Tp-link Archer C6 - Firewall

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod WarCZ 13. 6. 2019 22:15

Zdravím. Mam AP Archer C6 a zaboha nemůžu najít nastavení firewallu. Chtěl bych jedné IP adrese v DHCP zakázat přístup do internetu. Na IP mam už rezervaci, takže bude vždy stejná. Je to čínská kamera a nechci aby posílala něco domů. Zaboha to tady nemůžu najít. V příloze jak vypadá menu.

Děkuji moc za nakopnutí.
Přílohy
2019-06-13_2211.png
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod WarCZ 14. 6. 2019 08:01

Na webu TPlinku jsem našel simulátor: https://emulator.tp-link.com/c6-eu-v2/index.html
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod WarCZ 14. 6. 2019 10:26

EDIT: pořád to nemá řešení. Navod z TPlinku zabije celé zařízení.
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod hunter21 14. 6. 2019 11:25

Na tej kamere sa nedá nastaviť fixná IP adresa (bez adresy brány do internetu)?
hunter21
Pokročilý

Odeslat příspěvekod WarCZ 14. 6. 2019 11:48

Tak ze Suportu přišel nápad nastavit to v kontrole pro děti jako Bad time.

Nastavit tomu fixni adresu je řešení, ale já té věci nevěřím, pořád čekám kdy zmutuje :-)
Přílohy
2019-06-14_1146.png
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod WarCZ 14. 6. 2019 20:38

Ne do kamery se zada Wifi síť. stahne si DHCP a připojí se na server.

Návod od TP linku asi blokuje DNS server, ale kamera se stále připojí domů. Pořád nemám řešení :o(
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod soban 15. 6. 2019 12:41

Security -> Access Control

Taky ta kamera může domů volat po IPv6

Jinak fakt koukám že v nových FW už firewall asi zmizel, ve starých byl sice omezen dalo se zadat omezené množství pravidel ale fungoval....

Jinak vidím to na mikrotik.....

A nebo přímo nějaký HW firewall.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod WarCZ 15. 6. 2019 14:14

Vyřešilo to OpenWrt

Akorát jsem debil a nahrál tam balíček openwrt-ath79-generic-tplink_archer-c6-v2-squashfs-factory , který je bez web interface (LuCI) takže jsem se ještě zapotil s Putty.

Jo a potom po Flashi se změni o jedno číslo MACadresa WAN portu.
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod soban 15. 6. 2019 23:48

Neprohodily se jenom ty MAC adresy s LAN <-> WAN u mě taky nesedí s tím jak byly u origo FW. (prohodily se mi taky)

Podle mě to souvisí s inicializací switchu který je uvnitř.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod WarCZ 16. 6. 2019 00:13

Jsem úplně zničený. Po 12 hodinách bych tam rád vrátil původní FW TP-LINKu ale pro Archer C6 to nejde.

Openwrt je pro mě katastrofa, je to past vedle pasti.
Např:
- Když změníte IP adresu tak se musíte do 30s přihlásit jinak vám skočí zpátky na tu původní. Než jsem tohle zjistil hodina v háji
- Když jsem vytvořil pravidlo č.3. na firewallu tak ten debil upravil i ostatní firewall pravidla. Když jsem ho smazal tak je neupravil zpátky. takže vytvoření a smazání firewall pravidla může rozhasit celé nastavení.
- Vubec tady není filemanager, takže nemůžu exportovat/importovat data. Nemůžu udělat třeba export firewallu, nebo DHCP a zase je vrátit. Musím dělat zálohu celého systému.
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Chipoun 16. 6. 2019 06:39

S Linuxem a OpenWRT mám podobné zkušenosti jako ty. Putty pro mě bylo utrpení.

Ale pak jsem našel winscp
https://winscp.net/eng/docs/lang:cs

Super inuitivní program ala windows commander. Můžeš si vykopírovavat soubory s nastavením firewallu a vpodstatě všeho - zálohovat, editovat, obnovovat. A umí i pouštět příkazy.
Chipoun
Junior

Odeslat příspěvekod WarCZ 16. 6. 2019 09:55

On je tam ještě "mc" což je něco jako total comander, ale nemáš to pořádně kam dát. Tedy musíš tam ještě oživit nějak FTP. Včera v 1 ráno jsem našel asi hack, že vykopírovat to ven jde přes zalohu a dovnitř přes tar.gz. tedy když do něj dam třeba složku "TEST" tak on si ji nahraje do Rootu a obnovu nedokončí, takže si z ni mohu vytáhnout co potřebuju a potom ji smazat. Všechny tyhle obcházečky jsou ale neskutečně časově náročné a hrozně mě štvou.
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Chipoun 16. 6. 2019 10:09

Ano. Winscp to řeší hned. Na jedné straně router, na druhé tvůj disk. A kopíruješ jedna radost. FTP nemusíš mít zaplé
Chipoun
Junior

Odeslat příspěvekod soban 16. 6. 2019 10:50

Nějak nechápu tvůj problém.....

