Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 91 Antworten in diesem Thema, welches 27.542 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.
Also der unifi controller geht immer als https. Ich vermute dein nas schickt docker nicht richtigen port. Deswegen sagt er dir bad port
OK..da muß ich noch mal checken! So im alten Controller ist der UAP entfernt, der "neue" Controller aus dem Docker versucht ihn einzubinden. Klappt aber scheinbar nicht. LED am UAP ist nicht mehr blau sondern weiß. Tipps?
USG wird bei der automatischen Portkonfig durch Syno erkannt und die Portfreigabe wird bei UPNP automatisch eigerichtet
Das kann ich nicht empfehlen.
mit https://xxx.xxx.xxx:8443 konnte mit mit weiteren Klicks eine unsichere Verbindung zum laufen bringen.
Das mit der unsicheren Verbindung bekomme ich bei Firefox auch regelmäßig angezeigt
Das mit dem Zertifikat lässt sich nur mit einem echten lösen. Ist aber im LAN oder VPN kein Problem.
jetzt wäre erst mal schön, wenn ich den AP eingebunden bekäme! 
Also Status: Ich habe über SSH auf den AP zugegriffen und die Zuordnung manuell eingegeben. Im Docker-Controller hatte ich ein Backup von gestern Mittag eingelesen, so dass der Controller zwar lief, aber den (angezeigten) UAP NICHT einbinden konnte! Da ich ja noch am Anfang stehe und außer dem AP kein Gerät eingebunden ist, habe ich den Unifi-Container gelöscht und noch mal neu installiert. Diesmal ohne Backup! Der "neue" AP wurde angezeigt und ich konnte ihn ohne Probleme einbinden. Also ein Konflikt zwischen altem Backup und neu einzubindenden AP.. Vielleicht hätte ich ihn im alten Backup irgendwo komplett herausnehmen müssen (nach dem Import)..keine Ahnung! Ich werde also jetzt mit der Sicherung und dem Rücksichern noch mal ausprobieren, damit das im Zweifel dann auch funktioniert. Wie macht Ihr das denn so mit der Absicherung?
Ganz ehrlich: bisher ist es noch zu keinem Restore des Controllers gekommen, wobei eine Sicherung nur dann eine Sicherung ist, wenn man auch weiß, dass der Restore funktioniert - mMn. Bei meinem NAS weiß ich das - leider oder zum Glück 
. Aber beim Controller hoffe ich einfach: ich lasse jede Woche eine Sicherung erstellen und lade diese dann ca. 15 Minuten später vom NAS aus herunter. Klappt bisher sehr zuverlässig. Diese Sicherung neben der config.gateway.json und der gecachten Firmware wird dann wiederum (unregelmäßig) auf eine externe (USB-)HDD gesichert und die wandert dann aus der Wohnung.
Das kann ich nicht empfehlen.
Geb Dir aus Securitygründen absolut Recht, aber um mal schnell was auszuprobieren ohne lange Portfreigaben machen zu müssen, genial. Danach kann man das Upnp wieder abschalten.
@Uli: Dir da weiterzuhelfen ist schwierig. Mir ist nicht genau klar, was Du eigentlich gerade versuchst aufzubauen. Ein Bild wäre mal toll.
ICH würde den Unifi controller mal eben auf nem Raspi installieren und separat laufen lassen. Damit hast Du das Ganze von der Syn getrennt.
WENN das dann funktioniert, kann man notfalls immernoch au Docker gehen. Aber allein aus Gründen der Ausfallsicherheit würde ich separate Systeme hochziehen.
Alles anzeigenGeb Dir aus Securitygründen absolut Recht, aber um mal schnell was auszuprobieren ohne lange Portfreigaben machen zu müssen, genial. Danach kann man das Upnp wieder abschalten.
@Uli: Dir da weiterzuhelfen ist schwierig. Mir ist nicht genau klar, was Du eigentlich gerade versuchst aufzubauen. Ein Bild wäre mal toll.
