Posts by JW1972

Hallo,

ich möchte mir eine sichere (soweit möglich) kleine private Cloud aufbauen, um von Unterwegs im Urlaub Bilder und Videos zu sichern.

Wireguard Server läuft

1.) auf einer Fritzbox 6591 Cable (Vodafone) mit fester öffentlicher IP

2.) auf einer Fritzbox 7530 AX (Vodafone DSL) mit dynamischer IP

3.) auf einem Brume 2 an der UDM in einem eigenen isolierten VLAN.

Alle 3 VPN's funktionieren tadellos. Alle meine (mobilen) Clients bauen eine Verbindung auf und funktionieren.

Ich habe ein 2 Bay QNAP NAS mit der aktuellen Firmware. Auf der ersten Platte liegen die QNAP Dateien; die zweite Platte dient als NVR: Auch das QNAP NAS ist isoliert in einem eigenen VLAN.

Auf der ersten Platte würde ich nun noch einen Ordner "Urlaub" einrichten. In diesen sollen nun von unterwegs vom Handy oder PC Bilder geladen werden können.

Was muss ich

a) auf den Fritzboxen beachten

b) auf der UDM einstellen

c) auf dem QNAP NAS beachten?

Danke Euch für Eure Hilfe.

Sollten noch Infos zu Setup fehlen, dann einfach schreiben und nicht schimpfen. Für einen Anfänger ist nicht immer klar, was noch benötigt wird.

Viele Grüße

Jörg

Quote from TWIN013

JW1972 Oder Du nimmst einfach den aktualisierten Wiki-Artikel.

Super! Genau das habe ich gesucht (und nicht gefunden)!

Quote from gierig

Mus dazu sagen das selber nachdenken auch mich betrifft. Damit oben dürfte DNS nicht mehr funktionieren. Aber hey kein Zugriff ist kein zugriff
echt willst noch ne reglen das DNS erlaubt ist... oder das nur ports wie 22, 80, 443, 8080, 8443 gesperrt sind..

Danke! Läuft alles!

Edit: Zu früh gefreut!

DNS ist weg in den VLAN's!

Wäre super, wenn Du noch ne Regel hast!

Quote from gierig

Nö, das Gateway ist in der Zone Gateway.

Selber Denken...

Das einfachste... Ne neue Zone anlegen z.B "DUNicht" deine Isolierten VLAN in die Zone.
Eine neue Reglen anlegen. Source "DUNicht", Destination "Gatway".

Danke! Das sagt sich so leicht. Bzw. ich hatte einen Denkfehler. Erst mal kam gerade ein Update dazwischen. Aber zur Sache:

Die Zone mit den nicht vertrauenswürdigen VLANS habe ich ja schon lange.

Für mich war es naheliegend in der internen Zone die IP das Gateway zu blockieren. Das hat nicht geklappt.

Der Trick war, der für die alten Hasen vielleicht selbsterverständlich ist, die Zone Gateway auszuwhälen. Für mich erschien das zunächst nicht logisch, denn in der Zone gibt es bei mir keinen Eintrag, weil die UDM in meine Produktions LAN hängt.

Aber so hat es nun geklappt.

Quote from gierig

JA, dadurch das die UDM IP = gateway ist weis das eh jeder

Wenn nicht erwünscht, Zusatz Regel die den Zugriff aufs die Gateway Zone Unterbindet von den Netzen

Danke! Das Gateway ist aktuell bei mir in der internen Zone. Nur mit meinem Produktionsnetz, also PC, das NAS mit dem Datengrab und das WLAN mit den vertrauenswüridgen WLAN Clients (über die MAC gefiltert).

Ich fände es halt super, wenn man die UDM als Gateway nicht erkennen kann.

Quote from Bigdog71

Generell ist es möglich, defcon hat es bei seinen Firewall Regeln gut beschrieben (ich habe diese so umgesetzt).

Theoretisch kannst du aus jedem Vlan aufs Gateway, brauchst halt die Zugangsdaten.

