllä oletuksena reitittävässä tilassa, mutta sen pystyi aika näppärästi laittamaan kyllä sillattuun tilaankin jos vain halusi. Eikä kyseisellä operaattorilla kyllä myöskään ollut mitään maksimimäärää koneille. No tietääpä ainakin vältellä tiettyjä operaattoreita.

*edit*
Taitaapa olla Telehellin modeemi näemmä kyseessä. Jos jotain auttaa, niin jouduin kyllä resetoinnin jälkeen odotteleen linjatunnistuksen ja jos en ihan väärin muista, niin VPI ja VCI arvot piti laittaa jostain syystä käsin asetuksiin. Tosin saattoi olla että nuo arvot piti laittaa käsin vain jos linja ei automaagisesti jostain syystä tunnistunut. Ei oikein enää meinaa muistaa kun sen verran jo aikaa modeemin asetusten rukailuista.

"edit2*

Onko se WLAN aina reitittävä ihan teknisesti?

Ei käsittääkseni ole mikään pakko olla, mutta käytännössä niin kait järjestään kuitenkin on. Muuten taitaa olla kyseessä vain kahden laitteen välinen kytkös. Tai no oikeastaan silloin on jo kyseessä enemmänkin Adhoc-tyyppiset ratkaisut (verkon laajennukset kahdella eri langattomalla reitittimellä, joko ilmateitse tai kaapelilla). Muistaakseni oma Buffalon wlan reititin on tavallaan sillatussa tilassa eri valmistajan kuitulaitteeseen langattomasti. Osoitteeet taitaa jakaa tuo kuitulaite, eli muualla ei ole esim. DHCP palvelinta käytössä.

[ditl]

Asetusten profiili on haettu TeliaSoneralta. Kertooko oheinen kuva mitään? Jos siltaavan muuttaa reitittäväksi ei yhteyttä saa syntymään. Elisan yhteydellä sai. TeliaSoneran antama ohjekin kehotti laittamaan asetukset näin siinä kirjeessä, joka tuli yhteyttä tilatessa. Puhelimessa vielä tytöltä kysyin, että onko oikeasti siltaava oltava ja sanoi ihmeissään, että tietysti. Kertooko se mitään, että koneilla, jotka ovat saman modemin sisältämän WLAN tukiaseman yhteyden varassa, on kyllä ihan eri ip-osoite (mallia: 192.168.0.nnn) kuin ulkoverkossa (mallia: 88.195.nnn.nn)? Onko se WLAN aina reitittävä ihan teknisesti? Onko tuo NAT joku suojaus? Miten palomuuria voi muuttaa tai ottaa pois päältä? Siinä on vaikka mitä asetteluja, joista en ymmärrä mitään. Olen joo yrittänyt googlettaa ja paljon tietoa löytyy, mutta ei näin yksinkertaiselle.

E: Siis onhan se NAT juurikin se osoitteita muuttava ja jakava juttu, mutta onko se jotenkin palomuurimaisesti suojaava? Sitä piti kysymäni?

Outoa, NAT voi toimia vain reitittävässä laitteessa mutta tuossa on NAT siltaavassa
(vai onko tuo vain kehysrakenteen määrittävä juttu? Termit/käsitteet huteria?
Ei ole Soneraa täällä, en voi tarkistaa).

Kun NAT on päällä on sisäverkon osoitteet eri alueella kuin ADSL purkin osoite ulospäin.
Tuon tarkistamalla voi varmistaa että NAT on päällä. Se on turvallisuuden kannalta tärkeää.
Silloin ei ulkoa käsittääkseni voi avata yhteyttä sisäverkon koneisiin vaikka siellä joku portti
kuuntelisikin.

Palomuurin konfaus (jos sitten haluat sitä tehdä) on laitekohtainen. Yleisperiaatteena sallitaan
ulospäin liikenne mutta kielletään yritykset avata yhteys ulkoa. Jos sulla sattuu olemaan tarvetta
(palvelin) muuttaa näitä niin noita voi sitten loiventaa konfaamalla portteja/osoitteita.

