Altibox – UniFi og ny TV løsning

Tidligere innlegg beskrev hvordan man skulle få på plass internett og tv-løsning på en UniFi router. Dette gir mulighet for å kutte ut utstyret som man fikk med fra Altibox. Men ikke kast den gamle hjemmesentralen, den er Altibox sin eiendom.

Følg guiden jeg lagde tidligere, deretter logg inn i din unifi controller. Gå til «Advanced Featuered»-> «Advanced Gateway Settings»-> Static Routes-> Create new Statoil route. for å legge inn følgende informasjon:

Name: Her kan du angi et passende navn

Network subnet address: 10.133.0.0/16 

Distance: 1

Static route type: Nexthop

Next hop: 10.168.66.1

Ønsker du ikke å logge inn i controller kan du forsøke å skrive følgende i CLI:
set protocols static route 10.133.0.0/16 next-hop 10.168.66.1 distance 1

Har du en router fra UniFi og ønsker at den skal virke med Altibox sin TV løsning?

Long time no see

Fire år siden sist jeg skrev et innlegg på bloggen. En av de postene jeg fikk mest respons på tidligere var oppskriften på hvordan man kunne benytte iPhonen en enhet med flere pcer. Vi skriver nå 2020, oppskriften er sikkert for lengst utdatert. Dessuten har vi fått familiedeling.

Det var først i 2012 vi fikk installert fiber fra Altibox etter et tilbud jeg ikke kunne avslå. Fiber ble installert kostnadsfritt mot at vi tegnet et av deres produkter. Før det benyttet vi hovedsak internett gjennom mobiltelefonen, dette gav bedre nett enn ADSL. Med fiber ble det en ny virkelighet. Fra første dag ble hjemmesentralen til Altibox pensjonert. Først av en trofast Asus AC66u som jeg fremdeles benytter som switch og wifi sender, deretter av en UniFi USG Pro 4 router.

UniFi sin router har mer en nok muligheter for «mannen i gaten», faktisk krever den at man er lærevillig og har litt nettverksforståelse, du burde heller ikke være redd for å skrive tekstkommandoer eller uttrykk som CLI og SSH. Det vil nok de fleste som har, eller kjøper, et produkt fra UniFi vedkjenne seg.

Sommeren 2018 oppgraderte jeg min Motorola tv- dekoder med en Huawei Q-22. Siden den nye dekoderen krevde både tilgang til internett og Altibox sin IPTV løsning på samme tid var det på tide å sette opp en ny løsning. Som nevnt falt valget på UniFi.

Hjelp, routeren virker ikke. Eller hvordan forberede oppsett av routeren.

Det første man vil merke er at routeren ikke vil virke ut av boksen, den må settes opp eller konfigureres. Har du tidligere fulgt guiden under anbefaler jeg at du også leser dette innleget hvis du ikke får til tv- løsningen.


Før vi starter med oppsettet vil jeg starte litt med å forklare hvordan Altibox har delt opp sitt nett i VLAN. Kort og enkelt forklart betyr VLAN at man deler opp nettverk i flere underliggende nett. Dette gjør at du kan for eksempel ha dine små dingser på eget nett,gjestenettverk på et annet og ditt hovednetktverk på et tredje.

Altibox har delt opp sitt nett i følgende VLAN:
100: Ip- telefon og konfigurasjon av hjemmesentral
101: IPTV-tjenesten til Altibox
102: Internett

Utfordringen med den UniFi routeren jeg har er at den ikke støtter flere VLAN hvis man kun skal sette den opp via kontrollerprogramvaren/ grensesnittet. Dette gjør at man også må benytte seg av CLI, eller (kommando)linjegrensesnittet. Dette fordrer at man benytter seg av terminalprogrammet hvis man kjører *nix eller cmd hvis man har Windows. I resten av denne artikkelen går jeg ut i fra at du kan benytte deg disse programmene. Man må også finne ut av hva portene på routeren heter slik at man vet hva som er eth0, eth1 etc.


Først kommer internett
Det første man må gjøre er å sette opp internett. Dette sikrer også at man vet at router og linje fungerer.

Det letteste man gjør er å aktivere VLAN og sette VLAN ID til 102 i grensesnitet. Internett kan også settes opp manuelt ved å benytte CLI slik i beskrivelsen under. Jeg går ut i fra at du vet hvordan du kommer inn i konfigurasjonsmodus ved å skrive configure etter at du er logget inn.

Først må man aktivere VLAN 102 under riktig port på routeren, på min router er det eth2 der signalene kommer inn gjennom en SFP modul.

Først skriver man følgende kommandoer for å sette opp VLAN 102:

set interfaces ethernet eth2 vif 102 description «Internett» -> Du kan kalle det for hva du vil, jeg kaller det for Internett.

set interfaces ethernet eth2 vif 102 address dhcp -> Aktiverer DHCP server

set interfaces ethernet eth2 vif 102 firewall in name WAN_IN 

set interfaces ethernet eth2 vif 102 firewall local name WAN_LOCAL

Når det er gjort må Masquerade settes opp slik at du kan dele internett med enhetene som skal kobles opp (merk at du kan tilpasse postnummer til din egen installasjon):

set service NAT rule 5000 description «Masquerade LAN to WAN»

set service NAT rule 5000 log disable

set service NAT rule 5000 outbound-interface eth2.102

set service NAT rule 5000 protocol all

set service NAT rule 5000 source address 192.168.1.0/24 -> eventuelt kan du sette opp 0.0.0.0/0 som vil åpne opp for alle underliggende nettverk hvis du har flere undernettverk.

set service NAT rule 5000 type masquerade

Når dette er gjort kan du skrive commit og trykke enter for deretter å avslutte med save exit.

