UDM/FritzBox - Probleme bei grundlegender Konfiguration

Es gibt 8 Antworten in diesem Thema, welches 2.997 mal aufgerufen wurde. Der letzte Beitrag () ist von RobiWan.

    Hallo Unify-Gemeinde,


    So langsam verzweifle ich ein wenig an der Umstellung meines alten FritzBox Netzwerkes auf Unify. Kurze Vorgeschichte: Über die Jahre ist mein HomeKit Equipment, sowie Netzwerkstruktur gewachsen. Leider ist der HomeKit-Wildwuchs der, der mich veranlasste umzustellen.

    Mein Netz:

    • FritzBox 7590 als Modem und DECT sowie „noch“ VPN zu einem Firmennetzwerk (soll von der FB runter… ist aber noch nicht soweit)
    • UDM (ohne Pro) direkt an LAN3 der FritzBox und dem WAN Port der UDM verbunden, dazwischen das Netz 10.7.7.0
    • Jetzt gerade (und das sollte eigentlich anders… aber erst einmal egal): eine Schnittstelle am UDM fest auf 10.2.2.0 Netz festgelegt als IoT Netz für das HomeKit (Homebridge, sowie diverse WLAN Schalter, HUE und und und…) Hier ist auch ein HP Switch 1810-24Port direkt am UDM angeschlossen VLAN ist im UDM die ID 2, der HP Switch ist hierfür nicht eingerichtet (geht komischerweise nicht, wie ich es eigentlich kenne)
    • Ein weiterer Switch im Admin-LAN 10.8.8.0 ohne VLAN also das lokale Admin LAN der UDM. Dort habe ich erst einmal einen weiteren HP Switch 1810 angeschlossen, damit überhaupt erst einmal wieder was funktionierte.
    • WLANs für jedes einzelne Netzwerk eingerichtet (10.2. + 10.8., ein Gäste WLAN), läuft …

    Nun will ich aus dem Admin-LAN mit den Clients raus und hier geht das Problem irgendwie los, was ich nicht verstehe.


    Netzwerk 10.10.10.0 eingerichtet und ein WLAN erzeugt. Hier habe ich keine LAN Schnittstelle vorgesehen, hier sind eigentlich nur die WLAN Komponenten enthalten (Handy, Computer was weiss ich …).


    Im Netz 10.2.x und 10.8.x ist eine größere Synology 1520 momentan via Ethernet geschaltet (soll eigentlich später nur auf 10.10.x und 10.2.x funken). Der Syno fungiert auch mit 2 VM‘s (Homematic im 10.2.x läuft und ein Pi-Hole dem ich 10.2.x und 10.8.x zugewiesen habe).


    10.10., mein neues Zielnetz soll nun seine DNS Anfragen an den Pihole-Port im 10.2.x senden/erhalten, was nicht klappt und ich einfach nicht verstehe.

    Das Routing ist einfachst eingerichtet. Auf der NAS ein Standard-Gateway auf das UDM, die UDM kennt alle Netze, fertig.


    Gehe ich mit meinem Handy ins 10.10.x Netz habe ich nun das Problem, das ich den DNS einfach nicht zur PiHole durchbringe (also letztendlich kein Internetzugang). Die Einstellungen in der UDM sind Standard, auch sind keine Firewallregeln aktiv -> Also alles geht überall. Bin ich mit meinem Handy im 10.8.x (Admin LAN) geht es, klar habe ja auch Physisch mit der NAS ein Bein in dem Netz.


    Was mache ich falsch? Das Ziel ist nur ein Hop entfernt, ich muss keine Routingtabellen pflegen.


    Mit den restlichen Problemen komme ich lieber erst, wenn ich dieses gelöst habe, damit ich erst einmal meine Grundstruktur inkl. Hardware im Griff habe.

    Anbei auch mal ein Bildchen mit dem Netz. Bitte beachtet, das es konfigurationstechnisch nicht der vollendete Stand ist (es musste erst mal funktionieren).


    Vielen Dank im voraus!

