Ok, kleine Korrektur
mit xxx.xxx.xxx.1 /30 liege ich ausserhalb der Range für xxx.xxx.xxx.165
Deshalb geändert auf:
xxx.xxx.xxx.1 /29 und Vigor auf xxx.xxx.xxx.3
Dennoch ohne Funktion
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenEs gibt 40 Antworten in diesem Thema, welches 7.741 mal aufgerufen wurde. Der letzte Beitrag () ist von Falke07.
Ok, kleine Korrektur
mit xxx.xxx.xxx.1 /30 liege ich ausserhalb der Range für xxx.xxx.xxx.165
Deshalb geändert auf:
xxx.xxx.xxx.1 /29 und Vigor auf xxx.xxx.xxx.3
Dennoch ohne Funktion
Hi Leute,
jetzt hat es richtig gekracht.
Die USG ist nach dem Einspielen der config.gateway.json nicht mehr hoch gekommen (config wie vorher beschrieben; nicht diese hier). Kein Restart mehr möglich, kein erreichen per SSH (auch nicht 192.168.1.1), kein Restore mit der funktionierenden Config, kein garnichts mehr. Ich musste den berühmten Reset- Knopf drücken.
Nun mal eine Frage zum Verständnis:
Folgende config müsste doch funktionieren oder ?
{
"interfaces": {
"pseudo-ethernet": {
"peth2": {
"address": ["192.168.178.1/32"],
"description": "Zugriff auf Vigor 165",
"link": ["eth2"]
}
}
},
"service": {
"nat": {
"rule": {
"5001": {
"destination": {
"address": ["192.168.178.165"]
},
"outbound-interface": ["peth2"],
"type": "masquerade"
}
}
}
}
}
Alles anzeigen
192.168.178.1/32 ist das USG. Hier erstelle ich doch ein "virtuelles" Netzwerk peth2 mit der Bindung an eth2. In der Rule gebe ich dann die Route an, welche auf die IP des Vigors (.165) über das Interface peth2 zugreift.
Sehe ich das richtig und sollte diese Config funktionieren?
Info: Ich möchte mit 192.168.178.100 (WIN- Controller) auf die 165 zugreifen, um die Syslog zu erhalten.
Die .100 stellt doch die Frage (whois .165) and die .1 (USG, DNS und DHCP), welche durch die Rule aufgelöst werden sollte
oder nicht?
Gruß
Falke07
Hallo Falke07 ,
Du hast in Zeile 7 mit /32 genau einen Host angegeben, Du müsstest aber eine Maske angeben, die Quelle (USG mit 192.168.178.1) und Ziel (Modem mit 192.168.178.165) einfasst. In Deinem Fall muss es eine /24 sein, denn 192.168.178.1 und 192.168.178.165 liegen zu weit außeinander, als dass eine andere Maske funktioniert. Kannst es aber gern nochmal nachrechnen.
Folgende config müsste doch funktionieren oder ?
Code: config.gateway.jsonAlles anzeigen{ "interfaces": { "pseudo-ethernet": { "peth2": { "address": ["192.168.178.1/32"], "description": "Zugriff auf Vigor 165", "link": ["eth2"] } } }, "service": { "nat": { "rule": { "5001": { "destination": { "address": ["192.168.178.165"] }, "outbound-interface": ["peth2"], "type": "masquerade" } } } } }
192.168.178.1/32 ist das USG. Hier erstelle ich doch ein "virtuelles" Netzwerk peth2 mit der Bindung an eth2. In der Rule gebe ich dann die Route an, welche auf die IP des Vigors (.165) über das Interface peth2 zugreift.
Sehe ich das richtig und sollte diese Config funktionieren?
Strukturell ist die Config OK (geprüft mit JSON Formatter & Validator), aber fachlich / sachlich leider nicht.
Info: Ich möchte mit 192.168.178.100 (WIN- Controller) auf die 165 zugreifen, um die Syslog zu erhalten.
Die .100 stellt doch die Frage (whois .165) and die .1 (USG, DNS und DHCP), welche durch die Rule aufgelöst werden sollte
oder nicht?
Ja, so sollte es sein. Bei mir sieht das so aus:
C:\Users\mp>tracert 192.168.179.1
Routenverfolgung zu vigor.mgmt.local [192.168.179.1]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 10.10.105.1
2 3 ms 3 ms 1 ms vigor.mgmt.local [192.168.179.1]
Ablaufverfolgung beendet.
Die 10.10.105.1 ist das USG im LAN des Quell-Clients.
