Tja, dann spinnt bei mir ionos... er rödelt immernich an den firewallregeln... Problem ist das ich den Port dort nicht freischalten kann solagne der rödelt... naja, das wird dann vielleicht ein telefonat wert werden morgen bei ionos...
IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...
-
- Privat
- UDM
- UDM-Pro
- offen
- Misux
Es gibt 109 Antworten in diesem Thema, welches 5.040 mal aufgerufen wurde. Der letzte Beitrag () ist von uboot21.
-
Ja. Ionos hat Probleme (meine Portfreischaltung läuft seit gestern Abend um halb 9). Und man muss natürlich darauf warten, wenn man weitere Regeln einrichten möchte oder muss.
-
ich fasse es nicht... nach 11stunden und 17min hat er es geschafft....
-
ich fasse es nicht... nach 11stunden und 17min hat er es geschafft....
Dito. Hier 11 Stunden und 3 Minuten. Die nächste Regel lief dann auch wieder nur 50 Sekunden.
-
Und nun habe ich auf einem 2. VPS wieder eine Regel, die nicht aktiviert wird. Langsam nervt das. Ich habe den Eindruck, dass das passiert, wenn man mehrere Regeln direkt hintereinander bearbeitet.
-
uboot21: Ich habe nun alles soweit inklusive Firezone eingerichtet und habe einen Tunnel von beiden Seiten. Die Unifi meldet connected zum VPS und auch das Mobiltelefon meldet connected zum VPS. Firezone zeigt ebenfalls Datenverkehr an
Auch habe ich die Firewallregel in der Unifi eingerichtet und in die eine Gruppe die Wireguard-IP des VPS gepackt und in die andere alle Dienste, die ich im eigenen Netzwerk erreichen möchte. Internet-In und allow...alles da. Auch die Allowed-IPs habe ich sowohl in der unifi.conf, als auch in der in Firezone für das Device angegeben. Erreichen kann ich aber NUR den Router (UDM-SE) und seine Weboberfläche. Alle anderen Dienste kann ich nicht erreichen und die Meldung ist: ERR_NETWORK_CHANGED. Auch das Internet kann ich, trotz Angabe von 0.0.0.0, ::/0 nicht erreichen, wenn der Tunnel an ist.
Hast du eine Idee, was hier schief läuft? Danke.
EDIT: Ich habe es verstanden. Man benötigt, wenn man die Firwall so konfiguriert hat, wie ich, noch eine LAN Out Regel um internen Zugriff zu erlauben.
-
Hallo Skippa78
2 Möglichkeiten,
- die IP Range deines Netzwerkes zu Hause muss auch in Firezone eingestellt sein
- Hast du den Part gelesen mit der Firewall Einstellung in der UDM Pro?
P.S.: Wenn du die Firewall bei Ionos selber eingestellt hast, erübrigt sich eine Software Firewall auf der VPS, hier wäre Fail2BAN sinnvoller (Sonst sucht man sich kaputt wenn man Ports öffnen möchte und diese in den verschiedensten Firewalls geblockt hat
-
Ich bin auch weitergekommen... Aber er will sich nicht berbinden...Also die UDM...
Frage:
Die ips, die erste und die zweite... Sollen die genaus sein wie in der Anleitung oder sind das die die in der UDM als TunnelIP angegeben sind?
Und die Allowed ip also die dritte, die soll direkt hinterm komma rein und die sein auf das Netz ich zugreufen darf? Also mein VLAN...?
-
Alles anzeigen
Hallo Skippa78
2 Möglichkeiten,
- die IP Range deines Netzwerkes zu Hause muss auch in Firezone eingestellt sein
- Hast du den Part gelesen mit der Firewall Einstellung in der UDM Pro?
P.S.: Wenn du die Firewall bei Ionos selber eingestellt hast, erübrigt sich eine Software Firewall auf der VPS, hier wäre Fail2BAN sinnvoller (Sonst sucht man sich kaputt wenn man Ports öffnen möchte und diese in den verschiedensten Firewalls geblockt hat
Siehe mein edit. Es läuft mit der LAN-Out Regel. Die benötigt aber sicher nicht jeder. Danke.
-
Es läuft mit der LAN-Out Regel.
LAN OUT kann ja nur bedeuten, dass du die VLAN untereinander geblockt hast, die Einstellung muss dann so sein als wärest du aus dem Management VLAN in andere VLAN rein
-
Sollen die genaus sein wie in der Anleitung oder sind das die die in der UDM als TunnelIP angegeben sind?
Die 10.10.10.x ist der Tunnel selber und muss auf der UDM und auf der VPS eingestellt sein, VPS mit 1 am Ende UDM Pro mit 2 am Ende
Die hinter dem Komma können alle Netzwerke rein, auf welche du zugreifen möchtest vom VPS aus. Hier kannst du auch ALLE privaten Netzwerke frei geben, da du einzel Freigaben für Geräte dann über die Firezone ändern kannst
-
LAN OUT kann ja nur bedeuten, dass du die VLAN untereinander geblockt hast, die Einstellung muss dann so sein als wärest du aus dem Management VLAN in andere VLAN rein
Ja. Das weiß ich. Ich hatte es nur nicht beachtet bzw. vergessen. VLAN sollten (in der Regel) untereinander geblockt sein. Deshalb ist LAN Out eine Erwähnung wert.
-
hier wäre Fail2BAN sinnvoller
Fail2ban habe ich schon installiert. Gibt es eine Beispielconfig für fail2ban Firezone Login? Ich habe mir da schon den Wolf gesucht und nichts gefunden.
-
Gibt es eine Beispielconfig für fail2ban Firezone Login?
Als Tipp:
Ich hatte in der Anleitung schon erwähnt nach der Installation den Port 22 in der Ionos Einstellung nicht mehr frei zu geben, wenn du deine Geräte eingerichtet hast, kannst du dann auch Port 80/443 im Ionos herausnehmen.
Per SSH kannst du dich dann immer noch mit der IP des Tunnels verbinden (wie in meinem Beispiel mit ssh [email protected]), nur die Webseite wirst du intern nicht aufrufen können.
Das ist das sicherste Prinzip für die VPS, du hast NUR noch die 2 UDP Wireguard Ports offen nach aussen.
Für den Fall das du aus deinem Unifi Netzerk auf die IP des Wireguard kommen möchtest musst du auch eine "Traffic Route" Weiterleitung einrichten, zb das Netzwerk 10.10.10.0/24 oder die IP 10.10.10.1/32 unter IP eintragen und als Interface wählst du den Tunnel zum VPS.
Noch eine Zusatz Info. Man kann mit diesem setup wunderbar ganze Netzwerke miteinander verbinden, alle Netzwerke müssen in Traffic Route rein, alle Netzwerke die weiter weg sind als 1 Hop (also das übernächste Netzwerk) müssen unter static Route hinzugefügt werden mit der IP des Tunnels (in dem Fall 10.10.10.2)
-
Weil will nicht bei mir und ich muss erstmal verstehen ob ich die IP überhaupt richtig. vergeben habe...
Ja, sieht ja gut aus, die IP des Tunnels ist im private Range und dein Netzwerk zu Hause wäre dann der Bereich 192.168.191.1 - 192.168.191.254
Die IP muss aus folgendem Grund da rein, Wireguard muss ja wissen was "Hinter dem Tunnel" verfügbar ist.
Er richtet also vollautomatisch einen IPTABLE eintrag an, das kannst du zb prüfen mit "ip route list", da siehst du welche Adressen über welche Netzwerkkarte geleitet werden,
-
Für den Fall das du aus deinem Unifi Netzerk auf die IP des Wireguard kommen möchtest musst du auch eine "Traffic Route" Weiterleitung einrichten, zb das Netzwerk 10.10.10.0/24 oder die IP 10.10.10.1/32 unter IP eintragen und als Interface wählst du den Tunnel zum VPS.
Das hatte ich schon probiert. Ich bekomme keinen Zugriff per ssh. Ich habe den Modus "Specific Traffic" gewählt und Category "IP Address", dann die IP Adresse des Wireguard-Servers angegeben, Port 22. Dann unter Device/Network noch das Netzwerk angegeben, in dem mein PC steht und das Interface meines VPN-Clients. Leider komme ich per ssh aber nicht auf den VPS.
-
Ich kenne Dein Setup natürlich nicht, insbesondere irgendwelche "komischen" Firewall Rules auf der UDM PRo, zb LAN Local Regeln oder andere Regeln welche Dir verbieten aus diesem VLAN wo du dich befindest heraus zu kommen. Generell sollte die Verbindung in beide Richtungen gehen. Das sollte auch per PING funktionieren, wenn das geht, dann wird auch die SSH Verbindung gehen, sonst ist etwas nicht richtig eingestellt.
-
Jap. Ich habe die Firewallregel inzwischen gefunden. Sie ist zwar nicht "komisch" sondern sinnvoll (auch wenn lange her, dass ich sie ersonnen habe) aber sie hat hier geblockt. Ein Accept für meinen Rechner und die Wireguard IP reicht aber aus, um die Regel sinnvoll bleiben zu lassen aber für diesen Fall zu umgehen. Danke. Das läuft wie geschnitten Brot. DG kann kommen.
Wenn man einen eigenen DNS-Server hat, funktioniert im Übrigen auch die Firezone Oberfläche ohne Freigabe von Port 443 auf dem VPS.