    Gruß, Carsten


    ---------------

    also der netzaufbau ist schon sehr... ungewöhnlich.


    also ich habe bei mir eine weile eine fritzbox7490 als modem vor der UDM Pro betrieben. daher kann ich dazu einiges sagen.

    sobald man die als modem benutzt, sollte es nur eine einzige verbindung zur UDM geben. stichwort: doppeltes nat (alle ports werden offen an den WAN port der UDM geleitet).

    aktuell steht die synology bei dir offen im netz und das ist keine gute idee (hoffentlich hast du an der syno ssh aus bzw. port 22 zu). es gibt gute gründe dafür, warum man eine physische trennung zwischen WAN und LAN verwendet.


    somit sollte man das komplette 10.7.7.x netz entfernen und das kabel von NAS zur Fritzbox. was dann benötigt wird, kann man von außer über UDM per VPN erreichen (oder portfreigaben).

    das NAS sollte idealerweise per direktverbindung an die UDM.


    zu deinem eigentlichen problem der vlan's und dem dns für beide netze kann ich dir leider nicht wirklich helfen. dafür kenne ich mich mit den vlans nicht genug aus. aber da gibts hier sicher auch nen paar spezialisten zu :winking_face:

    cy@ froesch

    -

    UDM-PRO | USW-PRO-24 | 2x UAP-AC-PRO

    APC Smart-UPS X1500 | Racknex UM-SBC-204 mit Raspi3 (pihole & NTP), Raspi4 8gb | QNAP TS-432PXU | Synology 1815+ (RIP 23.12.21) | Synology 212j | Fritzbox 7490

    Hi,


    Dank dir für die Antwort. Die FB läuft nicht im Bridge Mode, die NAS steht erst einmal mit dem 10.7.7.0 Netz nicht ungeschützt. Das doppelte NAT macht mir bei der VPN Verbindung Probleme, aus dem FB Netz der anderen FritzBox antwortet die NAS immer mit der „ge-Natteten“ IP meiner FritzBox, sehr ärgerlich (werde ich später angehen). Ich bekomme den Verkehr momentan nicht an die NAS, so lange das doppelte NAT existiert.


    Ich werde heute weiter daran arbeiten und berichten

      

    Gruß, Carsten


    ---------------

    das doppelte NAT ist leider so eine sache. also es geht offiziell weder in der fritzbox noch in der udm zu deaktivieren.


    da es nicht viele möglichkeiten gibt, unifi geräte hinter der fritzbox einzusetzen:


    - viele user leben einfach mit dem doppelten NAT und kommen damit klar. weil sie z.B. nicht von außen rein müssen.

    - dann hätten wir den bridge modus, den AVM nur versteckt unterstützt.

    - nachdem das dennoch bei mir nicht geholfen hat, blieb bei mir nur noch die fritzbox als "exposed host" zu definieren. das kannst du mit oder ohne bridge modus versuchen.

    Bilder

    cy@ froesch

    -

    UDM-PRO | USW-PRO-24 | 2x UAP-AC-PRO

    APC Smart-UPS X1500 | Racknex UM-SBC-204 mit Raspi3 (pihole & NTP), Raspi4 8gb | QNAP TS-432PXU | Synology 1815+ (RIP 23.12.21) | Synology 212j | Fritzbox 7490

    Das Problem mit dem PiHole und DNS ist gelöst, der DNS funktioniert. Problem war hier die NAS, die noch im FB Netz hing, das routing war scheinbar ein wenig wirr.


    Die FB habe ich aus dem Netz zur FB entfernt (war eh nur wegen der NAS in der Firma als Backuplösung). Die entfernte FritzBox via VPN muss allerdings noch angepasst werden, damit die Netze hier in meinem Haus auch geroutet werden. Das geht nur vor Ort (grr….).


    Für den es interessiert:


    Leider muss die AVM Software (welche nur unter Win läuft) „AVM Fritzfernzugang einrichten“ installiert und die VPN für das FB <-> FB VPN neu eingerichtet werden. Nur jetzt kann man die VPN Konfiguration in den Editor laden unter „accesslist=“ die zusätzlichen Netze eintragen und in die entfernte FB laden. Dumm nur, das jemand in der Firma irgendeine Taste am Router drücken muss (hab die Sicherheitsfunktion vergessen auszuschalten).