S OpenWRT není problém. Pouze chce pochopit jeho práci....

K záloze je to jednoduché zálohuje se veškeré nastavení a v tom tar.gz souboru máš jednotlivé soubory takže když chceš jenom firewall zajímá tě soubor /etc/config/firewall tak stejně je nastavení sítě v /etc/config/network.

Pro BFU jde celkem všechno naklikat, nemusíš používat konzoli.....

Jinak vrátit originál FW jde taky bez problémů přes www rozhraní pouze se musí použít soubor FW bez zavaděče, případně se ten zavaděč musí z toho souboru odstranit.

EDIT: Jak vrátit originál nevím pokud to nejde přes luci nahrát či přes TFTP.

Co mám modemy tak tam když držíš reset tlačítko při zapnutí dostatečně dlouho tak přímo v zavaděči naskočí www stránka kde můžeš nahrát FW. Vyzkoušel bych zda něco takového není i u těch nových TP-LINKů co to udělá jak zmáčkneš tlačítko reset a zapneš ho a budeš tlačítko držet a pak se skusíš připojit z PC na 192.168.1.1 nebo 192.168.0.1.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod WarCZ 16. 6. 2019 12:44

"Pochopit jeho práci"

Pár příkladu. Upravím v Network-Firewall pravidlo a musím jít do Status-firewall-restart firewall aby to fungovalo.
V network-interfaces změnim IP z 192.168.1.1 na 192.168.0.1. a ten debil hledá spojení na 192.168.1.1, protože se do 15s nepřihlásí tak se nastavení přepne zpět. To je logické ?
Stejně tak mam zálohu s IP 192.168.0.1 a nahraju ji na stroj kde je aktuální ip 192.168.1.1 tak se obnova neprovede.
Předpokládám, že chtít po něm aby se zálohoval automaticky je utopie.
O nějakém jednoduchém exportu dat do TXT, CSV vůbec nemluvím, přenos souboru marnost.

Mikrotik ma mnohomnohonásobně více nastavení, možností a hlavně jednotné prostředí. Tady člověk prochází návody a pokaždé tam je jiné grafické prostředí a postupy.

Za mě pro běžného frantu, který nechápe linux nebrat, to už ten Mikrotik je přívětivější.
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod hunter21 16. 6. 2019 13:09

Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.
hunter21
Pokročilý

Odeslat příspěvekod soban 17. 6. 2019 00:54

WarCZ píše:"Pochopit jeho práci"

Pár příkladu. Upravím v Network-Firewall pravidlo a musím jít do Status-firewall-restart firewall aby to fungovalo.


Panebože proč?

Upravím v Network-firewall pravidla a mám tam dvě tlačítka "Uložit a použít" a "uložit"
Když kliknu na uložit tak se to uloží do konfiguračního souboru, ale nezmění se aktuální stav, když kliknu na uložit a použít tak se to zase uloží do konfiguračního souboru a restartne se firewall a načte nové pravidla.

WarCZ píše:Stejně tak mam zálohu s IP 192.168.0.1 a nahraju ji na stroj kde je aktuální ip 192.168.1.1 tak se obnova neprovede.
Předpokládám, že chtít po něm aby se zálohoval automaticky je utopie.
O nějakém jednoduchém exportu dat do TXT, CSV vůbec nemluvím, přenos souboru marnost.


U mě když nahraji ze zálohy soubor tak to veme a přepíše a nestará se co bylo dříve...

Mě to připadá že to máš nějaké rozbité.....

Jinak konfigurační soubory jsou textové takže si s nimi můžeš dělat cokoliv.....

Kód: Vybrat vše
root@router:~# cat /etc/config/firewall

config rule
   option name 'Allow-DHCP-Renew'
   option src 'wan'
   option proto 'udp'
   option dest_port '68'
   option target 'ACCEPT'
   option family 'ipv4'

config rule
   option name 'Allow-Ping'
   option src 'wan'
   option proto 'icmp'
   option icmp_type 'echo-request'
   option family 'ipv4'
   option target 'ACCEPT'

