Netzwerk zugriff Problem

  • Hallo,



    Ich habe folgendes Problem ich kann zwischen 2 Netzwerken nicht richtig kommunizieren.


    Wen ich von USG-Pro-4 192.168.1.x kann ich auf altes Netz 192.168.178.x zugreifen und kommunizieren.

    Aber von 192.168.178.x auf 192.168.1.x kein Zugriff möglich ping auch nicht möglich.


    Muss ich beim USG-Pro-4 Firewall was ein stehlen?



    Danke vor raus.



    Grüße


    Andreas

  • bozmann-83

    Hat das Label offen hinzugefügt
  • bozmann-83

    Hat den Titel des Themas von „Netzwerk zugriff“ zu „Netzwerk zugriff Problem“ geändert.
    • Bewegst Du Dich komplett im UniFi-Zoo? (Nix FB o.ä.?)
    • Wie sind die einzelnen Netze konfiguriert (Stichwort: Corporate vs. Guest)? Ein Schreenshot des rechten Frame der Seite SETTINGS --> NETWORKS könnte helfen.
    • DHCP in beiden Netzen (VLANs) aktiv?
    • Clients per DHCP konfiguriert? (Falls nicht: Richtiges GW konfiguriert?)
    • Software-Stände von Controller und USG?
  • Eine Zone ist Fritzbox DHCP "192.168.178.1"

    die neue ist UniFi DHCP "192.168.1.1"

    DHCP sind in beiden Netzen Aktiv

    von unifi netz komme ich in fritzbox netz rein ohne Probleme.

    aber andersrum nicht.


    UniFi Controller und USG ist auf dem neuesten Stand.


    hallo Andreas

    hast du auf beiden Seiten die Route zu dem jeweils anderen Adressbereich eingestellt?


    Gruß

    Kalle

    Meinst du statische Routing Tabelle erstellen?

  • Dann liegt es daran, dass die USG NAT macht (wie die FB auch -> doppeltes NAT). Wenn du die Netzwerkstruktur so beibehalten möchtest, könnest du einzelne Geräte im Unifi-Netz per Portforwarding in der FB verfügbar machen.


    Sinnvoller ist es aber, die USG als alleinigen Router einzusetzen und die FB zum reinen Modem zu degradieren.

    O2 DSL - FRITZ!Box 7390 (Bridge-Modus) - UDM Pro - US-16-150W - 2x US-8 - 2x UAP nanoHD - UAP-IW-HD - UAP-AC-Lite - FRITZ!Box 7430 (VoIP) - USW-Flex-Mini - USW-Flex - UAP-AC-M-Pro - UAP-AC-Pro - TrueNAS - ER-X (Freifunk)

    Einmal editiert, zuletzt von noexpand ()

  • 192.168.178.0/24 klingt nach FB. :)

    Du musst der FRITZ!Box mit einer statischen Route mitteilen, dass es das LAN 192.168.1.0/24 über das USG (WAN-Port-IP) erreichen kann.

    Wenn Du weitere VLANs (aus FB-Sicht) "hinter" dem USG hast, dann musst Du diese auch mit einer statischen Route bekannt geben.

    Ein solcher Eintrag auf der FRITZ!Box spart Dir statische Routing-Einträge auf allen Clients.

    So hatte ich damals auch meinen Umzug von der FRITZ!Box in den UniFi-Zoo vorgenommen.

  • 192.168.178.0/24 klingt nach FB. :)

    Du musst der FRITZ!Box mit einer statischen Route mitteilen, dass es das LAN 192.168.1.0/24 über das USG (WAN-Port-IP) erreichen kann.

    Wenn Du weitere VLANs (aus FB-Sicht) "hinter" dem USG hast, dann musst Du diese auch mit einer statischen Route bekannt geben.

    Ein solcher Eintrag auf der FRITZ!Box spart Dir statische Routing-Einträge auf allen Clients.

    So hatte ich damals auch meinen Umzug von der FRITZ!Box in den UniFi-Zoo vorgenommen.

    Fritzbox ist vor UniFi


    dass es das LAN 192.168.1.0/24 muss ich das in FB eintragen oder?

