Kein Zugriff auf virtuelle Clients im Internet

    • Privat
    • UDM
    • Problem
    • Dream Machine Pro (UDM-Pro)
    • erledigt
  • Uwe

Es gibt 64 Antworten in diesem Thema, welches 14.448 mal aufgerufen wurde. Der letzte Beitrag () ist von Uwe.

    Auch Dir vielen Dank!

    Zitat von bic

    das Teil als Domain-Server nutzt und diesem die Rollen DHCP und DNS mit überträgt

    so ist es eingerichtet

    Zitat von bic

    dann erhalten alle Cleints im LAN diesen Server als abzufragenden DNS-Server vorgegeben

    genau, das funktioniert problemlos

    Zitat von bic

    n welcher schon erst einmal alle Domain-Mitglieder landen, Clients, welche nicht Domain-Mitglieder sind, aber deren Namen aufgelöst werden soll, lassen sich statsich hinzufügen

    genau. Auch das hab ich so gemacht.


    Zitat von bic

    endet er dann an über das Standardgateway an DNS-Server im Internet weiter. Die Adressen dieser Server sind erst einmal als sogenannte "Stammhinweise" von Windoes vorgegeben:

    auch da bin ich noch voll bei Dir.



    Zitat von bic

    Das war es dann auch schon, was man bei einem kleinen Netz erledigen muss, d

    hätte ich auch gedacht. Tut es halt nur nicht.

    Zitat von bic

    tunlichst vermeiden sollte man jedoch, das z.B. der eigene Router in der Namensauflösung rumpfuscht

    Die UDM hat DHCP und DNS ausgeschaltet


    Wie oben schon geschrieben, aktuelles Beispiel: archive.org kann ich z. B. nicht auflösen


    Soll ich Dir mal Hardcopys von meinen Einstellungen posten?

    Zitat von KJL

    Ich weiß gerade kleine Firmen neigen dazu aus Kostengründen

    hier gehts nut um mein Heimnetzwerk, und Supportvertrag gibt es eh nicht. von daher also kein Thema

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Uwe mit diesem Beitrag zusammengefügt.

    Zitat von Uwe

    hier gehts nut um mein Heimnetzwerk, und Supportvertrag gibt es eh nicht. von daher also kein Thema

    Ah okay dachte wäre im Firmennetzwerk so :smiling_face:


    Ja im privaten Bereich ist es eh wumpe da haste vollkommen Recht :smiling_face:

    Zitat von Uwe

    Wie oben schon geschrieben, aktuelles Beispiel: archive.org kann ich z. B. nicht auflösen

    Schon eigenartig, hat dann aber kaum etwas mit dem DNS im LAN zu tun. das lässt eher einen aktiven WEB- oder Applicationsfilter vermuten, obwohl irgendjemand hier mal gesagt hat, dass die UDM so etwas nicht hat (aber vielleicht Dein Provider?). Wenn Du keinen Pi Hole laufen hast, benutz doch mal die "Weiterleitung" Deines Servers und trage hier Googel und Consorten ein und schalte die Stammhinweise aus. Zuvor kannst Du ja mal mit nslookup prüfen, wer denn bei Dir tatsächlich den DNS-Server spielt und ob da z.B. archive.org aufgelöst werden kann.

    Wenn Du ein Linux zu laufen hast, versuch es mal mit "dig +trace archive.org" dann siehst Du schon, wo es hapert - hier mal ein Beispiel mit Administrator.de und wie man das liest:



    Außerdem kannst Du bei Deinem Server ja mal die Debug-Protokollierung anschalten:



    Vielleicht kommst Du dem Problem dann auf die Spur.

    Zitat von bic

    das lässt eher einen aktiven WEB- oder Applicationsfilter vermuten

    das war auch mein erster Gedanke. Aber zwischen Server und Internet steht nur die UDM. Und da hatte ich schon sämtliche Content-Filterungen deaktiviert, ohne dass sich am Problem was ändert.

    Zitat von bic

    benutz doch mal die "Weiterleitung" Deines Servers und trage hier Googel und Consorten ein

    auch das hatte ich schon versucht. Gerade noch mal getestet:


    10.1.1.253 ist die UDM

    bic

    für die Interpretation bräuchte ich bitte Deine Hilfe. Unix ist nicht so sehr meine Welt.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Uwe mit diesem Beitrag zusammengefügt.

