Beiträge von Networker

Hallo TheDarkEye,

willkommen im Forum! Meine Zeit mit der UDM ist eine Weile her, aber ich kann mich noch gut erinnern, wie problematisch es war, einen längeren Download mit 100 Mbit/s zu fahren. Der Download klappte zwar, aber der Rest des Netzwerkes ging regelrecht offline. Die USG ist grundsätzlich etwas zu schwach bei hohen Verbindungsgeschwindigkeiten, zumindest, wenn man IDS/IPS aktiv hat.

Smart Queues waren damals eine Lösung, die aus meiner Sicht nie sauber funktioniert hat. Über JSON-Files kann man definitiv wertvolle Funktionalität nachrüsten. Ich kann Dir nur bezüglich Bandbreitenlimitierung hiermit nicht weiterhelfen, außerdem war und ist die Konfiguration über JSON Files auch etwas halbgar. Man sollte sich zumindest gut dokumentieren, was man einstellt, da es im Controller ja nirgends zu sehen ist.

Im aktuellen Controller gibt es allerdings die Möglichkeit, unter "Application Firewall" --> "Traffic Rules" Bandbreitenlimits für die Internetverbindung einzustellen. Das funktioniert auch, allerdings offenbar nur bei IPv4-Verbindungen.

Seit ich mit UDMs (Pro und SE) arbeite, erlebe ich allerdings auch das von Dir beschriebene Phänomen nicht mehr. Diese Geräte schaffen es aus meiner Sicht ohne besondere Einstellungen, Client 2 nicht vollkommen abzuwürgen, nur weil Client 1 gerade mit maximaler Bandbreite saugt.

Ist daher sicherlich nicht der Tipp, den Du hören wolltest, aber: Think about an upgrade.

Hallo Lars,

willkommen im Forum! Grundsätzlich kann man "alles" über Filterregeln bauen. Als knappe und übersichtliche Basis-Lektüre solltest Du hier mal reinschauen.

Die Frage ist nun aber, was genau Du erreichen willst. Den Zugriff auf das VLAN "Protect" einzuschränken, ist nicht sehr schwer (siehe unten). Allerding läuft der Zugriff auf Deine Kameras ja über die Protect-App, das hat dann nichts mit Firewall-Regeln zu tun, sondern mit Benutzerrechten auf der UDM-SE.

Kleine Anleitung für die Firewall, Du brauchst in absteigender Reihenfolge:

1. Allow Port/IP-Group to "Protect VLAN"-Regel

2. Allow Established/Related-Regel

3. Block Inter VLAN Traffic-Regel

Erläuterung zu 1: Die beiden Geräte, die Zugriff haben sollen, musst Du für alle Netzwerke, in denen sie sich befinden können, mit statischen Adressen über DHCP ausstatten. Eine Erkennung über MAC-Adressen, die leichter wäre, unterstützt Unifi derzeit leider nicht. Dann packtst Du alle diese Static DHCP-Adressen in eine Gruppe und gewährst dieser Gruppe Zugriff auf Dein VLAN "Protect".

Außerdem sollten die Kameras natürlich auch uneingeschränkt mit der UDM reden können.

Regel 2 ist als Rückkanal anzusehen, damit Deine Kameras dem Gerät antworten dürfen, welches sie anspricht.

Regel 3 ist dafür da, dass die Kommunikation zwischen VLANs überhaupt verhindert wird. Unifi ist nämlich im Standard für alles offen, es wird nichts nicht blockiert.

Du kannst ja mal schreiben, ob Dir dies schon weiterhilft. Wenn es, wie ich befürchte, um den Zugriff auf die Protect-App geht, kannst Du meine anleitung natürlich links liegen lassen.

Dann wie gesagt über Benutzerrechte gehen.

Also Rhein123,

ich habe das mal für Dich so weit getestet, wie auf die Schnelle möglich. Ich habe meinen spare AP (AC Lite) an den Controller angebunden und ihm ein WLAN zugewiesen. Dann habe ich zwei Rechner mit statisch konfigurierten IPv4-Adressen samt Subnetzmaske (und auch nur diesem) mit dem WLAN verbunden. Die Geräte konnten sich gegenseitig erreichen.