  • Fritzbox ist vor UniFi


    dass es das LAN 192.168.1.0/24 muss ich das in FB eintragen oder?

    Genau. Du klickst Dich im Menü durch zu Heimnetz --> Netzwerk --> Netzwerkeinstellungen, scrollst dann ganz runter zum Punkt "Statische Routingtabelle" und solltest dann folgendes Eintragen (USG: 192.168.178.244 - musst Du evtl. anpassen):

    Nun wissen alle Clients, welche sich im LAN 192.168.178.0/24 befinden, dass sie das Netz 192.168.1.0/24 über das Gateway 192.168.178.244 (USG) erreichen können. Damit Du ungehindert durch das USG kommst, wirst Du mindestens eine Firewall-Regel brauchen.

  • Genau. Du klickst Dich im Menü durch zu Heimnetz --> Netzwerk --> Netzwerkeinstellungen, scrollst dann ganz runter zum Punkt "Statische Routingtabelle" und solltest dann folgendes Eintragen (USG: 192.168.178.244 - musst Du evtl. anpassen):

    Nun wissen alle Clients, welche sich im LAN 192.168.178.0/24 befinden, dass sie das Netz 192.168.1.0/24 über das Gateway 192.168.178.244 (USG) erreichen können. Damit Du ungehindert durch das USG kommst, wirst Du mindestens eine Firewall-Regel brauchen.

    Danke dir.

    ich kann ja von USG 110 nähen was er von FB bekommen haut oder muss ich auf 244 umstellen?

    das werde ich heute probieren jetzt muss ich die Geräte wieder irgend wie einbinden

    "wirst Du mindestens eine Firewall-Regel brauchen." welche Regel muss ich erstellen?

  • Danke dir.

    ich kann ja von USG 110 nähen was er von FB bekommen haut oder muss ich auf 244 umstellen?

    das werde ich heute probieren jetzt muss ich die Geräte wieder irgend wie einbinden

    "wirst Du mindestens eine Firewall-Regel brauchen." welche Regel muss ich erstellen?

    Ich wollte mit dem Hinweis "musst Du evtl. anpassen" darauf hinaus, dass Du diesen Wert auf Deine Gegebenheiten anpassen sollst, nicht, dass Du Deine Gegebenheiten meinem Bild anpassen sollst. Ich kannte bis eben die USG-WAN-IP nicht, wollte das letzte Oktett aber nicht leer lassen.

    Zur Firewall kann ich Dir erst später etwas genaueres schreiben. Es geht aber im Prinzip darum, dass Du nicht einfach auf alles "hinter dem USG" aus Sicht des FB-LANs zugreifen kannst, denn Du musst ja durch das WAN-Interface. Hier ist natürlich eingehend erstmal nicht mehr als unbedingt nötig von UniFi freigegeben worden.

  • Ich wollte mit dem Hinweis "musst Du evtl. anpassen" darauf hinaus, dass Du diesen Wert auf Deine Gegebenheiten anpassen sollst, nicht, dass Du Deine Gegebenheiten meinem Bild anpassen sollst. Ich kannte bis eben die USG-WAN-IP nicht, wollte das letzte Oktett aber nicht leer lassen.

    Zur Firewall kann ich Dir erst später etwas genaueres schreiben. Es geht aber im Prinzip darum, dass Du nicht einfach auf alles "hinter dem USG" aus Sicht des FB-LANs zugreifen kannst, denn Du musst ja durch das WAN-Interface. Hier ist natürlich eingehend erstmal nicht mehr als unbedingt nötig von UniFi freigegeben worden.

    OK Danke dir in vor raus

  • Ich wollte mit dem Hinweis "musst Du evtl. anpassen" darauf hinaus, dass Du diesen Wert auf Deine Gegebenheiten anpassen sollst, nicht, dass Du Deine Gegebenheiten meinem Bild anpassen sollst. Ich kannte bis eben die USG-WAN-IP nicht, wollte das letzte Oktett aber nicht leer lassen.