[Hajakenttä]

Muutin tuota profiilivalintaa kun siitä joukosta löytyi pari semmosta, joissa on (0/33), joka paremmin viittaa Soneraan. Siinä edellisessä on (0/100). Ei siitä mitään apua ollut. Jos muuttaa kummasta tahansa (kuvat) asettelupaikasta reitittäväksi niin modemin "internet" lamppu sammuu heti kun tallettaa asetuksen ja yhteyskin tietysti katkeaa. Tuo uusi profiilinumero kyllä sinänsä näyttää kelpaavan.

En ole operaattorin tekniseen tukeen vielä ollut yhteydessä. Se neuvojan tytön ääni ei ehkä ollut muuta kuin myyntituki. Ehkäpä kysyn vielä niiltä kuinka näiden kuuluu olla. Sitten katson jos tuon Telewellin saisi vaikka päivitettyä. Ja kaupastahan noita saa uusiakin, jos ei muu auta.

[ditl]

Muutin tuota profiilivalintaa kun siitä joukosta löytyi pari semmosta, joissa on (0/33), joka paremmin viittaa Soneraan. Siinä edellisessä on (0/100). Ei siitä mitään apua ollut. Jos muuttaa kummasta tahansa (kuvat) asettelupaikasta reitittäväksi niin modemin "internet" lamppu sammuu heti kun tallettaa asetuksen ja yhteyskin tietysti katkeaa. Tuo uusi profiilinumero kyllä sinänsä näyttää kelpaavan.

Syytä konfata ATM Virtual Circuit ja Virtual Path arvot juuri niinkuin Sonera ohjeistaa.
Jos reitittävä konfaus ei toimi (kehysrakenne väärä?) niin älä käytä sitä.
NAT näyttää olevan päällä koska sisä- ja ulkoverkon osoite oli eri.

[Ganymedes]

Siirsin Purkkien keskustelun tähän paikkaan koska tämä ei ole Ohjelmistoihin liittyvää keskustelua.

[Hajakenttä]

Ehkä tämä onkin parempi omana säikeenään niin muutkin löytää.


Soitin TeliaSoneralle. Kunhan robotin kanssa aikani keskustelin sain elävän ihmisen langanpäähän. Ei suostunut neuvomaan modeemin asetukissa, vaan suositteli maksullista Helpson palvelua. Sen verran kuitenkin perusasiasta otti kantaa, että ei ole mikään pakko käyttää siltaavaa asetusta. Että kyllä pitää reitittävänäkin toimia ja tiedetään toimivan. Suositteli vaan tarkastamaan uudelleen kaikki asetukset ja tarvittaessa päivittämään firmwaren. Toppuutteli kyllä myös, että NAT suojaa ihan riittävästi ja se siltaava suositus on siksi, että erikoislaitteetkin toimisivat varmemmin.

Kuinkahan monella modeemi on siltaavana? Se lukee parissakin paikassa noissa operaattorin asetusohjeissa: 0, 33, NAT, siltaava. (kuva)

Välppäsin asetuksia ja kävin ne kutakuinkin kaikki läpi, että mitä siinä muuttuu jos asettaa reitittäväksi. Ei tullut ilon päivä vielä siitä. Seuraavaksi kai sitten päivitystä tekemään. Tuo modeemi kyllä on tuettujen listalla.

Kukaan ei ole vielä sanonut: voiko tämän motukan nyt kaapata? 

[ditl]

Kukaan ei ole vielä sanonut: voiko tämän motukan nyt kaapata?  

Jos purkin salasanan keksii niin sen jälkeen toki voi purkin ottaa haltuunsa ja tehdä ikäviä (yleensä purkissa pitää lisäksi olla sallittuna konfaus verkon puolelta). Tämä asia ei riipu siitä onko reitittävä vai siltaava.

Onko sisä- ja ulkoverkon osoitteet eri alueilla? Jos on, niin silloin on NAT päällä ja sisäverkon laitteita ei näe ulkopuolelta.

[qwertyy]

Eikös tuossa telewellin mallissa muka ole yhteyden luonti "velhoa". Eli hakee asetuksia yms. itsestään ja antaa sekaantua vain osaan asetuksista, kuten protokollaan ja siinä vaiheessa antaa valita myös esim. siltaavat asetukset.

Btw toki tiedät että nettiyhteyden pitääkin katketa kun vaihdat asetuksia ja jonkin verran on viivettä kun laitteet kättelee uudelleen yhteyden muodostamiseen? Käytännössä juuri sen verran kun toimivan modeemin sammuttaa ja käynnistää uudelleen.

