Beiträge von razor

    aber ich müsste doch für jedes VLAN ein WLAN machen oder habe ich einen Gedankenfehler? Am liebsten möchte ich, dass alles über ein WLAN reingeht und dann aufgrund der IP oder ähnliches einem VLAN zugewiesen wird... so dass ich nicht zig WLANs benötige... WLAN Gerät 1 soll in VLAN 10 und WLAN Gerät 2 in VLAN 20 und WLAN Gerät 3 wieder in VLAN 1 etc... also etwas wie "Private vorab freigegebene Schlüssel" - nur dies geht nicht mit WPA3 und 6 GHz


    ja, die Firewall Regeln mache ich nachdem alle ihr richtiges VLAN haben :winking_face:

    Dazu haben wir etwas im wiki stehen:

    Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten - ubiquiti - Deutsches Fan Forum

    Radius-Server mit MAC-Authentication an den Switchen einrichten - ubiquiti - Deutsches Fan Forum

    VLAN Zuweisung und WLAN Registrierung über Zertifikate bzw. Nutzername mit NPS RADIUS Windows Server - ubiquiti - Deutsches Fan Forum


    Ob das mit WPA3 und / oder 6GHz geht oder nicht kann ich nicht sagen. Ich hätte jetzt erstmal nicht erwartet, dass das Band (2,4/5/6GHz) darüber befindet, ob ein VLAN zugewiesen werden kann oder nicht. Da stecke ich aber nicht genug in der Materie. #NoAhnung

    sorry, meine auch VLAN 10, 20 etc... so habe ich es auch schon angelegt...

    :thumbs_up::winking_face_with_tongue:

    aber ich habe zum Beispiel Smart Home Produkte, welche per WLAN und welche per LAN eingebunden wird. Soll alles in gleiche VLAN. Muss ich nun für jedes VLAN auch ein WLAN erzeugen oder wie kann ich einem WLAN Gerät sagen, dass es ins VLAN 10 oder VLAN 20 soll? Bei LAN kann ich ja einfach dem PORT einem VLAN zuweisen...

    Bei der Erzeugung eines WLANs kannst Du diesem ein VLAN mitgeben. Damit hängen dann z.B. die Geräte im Smart-WLAN im entsprechenden VLAN ünd können so auch benutzt werden. Du brauchst nicht für jedes WLAN ein neues / eigenes VLAN erzeugen, wenn die Geräte miteinander kommunizieren können sollen. Ein VLAN soll ja Geräte voneinander trennen - was natürlich auch gewollte sein kann.


    Aber Obacht: Ohne Firewall-Regeln hast Du aber keine erhöhte Sicherheit geschaffen - außer für die Gäste.


    Und: ich würde mir bei den WLANs hauptnetz gast und hauptnetz smart das hauptnetz jeweils sparen - vor allem, wenn es nicht stimmt.

    Hallo columbo1979 ,


    wenn Du das schon angehen möchtest, dann solltest Du im ersten VLAN nur den UniFi-Zoo bereiben und gar keine Clients - weder per Kabel noch per WLAN. Ich würde also ein Hauptnetz erzeugen und dann da alle lieben Geräte sammeln und das dann auf ein WLAN legen.


    Dann solltest Du keine einstelligen VLAN-IDs (<9) verwenden. Ich kann zwar nicht erklären warum, aber IDs <10 haben mir schon viel Ärger gebracht. Und es gibt > 4.000 weitere IDs, die fehlerfrei funktionieren, also warum die ersten 9 verwenden? VLAN-IDs haben ja fachlich nichts mit IP-Adressen zu tun und falls Du eine Verbindung zwischen IP-Adresse und VLAN herstellen können möchtest, dann ist es eben 10 anstatt 1 oder ähnliches.


    Ich vermute, dass das WLAN "hauptnetz gast" auf das (noch zu änderne VLAN) 3 zeigen soll und "hauptnetz smart" auf V-ID 4 - auch zu ändern.

    Oder was hast Du Dir mit den WLAN-Namen gedacht?

    vielleicht doch der Fehler über den Docker AdGuard?

    Gibt es ein offizielles AdGuard-Docker-Image und benutzt Du dieses oder gibt es keins? Lt. https://adguard.com/de/contacts.html sitzen die auf Zypern und sollten deswegen erstmal nix mit der IP zu tun haben - meiner Meinung nach. Jedenfalls sollte die IP keine Verbindung zu Dir aufbauen wollen. Es könnte natürlich eine Quelle für irgendwelche Ad-Listen sein, die AdGuard erreichen können muss / sollte. Dafür kenne ich aber dieses System nicht genug. Ich bin mit pi-hole unterwegs.