    Zur Firewall kann ich Dir erst später etwas genaueres schreiben. Es geht aber im Prinzip darum, dass Du nicht einfach auf alles "hinter dem USG" aus Sicht des FB-LANs zugreifen kannst, denn Du musst ja durch das WAN-Interface. Hier ist natürlich eingehend erstmal nicht mehr als unbedingt nötig von UniFi freigegeben worden.

    Hallo,

    Kannst du mir sagen welche ich Regel in Firewall eintragen muss damit ich auf das netz zugreifen muss von USG

  • Moin bozmann-83 ,


    vornweg: hat Dein Nick etwas mit einer "Kinderserie" aus Schweden zu tun? :)


    Als erstes könntest Du mal den Port 80/tcp durch das USG auf einen dahinter liegenden Webserver umleiten, um zu testen, ob meine Idee überhaupt trägt. Das setzt natürlich voraus, dass Du im "UniFi-LAN" einen solchen Server hast.

    Welche Services möchtest Du denn vom FB-LAN aus erreichen, die sich hinter dem USG befinden:?:

    Im alten UI (classic view) könnte das z.B. so aussehen:

    • Der Name ist klar: hier kannst Du hinschreiben, wofür Du Dir diese Freigabe eingerichtet hast. Ich habe nextcloud 80 gewählt, da hiermit Port 80 auf meine NextCloud (im LAN) weitergeleitet werden soll.
    • Der Haken bei Enable this port forward rule ist raus, weil die Regel zur Zeit nicht aktiv ist.
    • Bei From kannst Du einschränken, wer das Ziel ansprechen darf. Das nutze ich nicht, daher habe ich Anywhere ausgewählt.
    • Im Feld Port gibst Du an, welcher Port auf der WAN-Seite geöffnet werden soll: in meinem Fall 80.
    • Hinter Forward IP musst das Ziel in Deinem (UniFi-)LAN angeben werden, an welches alle Anfragen an der WAN-Seite auf Port 80 (s. Port) weitergleitet werden sollen. Bei mir soll alles an 10.10.104.103 weitergeleitet werden.
    • Bei Forward Port musst Du angeben, auf welchen Port am Zielsystem die Anfragen weitergeleitet werden sollen. Ich habe mich auch hier für Port 80 entschieden - der HTTP-Port.
    • Bei Protocol wählst Du aus, welches Protokoll auf diesem Port "gesprochen" wird. HTTP sollte (mWn) immer tcp sein.
    • Bei Logs kannst Du entscheiden, ob "Zugriffe" auf diese Regel im Log ersecheinen sollen oder nicht - so stelle ich mir das zumindest vor, kann es aber zur Zeit nicht verifizieren.

    Jetzt bist Du dran. :D

  • Beitrag von bozmann-83 ()

    Dieser Beitrag wurde vom Autor gelöscht ().
  • Hi ich habe getestet ich komme nicht ins NEUE netz rein.

  • Hi ich habe getestet ich komme nicht ins NEUE netz rein.

    Dann zeig' gern mal die eingestellte Regel, bitte. Der eingetragene Zielhost ist aber aus dem "neuen" LAN zu erreichen, ja? Das muss natürlich gehen, sonst wird das Zielsystem auch von wo anders ncicht zu erreichen sein. Zu Deinem "eigentliches" Ziel, dem Druckgerät, müsste ich mich erst einlesen, was da nötig ist. Ich hätte aber, falls es sich um einen "ordinären" Netzwerkdrucker handelt, auf Port 9100, RAW (Standard-TCP/IP-Port) getippt. :/

  • Dann zeig' gern mal die eingestellte Regel, bitte. Der eingetragene Zielhost ist aber aus dem "neuen" LAN zu erreichen, ja? Das muss natürlich gehen, sonst wird das Zielsystem auch von wo anders ncicht zu erreichen sein. Zu Deinem "eigentliches" Ziel, dem Druckgerät, müsste ich mich erst einlesen, was da nötig ist. Ich hätte aber, falls es sich um einen "ordinären" Netzwerkdrucker handelt, auf Port 9100, RAW (Standard-TCP/IP-Port) getippt. :/

    Ich habe vergessen in FB Statische route auf Aktiv setzen.


    werde heute am Abend noch mall testen