[Ganymedes]

Edellä on jo kerrottu paljon. Oheisena omasta puolestani joitakin kommentteja jotka mahdollisesti auttavat ongelman hahmottamisessa.

1.
Ainahan NATia ("reititystä") voi käyttää. Ei sillä ole Soneran kanssa mitään tekemistä. Tarkoitan sitä, että kaikki perusasioinnit verkossa toimivat NATin takaa. Jos käytetään servereitä, ja niitä käytetään jollakin tietyllä tavalla, vaikkapa tietokantapalvelinta, niin silloin asiat pitää laittaa kuntoon verkossa tämän sovelluksen ehdoin. Mistään tällaisesta ei kuitenkaan kotikäytössä ole kyse.

2.
Oma asiansa on se, että pitääkö modeemin olla reitittävä vai olisiko se siltaava ja sitten sen perään hommataan kunnollinen reititin.

Tyypillisesti kuitenkin kotikäytössä riittää purkki, joka on modeemi/palomuuri/reititin/kytkin/mahdollisesti langaton tukiasema ja käytetään vain tätä yhtä laitetta.

3.
Modeemi/reititin/palomuuri. En tunne Soneran tilannetta (enkä lukenut tarkasti saitko jo yllä parempia neuvoja), mutta tyypillisesti tehdasasetuksilla lähtee toimimaan. Suosittelen tätä lähtökohdaksi.

Ainoastaan sellaiset asiat pitää tarkistaa, joilla ei ole Soneran kanssa mitään tekemistä - tarkoitan, että samat kohdat pitää tarkistaa missä hyvänsä verkossa. Näistä enemmän perässä.


4.
Verkkoasetuksissa merkittäviä asioita ovat seuraavat (loput ovat toivottavasti tehdasasetuksissa oikein, voi näistäkin olla jo oikein osa):

- reitittimessä. DHCP on päällä. Tällöin reitin antaa aliverkkoon osoitteita. Tässä pitää olla todellakin aliverkon puolen DHCP päällä. Ei se, että DHCP antaisi osoitteita Soneran verkkoon. Tämä on paha virhe (=sotkisi esim. taloyhtiön verkon toiminnan, jos tämän tekisi taloverkon netissä). Tällainen väärä asetus ei varmaan ole oletuksena päällä missään laitteessa. Tämä OIKEA DHCP asetus ei välttämättä ole päällä oletuksena.

- tietokoneessa. Tarkista että tcp/ip -osoite on samassa avaruudessa eli yksinkertaisimmillaan:
x.x.x.101 , missä x.x.x on reitittimen antama osoiteavaruus. Jollei tule näin niin kerro tarkasti mitä sitten tulee. Tässä x.x.x voi olla mitä hyvänsä (ei kuitenkaan Soneran osoiteavaruus), mutta tyypillisesti se on esim. "192.168.0"
- Netmask pitää olla e.m. jutun mukaisesti "255.255.255.0". Tämä tarkoitti sitä yksinkertaisinta tapausta, varsinaisen teorian tuntemisella et tee (juuri) mitään tässä yhteydessä.
- kaikki koneet verkossa pitää olla vastaavasti, yleensä DHCP:lle annetaan että osoitteet lähtevät vaikkapa luvusta 100 kasvamaan.
- siis tyypillisesti nämä menevät automaattisesti oikein jos reititin on konfiguroitu oikein.

- Gateway (tai Default Route) pitää olla oikein jotta pääset verkostasi nettiin. Se on reitittimesi osoite, eli esim. 192.168.0.1 , edellisen mukaisesti. Ilman Gatewaytä pääset kuitenkin omassa verkossasi olevalle toiselle koneelle. DHCP-asetus antaa tämän varmaankin automaattisesti oikein.

- Nimipalvelin pitää olla oikein, jotta löydät koneita maailmalta pelkällä tavanomaisella koneen nimellä (kuten www.yle.fi, missä www on koneen nimi ja yle.fi on domainin nimi). Tätä voit testata yksinkertaisesti käyttämällä tcp/ip-osoitetta, joka siis toimii vaikka nimipalvelin ei olisikaan oikein määritelty.
- nimipalvelin on purkkisi osoite, jos se niitä nimiä antaa, siis 192.168.0.1 . Tämä on reitittimen määritys. Parempi olisi ottaa se reitittimeltä pois (tämä ominaisuus), ja saada suoraan Soneran nimipalvelin. Sen voi myös käsin antaa Ubuntun verkkomäärittelyyn. Testimielessä voit käyttää vaikkapa Googlen nimipalvelinta joka on "8.8.8.8".
- niin tai näin, tämän pitäisi automaattisesti tulla toimivaksi.

