Beiträge von Networker

Schwer zu beantworten ohne dazu Genaueres zu wissen. Was soll z.B. "rudimentäre Konfiguration" bedeuten und waren die Geräte an der Ur-Instanz so angebunden wie an der aktuellen?

Auf Nummer sicher würdest Du gehen, wenn Du ganz von vorne anfängst:

- alle Unifi Geräte zurücksetzen

- Controller samt Datenbank deinstallieren und neu aufsetzen

Am besten dokumentierst Du dann auch direkt von Anfang an alles sauber, dann kommst Du auch nicht wieder in die Verlegenheit, Dich nicht mehr anmelden zu können.

Außerdem lernst Du so über das System dazu und kannst im Fehlerfall besser nachvollziehen, welche Änderungen dazu geführt haben.

Kannst Du den Fehler mit anderen (Nicht-Apple-)Geräten reproduzieren?

Da Du Dir ja sicher bist, dass keine Firewall blockt, fällt mir nur noch ein, dass Du den Inform-Host neu konfigurieren könntest.

Infos dazu hier. Ansonsten habe ich keine Idee, außer, dass Deine Controller-Instanz defekt ist.

Kannst Du den Switch denn anpingen, nachdem er als offline angezeigt wird? Und was ist mit geräten hinter dem Switch, bekommen die Adressen?

Das hat relativ sicher nichts miteinander zu tun. Wenn der Switch ein Display hat, stelle darüber mal sicher, dass er überhaupt korrekt bootet und nicht durchs Upgrade gebrickt wurde.

Bei einem Switch ohne Display kannst Du das Netzwerk scannen, ob er irgendwo mit seiner IP-Adresse zu finden ist und ihn dann ggf. über SSH weiter "befragen".

Schmeiße ihn komplett aus der Konfiguration im Controller raus und versuche dann, ihn nach einem Hardreset am Gerät noch einmal neu zu adopten.

Was genau willst Du testen?

Von Downgrades würde ich in Deiner Situation (und Deiner Verfassung)...

Zitat von toparou

Meine Nerven sind wirklich am Ende.

...lieber die Finger lassen.

Wenn dein Switch ein Upgrade eingespielt hat, kann er auch mit dem Controller reden, denn von ganz alleine macht er dies nicht. Es sieht für mich dann so aus, als würde nun alles bei Dir laufen?

Controller-Software nach wie vor unter Windows?

Die Windows-Firewall blockiert die Kommunikationsports zwischen den Geräten.

Hier steht alles, was Du für die Konfiguration wissen musst.

Bitte auch immer bedenken: Ports zu ändern schadet nicht, ist aber auch nicht viel mehr als "security by obscurity".

Es gibt bei TCP/IP ja "nur" 65535 Ports und diese lassen sich (auf einer einzigen Adresse) in wirklich kurzer Zeit scannen.

Beudetet konkret: Rein automatisierte, sehr oberflächliche Angriffe kann ich vielleicht damit verhindern. Sobald jemand aber einen freigegebenen Dienst auf meinem Host finden will, wird ihn eine Portänderung auf keinen Fall daran hindern.

Ich würde es mal für sämtliche Netze deaktivieren und testen.

Zitat von Ronny1978

Kannst du uns denn noch sachdienliche Hinweise geben, die den Spagat zwischen Security und Usability schaffen und dem TE helfen?

Ich verstehe diesen Satz und den Rest Deines Beitrags ehrlich gesagt nicht so wirklich.

Bereits in Beitrag 2 in diesem Thread (den Du dann ja aufgegriffen und zitiert hast) habe ich doch den "sachdienlichen Hinweis" gegeben, den externen Zugriff auf ein NAS bitte grundsätzlich nur über ein VPN zu ermöglichen. Damit ist aus meiner Sicht inhaltlich quasi alles gesagt, denn wenn man dies beherzigt, braucht man keinen einzigen Gedanken mehr daran verschwenden, wie man sein NAS gegen Angriffe von außen härtet.