Dann habe ich den AP vom Kabel am Controller (UDM SE) getrennt und ihn über einen PoE-Adapter wieder eingeschaltet. Der PoE-Adapter ohne Netzwerkanbindung.

Als der AP wieder erreichbar war, konnten sich beide Computer weiterhin mit dem WLAN verbinden und auch weiterhin erreichen. Ich hatte beim kopieren von Dateien (über Windows Explorer) einen Durchsatz von ca. 170 Mbit/s.

Ergo: Grundsätzlich sollte Dein Vorhaben mit Unifi funktionieren. In wieweit es mit einem zusätzlichen AP noch klappt, kann ich leider nicht sagen.

Noch ein Tipp: Sollte es sich bei Deinen Endgeräten um Windows handeln, wird die Firewall das Netz unveränderbar als "öffentlich" ansehen, da ein Gateway fehlt. Hier musst Du dann also ggf. etwas mehr manuell freischalten, da das Profil von Haus aus restriktiver ist als "privat" oder "Domäne".

Dann mal systematisch: Laptop per Kabel an UDM hängen, schauen, ob es über DHCP korrekt versorgt wird. Dann das Laptop nacheinander einmal an jeden Switch hängen und ebenso prüfen.

Zusätzlich:

- IPv6 hast Du gar nicht konfiguriert?

- Welche neuen Erkenntnisse gibt es zur gestörten Verbindung zum Speedport?

Jeder Stromausfall stresst elektrische Komponenten. Auch ein Cat.7-Kabel kann fehlerhaft sein (dann allerdings wohl in der Tat von Anfang an).

Für die "Experience" der UDM sollte da "GbE" stehen oder zumindest "FE" (und das wäre schon schlecht).

Starte am besten mal sämtliche geräte neu, sowohl Speedport, alles von Ubiquiti und auch die Endgeräte.

Deine UDM hat offenbar nur eine Verbindung mit 10 Mbit/s zum Speedport. Dort würde ich als erstes ansetzen, denn selbst auf einem sehr minderwertigen Kabel sollten sich die Geräte auf mindestens 100 Mbit/s (Fast Ethernet) verständigen.

Wenn Geräte plötzlich massenhaft die Verbindung verlieren, kann es sehr gut sein, dass einer der Switches spinnt. Was allerdings sehr irritieren ist, wenn die Geräte eine IPv4-Adresse bekommen und diese dann kurz darauf wieder verlieren. Oder hast Du eine extreme kurze Leasetime im DHCPv4 eingestellt?

Mein Beileid zu Deinem Verlust und der Gesamtsituation. Mein Spruch war einfach nur scherzhaft gemeint und sollte nicht angreifen. Bitte entschuldige, wenn das blöd rüber kam.

Mit richtigen Screenshots und vielleicht einer Skizze Deines Netzes können wir dann vielleicht auch auch konkret helfen.

Wie jetzt, Deine Fritzbox ist gar nicht direkt mit Glasfaser-Teilnehmeranschluss verbunden?

Vigors sind prima, allerdings VDSL-Modems. Hat also an der Glasfaser nichts zu suchen.

Eigentlich solltest Du vom Provider ein ONT (Glasfaser-Modem, wenn man so will) gestellt bekommen. Ist das vielleicht montiert, wird aber nicht benutzt?

Ok, dann wirst Du vermutlich nicht durch Deinen Provider GeNATtet. Schon mal gut.

Dort nachzufragen kann natürlich aber auch nicht schaden, vielleicht filtert man dort ja providerseitig irgendwelchen Traffic. Wenn Du bei einem der deutschlandweit agierenden Provider bist, wird dies aber auch eher nicht der Fall sein.

Ich hatte "Audiocodes" noch nie gehört, von daher habe ich leider auch keine Idee, was Du im Router noch prüfen könntest. Auf jeden Fall würde ich die UDM als exposed Host betreiben, oder ist Dein Netzwerk deutlich komplexer als diese Router-Kaskade?