Verkkokuvakkeen Connection Information kertoo mitä sinulla on asetettuna.

[Hajakenttä]

Aika hyvät läksyt tuli. Kävin noita asioita läpi useita kahvikupillisia. Kyllä ne kaikki suunnilleen noin löytyvät ja aika selvältä tuo sikäli näyttää. Ainoa kenkkuilija on vaan se siltaava/reitittävä täppä. Ainoastaan siltaavana suostuu toimimaan vaikka mitä muuten värkkäisi.

Kaivoin kaapin perältä aataminaikuisen Zyxcell ADSL-modeemi + WLAN laitteen ja konffasin sen taas vanhasta muistista toimintaan. Vallan mainiosti toimi ja kertayrityksellä vaikka oli reitittävänä ka kaikkine NATteineen. Sen lepoutin aikoinaan pois kun se toimi niin kuumana, että pelotti tulipalon vaara. Siinä on ohjelmisto mallia 2006, eikä ole sen jälkeen päivitetty.

Imuroin sitten Telewellin sivuilta viimeisen päivitysversion tuohon murheenkryyniin. En ole vielä päivittänyt, kun pitää sekin harkita tarkkaan, kuinka se tehdään. Pitääkö resetoida koko laite ensin tehdasasetuksiin ja sitten vaan päivityskomento ja koneelle puretun tiedoston nimi sille evääksi? Ja kaikki tämä tietysti langallisena.

Telewell itse nimittäin varoittelee, että ei saa toimivaa päivittää. Mutta eihän se toimi, reitittävänä ainakaan. Mutta kun se reitittää kuitenkin, siis vaihtaa ip-osoitteen erilaiseksi ulkoverkossa ja sisäverkossa. En oikein ymmärrä... Mikä siinä sitten paranee, vaikka se toimisikin sitten kun se täppä on kohdassa reitittävä?

Eikös tuossa telewellin mallissa muka ole yhteyden luonti "velhoa". Eli hakee asetuksia yms. itsestään ja antaa sekaantua vain osaan asetuksista, kuten protokollaan ja siinä vaiheessa antaa valita myös esim. siltaavat asetukset.

On joo velho. Se juuri aina asettaa sen täpän kohtaan siltaava. Käsiasetuksilla kun muuttaa niin käy kuten mainittu.

Btw toki tiedät että nettiyhteyden pitääkin katketa kun vaihdat asetuksia ja jonkin verran on viivettä kun laitteet kättelee uudelleen yhteyden muodostamiseen? Käytännössä juuri sen verran kun toimivan modeemin sammuttaa ja käynnistää uudelleen.

Tuo on aivan aiheellinen huomio. Ainakin tämä Telewell ronksuttaa käynnistystään niin pitkään, että monessa kohdassa luulisi sen jo tulleen valmiiksi, mutta hetken päästä jatkuu valojen vilkutus uudelleen. Jos ei jaksa riittävän pitkään sormilla rummuttaa pöydänkantta ja varmistaa, että se jo sai hommansa tehdyksi, niin voi tehdä hätäisiä ja vääriä johtopäätöksiä.

Nyt kerään rohkeutta. Päivittääkö vai eikö päivittää? Kas siinä se.

[Ganymedes]

Siihen että pitääkö/uskaltaako päivittää, voi olla useampia näkökantoja. Itse kuitenkin vaikeuksien tullessa päivitän firmwaret / biokset / systeemit noin millisekunnin harkinnan jälkeen. Jos ne siinä päivityksessä hajoavat, niin joutavat roskikseen. Sinänsä voivat hajota lopullisesti, koska ovat jo kuitenkin ehkä rikki ja siksi hajoavat tässä päivityksessä. Tämä on vain yksi näkökanta.

Kuitenkin, ennen sitä ... mitä tarkoittaa ettei toimi? Jatkaakseni tuota edellisistä sepustusta, niin toimimattomuudessa on monta astetta. Toivottavasti pakettin jäi vielä hieman kahvia näiden testaamiseen ...? 