Zitat von Ronny1978

Vielleicht kannst du ja noch einmal aus fachlicher Sicht erklären, warum das so gemacht werden sollte.

Das steht doch ebenso in meinem ersten Beitrag: Synology hat Sicherheitsprobleme, daher bitte nicht direkt ans Internet hängen. Ich bin sicherlich kein Literat, aber allzu unverständlich können die paar Zeilen meines ersten Beitrags doch nicht gewesen sein?

Ich bin übrigens schon der Auffassung, dass die Ansicht "NAS-Systeme & IOT-Geräte bitte niemals direkt erreichbar machen" breiter Konsenz bei Systemadministratoren ist. Hier mag ich mich aber täuschen.

Zitat von Ronny1978

Und wie gesagt: Auch mal Lösungen aufzeigen, wie es ohne VPN auch sicher geht. Nicht immer ist VPN möglich bzw. nicht immer ist die Usability bei den Nutzern auch gegeben.

Aus meiner Sicht geht es ohne VPN nicht sicher, daher tätige ich hier so klare und "kompromisslose" Aussagen. Anderer Betrachtungswinkel: Das Aufsetzen eines VPNs, sei es mit Fritzbox, Unifi oder anderem Gerät, ist heutzutage so einfach und so gut über Anleitungen nachzubauen, dass es in jedem Fall leichter und weniger Arbeit ist, als ein NAS zu härten. Gleichzeitig gewinnt man dadurch die Einrichtung eines VPNs ins Heimnetz auch noch Zugriffsmöglichkeiten auf alle anderen Geräte, die ebenso nicht direkt ans Internet gehören.

Und wenn VPN angeblich nicht möglich ist, ist meine genau so klare Empfehlung: Dann gibt es eben keinen Zugriff von außerhalb.

Grundsätzlich ist VPN nämlich immer möglich, man muss natürlich bereit sein, u.U. Eqipment und/oder Provider zu wechseln.

Nun, Du bestreibst ja offensichtlich mehrere APs, insofern wäre es für eine Analyse wichtig zu wissen, wieviele und welche Modell genau.

Gibt es einen Switch oder hängt alles direkt an der UDM?

Solche Fehler können vielschichtig sein, in sofern ist eine ausführliche Beschreibung des Netzwerkes schon hilfreich.

Hast Du Bandsteering aktiv bzw. schon mal versucht, es abzuschalten?

Funktioniert der Kabelgebundene Zugriff in diesem VLAN?

Ohne dass Du hier zumindest mal grundlegend Deine Netzwerktopologie mitteilst, wird das niemand können, nein.

Spekulation: Du hast den Mesh-AP wirklich als Mesh eingebunden und sein wireless uplink zum nächsten echten AP ist zu schwach.

Apple-Geräte zicken außerdem gerne mal rum bei WiFi, wenn gewisse Einstellungen gesetzt sind (z.B. Bandsteering).

Zitat von zak

Ausgehend davon, das das so passt wäre das doch wohl die einfachste Lösung, ohne Nachteile (nochmal Zusatz NAT), wenn es nur darum geht, VoIP wie vorhanden bereitzustellen und ein Unifi Wireless Netzwerk mit 1x "Hausnetzt/Intern" und 1x "Gastnetzt" bereitzustellen, oder?

Also hier war von zwei gewünschten Netzen die Rede, nicht von dreien.

In der Fritzbox kannst Du überhaupt keine VLANs anlegen, darum ging es -zumindest mir- doch hier auch nie?

Ich dachte, es wäre jetzt klar, dass Du Dich mit der Fritzbox-Lösung bewusst für gewisse Einschränkungen entscheidest.

Trotzdem kann man in Unifi mehrere WLANs anlegen, die auch voneinander unabhängig sind. Wenn Dein Router davor nur ein einziges Netz bereit stellen kann, gehören diese WLANs in Unifi halt alle demselben IPv4-Subnetz an. Das ist eine der Einschränkungen, die Du mit der Fritzbox haben wirst. Isolierte Clients lassen sich wie gesagt trotzdem erzeugen.

