Beiträge von ZAG

    Supaman Werde ich testen. Habe ich bis jetzt noch nicht, weil ein eigener Server empfohlen wird. Ist der nur fürs Management so dass der in einem kleinen Lxc oder Docker laufen kann oder muss der performant sein?


    Windows VM: wie läuft das dann mit den ganzen Rechenzentren? Ich meine alle Softwarehersteller wollen einen ja in die Cloud packen, aber viele benötigen Windows als Basis!?

    Dein Domain Name ist aber kein DynDNS Server.

    Du hast also eine echte URL und einen DynDNS der die aktuelle IP vorhält.

    Hast du die DynDNS Informationen auch korrekt bei deinem Domainnamen hinterlegt?

    Also hat deine Domain die korrekte IP?

    Und wie leitest du es weiter?


    Was war deine vorherige Konfiguration, bei der noch alles lief?

    Supaman Ja, drehen, zoomen, usw. ist aktuell das größte Übel. Sonst läuft es recht rund. Es ist zwar nicht AutoCAD aber die eine CAD-Software ist schon nicht ohne Anspruch. Terminal Server fallen aus, da die andere CAD Software das gar nicht kann. Die kann man auch nur als Einzelinstanz laufen lassen und ist auch sonst recht zickig. Viel alter Code noch drin, den sie einfach nicht los werden. Daher ja auch die Variante mittels VMs, da ich es ohne Einzelinstanz sicherlich nicht zum Laufen bekomme. Diverse Tests gingen alle schief.


    jkasten Es gibt keine Windows Version, die ich auf einer VM laufen lassen darf? Dann hat sich das Thema ja quasi erledigt. Habe eben auch etwas recherchiert und es scheint echt der Fall zu sein. Normalerweise wäre dann eher ein MS Server Essentials die korrekte Wahl oder eine normale plus RDS Lizenzen aber das fällt wegen der einen Software, die ich damit nicht zum (mehrfachen) Laufen bekommen werde...

    Hallo,

    da hier ja sicherlich viele nicht nur Unifi Hardware haben sondern auch Homelabs betreiben wollte ich mich mal erkundigen, ob ihr auch Erfahrungen mit Servern und deren Auslegung habt.


    Ich würde gerne perspektivisch unser Büro so umstellen, dass die PCs nur noch auf einen (potenten) Server zugreifen, der dann die VMs hostet auf denen die Software läuft.
    Ich habe private Erfahrungen mit Proxmox und würde es gerne damit auch umsetzen.

    Grund ist, dass die aktuellen Rechner langsam in die Jahre kommen und auch mehr von Zuhause darauf zugegriffen wird, weshalb ich nicht x Rechner laufen lassen will. (WOL funktioniert ja eher Bescheiden).


    Es sollen am Ende so 5 Arbeitsplätze auf dem Server laufen + weitere kleine Dienste a la Vaultwaren, etc.


    Die Rechner nutzen teilweise (3) CAD Software, die aber aktuell auch recht performant über normales RDP läuft (welches ja glaube ich keine GPU Unterstützung nutzt).
    Klar wäre GPU Unterstützung nett, aber dann braucht es wohl wieder eine Grafikkarte mit vGPU und entsprechender Lizenz.

    Das System sollte im Idle Mode auch nicht unbedingt viel Strom ziehen (wenn möglich).


    Könnt ihr mir schon eine grobe Empfehlung geben in welche Richtung dies gehen könnte?
    Es soll als "Projekt" laufen, so dass ich auch Erfahrungen sammeln kann und evtl. das ein oder andre noch nachrüsten.

    Also Installation ganz in Ruhe, die VMs als Alternative, nach und nach die Leute umstellen und Erfahrung daraus sammeln.


    In ein Rechenzentrum möchten wir (vorerst) nicht umziehen, weil unsere Internetleitung auch nicht die schnellste ist.


    Bin auf eure Meinungen gespannt.


    Gruß

    Vielleicht falsche Terminologie verwendet....meinte natives VLAN.


    Dann eben per Bild: (mit VLAN 10)


    mit VLAN (1) "default":


    Man kann beim Flex Mini nicht das native VLAN vorgeben (außer 1) und trotzdem einen Trunk etablieren.
    Es geht nur der Trunk, wenn man das native auf der 1 belässt.


    Das ist sicherlich vollkommen ausreichend für die Anwendungsfälle für die ein Mini gedacht ist.

    Wenn man dann evtl. an den Mini doch noch zusätzlich z.B. einen AP hängen will oder einen Proxmox mit verschiedenen VMs/LXCs die in verschiedenen VLANs liegen, dann muss der Port auf 1:default belassen werden.


    Das ist bei anderen Switches z.B. USW Ultra anders.

    Das sollte man bei manchen Geräten einfach im Hinterkopf haben.


    Ich kann aus den Beschreibungen auf der Unifi Seite nicht erkennen, welche Geräte diese Einschränkung haben, daher hatte ich euch gefragt, ob man es irgendwie an der Featureliste erkennen kann.

    Was man auch nicht übersehen sollte ist, dass zumindest der Flex Mini VLAN tagging auf den Ports nur macht, wenn das Standard Port navtive Netzwerk das Default Subnetz ist. Bei allen anderen Standard nativen VLANs fällt das Tagging dann flach. Hatte ich auch nicht gewusst und blöd geschaut.


    Kann man das eigentlich an einem Eintrag in der Featureliste erkennen, welcher Switch das kann und welcher nicht?

    Ja nur Diskstation, nicht diskstation.xxxx.local.
    Hat ja auch immer gereicht...


    DHCP ist der Unifi.

    Ich glaube da könnte der Hund begraben liegen.
    Unifi hat als Standard ja .localdomain im DNS-Suffix hinterlegt

    Wenn ich da jetzt mit Diskstation ankomme, dann hängt er was dann, was dann evtl. nicht korrekt aufgelöst wird.


    Ich muss das im entsprechenden Fremdnetz austesten.

    Danke für die Anregung.

    Ping: Muss ich von außerhalb nochmal mal testen.Glaube aber, dass ich das damals schon probiert hatte.


    Bei mir zuhause habe ich es anders gelöst, weil ich dort auch einen Ultra habe.

    Dort ist der WG als Client auf dem Ultra eingerichtet und ich habe im DNS "Diskstation.local" -> 192.168.0.3 gesetzt.
    Der Client zeigt auf den gleichen WG Server im Büro. Das ist kein eigener also gleiche Einstellungen/Voraussetzungen.

    Zusätzlich musste ich mein lokales VLAN auch auf DNS-Suffix "local" stellen.

    Erst dann geht \\Diskstation im SMB.

    Ohne Suffix und ohne .local in der DNS geht es nicht.

    Dort funktioniert auch die Hosts Datei, aber ich habe das so gelöst, damit es vom Ipad auch geht.


    Da fällt mir ein...das muss ich mal testen...ob es auch geht, wenn ich das lokale DNS-Suffix ändere auch noch geht oder ob ich dann wieder die Security Warnung bekomme.

    Ja das dachte ich ja auch. Ich habe als DNS die IP der Diskstation, die ja der DNS des Büos ist, mitgegeben.
    Kein Erfolg.


    Noch ein interessanter Fakt: Ich habe neulich einen neuen Laptop eingerichtet.
    Im Büro ok, zuhause beim ersten Test des Wireguards ok, obwohl es mit meinen eigenen Geräten auch nicht funktioniert.

    Beim Test des Laptops am Bestimmungsort (Mitarbeiter) wieder keine Netzlaufwerke per "DIskstation" erreichbar.
    Daraufhin habe ich es ja erst final umgestellt (die Netzlaufwerke auf IP).


    Kapiere es nicht.
    Zumindest die HOSTS Datei müsste ja eigenltich funktionieren.

    Aufgrund der hier gestellten Frage bezüglich IDS IDP bin ich darauf gekommen, dass mein Problem evtl. ähnlicher Natur ist.


    Ich greife schon immer per VPN (erst OpenVPN, dann Wireguard) auf mein Büronetzwerk zu damit ich auch von zuhause aus an die Daten meines NAS (Synology) komme.
    Die Syn hat den Hostnamen "Diskstation".
    Im Büro liefere ich per GPO an alle Rechner die Netzlaufwerke aus per "\\Diskstation\...". Soweit so gut.


    Da mein Laptop sowohl im Büronetz als auch via VPN angebunden ist, bekommt er diese Netzlaufwerke auch via GPO.
    Damit das auch von extern funktioniert habe ich die HOSTS Datei von Windows entsprechend angepasst und Diskstation nach 192.168.0.3 aufgelöst.

    Das ging auch einwandfrei bis ich im Büro auch auf Unifi Cloud Gateway Ultra umgestellt habe.
    Seitdem funktioniert der Weg mit der HOSTS Datei nicht mehr.

    Wird da was geblockt?


    Ich habe als Workaround nun die Netzlaufwerke von Diskstation auf IP umgestellt mit dem Effekt, dass nun Windows meckert, dass manche Dateien (vor allem ZIPs) ein Risiko darstellen und ich immer expizit "ja" sagen muss. Alle Tricks via Intranet Zone/Sites, die man im Netz so findet funktionieren nicht.


    Ich würde daher gerne wieder auf die HOSTS Datei zurück kommen oder gerne auch einen anderen Weg gehen, der die HOSTS Datei unnötig macht.


    Zusatzhinweise:

    Auf der Syn liegt auch mein AD und daher auch mein DNS vom Büronetzwerk.
    Das Büronetzwerk hat sowohl einen Domain NetBIOS-Name als auch einen Domainnamen "xxx.LOCAL".

    Im Wireguard habe ich es mit "kein DNS Eintrag" und auch mit "DNS auf die Syn" versucht.


    EDIT: Noch keine Zonenfirewall auf dem Büro UCG Ultra.


    Irgendwelche Vorschläge?


    Gruß

    Du musst dann den UCG an das Glasfasermodem anschließen, dort das Internet einrichten, in der FritzBox alles soweit ausschalten, dass sie nur noch als Switch funktioniert. Dann geht das schon. Aber ob du dazu die entsprechenden Kabelwege hast, wenn du jetzt vom AP nicht zum UCG kommst, wie willst du dann vom UCG zur FritzBox und zum Modem kommen (2 Kabel)? Außerdem wäre die FritzBox dann ein echt teurer Switchersatz. Da gibt es dann bessere Möglichkeiten von Unifi.


    Du solltest mal Skizzen anfertigen was wo verbaut ist und wie die Kabelsituation aussieht und ob du evtl. noch welche nachziehen kannst.

    Einschub: Evtl. sollte ein Admin mal die ganzen Firewall Beiträge hier raus lösen und in einen gesonderten Thread packen...


    Zur Frage:

    Ich bin kein Security Spezi wie andere hier, aber für mich bleibt die DMZ die Zone, die von außen "direkt" erreichbar ist.
    Ergo packe ich dort nur den Proxy rein, weil nur der erreichbar sein soll.
    Wenn du mehr da rein packst, dann muss dir bewusst sein, dass wenn aus dem Proxy ausgebrochen wird alles was sonst da drin liegt direkt angegriffen werden kann.

    Daher habe ich dort nur den Proxy drin.


    Ein weiteres VLAN zur zusätzlichen Absicherung kannst du machen und schadet imo auch nicht.

    Ich habe eine Route um HomeAssistant im IoT offen, weil ich den halt von außen erreichen möchte ohne VPN aufzuspannen.


    Interessant finde ich weiterhin, dass du Jellifin von außen erreichbar machst.
    Streamst du echt von dort aus ins Internet?
    Bei Audiobooks mag ich das noch nachvollziehen können.


    Gruß