Når du er ute kan du skrive følgende for å sjekke om du får nettverksadresse:

renew dhcp interface eth2.102

deretter

show interfaces

Du vil da se eth2.102 med en ip-adresse og Internet ti beskrivelsesfeltet.

Klar for å sette opp TV

Neste oppgave blir å sette opp TV, her ser jeg at en del sliter med på ulike fora. Uansett er mitt oppsett slik at jeg lar internett og tv gå via samme kabel. Skal du ha tv ut på en annen port må du tilpasse dette i ditt oppsett,

Skriv configure for å gå inn i konfgurasjoinsmodus og skriv inn følgene kommandoer:
set interfaces ethernet eth2 vif 101 description «IPTV»-> Kan kalle det du vil.

set interfaces ethernet eth2 vif 101 address dhcp -> Aktiverer dhcp

set interfaces ethernet eth2 vif 101 mac 00:AA:CC:EE:11 -> Her setter du inn mac- adressen til din Altibox- hjemmesentral. Du vil ikke få TV- delen til å virke uten at du gjør dette.

set interfaces ethernet eth2 vif 101 dhcp-options default-route no-update

set interfaces ethernet eth2 vif 101 dhcp-options default-route-distance 210

set interfaces ethernet eth2 vif 101 dhcp-options name-server update

Når dette er gjort kan du kjøre en commit og deretter save for feilsøking og lagring av det du har gjort, men er ikke nødvendig.

Deretter settes opp Masquerade:

set service nat rule 5001 destination address 172.21.0.0/16
set service nat rule 5001 log disable
set service nat rule 5001 outbound-interface eth2.101
set service nat rule 5001 protocol all 
set service nat rule 5001 type masquerade

Når dette er gjort kan du kjøre en commit og deretter save for feilsøking og lagring av det du har gjort, men er ikke nødvendig.

Så må du sette opp IGMP- PROXY
set protocols igmp-proxy interface eth0 alt-subnet 192.168.1.1/24->Eventuelt kan det settes opp med 0.0.0.0/0

set protocols igmp-proxy interface eth0 role downstream -> Den porten (og lanet) du ønsket signalene sendt til.

set protocols igmp-proxy interface eth0 threshold 1

set protocols igmp-proxy interface eth2.101 alt-subnet 172.21.0.0/16

set protocols igmp-proxy interface eth2.101 role upstream
set protocols igmp-proxy interface eth2.101 threshold 1

Nå kjører du commit og deretter save exit for å gå ut av konfigurasjonsmodus.

Når du er i hovedmenuen skriver du inn:

renew dhcp interface eth2.102
show dhcp client leases interface eth2.101

Du vil da få opp en del informasjon, men det vi er ute etter er adressen som står etter «router». Skriv ned denne ip- adressen slik at du husker den.

Deretter skriver du configure og skriver inn følgende kommando:

set protocols static route 172.21.0.0/16 next-hop xx.xx.xx.xx distance 1-> Router- adressen som ble skrevet ned i forrige skritt skal skrives inn der det står x. 172.21.0.0/16 kan byttes ut med 0.0.0.0/0 som åpner opp for hele lanet (noe jeg ikke anbefaler).

Til slutt er det bare å sette opp riktig kildevalidering i brannmuren slik at ting ikke hakker etter +/- 30 sekunder.

set firewall source-validation loose -> Du kan benytte disable istedenfor losse, men det anbefales ikke da du slår sikkerhetsfunksjonen helt av.

Til slutt gjenstår det følgende:

Skriv inn commit, deretter save exit.

Sett opp config.gateway.json fil

Oppdatering 21. januar 21:

Tidligere innlegg beskrev hvordan internett og tv-løsning kunne benyttes på en UniFi router uten at man hadde behov for Altibox sin hjemmesentral. Dette gav en mulighet for å kutte ut boksen man fikk fra Altibox. Men ikke kast den gamle hjemmesentralen, den er Altibox sin eiendom. Etter at jeg skrev forrige guide har Altibox endret sin tv- løsning noe. Du må derfor i tillegg til tidligere guide også følge denne.

Følg guiden jeg lagde tidligere, deretter logg inn i din unifi controller. Gå til «Advanced Featuered»-> «Advanced Gateway Settings»-> Static Routes-> Create new Statoil route. for å legge inn følgende informasjon:

Name: Her kan du angi et passende navn

Network subnet address: 10.133.0.0/16 

Distance: 1

Static route type: Nexthop 10.168.66.1

Next hop: 10.168.66.1

Ønsker du ikke å logge inn i controller kan du forsøke å skrive følgende i CLI:
set protocols static route 10.133.0.0/16 next-hop 10.168.66.1 distance 1













Klar for angrep?

Botnet angrepene mot applikasjoner som WordPress og Joomla har økt den siste tiden i følge TNW. Selv om det virker åpenbart, er detviktig å ta noen forhåndsregler.

Først og fremst må man skifte ut standard brukernavn som administrator, admin, root, user etc. De som innstallerte WordPress før versjon 3.0, kunne ikke velge vekk admin konto under installasjon. Dette har endret seg fra og med versjon 3.0.

Her er en liten guide for hvordan man sletter disse kontoene. 

 

Godt og sterkt passord er viktig. Det er viktig å ha en god blanding med små og store bokstaver, tall og andre tegn som man finner på tastaturet. WordPress har også en innebygget funksjon som viser deg hvor sterkt passordet er.

En oppdatert programvare er også til god hjelp. Ved å oppdatere stenger man tidligere dører som har vært åpne, man må regne med at de fleste av disse også er kjente.