    Ich habe das Thema mal verschoben, da

    • die Quelle schon > 3 JAHRE alt ist
    • es sich hier um 'ne UDM handelt und kein USG

    Quelle:

    Was zur Hölle? Das Konstrukt macht ja so gar keinen Sinn!

    Das habe ich auch sofort gedacht... :o


    Hallo Detlef59 und willkommen bei uns.


    Schönes Projekt. :thumbs_up:


    Nach meiner Erfahrung wollen die APs über ein Access-Netz (untagged) verwaltet werden und können dann VLANs (tagged) aussenden. Dazu müssen diese Netze aber alle an den APs ankommen. Wenn Du auf der Strecke zwischen UDM und AP unmanaged Switche hast, dann geht Dir meines Wissens nach das VLAN-Tag flöten - und damit alles, was Du damit erreichen wolltest.

    Du musst also sicherstellen, dass am AP alle benötigten Infos ankommen - so wie sie der AP braucht.


    Was ich mir als Szenario vorstellen könnte - allerdings etwas umständlich:

    Du erzeugst einen TRUNK-Port an der UDM (LAN-seitig), in dem alle auf den APs benötigeten VLANs von der pfSense ankommen. Dann musst Du in der UniFi-Welt diese VLANs (die IDs natürlich - und bitte >9) auch erzeugen und als Third-Party-Network kennzeichnen, damit es praktisch von außen (via pfSense) verwaltet werden kann.

    Wenn Du nun einen AP an die UDM anschließt und die richtigen VLANs ankommen und Du im Controller auch WLANs mit den VLANs verbunden hast, welche auf dem AP ausgestraht werden sollen, dann könnte es wie erwartet funktionieren.


    Welchen Software-Stand hat die UDM?

    Und der Controller?

    Und der / die APs?

    Bitte genau benennen und den Controller nur mit der aktuellen und NICHT mit dem Lagacy-Dashboard konfigurieren - und schon gar nicht hin- und herschalten: das bringt mit Sicherheit Probleme mit sich.


    Kannst ja gern ein paar Bilder der Config posten.

    Also bei mir sieht es so aus:

    Da kann ich nichts einstellen. :frowning_face:

    Das sieht ja noch nach der alten Oberfläche aus, welche Du bei der UDM-Pro (und neuer) nicht mehr verwenden solltest. Du solltest auf die neue umschalten und auch nicht mehr hin- und herwechseln und womöglich auch noch Einstellungen in der einen und der anderen Ansicht ändern - das geht schief.

    In den Controller einloggen und dann unter Settings --> User Interface den Schalter "New User Interface" in der Sektion Display aktivieren. Dann am besten am Controller neu anmelden und es noch einmal versuchen.

    Ich kann nur die Diagnose starten wo er nichts findet oder abbrechen.

    Ob Du da hinklickst oder in China fällt der sprichwörtliche Sack Reis um, macht meiner Erfahrung nach keinen Unterschied. Dieses Hilfe hätte sich MS auch einfach sparen können.

    Habe wohl was gefunden. Scheint am NetBIOS zu liegen, werde ich mal ausprobieren.

    Zum Thema NetBIOS und Win11 hatte ich auch etwas gelesen, bringe es aber nicht mehr zusammen.


    Du könntest sonst noch bei der Authentifizierung 10.10.1.199\BENUTZER (nutze ich meinst) oder BENUTZER@10.10.1.199 versuchen, damit ganz klar ist, gegen welches Verzeichnis Du Dich authentifizieren möchtest. Hat mir auch schon das eine oder andere Mal geholfen - vielleicht auch hier.


    Ich bin gespannt, wie das hier ausgeht...

    Hallo Osssse und wilkommen an Board!


    Ja, es muss eine Firewall-Regel geben, welche PING über den WAN-Port des UCG-Ultra akzeptiert und dann an das entsprechende Endgerät weiterleitet (Routing, was bei VLAN-Konfiguration entsprechend automatisch eingestellt wird). Es kann aber donnoch nicht reichen einen Client in der UniFi-Welt zu erreichen, denn dieser Client könnte das auch noch verhindern.


    Wenn Dein Setup so oder so vorsieht alles in die UniFi-Welt zu bringen, dann könntest Du auch einfach das AVM-LAN als weiteres VLAN mit einer ID >9 in der UniFi-Welt erzeugen und dann alles einfach erstmal so umstecken und -stellen - nebst WLAN sogar, wenn verfügbar.

    Ja, dafür musst Du allerdings das AVM-LAN (= UniFi-WAN) ändern, damit Du weiterhin ins Internet kommst.

    Oder Du schaltest das Routing (hier: NAT) in Deinem UCG-Ultra aus, dann hast Du wieder andere Optionen. Das wäre allerdings nicht meine erste Option, sondern eher die letzte.