1.
Löytyvätkö verkon muut koneet? Tämän voit kokeilla pingaamalla niitä "ping 192.168.0.jotakin", jos et ole pingiä itse estänyt.

Jos ei toimi, niin sitten pitäisi ihmetellä aika montaa asiaa, lähtien verkkokaapeleista ja näiden muiden koneiden asetuksista. Ehkä kuitenkin toimii?


2.
Pääseekö nettiin tcp/ip -osoitteella?

www.yle.fi - lähtee käyntiin kirjoittamalla edellisen sijasta: 194.252.88.100

Pingi ei useinkaan nykyään toimi näille sivuille, mutta kokeile selaimella tätä osoitetta.

Jos ei toimi: onko Gateway varmasti oikein?

Jos toimii: nimipalvelin ei vain toimi. Katso edeltä, mutta konfiguroi siihen se mikä modeemilla on Soneran nimipalvelin (ja toissijainenkin). Jos sekään ei toimi, niin kokeile Googlen nimipalvelinta "8.8.8.8".


TAI:

a) käytä Telewelliä sillattuna modeemina ja osta toimiva reititin. Jos haluat hyvän, niin Cisco (Linksys) RVS4000 on sellainen. Normaalissa kotikäytössä halvemmillakin pärjää, itse käytän D-linkin DIR-100:aa joka ei ole hyvä (mutta toimii jos ei käytä esim. torrentteja samaan aikaan toisilta koneilta).

b) heitä Telewell roskiin ja osta uusi jossa on kaikki samassa. En osaa suositella hyvää.


JOKA TAPAUKSESSA:

Tietoturvan kannalta kyllä tuota NAT-verkkoa kannattaa käyttää - kuten edellä on jo kerrottukin. Siinä saa halvalla kohtalaisen lisäturvan.

[ditl]

Mutta eihän se toimi, reitittävänä ainakaan. Mutta kun se reitittää kuitenkin, siis vaihtaa ip-osoitteen erilaiseksi ulkoverkossa ja sisäverkossa. En oikein ymmärrä... Mikä siinä sitten paranee, vaikka se toimisikin sitten kun se täppä on kohdassa reitittävä?

Kun tietokoneesta tuleva Ethernet kehys menee ADSL-modeemin reitittimen läpi, niin kehyksestä tiputetaan ensin Ethernet header pois (siis tietokoneen Ethernet (MAC) osoite). Jos olisi siltaava laite niin ei tiputettaisi ja purkki toimisi Ethernet kytkimenä.

Reitittimessä tehdään reititys ADSL linjalle ja osoitemuunnos (NAT). Sen jälkeen rakennetaan uusi kehys joka
riippuu valitusta moodista (RFC 2684 on useita). "Siltaava" kehysrakenne sisältää Ethernet osoitteen joka tässä lienee ADSL modeemin portin osoite, ei siis lähettävän tietokoneen osoite. Jos on "reitittävä" moodi niin silloin kehysrakenne on toisenlainen ja siinä ei ole MAC osoitteita. Jos valitset väärän kehysrakenteen niin ei toimi.

Kuten aikaisemmin totesin niin termit on näissä usein hieman horjuvia. Tuossa modeemin konfauksessakin
tulkitsee tuon "Siltaava" tarkoittavan että modeemi toimii Ethernet kytkimenä vaikka kyse lienee vain ADSL yhteyden kehysrakenteesta jossa käytetään RFC 2684 Bridged moodia. Silloin mappaus on IPoverEthernetoverATM.

Näin oletan, en ole kaivanut esille näitä sen enempää. Soneran sivuilla joka tapauksessa käsketään laittamaan siltaava.

[ajaaskel]

Itselläni on palomuuri ja modemi erillisinä laitteina. Modemi on ollut iänkaiken siltaavana.  Palomuurissa on tuo NAT.   Kotikäytössä erilliset laitteet eivät ole välttämättömät, kyllä sen yhden "purkin" pitäisi pystyä hoitamaan molemmat asiat tyydyttävästi.  Itselläni on etua tuosta että modemi ja palomuuri ovat erilliset kun erilaista tekniikkaakin on kotiverkossa keskimääräistä enemmän.  Kun edellinen modemi temppuili niin vaihto uuteen oli helppo minimaalisella säätelyllä ja itse modemikin oli halpa.  Sitä edellisellä kerralla oli ukkonen tuhonnut modemini --- siispä halpa toimiva modemi on itselleni paras.