    Dann sollten auch die Zielrouten hinter der UDM erreichbar.


    Die Sache mit dem Exposed Host… ist das eine saubere Sache? Wird da wirklich die FB zur Bridge verdonnert, oder ist da noch irgendwas zu beachten/wissen?

    Gruß, Carsten


    ---------------

    Zitat von Loomis

    Die Sache mit dem Exposed Host… ist das eine saubere Sache? Wird da wirklich die FB zur Bridge verdonnert, oder ist da noch irgendwas zu beachten/wissen?

    Na ja - damit stellst Du ein Gerät (im Bild USG) im Netz komplett frei. Gut und sauber ist es meiner Meinu7ng nicht. So ein Bisschen etwas von allen - kann sich später rächen

    also wenn physisch nur die udm hinter der fritzbox hängt, sollte der exposed host kein problem darstellen. dein modem ist dann sozusagen für jeden sichtbar und es sollten keine anderen geräte da dran hängen. die udm baut ja den PPPoE auf und trennt wan von lan. ist halt leider die letzte möglichkeit wenn alles andere nichts hilft.


    das mit dem pihole hatte ich mir schon fast gedacht, der saß ja mit seinem netz vor deiner udm :winking_face:


    bei mir ist die konfiguration mit dem fritzbox modem auch nur einige wochen gelaufen, bis wir glasfaser bekamen. so lange sie vor der fritzbox ist, lief alles super... die fritzbox aber hinter der udm-pro mit der telefonie zum laufen zu bekommen war bei mir dann nochmal eine richtig langwierige sache... etwa 8 wochen hatten wir dadurch telefonprobleme. raustelefonieren ging, aber anrufen von außen nicht...

    cy@ froesch

    -

    UDM-PRO | USW-PRO-24 | 2x UAP-AC-PRO

    APC Smart-UPS X1500 | Racknex UM-SBC-204 mit Raspi3 (pihole & NTP), Raspi4 8gb | QNAP TS-432PXU | Synology 1815+ (RIP 23.12.21) | Synology 212j | Fritzbox 7490

    2 Mal editiert, zuletzt von froesch ()

    Den „exposed host“ schau ich mir noch in Ruhe an, parallel müssen auch die VPN Verbindungen auf die UDM geswitcht werden. Habe bisher noch nichts richtig gefunden, wie ich die Firmen FritzBox mit meiner Heim-UDM anbinde.

    Eh muss alles „Sutsche“ ablaufen… heute habe ich wenigstens meine Zielkonfiguration am laufen. Als ich dann übermütig mit den Firewallregeln begonnen habe, war auch erst noch alles gut, bis sich dann rätselhafterweise nach 20 Minuten etwa 50% meiner Homekitgeräte verabschiedeten.


    HomeKit mit WLAN Modulen und allerlei anderem ist so etwas von Baustelle …. Mit 2,4Ghz fest eingestellt lief es dann wieder einigermaßen, verstehen tu ich die Probleme noch nicht. Erst als ich dann auch die Firewallregeln zurücknahm beruhigte sicher wieder alles. Aber auch da erst nach Minuten, ohne richtigen Bezug auf die Firewallregeln.

    Gruß, Carsten


    ---------------

    Zitat von froesch

    also wenn physisch nur die udm hinter der fritzbox hängt, sollte der exposed host kein problem darstellen. dein modem ist dann sozusagen für jeden sichtbar und es sollten keine anderen geräte da dran hängen. die udm baut ja den PPPoE auf und trennt wan von lan. ist halt leider die letzte möglichkeit wenn alles andere nichts hilft.

    Nur weil man ein Host als Exposed stellt, hört die Fritze nicht plötzlich Sachen zu machen, die sie sonst macht. Und ein exposed Host ist alles andere als derjenige, der die Verbindung managed.