Ideal als Test wäre, wenn Du die UDM direkt an den Internetanschluss bekommst. So könntest Du klar bestimmen, ob Wireguard im Audiocodes-Router hängen bleibt oder (aus welchem Grund auch immer) in der UDM nicht funktioniert.

Ich vermute dann, dass Du keine öffentliche IPv4-Adresse von Deinem Provider bekommst. Fängt sie mit 100.64. an?

Zitat von M0nteytime

Ja, ich habe 2,5 Anschluss

Ok, meinen Glückwunsch dazu. Vermutlich lebst Du dann nicht in Deutschland? #Neuland

Natürlich kann man DHCP auf der Fritzbox deaktivieren. Sollst Du ja aber gar nicht!

Du musst schon genau lesen, sonst drehen wir uns im Kreis.

Ich kenne die GF-Fritzboxen nicht, aber solange Du die UDM wirklich am WAN-Port hast und dieser nicht irgendwo auf LAN umgeschaltet ist, kann es eigentlich nicht funktionieren.

Wenn es Dir bei der Fritzbox nur um DECT geht, wäre es viel sinnvoller, sie im IP-Client-Modus hinter der UDM zu betreiben.

Und was die Port-Geschwindigkeit angeht: Du hast einen Internetzugang mit mehr als 1 Gbit/s?

Hallo h0mer, Wenn Deine UDM im vorgelagerten Router nicht als exposed host eingestellt ist oder es mindestens eine Portweiterleitung für alle von Wireguard benutzten Ports gibt, wird es nciht funktionieren. Dein Wireguard-Client kommt aus dem Internet ja nur bis zum ersten Router - und dieser weiß nichts von Wireguard.

Ich verstehe leider weder, wobei Du genau Unterstützung möchtest, noch die Gesamtsituation.

Zitat von exit

alles stgreng nach Vorsschriftn geteste teprüft etc BACKUPSMAKKK

Nüchtern konfiguriert sich Unifi deutlich besser.

Was Lightrider87 beschreibt, wäre ideal. Wenn die Fritzbox doch bleiben soll, musst Du Dich von dem Gedanken verabschieden, dass sie mit Deinen Endgeräten durch die UDM hindurch kommuniziert - das kann und wird nicht funktionieren. Muss aber auch gar nicht, denn Du willst ja die UDM als Router/Firewall nutzen.

Also: UDM mit ihrem WAN-Port an einen LAN-Port der Fritzbox. WLAN auf der Fritzbox ausschalten und alles was sonst noch überflüssig ist (NAS, Mediaserver etc.). UDM in der Fritzbox als exposed Host einrichten.

Dann alle gewünschten Netze in der UDM einrichten, die Clients an die UDM anbinden und fertig.

Der DHCP-Server in der Fritzbox gibt genau einem Gerät eine IP-Adresse und das ist Deine UDM.

Ich bin mir nciht ganz sicher, aber ich glaube, das VPN wird bei Unifi technisch nicht als VLAN betrachtet. Spielt aber auch keine große Rolle, Du kannst Dir für die Firewall-Regeln ja unter Profiles --> Groups Dein VPN-Subnetz anlegen und es dann als "Objekt" in allen Regeln verwenden.

Jupp, sehr schöner Switch, habe ich schon bei Kunden verbaut. Ist leider für privat schon sehr teuer, auch wenn er langsam günstiger wird. Im Winter hatte ich noch 1000 € bezahlt...

Der VPN-Client bekommt immer eine IP-Adresse aus dem Bereich den Du im Wireguard-Server unter "Gateway/Subnet" eingetragen hast.

Du kannst dann ja aber über Firewall Regeln jeglichen Zugriff wahlweise erlauben oder verbieten, so wie Du es brauchst.

Ich würde vermuten, dass ein Unifi-AP ohne Uplink nicht korrekt arbeitet, egal wie er im Vorfeld konfiguriert wurde.

Die Frage ist aber irgendwie interessant, wenn auch das Vorhaben in der Tat sehr ungewöhnlich erscheint.

Evtl. schaffe ich es nachher, mit meinem Spare-AP etwas zu testen.