Beiträge von tbelau666

So, es ist vollbracht. Sich an die Angaben im Link halten, gucken, wie das bei den anderen Interfaces gemacht ist und dann klappt auch die Provisionierung tadellos. Kein Hexenwerk, nur nerviger Aufwand.

Nur mal zur Erläuterung wozu das: Ich hab "da draußen" Server. Eine DMZ. Die will ich natürlich erreichen. Von drinnen nach draußen wegen des Sackstandes mit DDNS. Das spare ich mir damit. IPSec konfiguriert sich imo grauenvoll, PPTP und der andere Windows-Kram ist keine Alternative. Also ovpn mit ner ordentlichen Authentifizierung und alles ist schön.

LLTP war ein Tippfehler.

Das schlecht. Ovpn ist im client mode nicht per GUI konfigurierbar. Da bietet er nur LLTP an, was mir nichts nutzt. Hab mehrfach drin rumher geclickt.

Ich hab die ovpn aus meinen bisherig dedizierten Router (client Modus) auf die besagte USG Pro 4 umgesetzt. Der Controller bietet mir - kann sein, daß ich das nur nicht gesehen habe - zum Beispiel kein TLS an. Im CLI tippe ich nur 1:1 meine bisherige config ab. Naja pull-route geht nicht. Zu alt. Kann ich aber mit leben.

Wo genau gehört die config.gateway.json hin? Ist der Inhalt das, was mir show ausspuckt?

Aber danke für den ersten Hinweis erstmal.

Hallo!

Mal ne blöde Frage: Mit dem Controller geht nicht alles. Also greift man zum CLI. So weit so bekannt.

Wie "überzeuge" ich den Controller davon, meine Änderungen nicht zu verwerfen, sobald ich da wieder eine Einstellung mache? Ich meine point'n'click ist ja bequem... Oder kann ich einfach configure und show machen und das mit copy&paste in die ominöse config.json (die ich noch nicht in natura gesehen habe) rein verfrachten?

Bis denn dann

Thomas

So, ich nochmal. dhcpv6relay und dhcpv6c auf LAN funktionieren. Dem Zyxel hab ich ne ULA verpaßt, die FW-Regel geht auf diese ULA mit -m multiport --dports 546,547 (das ist das, wo die originale Regel nicht funktioniert, falscher Modul) und dhcp6c holt 2 ia-na. Das dahinter liegende Netz wird auch versorgt, paßt alles. Ist halt nur noch übrig, wie ich das permanent mache.

Diese json wird wohl nicht funktionieren. Hab ich mich rein gelesen. Damit kann ich die Sachen nicht umsetzen. Ich hab nichts gesehen, daß ich einen fremden Prozess (relay) starten kann. Ich kann den Modul in den FW-Regeln nicht ändern. Gut, könnte man 2 draus machen... Und die dhcp-client config läßt sich gar nicht anpassen. Die ist fix in ein perl-script rein geschrieben, was ich nun gerade nicht ändern will.

Ach ja falls da Fragen aufkommen: Ich hab nen 2. dhcp laufen. der verteilt fix die ULA an die einzelnen Kisten. Mit Ausnahmen. Dadurch kann ich mir den DDNS-Krempel sparen. Außerdem hab ich nen 2. Gateway fürs VPN. Deshalb obendrauf auch nen 2. radvd im Netz.

Hallo!

Erstmal: Ich finde das Gerät ganz gut. Schnell, kackt nicht ab, paßt soweit. Nein, mich stören die Lüfter nicht, hab nen Netzwerkschrank weit weg.

Was mich stört ist das eingeschränkte IPv6. Das Gerät läuft hinter nem Zyxel Router, der NICHT im Bridge-Mode läuft. Ist Absicht, hab ich ne echte DMZ. deswegen ist double NAT auch kein Prob.

Zum Thema: DHCPv6c kriegt keine Adresse zugewiesen. Das Zyxel macht kein PD sondern ausschließlich DHCP. Egal, geht. Eigentlich... Mir ist aufgefallen, daß die FW-Regel 3004 in WANv6_LOCAL nicht funktioniert. Warum? Keine Ahnung, aber das Interface kriegt keine Adresse. Also hab ich die per Script raus geschmissen und dafür an Position 0 eine eingefügt, die den client port von link local Adressen zuläßt. Und siehe, es geht. Nur räumt das Teil selbstständig auf und das ist nicht permanent. Eine zentrale Stelle, das script einzubinden hab ich nicht gefunden.

Da PD am Zyxel nicht funktioniert, gibt's kein Präfix. Kein Problem. Ein Wheezy-Archiv eingebunden und DHCP6R installiert. Sollte gehen, hab ich aber noch nicht getestet. Jedenfalls gibt es dazu nen service und ein init.d script. Ich würde den aber lieber mit dem client zusammen starten. Nur wird das Startscript wide-dhcp6-client nicht so regelmäßig gerufen, wie ich das gern hätte. Der Dienst wird nämlich auch regelmäßig samt FW neu gestartet und eben nicht über das script.

Und dann wäre da noch radvd. Der soll auch nicht PD anbieten. An sich kein Prob. Würde nicht regelmäßig die conf erneuert, wenn man sie ändert...

Es läuft auch noch freeradius sinnloser Weise. Den würde ich gern los werden.

Mein Gedanke ist nun Folgender: Wenn ich den Prozess ubnt-cfgd los werde, kann ich das ganze Teil dann handish konfigurieren, ohne, daß mir wieder was in die Suppe spuckt? Und vor allem: kann ich trotzdem den Controller vernünftig nutzen? Die drei confs wieder herstellen, wenn man was ändert, wäre meiner Probleme Kleinstes. Ich befürchte nein. Deswegen hab ich den Dienst noch nicht ausgeknipst.

Ein anderer Weg wäre noch ein paar vyatta-scripts um exits am Anfang zu ergänzen.

Frage: Stellt der die vyatta-scripts auch wieder her? Kann man einfach auf den cfgd verzichten nach dem provisioning? Gibt es eine Stelle sich einzuklinken, ohne im System selbst rum zu schmieren?

Schönen Abend noch

Thomas