Danke! Die Anleitung ist ja sehr gut! Allerdings 3 Jahre alt; ist nicht abwertend gemeint.

Bei der aktuellen Version kann man ja vieles über die Zonen regeln.

Gibt es dazu eine aktualisierte Anleitung? (Ja es gibt viele Videos; aber ich habe kein aktuelles gefunden, um das Gateway zu blocken!)

Zwar braucht man die Zugangsdaten, aber ich fände es super, wenn man die UDM als Gateway nicht erkennen kann.

Hallo,

bitte nicht lachen.

Ich habe auf meiner UDM mehrere VLAN's teilweise als isoliert eingerichtet. In den Zuweisungen der Anschlüsse habe ich VLAN's teilweise blockiert.

Ich habe bspw. ein VLAN GAST, isoliert keine VLAN Berechtigungen der einzelnen Anschlüsse. Wenn ich nun versuche per IP auf Geräte in anderen VLAN's zugreifen möchte, klappt dies nicht. Soweit, so gut.

Gebe ich nun aber aus einem - soferon ich das überblicken kann - aus einem beliebigen VLAN die IP der UDM ein, kann ich trotz Isolierung oder Blockierung auf dem Anschluss auf die UDM zugreifen. Getestet habe ich dies mit LAN gebundenen Anschlüssen.

Ist das normal?

Ich bin deshalb verwundert, denn dann könnte ja jeder, der die IP der UDM kennt, auf diese zugreifen.

Freue mich auf Eure Antworten.

Viele Grüße

Jörg

Danke!

Also gibt es keine Alternative oder eine Work around.

Quote from Naichbindas

Ist das dann auch noch so wenn du den WG mal ganz neeu machst?

Schon mehrfach gemacht! Ergebnis ist immer identisch!

Quote from petra92

https://help.ui.com/hc/en-us/artic…n-UniFi-Protect

Danke! Denn kenn ich!

Hallo,

auf meiner UDM PRO SE habe ich diverse VLAN's eingerichtet. Das Verwaltungsnetz hat eine andere ID (100) als das VLAN (200) für die Haussteuerung und die Kameraüberwachung, wobei die in einem gemeinsamen VLAN sind.

Nun wollte ich Unifi Protect für die Aufzeichnung der Überwachungskameras nutzen. Die Kameras haben in Ihrem VLAN eine feste IP. In den Freigaben hatte ich eine Regel eingerichtet, die eigentlichen den Zugriff auf genau diese Kameras aus dem Verwaltungsnetz (ID 100) ermöglichen sollte. Zum Test habe ich die Freigaben in beide Richtungen eingerichtet.

Aber ich bekomme Unifi Protect nicht dazu, auf die Kameras zuzugreifen. Die Kameras sind von Reolink und ich wollte diese manuell hinzufügen.

Daher meine Fragen:

Kann ich Unifi Protect beibringen, dass die Kameras in einem anderen VLAN sind?

Hat jemand ggf. eine Schritt für Schritt Anleitung?

Danke Euch im Voraus.

Viele Grüße

Jörg

Quote from Naichbindas

Moin, meine erafhrungen bei WG im unifi ist wenn du eine Config angelegt hast dann dabei bleiben, nachträgliches ändern schafft Probleme.

Kannst du nicht gleich eine neue Client Config anlegen die deinen Wünschen entspricht?

Ja, gleich die Config erzeugt. Keine Änderungen am WG Server.

Nur die Einstellungen im WG Client auf dem Iphone geändert.

Was mich so irritiert, dass es nur bei der UDM Auswirkungen hat. Wenn der WG auf der Fritzbox oder dem Brume läuft, dann funzt alles, auch wenn ich die WLAN's ausschließe!

Quote from Peterfido

Sag doch dem WG, dass er nicht im heimischen WLAN aus sein soll. WG ist so konstruiert, dass er immer laufen können soll. Theoretisch. Praktisch schalte ich es bei Bedarf ein. Sonst läuft Android Auto nicht, da dieses per WLAN verbunden ist. Vielleicht erkennt er nicht das WLAN, sondern den Standort.

Danke für Deine Antwort. Das wäre eine Lösung.

Was ich nur nicht verstehe, dass es nur dann auftritt, wenn ich den WG Server auf der UDM laufen lasse! Nehme ich eine Fritzbox oder einen Brume 2 als WG Server, funktioniert es mit dem "Abschalten" des WG auf dem Iphone problemlos. Damit kann es doch eigentlich am Ort nicht mehr liegen.

Quote from DoPe

Glaskugel sagt Konfiguration? Unfähigkeit? Nee die sagt garnix dazu. Gewöhnt euch doch mal an etwas Input springen zu lassen... Wer soll damit was anfangen wenn es nicht mal die Glaskugel kann?

Damit kann ich nichts anfangen! Meine Glaskugel sagt mir nämlich auch nicht, welche Infos nötig sein sollen!

Hallo,

ich wollte mal fragen, welche Lösung Ihr bevorzugt.

Zunächst mein Setup:

Internetzugang erfolgt über eine von beiden Fritzboxen (6591 Cable mit fester öffentlicher IP von Vodafone und freigeschaltetem Bridge Mode; 7530 AX mit DS-Lite von Vodafone). Dahinter hängt die UDM Pro SE, wobei die Fritzboxen über die WAN Ports verbunden sind. Das NAT in der UDM ist ausgeschaltet. NAT erfolgt jeweils über die Fritzboxen.

Auf den Fritzboxen ist nur der Port 51820 für den Brume 2 freigegeben. Daneben gibt es nur noch die Weiterleitungen auf die einzelnen VLAN’s der UDM. An der DSL Box hängt noch das klassische Telefon.

Um nun einen Wireguard Server zu betreiben habe ich folgende Möglichkeiten:

1. Mit der UDM SE
   Hierzu setzt ich die Fritzbox 6591 Cable in den Bridge Mode, wobei ich dann auf der UDM das NAT aktivieren muss. Für den WG erfolgt dann eine Portfreigabe auf 51821. (Dann funktioniert der WG des Brume 2 nicht, muss ich wahrscheinlich dann neu konfigurieren).
2. Mit den Fritzboxen
   Auf jeder Fritzbox kann ich einen eigenen WG Server einrichten. Über MyFritz habe ich dann kein Problem, wenn sich der Zugang auf der 7530 AX ändert; bei der 6591 Cable eh nicht wg. fester öffentlicher IP.
3. Über den Brume 2
   Setze ich die Fritzbox 6591 Cable nicht in den Bridge Mode, kann ich super über den Brume 2 einen WG laufen lassen. Der Brume hängt in einem eigenen isolierten VLAN und hat nur die nötigsten Freigaben auf der UDM, die ich brauche.

Welche Alternative ist aus Eurer Sicht

- einerseits die performateste und

- andererseits die sicherste Variante?

Habt Ihr noch eine andere Variante?

Freue mich auf Eure Sichtweisen!

Hallo,

zunächst mal das Setup:

Internetzugang erfolgt über eine Fritzbox (6591 Cable mit fester öffentlicher IP von Vodafone und freigeschaltetem Bridge Mode). Dahinter hängt die UDM Pro SE.

Wenn ich nun die Fritzbox in den Bridge Mode versetze und das NAT über die UDM vornehme, kann ich problemlos eine WG Server auf der UDM aufsetzen. Die Verbindung vom Iphone als Client funktioniert, fast. Wenn ich allerdings auf dem WG Client bestimmte WLAN's aus der Verschlüsselung herausnehme, läuft es nicht mehr. Beispiel: Ich sage dem WG Client, dass er im heimischen WLAN aus sein soll. Wenn ich dann das WLAN am Handy ausschalte und über 5G mit WG gehe, kommen keine Daten auf dem Handy an. Was läuft falsch?

Danke Euch!

Viele Grüße

Jörg