ICH würde den Unifi controller mal eben auf nem Raspi installieren und separat laufen lassen. Damit hast Du das Ganze von der Syn getrennt.WENN das dann funktioniert, kann man notfalls immernoch au Docker gehen. Aber allein aus Gründen der Ausfallsicherheit würde ich separate Systeme hochziehen.
Also ich habe vor, einen Vigor als Modem einzusetzen. Danach soll ein USG als Gateway/Router fungieren. Über einen Switch soll dann verteilt werden an 2 AP sowie LAN-Festanschlüsse. Die Telefonanlage (hinter dem Switch) will ich zum telefonieren nutzen und für die DECT-Geräte (smarthome-Anbindung IOBroker). Der Controller läuft mittlerweile schick im Docker-Container und ein Backup-Restore nach kompletter Neuinstalltion war ebnfalls erfolgreich. Eine Raspi habe ich nicht mehr auf "Lager". Ich möchte das neue System parallel zur FB7590 aufbauen, sodass ich jederzeit durch umstecken den alten Zustand schnell wieder herstellen kann. Das wäre mir wichtig, da ich beruflich ausschließlich aus dem Homeoffice arbeite. Also Parallelaufbau mit einer älteren Fritzbox. War das soweit nachvollziehbar?
JAP!
Das entspricht fast zu 90% meiner Config (inkl. Homeoffice, Homematic anstatt IObroker und Rückfall Gedanken) 
Ich verwende das UDM pro anstatt USG und sep. Controller.
Fritzbox ist etwas tricky zu konfigurieren, aber wenn Du das Vigor nutzt, dann wird es sehr einfach.
Ich hab übrigens noch ein gebrauchtes Vigor 130 übrig, da ich versehentlich zwei geordert habe.
Zu deiner Frage bzgl. Vigor parallel Betrieb:
Umstecken geht zwar, aber das ist ja nicht deine Zielkonfiguration.
Du möchtest das Vigor im Bridgemodus nutzen (eigentliche Anwahl macht das USG).
Die Fritzbox macht normalerweise die Anwahl direkt. Ein Bridgemodus ist mit der FB nicht - mehr - möglich.
Ich habe das so gelöst, dass ich während des Parallelaufbaus einfach eine Sicherung der FB in der Ursprungskonfig gemacht habe. Damit war ein Rückfall (durch einfaches Umstecken und Datenrücksichern) schnell möglich.
Die Konfig bzgl. USG und Vigor kannst Du komplett vorbereiten und auch umstecken um zu sehen ob die Anwahl klappt. Wenn die dann klappt, dann kannst Du netztechnisch umstellen und dann auch die FB in das dahinterliegende Netz bringen (sind nur zwei einfache Konfigurationen).
Ein paar Tips zur Konfig:
Anwahl zu 1&1 -> VOR die Userkennung ein "H" setzen (siehe mein Posting)
VLAN Tag "7" würde ich im Vigor nicht setzen, sondern das im USG machen.
Weitere Parameter im Vigor kann ich Dir noch nennen (bzw. gibts auch im Link bei iDomix)
Beim Vigor auf die aktuelle Firmware updaten.
Vigor LAN IP Adresse ändern (falls sie mit dem USG kollidiert - beim UDM pro kollidiert sie, wenn man die Standardkonfig lassen würde).
Wenn die FB dann in das dahinterliegende LAN verschoben wird VORHER DHCP ausschalten und DHCP mit dem USG machen (wenn das geht. Ich hab das UDM pro .. da geht das. Ich vermute mit dem USG auch. Weis es aber nicht genau)
Klingt alles nach viel Arbeit, aber ist in 10-20 Minuten alles locker machbar, wenn man keine Fehler macht
"Umstecken geht zwar, aber das ist ja nicht deine Zielkonfiguration" nein natürlich nicht! Wichtig ist Internet und Netzwerk. Umstecken wäre nur mein Sicherheitsbackup, bis alles soweit läuft. Für die Fritzbox werde ich die aktuelle Konfig sichern und dann...rückspielen wenn nötig! 