config rule
   option name 'Allow-IGMP'
   option src 'wan'
   option proto 'igmp'
   option family 'ipv4'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-DHCPv6'
   option src 'wan'
   option proto 'udp'
   option src_ip 'fc00::/6'
   option dest_ip 'fc00::/6'
   option dest_port '546'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-MLD'
   option src 'wan'
   option proto 'icmp'
   option src_ip 'fe80::/10'
   list icmp_type '130/0'
   list icmp_type '131/0'
   list icmp_type '132/0'
   list icmp_type '143/0'
   option family 'ipv6'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-ICMPv6-Input'
   option src 'wan'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   list icmp_type 'router-solicitation'
   list icmp_type 'neighbour-solicitation'
   list icmp_type 'router-advertisement'
   list icmp_type 'neighbour-advertisement'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-ICMPv6-Forward'
   option src 'wan'
   option dest '*'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-IPSec-ESP'
   option src 'wan'
   option dest 'lan'
   option proto 'esp'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-ISAKMP'
   option src 'wan'
   option dest 'lan'
   option dest_port '500'
   option proto 'udp'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option target 'ACCEPT'
   option family 'ipv4'
   option name '6to4'
   option src 'wan'
   option proto '41'

config rule
   option target 'ACCEPT'
   option name '6in4 tunel'
   option src 'wan'
   option proto '41'
   option family 'ipv4'

config rule
   option target 'ACCEPT'
   option proto 'tcp'
   option dest_port '8585'
   option src 'wan'
   option name 'https router'

config rule
   option target 'ACCEPT'
   option proto 'tcp'
   option dest_port '443'
   option family 'ipv6'
   option name 'https_IPv6'
   option src 'wan'
   option dest 'lan'

config rule
   option target 'ACCEPT'
   option name 'Tvheadend'
   option family 'ipv6'
   option dest_port '9981'
   option proto 'tcp'
   option src '*'
   option dest '*'

config rule
   option target 'ACCEPT'
   option dest_port '9982'
   option name 'Tvheadend2'
   option family 'ipv6'
   option proto 'tcp'
   option src 'wan'
   option dest 'lan'
   option enabled '0'

config defaults
   option input 'DROP'
   option output 'DROP'
   option forward 'DROP'
   option drop_invalid '1'

config zone
   option name 'lan'
   option input 'ACCEPT'
   option output 'ACCEPT'
   option network 'lan'
   option forward 'ACCEPT'

config zone
   option name 'wan'
   option output 'ACCEPT'
   option masq '1'
   option network 'wan wan6'
   option input 'DROP'
   option forward 'DROP'

config include
   option path '/etc/firewall.user'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option proto 'tcp udp'
   option src_dport '6881'
   option dest_ip '192.168.1.11'
   option dest_port '6881'
   option name 'torent'
   option enabled '0'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option proto 'tcp'
   option src_dport '80'
   option dest_ip '192.168.1.2'
   option dest_port '80'
   option name 'switch'
   option src_ip '194.228.13.0/24'
   option enabled '0'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option dest_ip '192.168.1.12'
   option name 'Tvheadend'
   option src_dport '9981'
   option dest_port '9981'
   option proto 'tcp'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option src_dport '9982'
   option dest_ip '192.168.1.12'
   option dest_port '9982'
   option name 'Tvheadend2'
   option proto 'tcp'
   option enabled '0'

config forwarding
   option dest 'wan'
   option src 'lan'

root@router:~#
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod WarCZ 17. 6. 2019 20:16

Ad firewall. Ono se to tváří, že to zafunguje na uložit a použít, ale vidím, že kamera stále funguje. až restart firewallu zafunguje na 100%.

a měníš zálohou nastavení Ip routru a DHCP server ? Asi jsem prostě první kdo nechce mít 192.168.1.1 ale 192.168.0.1...

-- 17. 6. 2019 20:30 --

hunter21 píše:Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.


Zatím mi zafungovalo tohle pravidlo:
Přílohy
2019-06-17_2029.png
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod soban 18. 6. 2019 00:43

Jestli to nebude tím že používáš asi vývojovou řadu a tím pádem tam můžou být chybičky.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod WarCZ 19. 6. 2019 20:38

Mam verzi OpenWrt SNAPSHOT r10213-f6dab98044 / LuCI Master (f138fc93)
https://zabovreska.webnode.cz/
Hodinky: Pebble Steel
Registrován od 19. 2. 2006
WarCZ
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Kysa 23. 6. 2019 15:11

A není to tím, že firewall funguje na nové spojení, ale ta kamera už má navázané spojení, takže se na to pravidlo neaplikuje?

WarCZ píše:Ad firewall. Ono se to tváří, že to zafunguje na uložit a použít, ale vidím, že kamera stále funguje. až restart firewallu zafunguje na 100%.

a měníš zálohou nastavení Ip routru a DHCP server ? Asi jsem prostě první kdo nechce mít 192.168.1.1 ale 192.168.0.1...

-- 17. 6. 2019 20:30 --

hunter21 píše:Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.


Zatím mi zafungovalo tohle pravidlo:
Kysa
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků