Port Forwarding ohne Ergebnisse

    Hallo zusammen

    ich muss mich gerade wieder mit dem Thema "Port-Forwardign" beschäftigen, da ich gerade nicht zuhause bin, aber auf meinen Server (Synology) muss - und na klar: es kommt immer irgendwas im Urlaub dazwischen, sodass ich mich vorher großartig mit dem Thema beschäftigt habe, aber nun drauf muss

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ich betreibe neuerdings eine UDM Pro SE. Unt auf die Fritzbox via https://WAN-IP:443 komme ich auf die Fritzbox. Damit müsste ich eigentlich auch rechnen dürfen, d.h. meine Port-Forwarding-Versuche waren positiv. ABER auf meine Synology komme ich einfach nicht drauf.

    Ich habe wie folgt die Regel angelegt:

    Aber wenn ich die WAN-IP angebe; https://WAN-IP:5001, komme ich NICHt auf die Synology bzw. deren Web-Frontend (bei "WAN-IP" steht natürlich die IP)

    Mehr habe ich bei dem Port Forwarding der Fritzbox auch nicht gemacht und doch funktioniert der Aufruf.

    Sowie ich weiß braucht man nur den 5000 und den 5001er für den Aufruf.

    Ich habe nun seitenweise hier und auf englischen Seiten geprüft, was die Ursache sein könnte. Selbst das Aktivieren von UPnP bringt keine Besserung...

    Ich habe dann versucht per VPN auf den Server zu kommen.

    Aber das ist auch gescheitert - also nicht am VPN, sondern an der PortWeiterleitung, um vom VPN-Netwerk auf meinen Server zu kommen. Das VPN-Netztwerk ist die 192.168.2.1/24 und mein Server liegt unter der 192.168.152.1/24. WIe ich das umbiege habe ich auf die Schnell leide rnicht herausgefunden.

    Kann hier in beiden Belangen weiterhelfen?

    Die Firewall-Regel habe ich größtenteils so belassen, wie der Standard ist. und das 192.168.152.1/24 ist kein isoliertes Netzwerk

    Danke iM Voraus

    und bei VPN auf der UDM kommt dann keine Portweiterleitung ins Spiel. Was Du da umbiehen willst ... keine Ahnung.

    Ohne konkreten Netzwerkaufbau ist das hier nur stochern im Nebel.

    Auf der Synology ist Du aber nicht die Firewall aktiviert und falsch konfiguriert? Dann funktioniert Zugriff mit und ohne VPN ggf. Desshalb nicht.

    Hallo zusammen

    Nein ein "Stochern im Nebel" ist es nicht, denn der Netzwerkaufbau ist eigentlich eindeutig - ansonsten wäre die Frage unsinnig @Tellerrand. Wenn ich schreibe, dass ich die FB per PortForwarding erreichen kann, impliziert dies eindeutig (ohne dass es hier eine andere Möglichkeit gebe), dass die FB nicht VOR, sondern hinter der UDM-Pro sein muss.

    Draytec --> UDM-Pro-SE --> Netzwerk 192.168.152.1/24 --> 192.168.152.253 FB (als IP-Client)

    bzw.

    Draytec --> UDM-Pro-SE --> Netzwerk 192.168.152.1/24 --> 192.168.152.2 Synology

    Es geht um das Port-Forwarding an sich, weswegen ch auch einen Screenshot hochgeladen habe. Wollte ich das mit VPN machen, hätte ich NUR nach VPN gefragt. Aber es kann ja nicht sein, dass ich in einem Forum nach A frage (und wie mir erging es auch anderen, wenn ich die Suchfunktion mal bediene), die fortwährend "VPN" als Allheilmittel vorgesetzt bekommen, ohne dass man auf die Frage nach dem Port-Forwarding eingehen würde. Denn letzteres scheint bei der "Firewall" der UDM-Pro alles andere als eindeutig zu sein. Allem Anschein nach muss man noch etwas machen, dass es funktioniert - denn den Port 5001 habe ich nach einem Video zum Thema edititiert, dass ich in den Weiten des WWW gefunden habe, und das genügen sollte die Syynology zu erreichen. Pustekuchen.

    Wenn die FB funktioniert und du es genauso für die Syno gemacht hast, denke ich dass es ist genauso wie DoPe geschrieben hat. Und VPN hat er nicht als Heilmittel genannt, Peterfido ebenfalls nur als Hinweis, weiß nicht wie du hier auf "vorgesetzt" kommst.

    Quote from DoPe

    Auf der Synology ist Du aber nicht die Firewall aktiviert und falsch konfiguriert? Dann funktioniert Zugriff mit und ohne VPN ggf. Desshalb nicht.

    Wie DoPe schon sagte, die Syno lässt standardmäßig mit ihrer Firewall nur Anfragen aus den eigenen Netz zu, wenn du jetzt über die Public IP gehst wird vermutlich die Syno Firewall was dagegen haben.

    Mein Netzwerk mit Versionen

    Internet: Muenet Glasfaser mit 300↓ /150↑ @ UDM-PRO v4.0.19
    Switches: 1x USW-Aggregation v7.1.16 | 2x USW-Flex v7.1.16 | 1x USW-Flex-Mini v2.0.9 | 1x USW-24-Gen2 v7.1.16
    Accesspoints: 2x U6-Lite v6.6.77 | 1x UAP-LR | 1x U6-LR
    Protect: 2x UVC-G4-Bullet v4.71.149 | 1x UVC-G5-Bullet v4.71.149 | 1x UVC-G5-Turret-Ultra v4.71.149 | 1x UVC-G3-Flex v4.71.149
    Extras: 1x Switch Flex Utility (USW-Flex-Utility) | 1x FritzBox 7590 für Telefonie

    Network Version : v8.4.59

    Protect Version : 4.1.53

    Stand: 27.08.2024

    Server Hardware

    1x Dell PowerEdge R730 | 36 Cores | 768 GB DDR4 ECC Ram | Dual 10G | 16G SAN

    1x Dell PowerEdge R415 | 12 Cores | 64 GB DDR2 ECC Ram | Dual 1G

    1x Synology DiskStation SAN 4 TB

    2x Raspberry Pi 3B 1GB für Loadbalancer

    2x Raspberry Pi 5 8GB für Kubernetes Cluster

    2x Raspberry Pi 5 4GB für Kubernetes Cluster

    nee per default ist der Syno alles egal, da ist die Firewall aus. Aber ist ja möglich, dass die eingeschaltet und irgendwie geartet konfiguriert ist.

    Denkbar ist auch, dass die DSM Ports verändert und nicht Standard sind. Also nicht 5000 für http und 5001 für https. Das wäre das mindeste was ich tun würde ... einen viel höheren Port und eigentlich auch nur den für https forwarden.

    Bei der Synology ist der Standardgateway korrekt gesetzt (192.168.152.1)und die Synology hat Internet? Nicht das da noch eine alte IP als Gateway schlummert.

    Die Weiterleitung sieht ansonsten korrekt aus. In der Firewall des Unifi wird automatisch eine Regel eingetragen. Da sollte man aufpassen, die nicht durch eigene Regeln auszuhebeln.

    Prinzipiell total einfach. Aber man kann natürlich durch andere Dinge z.B. IPv6 und ddns auch Problem bekommen.

    hallo zusammen

    also ich bin vor 7h von Hamburg nach Karlsruhe gefahren und sitze gerade zuhause und lad mir die Daten lokal runter, ehe ich wieder 7h von KA nach HH zur Frau fahre....
    ich glaube die Syn hat ein Problem. In der Übersicht vom SiteManager sehe ich auch, dass die Syn in den letzten 24h nur eine Usage von 215kb hatte. Meine 2 QNAPs haben jeweile 120-140MB Usage.

    Ansonsten danke ich für die Bestätigung, am Port-Forwarding nichts falsch gemacht zu haben.

    Danke

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from DoPe

    und bei VPN auf der UDM kommt dann keine Portweiterleitung ins Spiel. Was Du da umbiehen willst ... keine Ahnung.

    Ohne konkreten Netzwerkaufbau ist das hier nur stochern im Nebel.

    Auf der Synology ist Du aber nicht die Firewall aktiviert und falsch konfiguriert? Dann funktioniert Zugriff mit und ohne VPN ggf. Desshalb nicht.

    Hallo DoPe

    Also ich bekomme vom VPn die IP-Range 192.168.2.1/24 zugewiesen - der Server ist aber in der 1492.168.152.1/24. WIe komme ich nun vim 2er Netz in das 152er Netz? Da müsste ich doch ein Forwarding machen oder? mmh kann es mir auch nicht erklären - denn eine Port forwarde ich ja so nicht. Wenn ich beim VPN-Server aber statt 192.168.2.1 die 192.168.152.1 eingebe, sagt mitr UI folgerichtig, dass diese Änderung mit einem bestehenden Netz kollidiert.

    Bei der QNAP kenne ich das auch . En VPN dort macht die 10.8.0.1/24 auf, und man bekommt irgendeine IP aus diesem Netz zugewiesen. Das machts nichts, da der Server selbst ja die 10.8.0.1 ist, und ich somit auf ihn zugreifen kann (da das VPN von der QNAP erstellt wird) Bei UI ist aber die 192.168.152.1 eben die UI und nicht die Syn.

    Wie greife ich also auf die Syn zu - via VPN?

    Du greifst einfach mit der IP der Synology auf die Synology zu. Das wird von der UDM geroutet, genau wie das vor Ort wäre, wenn Du aus einem anderen VLAN auf die Synology zugreifst.

    Wichtig ist dabei, das die UDM Firewall den Zugriff vom VPN Netz zur Synology und die Antwortpakete von Synology zu den VPN Clients zulässt. Default ist das so, wird aber gerne mal durch das isolieren von VLANs untereinander mittels aller RFC1918 IPs als Source und Destination geblockt.

    Weiterhin muss natürlich der VPN Client eine Route für das Synology Netz oder wenigstens der IP der Synology besitzen, die auf den Tunnel zeigt. Bei Wireguard auf Unifi geht per Default erstmal alles in den Tunnel.

    Und der Wireguard Client muss auch wirklich verbunden sein. Also gesendete und empfangene Daten anzeigen, sowie im Unifi bei den Clients auftauchen.

    Hallo DoPe

    vielen Dank für deinen Eintrag

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ja VPN geht nun ... allerdings mit ein paar Problemen. Irgendwie kommt das wohl auf die Netze, in denen ich jeweils bin, wenn ich per VPN zugreifen will.

    Wenn ich im Unternehmen bin, dann kann ich nicht ausdrucken, wenn ich via VPN zuhause zugreife. Das passiert immer nur bei einem Standort. Da alle gleich aufgebaut sind, liegt es nicht an unseren Firewalls o.ä. Es scheint etwas mit der VPN zu tun zu haben. zuhause habe ich für meine IP-Telefone ein extra Netz deklariert: 192.168.10.1/24 Bei der Arbeit greife ich von einem 192.16810.1/24-Netz via VPN auf den Server zu. Ich habe zwar dejklariert, dass das 10er Netz zuhause ein isoliertes sein soll - aber irgendwie scheint es, dass die Netze kollidieren - denn ich kann nicht auf einem Drucker bei der Arbeit - z.B. 192.168.10.129 zugreifen, wenn ich mit VPN verbunden bin - ohne VPN schon. Ich denke, dass ich dringend eine Abgrenzung bräuchte, sodass die Netze sich nicht überlagern (das 10er Netz zuhause und bei der Arbeit).

    Muss man da noch andere Vorkehrungen treffen, als jene das 10er Netz zuhause als "isoliert" zu deffinieren?

    Vielen Dank im Voraus

    Hallo DoPe

    Das klingt gut. In Wireguard kann ich das tatsächlich machen - aber auch in OpenVPN? ich weiß gerade nicht, woe ich wegen der Allowed-IPs rein schauen soll - wohl in die Firewall-Regeln? Und wie müsste das von statten gehen?

    Ich habe das hier gefunden:

    https://openvpn.net/community-reso…ccess-policies/

    In meinem Fall müsste ich dann so etwa sind en client schreiben:

    192.168.2.0 192.168.152.2 nur eben als Route oder so verpackt? mmh das müsste man doch auch als Route in den Security-Einstellungen der UDM SE einstellen können?

    Die Regeln werden automatisch gesetzt, die Allowed IPs musst du in der Wireguard Config setzen.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Quote from Kolungate

    192.168.2.0 192.168.152.2 nur eben als Route oder so verpackt? mmh das müsste man doch auch als Route in den Security-Einstellungen der UDM SE einstellen können?

    Bitte nicht alles durcheinander werfen. Die Routen in der UDM sollten passen, da Du sonst schon im Netzwerk Probleme hättest. Die UDM kennt ja alle beteiligten Netze. Worum es hier geht ist quasi die Steuerung des Verhaltens des VPN Clients, also welches Netzwerk ist über VPN erreichbar und was ist lokal bzw. über den lokalen Internetzugang erreichbar. Also geht es im Prinzip um die Routen auf dem Client.

    Was benutzt Du denn nun OpenVPN oder Wireguard? Die Anleitung da aus deinem Link wird Dir für OpenVPN nicht viel bringen - die bezieht sich auf einen OpenVPN Server den man frei per CLI konfigurieren kann, wäre also bei Unifi an der GUI vorbei und würde, wenn überhaupt, nicht lange funktionieren. Und dort geht es um Zugriffsberechtigungen auf bestimmte Netze.

    OpenVPN hab ich schon lange nicht mehr benutzt. Da weiß ich gar nicht mehr genau wie das war mit den Routen auf den Clients. Bei Site2Site wurden die Routen halt im Router hinterlegt, da der Client ja keine eigene VPN aufbaut und am Router getrennt wird, welcher Traffic wo hin.

    Bei Wireguard gibt es die Konfigurationsdatei für den Client. Genau dort findet man die allowed-ips, die Regeln praktisch welche Daten in den Tunnel sollen und welche nicht. Das legt quasi fest welche Routen auf dem Client beim Verbindungsaufbau erzeugt und genutzt werden. Wenn da 0.0.0.0/0 drin steht, dann wird alles in den Tunnel geblasen. Beim Windows Client gibts da auch unten diesen Not-Aus Haken ... wenn der drin ist, kann man bei aktivierter Verbindung nicht mehr mit dem eigenen lokalen Netz kommunizieren. Nimmt man ihn raus wird aus 0.0.0.0/0 die 0.0.0.0/1 und 128.0.0.0/1 , was eigentlich auch allen IPs entspricht. So geht aber das lokale Netz noch und alles andere geht in den Tunnel.

    Hier im Beispiel ist das VPN Netzwerk in der UDM also das 192.168.4.0/24 er Netz. Die UDM hat die .1 am Ende, der Client die .2

    Man kann in seinem eigenen LAN (im eigenen IP Netz) arbeiten, alles andere geht in den Tunnel.

    Entfernt man jetzt 0.0.0.0/0 oder die 0.0.0.0/1 und 128.0.0.0/1 und würde z.B. 192.168.55.0/24 dort einfügen, dann geht nur der Traffic für 192.168.55.1 bis 254 plus der für die beiden Tunnelendpunkte in den Tunnel. Alles andere schickt der Client an sein Standardgateway, also den lokalen Router.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login