Außerdem habe ich Dir oben die Syslog-Config des Modems und am NAS verlinkt.
+1 für Razors Ausführungen.
Wichtig ist vielleicht auch noch, da schonmal ip geändert hast... 1
192.168.178.165 muss natürlich auch die IP vom Modem sein.
Das 192.168.178.0/0 darf / sollte auch nirgendwo anders vorhanden sein,
da sonst die USG lustige eintrage Inder Routing Tabelle hat oder die config ablehnt.
Falke07 :
Zum Thema Vigor & Abbrüche:
Ich war vor der Telekom bei 1&1 und hatte auch massive Abbrüche.
Im Kontakt mit dem Vigor-Support kam dann heraus, dass ggfs. alle derzeit verfügbaren Firmwareversionen getestet werden müssen.
Bei mir waren es damals 4 verschiedene Modemcodes (siehe Signatur).
Nachdem ich alle 4 getestet habe (jeweils 1-2 tage) hatte ich einen gefunden, der einwandfrei funktioniert. Bis heute.
Selbst beim Wechsel zur Telekom (selbe Leitung, war durch 1&1 angemietet).
Hallo zusammen,
erst mal an dieser Stelle ein Dankeschön an alle helfenden
Also ich habe nun wie folgt umstrukturiert:
(X) => Da aber /30 4 IP hat und /29 8 IP, sollte das eigentlich ja kein Problem darstellen (hoffentlich)
Die config.gateway.json wurde nun von dem USG verarbeitet (auch bei Restart)
Auf der Shell wird mir nun auch peth2 inet 192.168.178.1/30 bis 192.168.178.3 angezeigt.
Leider kann ich immer noch nicht (Ping und WEB- GUI) auf das Vigor zugreifen.
Kann es sein dass mir eine die Firewall ärger macht?
Anbei mal die LAN Rules:
Gruß
Falke07
Na wie den auch. Das muss ein EIGNES netz sein, ein EIGNER IP Bereich der NUR von deinem MODEM und den WAN Interface
der USG benutzt wird. Der darf nicht auch irgendwas von deinen Internen IP Bereichen sein.
(Technisch ist so einiges möglich, aber keep it simple)
Der Trick ist ja hierbei das du mit einem Zusätzlichen Interface auf den WAN Port
und dem Extra NAT Eintrag, so tust als wenn der Vigor „im Internet“, „hinter dem Nat“ steht (vereinfacht dargestellt).
Da gehen keine IP die du „vorne“ benutzt.
(X) => Da aber /30 4 IP hat und /29 8 IP, sollte das eigentlich ja kein Problem darstellen (hoffentlich)
Lass bitte den Quatsch mit /30 netzen. (oder mach es richtig) Es sind keine 4 IP die du nutzen kannst sondern nur 2 bei einem /30
deine „.3" is die Broadcast Adresse. Und wenn der Vigor nur ein /29 zulässt dann benutze die gleiche Maske
auch auf der USG, da diese die Broadcast mitbestimmt und die ist elementar für ARP und das Dingen der IP
im Ethernet. Masken Mix Max ist was für Masochisten...
Hallo Falke07 ,
das "Verschleiern" Deiner privaten IP-Adressen macht die Fehlersuche und -analyse auch nicht einfacher und sorgt nur für Verwirrung.
Entwerder denkst Du Dir Fantasie-Netze aus, z.B. 333.444.555.0/24 oder nimmst echte, welche Du aber nicht verwendest (z.B. 10.0.1.0/24), oder schreibst einfach die echten hin. Was willst Du verstecken? Es handelt sich dabei um private Adressen.
Hallo,
Hallo Falke07 ,
das "Verschleiern" Deiner privaten IP-Adressen macht die Fehlersuche und -analyse auch nicht einfacher und sorgt nur für Verwirrung.
Entwerder denkst Du Dir Fantasie-Netze aus, z.B. 333.444.555.0/24 oder nimmst echte, welche Du aber nicht verwendest (z.B. 10.0.1.0/24), oder schreibst einfach die echten hin. Was willst Du verstecken? Es handelt sich dabei um private Adressen.
Ok, da hatte ich einen Denkfehler beim Schreiben. xxx.xxx.xxx stand immer für 192.168.178 (was die Ursache war; siehe unten). Konntet Ihr ja aber nicht wissen. Sorry.
Na wie den auch. Das muss ein EIGNES netz sein, ein EIGNER IP Bereich der NUR von deinem MODEM und den WAN Interface
OK, da war der Fehler. Ich hatte alles im gleichen Netz
Habe es nun wie folgt geändert.
Vigor 192.168.170.2 und in der config.gateway.json das Pseudo- Netz auf 192.168.170.1/30
Jetzt funktioniert es mit dem Ping und der Web- GUI. am PC
Aber :
Am PC (192.168.178.100) findet Syslog den Router (Vigor 192.168.170.2) nicht. (Ping und WEB-GUI geht)
Nun die Frage1:
Welche Ip muss ich nun als Server/IP-Hostname im Vigor bei SysLog Access eintragen?
Im USG habe ich Port Forwarding LAN In 192.168.170.2:514 auf 192.168.178.1:514 mit UDP eingerichtet.
Woran hängt es nun, das Syslog das Vigor nicht findet, obwohl es per Ping und WEB- GUI auf dem PC erreichbar ist?
Ich hab den Syslog-Server auf meiner QNAP eingerichtet.
Also muss bei mir die IP des Syslog-Server = QNAP drin stehen.
Der Vigor muss sozusagen als Client (einfach geschrieben) Zugriff auf den Syslog-Server haben...
Er will ja seine Ereignisse nur niederschreiben dürfen
Geht leider auch nicht.
Ahh die Salami Scheiben werden Dicker. Zugriff von „Aussen“ soll ja auch nicht stattfinden.
Dafür ist die Lösung nicht da oder gedacht
Im USG habe ich Port Forwarding LAN In 192.168.170.2:514 auf 192.168.178.1:514 mit UDP eingerichtet.
Das Ziel richtig vor Augen, aber der Weg sieht verkehrt aus.
„LAN IN, von und zu Port“ klingt eher nach Firewall als nach Port Weiterleitung.
Weiß auch nicht ob eine Portweiterleitung über die GUI hier greifen würde
da hier gg.f nicht das „peth2“ interface auszahlbar ist. Wenn dann der so:
auf dem Vigor muss die Syslog config dann auf die 172.168.170.1 gehen.
das ist die einzige ip die er erreichen kann.
Wenn das nicht geht, ist eine Manuelle config über die
config.router.json nötig. Habe keine USG mehr daher kann ich das nicht wirklich
nachvollziehen oder verifizieren. HIER ist aber sehr gut beschrieben wie man von den
Befehlen der USG auf die Json config kommt..
ich denke alles zusammen müsste es so aussehen (wie gesagt keine Garantie)
{
"interfaces":{
"pseudo-ethernet":{
"peth2":{
"address":[
"192.168.170.1/30"
],
"description":"Zugriff auf Vigor 165",
"link":[
"eth2"
]
}
}
},
"service":{
"nat":{
"rule":{
"5001":{
"destination":{
"address":[
"192.168.178.2"
]
},
"outbound-interface":[
"peth2"
],
"type":"masquerade"
},
"4500":{
"description":"Syslog",
"destination":{
"address":"192.168.170.1",
"port":"514"
},
"inbound-interface":"eth3",
"inside-address":{
"address":"192.168.178.100"
},
"protocol":"udp",
"type":"destination"
}
}
}
}
}
Alles anzeigen
Wobei dann 192.168.178.100 dann der Ort ist wo sein Syslog läuft.
Alles anzeigenHallo,
Ok, da hatte ich einen Denkfehler beim Schreiben. xxx.xxx.xxx stand immer für 192.168.178 (was die Ursache war; siehe unten). Konntet Ihr ja aber nicht wissen. Sorry.
OK, da war der Fehler. Ich hatte alles im gleichen Netz
Habe es nun wie folgt geändert.
Vigor 192.168.170.2 und in der config.gateway.json das Pseudo- Netz auf 192.168.170.1/30
Jetzt funktioniert es mit dem Ping und der Web- GUI. am PC
Aber :
Am PC (192.168.178.100) findet Syslog den Router (Vigor 192.168.170.2) nicht. (Ping und WEB-GUI geht)
Nun die Frage1:
Welche Ip muss ich nun als Server/IP-Hostname im Vigor bei SysLog Access eintragen?
Im USG habe ich Port Forwarding LAN In 192.168.170.2:514 auf 192.168.178.1:514 mit UDP eingerichtet.
Woran hängt es nun, das Syslog das Vigor nicht findet, obwohl es per Ping und WEB- GUI auf dem PC erreichbar ist?
Hallo,
das Port-Forwarding sieht so aus:
Ich habe der das Protokoll so gewählt, dami es in jedem Fall funktioniert. Aber UDP sollte reichen, auch wenn das im Modem nicht zu konfogurieren ist.
Modem-Config: RE: Vigor 165 nicht erreichbar am Switch
Alles anzeigenAhh die Salami Scheiben werden Dicker. Zugriff von „Aussen“ soll ja auch nicht stattfinden.
Dafür ist die Lösung nicht da oder gedacht
Das Ziel richtig vor Augen, aber der Weg sieht verkehrt aus.
„LAN IN, von und zu Port“ klingt eher nach Firewall als nach Port Weiterleitung.
Weiß auch nicht ob eine Portweiterleitung über die GUI hier greifen würde
da hier gg.f nicht das „peth2“ interface auszahlbar ist. Wenn dann der so:
auf dem Vigor muss die Syslog config dann auf die 172.168.170.1 gehen.
das ist die einzige ip die er erreichen kann.
Wenn das nicht geht, ist eine Manuelle config über die
config.router.json nötig. Habe keine USG mehr daher kann ich das nicht wirklich
nachvollziehen oder verifizieren. HIER ist aber sehr gut beschrieben wie man von den
Befehlen der USG auf die Json config kommt..
ich denke alles zusammen müsste es so aussehen (wie gesagt keine Garantie)
CodeAlles anzeigen{ "interfaces":{ "pseudo-ethernet":{ "peth2":{ "address":[ "192.168.170.1/30" ], "description":"Zugriff auf Vigor 165", "link":[ "eth2" ] } } }, "service":{ "nat":{ "rule":{ "5001":{ "destination":{ "address":[ "192.168.178.2" ] }, "outbound-interface":[ "peth2" ], "type":"masquerade" }, "4500":{ "description":"Syslog", "destination":{ "address":"192.168.170.1", "port":"514" }, "inbound-interface":"eth3", "inside-address":{ "address":"192.168.178.100" }, "protocol":"udp", "type":"destination" } } } } }
Wobei dann 192.168.178.100 dann der Ort ist wo sein Syslog läuft.
Das war bei mir nicht nötig.
gierig : Muss meine Config doch nochmal anpassen, denn die SYLOGs kommen leider nicht am NAS an. Danke für das Beispiel.
Folgendes sehe ich auf dem USG ankommen, aber nicht am NAS:
# tcpdump -vni peth2 src host 192.168.179.1 and proto UDP and port 514
tcpdump: listening on peth2, link-type EN10MB (Ethernet), capture size 262144 bytes
22:24:52.512372 IP (tos 0x0, ttl 255, id 62835, offset 0, flags [none], proto UDP (17), length 124)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 96
Facility local2 (18), Severity info (6)
Msg: Sep 27 22:24:50 DrayTek: Admin Mode save [System Maintenance >>> SysLog / Mail Alert Setup]
22:25:37.857910 IP (tos 0x0, ttl 255, id 63300, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:25:34 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:26:49.256567 IP (tos 0x0, ttl 255, id 63770, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:26:45 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:28:00.555229 IP (tos 0x0, ttl 255, id 64239, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:27:56 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:29:11.963942 IP (tos 0x0, ttl 255, id 64708, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:29:08 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:30:23.362531 IP (tos 0x0, ttl 255, id 65393, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:30:19 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:31:34.771268 IP (tos 0x0, ttl 255, id 326, offset 0, flags [none], proto UDP (17), length 149)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 121
Facility local5 (21), Severity info (6)
Msg: Sep 27 22:31:31 DrayTek: ADSL_Status:[Mode=35B States=SHOWTIME UpSpeed=46717000 DownSpeed=288247000 SNR=5 Atten=13 ]
22:32:02.234054 IP (tos 0x0, ttl 255, id 575, offset 0, flags [none], proto UDP (17), length 112)
192.168.179.1.514 > 192.168.179.2.514: SYSLOG, length: 84
Facility local2 (18), Severity info (6)
Msg: Sep 27 22:31:58 DrayTek: [Web]WebUI login success from IP 192.168.179.2 [$LOGINNAME]
Alles anzeigen
Muss meine Config doch nochmal anpassen, denn die SYLOGs kommen leider nicht am NAS an. Danke für das Beispiel.
Ohne Weiterleitung wird das halt nichts. Aber wie gesagt den Json Part für die Weiterleitung habe ich mir aus den Fingern gesaugt.
Weis nicht ob die Syntax so rum richtig ist. Aber spätestens wenn du über die USG Console das ding von hand konfigurierst „set xxx“
und den confi dump machst hast du es ja...
Mal blöd gefragt, warum der riesen Aufriss. Man kann doch einfach den zweiten Port vom Vigor in den Switch stecken und schon läuft alles. So gehts bei mir inkl syslog auf das NAS.
Mal blöd gefragt, warum der riesen Aufriss. Man kann doch einfach den zweiten Port vom Vigor in den Switch stecken und schon läuft alles. So gehts bei mir inkl syslog auf das NAS.
Hihi, weil sie es können ? Kein Switch Port frei in der nähe, Nerdtum, Unwissenheit über einen zweiten Port (der 130er hat ja auch nur einen)
Moin zusammen,
also ich habe jetzt von:
- 192.168.170.1 zu 192.168.178.100 den Port Forwarding drin sowie die Rule drin.
die config.gateway.json wie folgt:
{
"interfaces": {
"pseudo-ethernet": {
"peth2": {
"address": ["192.168.170.1/30"],
"description": "Zugriff auf Vigor 165",
"link": ["eth2"]
}
}
},
"service": {
"nat": {
"rule": {
"5001": {
"destination": {
"address": ["192.168.170.2"]
},
"outbound-interface": ["peth2"],
"type": "masquerade"
},
"4501":{
"description":"Syslog1",
"destination":{
"address":"192.168.170.1",
"port":"514"
},
"inbound-interface":"eth3",
"inside-address":{
"address":"192.168.178.100"
},
"protocol":"udp",
"type":"destination"
}
}
}
}
}
Alles anzeigen
Syslog findet einfach den Router nicht.
die Shell zeigt an, das abfragen von Vigor von 192.168.170.2 auf 192.168.170.1 gehen und dann nichts mehr.
Mal blöd gefragt, warum der riesen Aufriss. Man kann doch einfach den zweiten Port vom Vigor in den Switch stecken und schon läuft alles. So gehts bei mir inkl syslog auf das NAS.
Der 2. Port wird mit 192.168.200.1 angezeigt; geht nicht
Ich glaube, ich gebe hier nun auf.
Ich finde es halt schade, dass das USG nichts protokoliert. Nicht einmal die PPPoE- Einwahl wird protokolliert. Garnichts. Habe daszu auch ein Thema offen, geht auch nicht voran.
Somit mein Fazit: Schwachstelle von UNIFI, denn ich bin der Meinung, das Logfiles ein sehr wichtiges Thema sind. Schade.
Gruß
Falke07
Alles anzeigenMoin zusammen,
also ich habe jetzt von:
- 192.168.170.1 zu 192.168.178.100 den Port Forwarding drin sowie die Rule drin.
die config.gateway.json wie folgt:
CodeAlles anzeigen{ "interfaces": { "pseudo-ethernet": { "peth2": { "address": ["192.168.170.1/30"], "description": "Zugriff auf Vigor 165", "link": ["eth2"] } } }, "service": { "nat": { "rule": { "5001": { "destination": { "address": ["192.168.170.2"] }, "outbound-interface": ["peth2"], "type": "masquerade" }, "4501":{ "description":"Syslog1", "destination":{ "address":"192.168.170.1", "port":"514" }, "inbound-interface":"eth3", "inside-address":{ "address":"192.168.178.100" }, "protocol":"udp", "type":"destination" } } } } }
Syslog findet einfach den Router nicht.
die Shell zeigt an, das abfragen von Vigor von 192.168.170.2 auf 192.168.170.1 gehen und dann nichts mehr.
Der 2. Port wird mit 192.168.200.1 angezeigt; geht nicht
Ich glaube, ich gebe hier nun auf.
Ich finde es halt schade, dass das USG nichts protokoliert. Nicht einmal die PPPoE- Einwahl wird protokolliert. Garnichts. Habe daszu auch ein Thema offen, geht auch nicht voran.
Somit mein Fazit: Schwachstelle von UNIFI, denn ich bin der Meinung, das Logfiles ein sehr wichtiges Thema sind. Schade.
Gruß
Falke07
Du kannst dem Port einfach eine IP aus deinem Netz geben und dann an deinen Switch hängen. Mehr habe ich auch nicht gemacht. Mein Gateway hat die 192.168.3.1 und der Vigor die 192.168.3.254
Ich bin im Bridge Mode- Komme somit nicht mehr an den 2. Port ran. Oder gibt es da eine Trick
zur Zeit sind 56 Mitglieder (davon 1 unsichtbar) und 725 Gäste online - Rekord: 129 Benutzer ()