Polskie Forum Synology

stanley99 pisze: ↑pn sie 01, 2022 10:28 am

hanixpl pisze: ↑ndz lip 31, 2022 4:23 pm <...> ale w 1.3.1-9346 to jest jakaś gomora.
Jak chcecie się "wbić" na krzywego, to wystarczy <...>

Proszę, objaśnij domowemu laikowi - czy to co opisałeś wyżej oznacza, że do routera może się podłączyć (przez WiFi?) każdy, nie znając hasła?

nie nie, aż tak dobrze to nie ma. Przy okazji tej dopytki, warto wskazać że SRM obsługuje Radius Server i możesz sobie ustawić sieć WPA2/3 klasy Enterprise i to jest fajna wiadomość, bo do logowania nie przysyłasz hasła do sieci SSID tylko używasz określonego konta.

Ale odpowiadając szczegółowo na pytanie:
Chodzi o usługę Safe Access, która nie działa poprawnie.

W praktyce masz taką sytuację:
1) możesz sobie ustawić profil sieciowy 'internet / lan / wifiabc' w Safe Access i przypisać do niego regułę filtrowania, np. blokującą cały ruch.
2) Jeśli ktoś będzie łączył np. do sieci 'wifiabc' (posiadającą filtrowanie blokuje w safe access ), to taka stacja powinno być zablokowana sieciowo
3) Taka stacja próbująca się podpiąc do sieci wifiabc, nie będzie mógł zrobić czegokowwiek sieciowo, do czasu jeśli jej na to nie pozwolisz, poprzez przepięcie jej do innego profilu użytkownika.
4) W logu w Safe Access widzisz taką stację, która próbowała się wbić w zdarzeniach niepożądanych tego profilu sieciowego wifiabc.

I dotychczas było tak, że taki config stanowił taką formę zabezpieczenie, na krzywe wpinanie do sieci przez userów którzy znają np. pass do wifiabc, a nie znają MAC address. W innych przełącznikach można łączyć IP-MAC-VENDOR-PORT, wiec nawet jak ktos dostanie MAC, to ma i tak utrudnione działanie z podszyciem.

Wracając do tematu, problem , o który pytasz polega na tym, że w 1.3 RC ten mechanizm działa tylko częściowo.

Działa:
1) jak wpinasz stację i niestety po dłuższej chwili dostrzegasz próbę podłączenia w Safe Access.(w rt2600ac na 1.2.5 komunikat pojawiał się ad hoc).

Nie działa:
1) w sytuacji, kiedy stworzysz maszynę wirtualną np. na Hyper-V i ustawisz interfejs sieciowy zewnętrzny, wskazując dla tego interfejsu swoją kartę sieciową, która jest już dopuszczona w Safe Access do komunikacji. Wówczas nie działa mechanizm filtrowania lub działa nieprawidłowo, ponieważ pozwala ta sytuacja na nieelegancki i niefinezyjny włam.

Safe Access najwidoczniej (przypuszczam) weryfikuje MAC adres fizyczny karty sieciowej fizycznej (już wcześniej dopuszczonej w safe access), a nie realny MAC adres hosta maszyny wirtualnej (rozny od mac sieciowki fizycznej).
Daje to pewnie możliwości.

Wcześniej, na SRM 1.2.5 (i dużo wcześniej) działa poprawnie, a teraz po prostu siadasz przy PC, logujesz się poprawnym hasłem do konta administracyjnego (90% właśnie takiego konto umieszczone w tej grupie), a jak nie masz, to łamiesz (dziecinnie proste, od ok 20 lat, są nawet proste narzędzia) i tym kontem odpalasz hypervisora HyperV, dodajesz siec j/w, dodajesz obraz dysku swojej stacji (z całym arsenałem) i hulaj dusza piekła nie ma.

Nawiasem mówiąc, dziś support odpisał mi (o ile dobrze zrozumiałem w przelocie), że safe access nie jest obecnie wspierany (lub w pełni wspierany).

Kur, ja kupiłem niecałe 2 tyg temu RT6600AX z powodu, czkającego Thread Management i właśnie safe Access, a tu taki fckup.
Mam nadzieję, że wyjaśniłem poprawnie, ajk coś to pytaj śmiało.

mikhnal pisze: ↑pn sie 01, 2022 3:55 pm (..)
Na głównym routerze RT6600ax ustawiam wifi 5GHz na kanał 100, szerokość 160MHz, meshe początkowo ustawiają się oczywiście też na 100 ze sprzętowo ograniczonymi szerokościami 80MHz. Po 10 minutach cyrk, pierwszy poddaje się MR2200ac lądując na losowym kanale "gdziekolwiek" i z szerokością np. 20MHz. (...)