Wenn die Fritzbox an Unifi sowohl ihr Standard-Netz als auch das Gastnetz übergibt, kannst Du in Unifi immerhin schon zwei Netze einrichten. Das ist natürlich das Ende der Fahnenstange.

Na Deine Fritzbox, die wäre doch in Deinem Szenario der Router.

Sorry, ich kann nicht mehr wirklich allen Gedankengängen folgen.

Ein CloudKey würde ausreichen, ja. Das ist lediglich der Unifi Network Controller in Hardware gegossen. Du kannst dasselbe aber auch einfach als kostenlose Software runterladen, brauchst dann halt ein Gerät, auf dem sie läuft. Wenn man keine Statistiken und weitere "Extras" wie z.B. ein Gastnetz-Portal braucht, muss der Controller auch gar nicht dauerhaft laufen.

Und nein, natürlich kann der CloudKey kein DHCP. Ja, Du bist mit dieser Lösung am Ende eingeschränkt. Aber wir haben Dir ja auch schon Optionen aufgezeigt, in denen Du es nicht mehr wärst.

Ja, natürlich kannst Du das Netz ohne Unifi-Router aufziehen. Es ist Dir hier auch niemand böse, denn es geht ja nicht um Ideologie, sondern um die für den jeweiligen Fall passende Lösung.

In Unifi kannst Du übrigens auch ein Gastnetz konfigurieren, auch wenn der jeweilige Router gar kein VLAN bereit stellt. Die Clients bekommen Adressen aus dem "Hauptnetz", werden aber isoliert.

Wenn es ganz simpel und ohne weitere Ansprüche sein soll, braucht man das Gastnetz der Fritzbox also nichtmal.

Das Fritzbox Gastnetz isoliert Clients, hier wirst Du also nichts mehr mit einem CloudKey managen können.

Man kann aber prinzipiell "Standard-Netz" wie auch "Gastnetz" von der Fritzbox an einen Ubiquiti-Switch übergeben, ja. Dies muss dann natürlich entsprechend im Controller konfiguriert werden.

Zitat von zak

ja, nur das sind Funktionen, die viele "Mitbewerber" oder Softwarelösungen anbieten,

Eigentlich nicht, Router/Firewalls mit eingebauter Telefonie sind die Ausnahme, nicht die Regel. Zumindest im professionellen Bereich.

Natürlich gibt es in Deutschland viele Fritzboxen und Speedports, die haben Telefonie direkt integriert, aber die sind nicht für geschäftliche Zwecke konzipiert und auch rein auf den deutschan Markt ausgerichtet.

Zitat von zak

Na ja, wäre super, wenn Du evtl. noch was zu meinem "inoffiziellem" Konzept 3 nochwas sagen könntest,

Würde ich tun, aber ich durchblicke Deine Konzeptionswelt leider aktuell nicht mehr ganz.

Was genau ist "Konzept 3"?

"Facebook WiFi"? Manche Sachen klingen so grausam, da möchte man am liebsten direkt den Rechner abschalten.

Trotzdem zunächst erstmal herzlich willkommen hier im Forum, swissc .

Vermutlich meinst Du die Funktion, die ich Dir im Screenshot unten rechts markiert habe. Da könntest Du offenbar jede beliebige Website eintragen (ich selbst nutze das Portal nicht).

Der Screensho kommt aus einer aktuellen Network-Version (8.1.127), Du solltest also auch alles wie gewünscht einstellen können.

Die Fritzbox ist ja auch explizit beworben eine Telefonanlage - in allen Ausbaustufen.

Ubiquiti hat seine Router niemals als solche angepriesen. Schon gar nicht im Hinblick auf die aus US-Amerikanischen Augen vermutlich seltsam anmutenden Stilblüten deutscher Internet/Telefonie-Provider.