Siitä turvasta, itse modemilla ei ole hätää ellei erikseen laita päälle että sen asetuksia saa muttaa netin puolelta --- tuo lienee ainut vaarallinen asia tuon laitteen kannalta minkä käyttäjä voi aiheuttaa.    
Aivan eri asia on sitten vaara niille tietokoneillesi jotka näkyvät nettiin päin ellei mitään NAT-laitetta ole välissä.  
Jos ihmettelit tuon NAT: in merkitystä niin tehdään pieni pelkistetty ajatusleikki.  Olit jo havainnut että kun NAT on käytössä niin kodin tietokoneillasi on 192.168.jotain.jotain  -osoite.  Tuolla tavalla alkavat osoitteet ovat aina paikallisia:  Jos yrität ottaa yhteyttä johonkin 192.168.x.y. -osoitteeseen se menee aina omille laitteillesi, ei verkosta ulos lainkaan.    Herääkö idea ?   Olet omassa 192.168.x.y -saaressasi, jollakin muulla voi olla samoin 192.168.x.y -saari mutta hänelle käy samoin ottaessaan yhteyttä 192.169.x.y -osoitteeseen --- menee vain hänen omille laitteille, ei ulos.   Kenenkään 192.168.x.y -osoitteessa olevat laitteet eivät näy ulospäin eikä niihin myöskään pysty ottamaan yhteyttä ulkoapäin.    
Tuota saarta kutsutaan sisäverkoksi.  Se NAT antaa sinun avata yhteyden ulospäin mutta ulkoa ei näe sisäverkon osoitteitasi eikä pysty avaamaan yhteyttä sisäverkon koneellesi päin.  Ulospäin näkyy vain yksi netin osoite ("julkinen osoite") joka on tuon NAT-laitteen ulkoinen osoite.  
Näin siis oletuksena, erityisiä tarkoituksia varten tuohon pystyy määrittämään "reiän" mutta se pitää tehdä tahallaan erikseen.

[Hajakenttä]

On taas läksyjä yritetty tehdä.

Siihen että pitääkö/uskaltaako päivittää, voi olla useampia näkökantoja. Itse kuitenkin vaikeuksien tullessa päivitän firmwaret / biokset / systeemit noin millisekunnin harkinnan jälkeen. Jos ne siinä päivityksessä hajoavat, niin joutavat roskikseen. Sinänsä voivat hajota lopullisesti, koska ovat jo kuitenkin ehkä rikki ja siksi hajoavat tässä päivityksessä. Tämä on vain yksi näkökanta.

Tuossa olen aika samoilla linjoilla. Kunhan arki tulee ja pääsen nopeammin kauppaan hakemaan uutta tavaraa, niin koitan saada päivitettyä Telewellin. Jos vanha tavara toimii niin saakoon vielä uuden mahdollisuuden. Jos ei reitittävänä ala toimia niin olkoon sitten siltaava. On siinä se NAT kuitenkin. Tässä on jo moni todennut senkin olevan kelpo reititys. Se, että Zyxcelin toosa toimii NAT:llä ja reitittävänä samaan aikaan taitaa olla vaan erilaisia väljiä nimityksiä asialle, t.j.s.p.

Löytyvätkö verkon muut koneet? Tämän voit kokeilla pingaamalla niitä "ping 192.168.0.jotakin", jos et ole pingiä itse estänyt.

Jos ei toimi, niin sitten pitäisi ihmetellä aika montaa asiaa, lähtien verkkokaapeleista ja näiden muiden koneiden asetuksista. Ehkä kuitenkin toimii?