    Das sie über den VPN nicht auf das Internet zugreifen können. Ich möchte beispielsweise nicht, dass die Mitarbeiter über den VPN Ihren gesamten Traffic schicken. Sondern nur die Netze, die im Firmennetz genutzt werden.

    Und dazu hat Dir der UI-Support geantwortet, das ginge nicht und man würde einen feature request aufnehmen? Kann ich mir irgendwie kaum vorstellen.


    Ganz trivial: Im Wireguard Client unter "allowed IP" einfach nur die Netze eintragen, auf die Zugriff bestehen soll. Fertig ist das split tunneling.

    Moment, aber der Client kann doch jederzeit seine Config editieren :grinning_squinting_face:

    Jupp, das habe ich bisher auch nur so lösen können, dass das am Client zu konfigurieren ist.

    Und wenn es sich um keine verwaltete Umgebung handelt - wie bei meinen 3 LAN-2-LAN-Verbindungen und wenigstens eine mRoadWorrior, dann geht das nicht ohne Weiteres am Server zu limitieren.

    Das werde auch ich mir ansehen.

    Warum dann nicht die vorhandene VLAN Technik nutzen?! Blöd nur wenn die Pauschal alles mit allem Verbindet.


    Ich hab nun die Firewall settings weiter angepasst. Richtig zufrieden bin ich jedoch nicht. Ich kann halt nur blocken was ich kenne.

    Hi,

    müsste es nicht reichen alles (was zusammen gehört) in ein VLAN zu packen und dann dem gesamten VLAN den Zugriff zu blockieren? Dann kann doch kein neues und noch unbekanntes Gerät aus diesem VLAN dieses verlassen. Dafür müssen aber die VLANs korrekt auf allen Switchen konfiguriert sein, damit das geht - is klar.

    Hallo Hot-Shots-Fan und willkommen an Board :ship: ! :grinning_squinting_face:


    Ich habe mich sehr gefreut, als ich Deinen Nick las TopperHarley101 . :red_heart:

    Könntest Du uns mitteilen, warum das so gewünscht ist, auch wenn das Thema für Dich erledigt ist:

    Gewüscht ist die Welt Kugel die bedeutet: Kein Internet. Und natürlich die Ping oder nslookup funktion. Das darf nicht.

    Warum soll der Host nichts auflösen können, wenn er der das Ziel doch so oder so nicht erreichen kann? Was ist der Vorteil bei dieser Konfiguration? Ich sehe es so, dass die Sicherheit durch Kenntnis öffentlicher Adressen nicht sinkt oder anderherum nicht steigt durch Unkenntnis der IP-Adresse von z.B. Amazon. Wenn ich nicht hin komme ist der Sicherheit doch genüge getan oder nicht? DNS brauche ich doch meist so oder so.

    Wie bekommen denn die Systeme in dem Netz Updates für z.B. das Betriebssystem - falls es überhaupt Hosts in diesem Netz gibt? Oder hast Du trotz des Labels PRIVAT lokale Spiegelserver für Windows- und Linux-Updates? :thinking_face:


    Fragen über Fragen... :winking_face:

    Hallo Doktor,


    wir müssen bitte die Begrifflichkeiten klären:

    ein virtueller Network Controller kann sowohl eine nicht von Ubiquiti bereitgestellter Container als auch eine von Ubiquiti bereitgestellt Installation auf eine virtuellen Maschine (VM).


    Könntest Du das bitte genau benennen und auch die verwendeten Versionen aufführen?

    Ich würde halt gerne meine Domain verwenden, dann muss ich nichts anpassen auf der anderen Seite und mir nichts neues merken :smiling_face:

    Das verstehe ich.

    Die Info steht beim Hoster

    Das habe ich ohne Anmeldung leider nicht finden können. #Paywall Kannst ja gern den Link dazu noch posten.


    Nun aber wieder zum eigentlichen Problem:

    Ich würde es mit dem custom Service probieren und dann folgendes eintragen:

    • Hostname: MEINEDOMAIN.de
    • Username: kannste vielleicht leer lassen - nicht ganz sicher
    • Password: KENNWORT
    • Server: https://dynamicdns.key-systems.net/update.php?hostname=%h&password=%p&ip=auto
    • Bild:

    Damit sollte es klappen.


    Mit Deinem Link sollte es als custom Verbindung aber auch klappen. :thinking_face:

    Falls Deine öffentliche IP am UCG-Ultra anliegt könntest Du das auto oben durch %i ersetzen.

    Vielleicht hilft dir meine Anleitung in diesem Thema:


    Das wäre natürlich super! Ich habe es bisher nur hinbekommen, wenn man die Config in der FRITZ!Box bearbeitet - Dank Entwickler.

    Leider habe ich aktuell keinen Test-Kandidaten für Deine Anleitung, welche es auch gern in #wiki schaffen könnte badboy66 . :winking_face: