Die statische Route wäre nötig, wenn du per Fritzbox-VPN auf die UDM zugreifen willst.
Nach dem ändern der Einstellungen Mal alles neu gestartet?
Was für Einstellungen hast du bei den Gateways und bei DNS?
UDM Pro mit evtl falschem LTE failover über MR600, disconnect des Internets bei Nutzung der online Klingelanlage
-
- Privat
- UDM
- Problem
- UDM-Pro
- offen
- Kouichi
Es gibt 48 Antworten in diesem Thema, welches 6.172 mal aufgerufen wurde. Der letzte Beitrag () ist von thghh.
-
-
Ich greife per Unifi VPN auf das Netzwerk zu.
Wenn aber die Route von FB auf UDM nicht aktiviert ist, komm ich noch nicht mal soweit. Weil die UDM kein Internet hat.
Neugestartet habe ich tats nur den LTE Router, aufgrund wechsel der APN Einstellungen auf öffentliche ip4.
Gateways FB/Lan Einstellungen
DNS FB
UDM Network
UDM WAN1
UDM WAN2
Weitere UDM Einstellungen
Alle WLAN APs haben folgenden DNS:
Gateways / DNS MR600
Helfen die Werte?
Danke und VG
PS: Grad auf UnifiOS 2.4.26 geupdatet, daher zwangsneustart
-
Der MR 600 DHCP Server stört wohl den Unifi DHCP Server. Funktioniert Internet ohne die Routen, wenn der MR 600 abgesteckt ist?
Ansonsten DHCP und DNS alles auf Standard. Wenn es dann läuft, kann man Einstellung für Einstellung anpassen.
-
Hatte DHCP beim MR600 deaktiviert und die Route gelöscht -> Ich kam aus dem UDM Netzwerk noch auf den MR600.
Neustart -> keine IP für WAN2 erhalten:
Ist ja auch irgendwie klar.
Dann für WAN2 die IP Einstellungen manuell eingefügt (192.168.2.100, 255.255.255.0, Gateway 192.168.2.1)
Nun geht WAN2 wieder und ich komme vom UDM Netzwerk und per VPN auf die Weboberfläche des MR600
Statische Route zwischen UDM und MR600 ist deaktiviert
Die statische Route FB zur UDM kann ich heute abend erst testen, da ich sonst keinen Zugriff mehr auf meine Systeme habe.
Denke aber mit einer festen IP in der FB und einer festen IP in den WAN1 Einstellungen sollte es gehen.
-
Naja, ein DHCP Server, damit die UDM Pro eine IP Adresse bekommt, ist okay. Ein weiterer, der die gleichen Adressenbereiche der UDM Pro abdeckt, ist nicht okay.
Die Adressenbereiche der Geräte dürfen nicht doppelt vergeben werden.
-
Befasse dich mit deinen Routern, ob ein Bridge-Modus möglich ist.
-
Waren sie ja nicht. Ich habe ja 3 Adressbereiche:
192.168.178.0/24 - Fritzbox
192.168.1.0/24 - UDM
192.168.2.0/24 - MR600
Ich merke bislang keinen Unterschied zwischen UDM und MR600, beide sind erreichbar , sowohl übers Heimnetz als auch über VPN (über die UDM)
Heute Abend teste ich die Verbindung zwischen Fritzbox und UDM.
Ich habe ja insgesamt 4 Baustellen:
1. Warum springt der Ping so hoch wenn jemand klingelt? <- noch offen
2. Statische Routen <- sollte evtl heute abend erledigt sein.
Wobei ich nicht verstehe was verkehrt an den statischen Routen ist?
3. failover auf LTE (o2/MR600) nach Wegfall WAN1 (DSL/Fritzbox)
funktioniert bislang gut, jedoch komme ich nicht aufs Heimnetz, weder VPN noch über eingerichtete DynDNS. Liegt aber wohl an o2.
Trotz öffentlicher ipv4 Adresse (46.114.X.X IP laut Speedtest), wird mir im Router noch eine 10.X.X.X IP angezeigt. Ist dann ein verstecktes CGNAT oder so
4. Doppeltes NAT, entweder zwischen FB und UDM (DSL) oder MR600 und UDM (LTE).
Obwohl ich dieses Script eingespielt habe
Befasse dich mit deinen Routern, ob ein Bridge-Modus möglich ist.
Bei beiden NICHT möglich.
TP Link hat es bestätigt, und AVM kann es nur bei den Kabelmodems
Und diese Methode fällt auch raus:
Fritzbox als Modem benutzen - Alternative VDSL Modem Fritzbox (emil.network)Das Hauptproblem ist folgendes, die Fritzbox ist über ein LAN Kabel mit dem UDM Verbunden , dieses LAN Kabel geht übern Garten in ein anderes Haus. Nennen wir es mal Haus 1.
Die ganze Hauptelektronik ist aber in Haus 2.
Ich kann kein neues LAN Kabel verlegen da 1. alles einbetoniert ist und 2. ist mir die Arbeit für sowas nicht machen will.
Ich habe als Alternative ja immer noch den Kauf einer 6890 LTE. Dann wäre LTE Failover und DSL in einem Gerät vereint.
Zwar immer noch mit Doppel NAT, aber ok.
Löst immer noch nicht das Ping Problem (Nr 1)
-
Du solltest die IP Bereich nochmals überdenken.
Eigentlich sind die IPs der beiden Modems egal und sollten nicht im Bereich der UDM liegen. Ich würde den Bereich 192.168.1.0 bis 9.0 frei lassen, da die UDM für VPN diese Bereiche nutzt, wenn man nicht händisch eingreift.
Wenn die LAN Verbindung ok ist kann diese 100 Meter zwischen FB und UDM sein. Problematisch ist nur der Potenzialausgleich zwischen zwei Gebäuden. Wenn du dir absolut sicher bist, das die Leitung ok ist, ist es egal und muss nicht weiter betrachtet werden.
Kümmere dich jetzt erst einmal um eine Aufgabe. Also die FB mit der UDM zum Laufen zu bekommen.
Lass auch bitte das Einspielen von irgendwelchen Skripten auf der UDM. Du kannst später alles machen wenn es läuft. Doppel-NAT ist nicht schön aber auch nicht dramatisch.
-
Du solltest die IP Bereich nochmals überdenken.
Eigentlich sind die IPs der beiden Modems egal und sollten nicht im Bereich der UDM liegen. Ich würde den Bereich 192.168.1.0 bis 9.0 frei lassen, da die UDM für VPN diese Bereiche nutzt, wenn man nicht händisch eingreift.
erledigt
der LTE Router hat nun die 192.168.10.1
ergo als feste IP im WAN2 eingestellt ist die 192.168.10.100, DCHP aus
Wenn die LAN Verbindung ok ist kann diese 100 Meter zwischen FB und UDM sein. Problematisch ist nur der Potenzialausgleich zwischen zwei Gebäuden. Wenn du dir absolut sicher bist, das die Leitung ok ist, ist es egal und muss nicht weiter betrachtet werden.
Alles soweit in Ordnung und keinerlei Probleme.
Kümmere dich jetzt erst einmal um eine Aufgabe. Also die FB mit der UDM zum Laufen zu bekommen.
Lass auch bitte das Einspielen von irgendwelchen Skripten auf der UDM. Du kannst später alles machen wenn es läuft. Doppel-NAT ist nicht schön aber auch nicht dramatisch.
statische Route zwischen FB und UDM gelöscht, in der UDM WAN1 mit 192.168.178.3 als feste IP eingetragen.
Aktuell habe ich keinerlei statische Routen aktiviert.
VPN funktioniert ebenfalls mit den Adressbereichen. Ich komm auf die FB, auf den MR600 und auf lokale Geräte wie NAS usw unter 192.168.1.X
Und nun ?
Was soll ich nun machen?
-
in der UDM WAN1 mit 192.168.178.3 als feste IP eingetragen.
Wo hast du denn bitte einen feste IP in der UDM eingetragen?
Bei IPv4 Connection? Wenn ja lass das auf DHCP. Die UDM bekommt dann eine IP für den WAN Zugang von der FB.
-
Wo hast du denn bitte einen feste IP in der UDM eingetragen?
Bei IPv4 Connection? Wenn ja lass das auf DHCP. Die UDM bekommt dann eine IP für den WAN Zugang von der FB.