Tuo olikin hauskanen testi. Täytyy pitää mielessä. Kun talossa on kaksi tai useampia koneita saman sisäverkon varassa voi katsoa Ubuntun verkkokuvaketta klikkaamalla ja siitä "tietoja yhteydestä" kohdasta, koneiden sisäverkko-osoitteet. esim: 192.168.101 ja toisella 192.168.102. Kun sitten toinen laittaa koneen pingaamaan toista, kirjoittamalla päätteeseen komennon:

Koodia: [Valitse]

ping 192.168.101Ja enter perään niin kone alkaa toistaa lukusarjaa

Koodia: [Valitse]

PING 192.168.101 (192.168.0.101) 56(84) bytes of data.
64 bytes from 192.168.0.101: icmp_req=1 ttl=64 time=2.52 ms
64 bytes from 192.168.0.101: icmp_req=2 ttl=64 time=2.42 ms
64 bytes from 192.168.0.101: icmp_req=3 ttl=64 time=2.45 ms
Siis jos kaikki on kunnossa. Saman voi tehdä toiseenkin suuntaan. Siinä selviää onko koneissa verkkoasetukset oikein sisäverkon kannalta ja verkkokaapelit ja kortit ehjiä. Jos kyseessä on WLAN verkko, niin sekin voidaan julistaa toimivaksi. Aika moni huoli siis rajautuu pois. (Kirjoitin tämän näin seikkaperäisesti tahallani kun joku saattaa haulla katsoa näitä juttuja.)

Pääseekö nettiin tcp/ip -osoitteella?

www.yle.fi - lähtee käyntiin kirjoittamalla edellisen sijasta: 194.252.88.100

Tämäkin oli hyvä kokeilu. Kyllä sieltä YLE tulla pötkähti pelkällä numerosarjalla. Ei kyllä avautunut miten se noin voi olla. Mutta amatöörinä tässä on tarkoitus pysyäkin. Pääasia että toimii.

Jos toimii: nimipalvelin ei vain toimi. Katso edeltä, mutta konfiguroi siihen se mikä modeemilla on Soneran nimipalvelin (ja toissijainenkin). Jos sekään ei toimi, niin kokeile Googlen nimipalvelinta "8.8.8.8".

Tämä ei oikein avautunut järkeeni, mutta yritin silti. Siis koneen verkkoasetuksiin, ei modeemin, asetin nimipalvelimeksi siellä ennestään olevan 192.168.0.254 (joka on sama kuin yhdyskäytävä) tilalle Soneran 192.89.123.231 ja vielä täytyi sammuttaa WLAN-radio ja käynnistää se uudestaan, jotta asetus tuli näkyviin. Sitten koitin yhteyksiä nettiin ulos maailmaan ja hyvin toimivat, mutta vain sillä modeemin siltaavalla asetuksella.

Kuten aikaisemmin totesin niin termit on näissä usein hieman horjuvia. Tuossa modeemin konfauksessakin
tulkitsee tuon "Siltaava" tarkoittavan että modeemi toimii Ethernet kytkimenä vaikka kyse lienee vain ADSL yhteyden kehysrakenteesta jossa käytetään RFC 2684 Bridged moodia. Silloin mappaus on IPoverEthernetoverATM.

Näin oletan, en ole kaivanut esille näitä sen enempää. Soneran sivuilla joka tapauksessa käsketään laittamaan siltaava.

Näin minäkin asian jotenkin näen, koska eri laitemerkit toimivat eri tavoin ja kuitenkin käytetään noita nimiä siltaava ja reitittävä. Taitaa olla kirjavuutta niissä käytännöissä. Soneran asiakastuki kyllä tänään vakuutti, että myös reitittävä toimii. Hänkin kyllä puhui ristiin reitityksestä ja natista. Tuo merkintä RFC 2684 myös kummittelee siellä valikoissa pienellä kirjoitettuna.

Siitä turvasta, itse modemilla ei ole hätää ellei erikseen laita päälle että sen asetuksia saa muttaa netin puolelta --- tuo lienee ainut vaarallinen asia tuon laitteen kannalta minkä käyttäjä voi aiheuttaa.

Modeemien kaappaamisesta oli joskus takavuosina jotain julkista pelottelua. Lähinnä sellainen rikollinen toiminta tuli mieleen. Ehkä ei ole sitten syytä siitä huolestua. Admin salasana tietysti täytyy olla sen verran oikeaoppinen, ettei se heti avaudu arvaamalla. Luulen kyllä, että monella se on tehdasasetuksen oletuksena vuosikausia.