nie wygląda to pocieszająco, sprawdzę u siebie mesha, ale pewnie dopiero jak załatają błędy.
Mam nadzieję, że tak zrobią, bo szczerze zaczyanm się zastanawiać czy nie zwrócić sprzętu.

krowka1978 pisze: ↑pn sie 01, 2022 7:25 pm Jakby w 1.2 było lepiej, (...)

jeśli faktycznie nie pomaga odznaczenie checkbox-a DFS (nie mylić z Distributed File System chyba), to jesteś alpha testerami.
Powiedzcie proszę, nie da się wykonać downgrade do 1.2.5-*?

look12 pisze: ↑pn sie 01, 2022 10:43 pm (..)To tak trochę przypomina mi wydanie WindowsMobile na Lumię 9500, niezły sprzęt, lipny soft, a konkurencja nie śpi.
Router od qnapa, dostał konfigurację wireguard i obiektywnie od strony hardware i firmware wyprzedza Synology.

Fajne podsumowanie.
Co do QNAP obawiałem się, że sporo opcji po prostu nie działa, a tu patrz spod deszczu pod rynne. W Synology mają wieczny tajfun.
Oby się spręzyli, bo po tym co napisałeś odnośnie wireguard-a (choć w synology też jest niezle VPN - testowałem, działa), zastanawiam się czy faktycznie nie przerzucić się na 301w z uwagi na 2x 10Gbps i (chyba) działającą funkcjonalność.

hanixpl pisze: ↑wt sie 02, 2022 8:09 pm

krowka1978 pisze: ↑pn sie 01, 2022 7:25 pm Jakby w 1.2 było lepiej, (...)

jeśli faktycznie nie pomaga odznaczenie checkbox-a DFS (nie mylić z Distributed File System chyba), to jesteś alpha testerami.
Powiedzcie proszę, nie da się wykonać downgrade do 1.2.5-*?

Check DFS nie ma znaczenia dla kanałów DFS - powtarzam się, ale na kanałach DFS ma skakać, bo takie są wymogi. Na tych kanałach działają radary pogodowe itp., jeżeli router ustali, że w coś włazi, to musi bezwarunkowo zmienić kanał na inny. Pozostaje pytanie, czy w mesh sobie nie robią pod górkę. Ogólnie na moich MR i RT2600ac w SRM 1.3 WiFi zaczęło śmigać lepiej.

krowka1978 pisze: ↑wt sie 02, 2022 10:18 pm Check DFS nie ma znaczenia dla kanałów DFS - powtarzam się, ale na kanałach DFS ma skakać, bo takie są wymogi. Na tych kanałach działają radary pogodowe itp., jeżeli router ustali, że w coś włazi, to musi bezwarunkowo zmienić kanał na inny. Pozostaje pytanie, czy w mesh sobie nie robią pod górkę...

Ja chcę tylko ustawić kanał np. 104 na głównym routerze (muszę pochwalić RT6600ax na SRM 1.3.1 RC - stabilny jak skała, nie mam z nim problemów) i żeby wszystkie podłączone do niego meshe kurczowo trzymały się tego kanału.
Choć muszę przyznać, że po powrocie do ustawienia Smart Connect RT2600ac jako mesh przy połączeniu kablowym uspokoił się i rzadko teraz "ucieka w nieznane", za to MR2200ac po wifi nadal szaleje...

Synology RT6600ax – nowa jakość na lata

Marek Telecki

Stało się! Ponad 5 lat od wprowadzenia na rynek udanego routera RT2600ac firma Synology zrobiła to kolejny raz – tym razem wkraczając w świat WiFi6, z modelem RT6600ax oraz platformą SRM w wersji 1.3. Kilka tygodni testów obiecującego sprzętu i wyznaczającego standardy oprogramowania pozwoliło nam wyrobić sobie zdanie na temat tej nowości. W tym odcinku dzielimy się z Wami naszymi krytycznymi przemyśleniami, zapraszamy do odsłuchu!

[...]

http://applejuice.pl/synology-rt6600ax- ... c-na-lata/


Partnerem applejuice.pl i sponsorem podkastu kompot jest firma Synology.

Fajnie, choć ja zdam się na starą maksymę, kiedy po owocach pracy ich poznamy.
Panowie, póki co nie zwracam RT6600ax i ja tam czekam na poprawki.

Ja też z niecierpliwością czekam na poprawki.

Mały update:
dostałem info, że funkcjonalność blokująca mac adres maszyny wirtualnej, nie jest obecnie wspierana.
generalnie chodziło o pełną funkcjonalność Safe Access.
Napisali, że przekazali info do managementu i będą analizowali przypadek na przyszłość.