Genau!
hab es beim WAN1 nun wie folgt eingestellt:
WAN2 steht noch auf manuell. Sonst erreiche ich die 192.168.10.1 nicht mehr (ist auch klar, da kein DHCP)
Die FB funktioniert.
-
Was für eine Adresse steht denn nun im WAN1?
Du kannst also nun über deinen Rechner ganz normal ins Internet und alles läuft?
-
Alles funktioniert normal.
Rechner an FB, UDM, MR600
Handy über VPN das gleiche.
In der FB ist der UDM eine feste IP zugewiesen. Daher gibt es immer die 192.168.178.3
-
Ich pers. würde die IP für das LTE Moden optisch noch weiter trennen also z.B. eine 192.168.188.x oder sogar auch einen 10er oder 172er Bereich gehen aber das ist reine Geschmacksache.
Also wenn alles läuft ist das schon gut. Auch die AP über deinen nicht UniFi Switch laufen?
Du hast ein Netz wo alles ist oder hast du etwas getrennt?
-
Aktuell sieht es so aus:
Fangen wir vorne an:
Auf FB Seite:
Alle Clienten von 192.168.178.X können ins Internet.
Alle Clienten von 192.168.178.X können NICHT auf 192.168.1.X zugreifen (Unifi Netzwerk)
Alle Clienten von 192.168.178.X können NICHT auf 192.168.10.X zugreifen (LTE Router)
Auf UDM Seite:
Alle Clienten von 192.168.1.X können ins Internet.
Alle Clienten von 192.168.178.X können auf 192.168.178.X zugreifen (Fritzbox)
Alle Clienten von 192.168.178.X können auf 192.168.10.X zugreifen (LTE Router)
Die LTE Seite hat keine Clienten und kein WLAN.
Der failover auf LTE funktioniert sobald ich die Fritzbox bzw WAN1 trenne.
Auf VPN Seite:
der VPN User kann ins Internet.
der VPN User kann auf 192.168.178.X zugreifen (Fritzbox)
der VPN User kann auf 192.168.1.X zugreifen (Unifi Netzwerk)
der VPN User kann auf 192.168.10.X zugreifen (LTE Router)
Soweit alles wie gewünscht.
Nun haben wir immer noch :
- den hohen Ping durch die Klingelanlage, dadurch springt die UDM auf WAN2 , nach 10-20 Sekunden ist der Ping wieder unten und die UDM springt wieder zurück auf WAN1.
Durch den Sprung (und der aktualisierung der DynDNS) haben wir gefühlt ca 30-60 Sekunden kein Internet.
- die Erreichbarkeit übers LTE Netz von Außen.
Solange WAN2 aktiv ist läuft keine DynDNS Auflösung und VPN funktioniert auch nicht.
Hast du da einen Tipp? Evtl irgendeine Art Tunnel aufbauen ? Kenn mich damit nicht aus.
- Und Double NAT wäre ein Thema, aber wenn du sagst es ist in Ordnung, dann ist das so.
Danke und VG
-
An okay. Die Fritzbox übernimmt das Netzwerk im ersten Haus und versorgt die UDM Pro mit Internet. Von der Fritzbox sollen Clienten auf das Netzwerk hinter der UDM Pro zugreifen. -OK, dafür braucht es in der Fritzbox zwei statische Routen. 192.168.1.0 über 192.168.178.3 und 192.168.10.0 auch über 192.168.178.3
In der UDM Pro müsstest du die Ports freigeben.
Oder Plan B: hinter der Fritzbox ein Switch und das Internet der Fritzbox als reines VLAN zur UDM Pro und dort auf einem Port ausgeben und von dem Port dann auf WAN 1. Zusätzlich ein UDM Pro Trunk zurück ins andere Haus und da nen Unifi Access Point hin. WLAN von der Fritzbox aus.
-
Das da jetzt noch Clients an der FB hängen war bisher nicht Bestandteil deiner Zeichnung und Infos. So ist es echt mühsam immer neue Infos zu bekommen.
-
Das da jetzt noch Clients an der FB hängen war bisher nicht Bestandteil deiner Zeichnung und Infos. So ist es echt mühsam immer neue Infos zu bekommen.
Da sind Clients, die sollen aber nur ins Internet.
Nicht in die Subnetze. Das sagte ich oben schon irgendwo.