Jos ihmettelit tuon NAT: in merkitystä niin tehdään pieni pelkistetty ajatusleikki.  Olit jo havainnut että kun NAT on käytössä niin kodin tietokoneillasi on 192.168.jotain.jotain  -osoite.  Tuolla tavalla alkavat osoitteet ovat aina paikallisia:  Jos yrität ottaa yhteyttä johonkin 192.168.x.y. -osoitteeseen se menee aina omille laitteillesi, ei verkosta ulos lainkaan.    Herääkö idea ?   Olet omassa 192.168.x.y -saaressasi, jollakin muulla voi olla samoin 192.168.x.y -saari mutta hänelle käy samoin ottaessaan yhteyttä 192.169.x.y -osoitteeseen --- menee vain hänen omille laitteille, ei ulos.   Kenenkään 192.168.x.y -osoitteessa olevat laitteet eivät näy ulospäin eikä niihin myöskään pysty ottamaan yhteyttä ulkoapäin.    
Tuota saarta kutsutaan sisäverkoksi.  Se NAT antaa sinun avata yhteyden ulospäin mutta ulkoa ei näe sisäverkon osoitteitasi eikä pysty avaamaan yhteyttä sisäverkon koneellesi päin.  Ulospäin näkyy vain yksi netin osoite ("julkinen osoite") joka on tuon NAT-laitteen ulkoinen osoite.  

Mainiosti verrattu ja selitetty. Kiitos.  


Paljon tietämystä karttui tälle sateiselle lauantaille. Kiitos kaikille jälleen kerran. Modeemi vaan on yhä siltaavana ja sillä kaverina reititin NAT reitittävänä. Maanantaina kokeilen modeemin päivitystä. Onhan se jo muutenkin aika vanha. Ehkä se ei siitä paremmaksi tule, mutta voi olla ettei huononekaan.

[qwertyy]

Telewelleihin aika monet firmwaret päivitellyt, eikä itselläni koskaan ole mitään ongelmia ollut. No onhan siinä aina olemassa jotain pientä riskiä esim. sähkökatko, joka tuollaisessa laitteessa voikin aiheuttaa laitteen lopullisen kuoleman tai tehdä ainakin pelastamisen merkittävästi vaikeammaksi.

Mutta luulisin, että tapauksessasi päivityksellä ei ole mitään vaikutusta. Onko tuohon asetusmuutokseen jokin pakottava tarve?

[Ganymedes]

...
Modeemi vaan on yhä siltaavana ja sillä kaverina reititin NAT reitittävänä.

Tuon kommentin myötä ja viitaten edellisiinkin, putosin kärryiltä siitä mitä sinulla siellä oikeasti on.

Ensinnäkin, mikä tuo "modeemi" oikeasti on? Lukeeko siinä modem/firewall/router -paketissa tai jossakin. Jos siinä lukee vain "modem", niin eihän se silloin voikaan toimia "reitittimenä".

Siis jos sinulla ON koneella 192.168.0.101 ( tai jotain vastaavaa ), niin silloinhan sinulla ON reitittävä ratkaisu käytössä. Sanoit että www.yle.fi löytyy numerolla ja ilmeisesti muutenkin - missä tapauksessa? mikä osoite on tällöin koneella?

Vai tarkoitatko vaihtoehtoisesti sitä, että sinulla on kuitenkin kaksi laitetta: modeemi ja reititin? Jos on näin, niin modeemin laittamisesta vielä toiseksi reitittimeksi ei ole hyötyä ... muutenkin reititin reitittimen perässä on sitten oma konfiguroitava asiansa.

Toisaalta: Voi olla että tässä on nyt terminologia/suomennus ongelmakin. Esimerkiksi tuossa edellä mainitsemallani Ciscolla, NAT-toimintatapa tarkoittaa valikoissa "vain" Gateway toimintoa. Siis se, että toisella puolella on (esim.) Soneran verkko ja toisella puolella oma aliverkko 192.168.0 on vain NATia ja menussa se on Gateway-toiminta valikossa "Advanced Routing". Tästä Ciscosta EI siis valita Router toimintoa, koska se tarkoittaisi jo aika paljon enemmän. Ehkä sinullakin on modeemissa joku valinta, jonka merkitys ei ole sitä mistä tässä on puhuttu. Oikeasti sinun pitäisi näyttää ne Telewellin menut ruutukopioina ja kertoa mitä koneella näkyy, jo edellä mainitussa, Connection Information valinnassa.

Näillä tiedoilla on mahdollista, että sinulla itse asiassa kaikki koneet ovat jo NAT-verkossa eikä mitään todellista ongelmaa olekaan ...?