    Du hast nen DNS Filter laufen bei Dir: https://cleanbrowsing.org/dns-filter/

    Kann es sein das du auf der UDM Pro den Family Filter angeschaltet hast?

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von jkasten mit diesem Beitrag zusammengefügt.

    ja, der ist an. Ich teste noch mal, aber das Problem war ohne eigentlich das Gleiche.

    ok, das hat das "archive.org" Problem tatsächlich gelöst! Vielen Dank!

    Ich hab immer nur bei Threat Management eingestellt. Diese zusätzliche Einstellung je Netzwerk hatte ich nicht mehr im Sinn.


    Mal sehen, ob damit alle DNS-Probleme gelöst sind.


    PS: da bin ich wieder bei dem Thema, dass die Doku bei UniFi miserabel ist. Wo hätte man denn nachlesen können, was bei "Family" genau passiert? Und die Domain einfach als non existent zurück zu geben ist auch keine gute Idee. Dann sollte wenigsten ne Meldung kommen "vom Inhaltsfilter geblockt".

    der virtuelle Clients geht noch nicht, aber er geht einen Schritt weiter und heute kommt na ganz andere Fehlermeldung. Könnte am Back-end liegen. Teste später noch mal bzw. mit Mobilfunk. Hat evtl. nichts mit DNS, UDM etc zu tun.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 2 Beiträge von Uwe mit diesem Beitrag zusammengefügt.

    Die Fehler oben, das du archive.org nicht auflösen kannst, liegen an dem DNS Filter. Ich würde all sowas ausschalten wenn du nicht genau weißt was es macht.

    Das machen eigentlich fast alle DNS Filter so das die ein nxdomain zurück geben. Als Beispiel Pihole oder Adguard. Ähnlich wird auch der auf der UDM arbeiten, nur das man da nix selber einstellen kann.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von jkasten mit diesem Beitrag zusammengefügt.

    Zitat von bic

    So?:



    Bei welcher Website das jetzt auftaucht, sage ich lieber nicht :grinning_squinting_face:

    Das schaffen aber nur richtige Firewalls.. Glaube nicht das UI das jemals integriert.

    Zitat von jkasten

    Das schaffen aber nur richtige Firewalls

    Ja, das ist ne Sophos XG Appliance, von der Leistung her eher mittelprächtig (aber 1.000 Mbit/s VPN). Was die an Filtern und deren Konfigurationsmöglichkeiten mitbringt, kann man nur noch als extrem bezeichnen (hier werden n.m.E. Opnsense und Konsorten deutlich übertroffen, vor allem auch, was die Aktualität betrifft). Allerdings gibt es sinnvoll zusammengestellte Richtlinien, aus denen man sich bedienen und welche man auch anpassen kann.

    Zitat von bic

    Ja, das ist ne Sophos XG Appliance, von der Leistung her eher mittelprächtig (aber 1.000 Mbit/s VPN). Was die an Filtern und deren Konfigurationsmöglichkeiten mitbringt, kann man nur noch als extrem bezeichnen (hier werden n.m.E. Opnsense und Konsorten deutlich übertroffen, vor allem auch, was die Aktualität betrifft). Allerdings gibt es sinnvoll zusammengestellte Richtlinien, aus denen man sich bedienen und welche man auch anpassen kann.

    Ja die Sophos können das, obwohl ich die XG bisher nicht mag. Haben hier überall noch die SG im Einsatz.

    Zitat von jkasten

    Ja die Sophos können das, obwohl ich die XG bisher nicht mag. Haben hier überall noch die SG im Einsatz.

    Ich werd evt. meine opnsense gegen ne Sophos XG Home Edition austauschen bin mir aber noch nicht sicher auf welcher Hardware. War am überlegen aus der Bucht ne SG 115 rev. 2 zu holen mir wären zwar 1-2 SFP+ Anschlüsse lieber aber das gäbe das Portmornaie nicht her :D.

    Zitat von KJL

    Ich werd evt. meine opnsense gegen ne Sophos XG Home Edition austauschen bin mir aber noch nicht sicher auf welcher Hardware. War am überlegen aus der Bucht ne SG 115 rev. 2 zu holen mir wären zwar 1-2 SFP+ Anschlüsse lieber aber das gäbe das Portmornaie nicht her :D.

    nimm lieber einen mini PC oder ähnliches. Sg115 taugt nix. Die xg ist Hardware mäßig beschränkt was die Lizenz angeht, die SG von den IP Adressen, das solltest du bedenken.

    Zitat von jkasten

    Die xg ist Hardware mäßig beschränkt was die Lizenz angeht, die SG von den IP Adressen, das solltest du bedenken.

    Die Homedition ist beschränkt auf 4 Kerne und 6 GB Ram und natürlich 0-Support, das war es dann auch schon - alles andere funktioniert uneingeschränkt. Naja, anfangs war ich enttäuscht über den erzielbaren VPN-Durchsatz, mehr als 120 Mbit/s waren nicht drin, da die Home-Software Hardwareverschlüsselung (z.B. AES-NI) nicht unterstützte. Nach dem letzten OS-Update ist dies jedoch vorbei, z.Z. bekomme ich über den VPN-Tunnel meine z.Z. noch einseitig auf 300 Mbit/s begrenzte Internetbandbreite (die Gegenstelle hat schon 600) bis zum Anschlag und noch ein Stück darüber hinaus (41 MB/s) ausgereizt, hier mal das nächtliche Zuwachsbackup:



    Ich nehme an, naja hoffe, dass wenn ich auf beiden Seiten dann 600 Mbit/s habe, auch diese ausgereizt werden. Dann kann ich die Dauer eines Vollbackups von 24h auf 5h reduzieren, das ist dann schon brauchbar. Seit nun das Bandbreitenproblem beim VPN gelöst ist, bin ich sehr zufrieden mit der Sophos, auch wenn die GUI sehr viel Geduld erfordert. Achso - Hardware, ich verwende die SG 135 rev.2, welche ich quasi rückwärts ins Rack eingebaut habe:



    wofür man aber leider die Rackohren umbohren muss.

    Zitat von jkasten

    nimm lieber einen mini PC oder ähnliches. Sg115 taugt nix. Die xg ist Hardware mäßig beschränkt was die Lizenz angeht, die SG von den IP Adressen, das solltest du bedenken.

    Ah okay vielen Dank für die Info :smiling_face:

    Zitat von bic

    SG 135 rev.2

    Das wäre sonst eine Alternative. Es gibt übrigends auch Rackmounts dafür.


    EDIT: was mich an der XG noch stört ist der nicht gleiche Funktionsstand zur SG. Zb Lets Encrypt fehlt.

    Zitat von jkasten

    Das wäre sonst eine Alternative. Es gibt übrigends auch Rackmounts dafür.

    Ja kenne ich und hatte auch überlegt. Sieht ja hübsch aus (und ist nicht so ganz preiswert) hat aber bei einem wandhängenden Rack einen nicht wettzumachenden Nachteil - man kommt nicht an das Mini-Netztasterchen ran, jedenfalls ich mit meinen Wurtsfingern bekomme das bündig mit dem Gehäuse sitzende Teilchen nicht einmal ertastet und die SG startet nach Netzausfall nicht von allein :frowning_face:


    An sonst - LetsEncrypt mit der XG geht, allerdings etwas sehr umständlich: klick! ich habe es noch nicht probiert, da bisher kein Bedarf und der ganze Zertifikatskram bei mir ohnehin das kalte Grauen auslöst :grinning_face_with_smiling_eyes:

    Zitat von bic

    Ja kenne ich und hatte auch überlegt. Sieht ja hübsch aus (und ist nicht so ganz preiswert) hat aber bei einem wandhängenden Rack einen nicht wettzumachenden Nachteil - man kommt nicht an das Mini-Netztasterchen ran, jedenfalls ich mit meinen Wurtsfingern bekomme das bündig mit dem Gehäuse sitzende Teilchen nicht einmal ertastet und die SG startet nach Netzausfall nicht von allein :frowning_face:


    An sonst - LetsEncrypt mit der XG geht, allerdings etwas sehr umständlich: klick! ich habe es noch nicht probiert, da bisher kein Bedarf und der ganze Zertifikatskram bei mir ohnehin das kalte Grauen auslöst :grinning_face_with_smiling_eyes:

    Hmm, bei uns starten die ohne Problem nach Stromausfall. Ok, die meisten hängen auch an einer USV. Aber die wenigen die nicht daran hängen haben da keine Probleme. Ansonsten stimmt, der Knopf ist mal richtig blöd zu erreichen. Wir nutzen viel Lets Encrypt für die WAF. Der Workaround ist mir bekannt, aber das geht mal gar nicht wenn man das ernsthaft nutzen will.