An okay. Die Fritzbox übernimmt das Netzwerk im ersten Haus und versorgt die UDM Pro mit Internet. Von der Fritzbox sollen Clienten auf das Netzwerk hinter der UDM Pro zugreifen. -OK, dafür braucht es in der Fritzbox zwei statische Routen. 192.168.1.0 über 192.168.178.3 und 192.168.10.0 auch über 192.168.178.3
In der UDM Pro müsstest du die Ports freigeben.
Oder Plan B: hinter der Fritzbox ein Switch und das Internet der Fritzbox als reines VLAN zur UDM Pro und dort auf einem Port ausgeben und von dem Port dann auf WAN 1. Zusätzlich ein UDM Pro Trunk zurück ins andere Haus und da nen Unifi Access Point hin. WLAN von der Fritzbox aus.
Welche Ports genau sollte ich öffnen ? Die die ich über die UDM bislang offen habe?
Aber so soll die Konstellation nicht sein.
Wie gesagt mit der aktuellen Config bin ich zufrieden.
Hatte ich sogar hier fett geschrieben.
Alles anzeigenSoweit alles wie gewünscht.
Nun haben wir immer noch :
- den hohen Ping durch die Klingelanlage, dadurch springt die UDM auf WAN2 , nach 10-20 Sekunden ist der Ping wieder unten und die UDM springt wieder zurück auf WAN1.
Durch den Sprung (und der aktualisierung der DynDNS) haben wir gefühlt ca 30-60 Sekunden kein Internet.
- die Erreichbarkeit übers LTE Netz von Außen.
Solange WAN2 aktiv ist läuft keine DynDNS Auflösung und VPN funktioniert auch nicht.
Hast du da einen Tipp? Evtl irgendeine Art Tunnel aufbauen ? Kenn mich damit nicht aus.
- Und Double NAT wäre ein Thema, aber wenn du sagst es ist in Ordnung, dann ist das so.
Danke und VG
Ich vergass zu erwähnen das der Zyxel Switch noch folgende Einstellungen hat :
Korrekt soweit ?
-
4. Doppeltes NAT, entweder zwischen FB und UDM (DSL) oder MR600 und UDM (LTE).
Obwohl ich dieses (https://github.com/jadedeane/natanator) Script eingespielt habe
Just my two cents für diesen part:
1.) im dem Script wir über iptables -t nat -F POSTROUTING die POSTROUTING Tabelle komplett gelöscht.
Damit auch die der Sprung in die „UBIOS_POSTROUTING_JUMP“ Tabelle wo der eigentlich
pNAT Eintrag (MASQUERADE is der Name unter Linux) drinnen steht.
Das Funktioniert ABER:
2.) JEGLICHE Änderung im Setup lässt UNIFI diesen Eintrag wieder erstellen, solltest
du also irgendwas ändern am Netzwerk setup... ist das pNAT wieder da bis du das script wieder
ausführst. Dein Script sorgt evt. dafür das das alle 60 Sekunden wieder gelöscht wird.
Da währe ich aber Vorsicht und würde das Prüfen ob das Script wirklich noch läuft
und nicht abgeschossen wird..Auch Periodisch scheint UNFI die Eintrage zu prüfen und wieder herzustellen.
(z.B nach updates von GEO/TOR/ALIEN/IDS whatever)
4.)Besser Weg
einmalig bei Booten:
Codeiptables -t nat -I POSTROUTING 1 -o eth8 -j ACCEPT iptables -t nat -I POSTROUTING 1 -o eth9 -j ACCEPTDie beiden Eintrage werden jeweils an erster Stelle in die POSTROUTING Chain eingestellt
und Akzeptieren alle Pakete die über die WAN Ports 9 oder 10 rauswollen.
UNIFI selber löscht ggf. seinen Eintrag und legt ihn neu an, das geschieht aber immer am ENDE
der Chain und wird daher garnicht mehr beachtet. Auch löscht das UNIFI System dieses
Regeln nicht.
-
Da sind Clients, die sollen aber nur ins Internet.
Warum stellst du nicht da wo die FB ist auch die UDM hin und installiert dort einen UniFi AP und gehst dann über die Lanleitung auf deinen Switch ins andere Gebäude.
Sorry wenn ich das so sage aber das ist doch Muckefuck was du da hast/machst.