. Ich habe nur Sorge, das der 1und1-Anschluß vielleicht Probleme macht, wenn unterschiedliche Hardware zum Einsatz kommt. Vigor einstecken und konfigurieren macht am Anschluß keine Probleme, wenn ein Fehler passiert? (Vigor hätte ich gestern wissen müssen, da hab ich ein gebrauchtes erstanden..
)
Für das Umstecken zwischen den beiden Kisten musst Du bis zum DSL Sync. zwischen 45 Sekunden und 10 Minuten (hatte ich leider schonmal) kalkulieren. 1&1 braucht manchmal etwas ...
Normalerweise ist der DSL Sync. in ca. 45 - 60 Sekunden ready. (Das siehst Du aber in der Oberfläche der FB und des Vigor)
Wenn alles läuft, dann achte mal auf den Datendurchsatz. Ich habe bei der FB DEUTLICH mehr als mit dem Vigor ... warum auch immer. Vermutlich harmoniert der DSLAM mit der FB besser als mit dem Vigor.
Moin ulli,
unter DIESEM LINK findest Du die Konfiguration, wie Du das Modem "durch" das USG hindurch erreichen kannst. Gibt bestimmt auch andere Wege, aber der funktioniert bisher in mehreren Umgebungen.
Wichtig ist vielleicht auch noch, dass Du nach einem Wechsel der Betriebsart (DHCP / PPPoE / Static) das USG unbedingt neustarten solltest, damit es das mitbekommt. Das hat schon manchem den letzten Nerv geraubt. In meiner Signatur ist auch ein Link zu meinem Wechsel von 7590 auf UniFi. Vielleicht hilft Dir das ja. Ich lasse übrigens das USG die Einwahl machen, trotzdem ich den VLAN-Tag auf dem Vigor gesetzt habe.
Das mit dem Hin- und Her- und Hinstecken hat gerade ein Bekannter durch: das dauert zu lange, da es ein paar Stellen gibt, die dieses Unterfangen im laufenden Betrieb deutlich verzögern; kann ich Dir also nur am Wochenende empfehlen. Vigor + USG raus, Fritz!Box rein und den Rest in die Ecke legen geht schnell. Aber das USG dann "mal eben" hinter der FB wieder in Betrieb nehemen, das machst Du mMn nicht mal eben so neben der Arbeit.
Viel Erfolg bei der Konfiguration.
Hallo Ulli,
ich würde wie schon vorgeschlagen die Fritz!Box hinter das USG stellen, so das diese auch die Einwahl macht und das Internet bereitstellt. Wenn die FritzBox wirklich NUR die Telefonie bereitstellen soll wäre das glaube ich eine gute Sache. So ist die FB direkt am Internetanschluss und du kannst sicherstellen, dass du keine Telefonie Probleme bekommst. Machst du eine VoIP Einwahl von der FB über das USG wirst du Ports frei geben müssen.
Wenn du in der Fritz!Box unter Internet - > Freigaben -> Portfreigaben einen Exposed Host auf das USG lenkst kommt kein doppel NAT zu stande. Da ALLE Ports offen sind! So musst du nur noch Porfreigaben an deinem USG machen und NICHT mehr an der Fritz!Box.
Achte umbedingt drauf das die Fritz!Box einen anderen IP-Kreis hat als dein Internes LAN. Wenn du WAN und LAN seitig den gleichen IP Breich hast, knallt es im Netz :). Der Fritz!Box würde ich zum Beispiel: IP 10.10.10.1 geben, das USG bekommt die IP am WAN-Anschluss 10.10.10.2 und intern -> LAN1 192.168.100.254.
Ich würde mir wahrscheinlich auch einen CloudKey Gen2 leisten, ich habe früher auch mit der Controller/Windows varriante angefangen. Das kommt aber alles sehr schnell an seine grenzen. Besonders wenn man mehr als 1 Netzwerk anlegt. Wenn man einen VLAN fähigen Switch hat und sich ein wenig mit dem Thema auskennt, sind mehrere Netze auch mit einem Standart Switch realisierbar. Das heisst auf einen UniFi Switch könnte man noch verzichten, aber wenn du ein USG hast, tue die selber den gefallen, kauf die einen CloudKey.
Grüße
Loxor
Guten Morgen Ulli,
ich meine damit:
Wenn du einen CK auf einem Windows oder Linux Docker betreibst, hat die Docker VM eine IP-Adresse (klar). Wenn mit dieser Konfiguration Gastnetze aufgemacht werden, muss diese VM das VLAN Profil "ALL" bei einem UniFi Switch bekommen, bei einem Standard managed Switch wird die Funktion Untag verwendet. Damit der Virtuelle CK in alle Netze schauen kann. Damit kann jedes Gerät was sich mit dem GAST-WLAN verbindet, den Docker sehen und im schlimsten Fall drauf zu greifen/angreifen, wenn genug Zeit für Angriffe da ist. Wenn auf dem Docker nichts weiter läuft als die UniFi Verwaltung, wäre es für mich noch vertretbar.
Wenn der UniFi controller nur am Rande auf der VM läuft und die eigentlich andere "wichtige" Aufgaben übernimmt, wäre es mit das Risiko nicht wert.
Wenn jemand den Docker knackt und dieser in deinem internen Netz administrative Rechte hat, ist das ein Risiko, welches mir persöhnlich zu hoch wäre.
Den Hardware CloudKey könnte man natürlich genau so angreifen wie eine VM mit genug Zeit. Aber das Risiko ist dennoch ein anderes. Auch, wenn bei einem erfolgreichen Angriff auf den CK die internen WLAN Netze manipuliert werden können. Aber wenigstens habe ich damit keinen einen direkten Angriffspunkt auf meine Windows VMs geboten, im schlimmsten Fall hätte da jemand viel Zeit meinen Domänen Administrator zu hacken. Weil aktiv die VM angegriffen wird.
Das ist meine Persönliche Einschätzung in Sachen "Sicherheit" die natürlich nicht mit jeder Meinung überein stimmen muss.
Fritz!Box neben oder hinter dem USG
Wenn du die Rufnummern von deinem Provider verwendest würde ich mir stark überlegen ob du die FB neben das USG stellen möchtest.
Die Telefonie verwendet das Protokoll UDP (User Datagramm Protokoll) damit die Telefonie in beide Richtungen klappt muss der SIP Port 5060 frei sein, sowie die dazugehörigen RTP Ports. Das musst du dem USG beibringen (Stichwort Port forwardings) für die externe Telefonie, intern geht das alles, ohne weiteres zu tun.
Ach wenn du den DHCP Server auf der Fritz!Box deaktivierst (muss auch so sein), hast du einen 2ten toten DNS-Server im Netz und das merkt das USG. Dadurch haben manche in Ihrem UniFI Dashboard dann hohe Unregelmäßigkeiten in der Übersicht. Auch wenn die Endgeräte über den USG DHCP Server den DNS vom USG mitgegeben bekommen, wirkt das störend im Netz.
Das USG kann zwar eine PPPOE (Point to Point Protokoll over Ethernet) Einwahl, aber es kann genauso gut eine Einwahl über WAN und einem bestehenden Internetanschluss. Ich will hier keinen bekehren oder sonstiges aber prüfe es einfach mal. Außerdem könntest du dir ein" galvanisch" getrenntes Gastnetzbauen, wenn die Fritz!Box hinter dem USG steht.
Hier habe ich die mal einen Profi Paint skizze angehangen * lach*. Das Gastnetz ist in der Fritz!Box nicht verhandelbar, der Router hat die iP 192.168.189.1 und ist mit der VLAN ID 100 getaggt. DHCP geht von 192.168.189.2 - 254.
So würden alle deine WLAN-Gäste komplett am scharfen Netz vorbeigehen.
Ich hoffe der Post konnte dich etwas inspirieren.
beste Grüße
Loxor
zur Zeit sind 88 Mitglieder (davon 1 unsichtbar) und 327 Gäste online - Rekord: 129 Benutzer ()
