Beiträge von Networker

Vigor 167 ist prima, zumindest solange wir von VDSL sprechen. Bei einem Glasfaser-Internetanschluss brauchst Du ihn nicht mehr.

Eventuell willst Du Deinen Garagenswitch auch tauschen, da gäbe es dann den sehr günstigen UniFiSwitch Flex Mini oder die etwas größeren, aber teureren UniFiSwitch Lite 8 Desktop bzw. UniFiSwitch 8 Desktop (älteres Modell mit Metallgehäuse). Den kleinen Switch FlexMini kannst Du über PoE betreiben, die größeren brauchen ein Netzteil.

Ob Du zwischen UDM SE und Switch besser Glasfaser oder Patchkabel setzt, kann man nicht pauschal beantworten. Glasfaser hat den Vorteil, dass man eine galvanische Trennung schafft, was etagen- oder sogar gebäudeübergreifend sinnvoll sein kann (Stichwort: Potentialausgleich). Wenn beide Geräte im selben Rack sitzen, nimmst Du ein DAC (Direct Access Cable).

Wenn Du längere Strecken überwinden musst, kommen sowohl in Switch als auch UDM SE "SFP+"-Module.

(Habe Dir extra einen Shop von südlich der Alpen verlinkt, gibt's im Zweifel beides anderswo auch noch einige Euro günstiger ).

Das verlinkte SFP+-Modul ist für eine Multimode-Glasfaser mit LC-Duplex-Steckern, was derzeit der gängiste Standard sein dürfte. Alternativ gibt es natürlich auch SFP+Module für Ethernet, die kosten allerdings deutlich mehr. Vorteil hier wäre, dass Du mit diesen dann Switch und UDM SE über Deine strukturierte Verkabelung mit 10Gbit/s im Haus verbinden kannst. (Vorausgesetzt, man hat Dir im Haus keinen Klingeldraht in die Wände gelegt, ich setze mal mindestens CAT 7-Kabel voraus).

Korrekt, die UDM SE ist dann zukünftig Dein Unifi Network Controller, hierüber managed Du PPPoE, DHCP, VLANs, Firewallregeln und alles Weitere. Außerdem sind wie gesagt bei Bedarf noch Controller zu Ubiquiti-Hardware aus anderen Bereichen nutzbar, z.B. "Protect" für Überwachungskameras.

Einer der Vorteile bei Unifi liegt wirklich in dem zentralen Management. Dies funktioniert natürlich am besten, wenn alle Geräte aus der Unifi-Serie stammen. Der Controller "verteilt" sämtliche Konfigurationen auf Switches und AccessPoints, es braucht also keine Konfiguration einzelner Geräte.

Hallo Kabelbruch,

die Glasfaser endet im Gebäude eigentlich immer auf einem ONT (Optical Network Terminator). Du hast zwar rechtlich einen Anspruch auf einen passiven Netzabschluss, in der Praxis ist es derzeit wohl aber noch ein übler Krieg mit den Providern, den Anschluss ohne ONT zu betrieben.

Du wirst im Normalfall also ONT und Router per Ethernet miteinander verbinden. Hier kannst Du nun selbst überlegen, wo Deine Geräte stehen werden und wie sich die Kabelwege entsprechend ergeben.

Wenn Du eine strukturierte Verkabelung im Haus hast, kannst Du diese natürlich auch in den Signalweg zwischen ONT und Router einbinden.

Moin RiverRaid,

willkommen im Forum! Als Seitenhieb zur Begrüßung will ich Dir mitgeben, dass ich schmunzeln musste, als Du am Ende vom Stromverbrauch zusätzlicher Geräte und am Anfang von Deiner 16000-LED-Weihnachtsbeleuchtung schriebst.

Du hast denke ich schon richtig verstanden, dass Deine FritzBox für die angestrebte Struktur nicht ausreicht. FritzBoxen können lediglich "Hauptnetz" und Gastnetz aufspannen, mehr an VLAN-Logik besitzen sie nicht. Ich habe keine praktische Erfahrung mit dem Unifi DreamRouter, meine mich aber zu erinnern, dass dieser auf vier VLANs beschränkt sei - dies könnte bei Dir knapp werden.

Keine für Dich spürbaren Limits hast Du mit einer UDM Pro oder UDM Pro SE als Router und Unifi-Switches, quasi egal welchen Typs. Vermutlich kommt z.B. der USW-24-POE für Dich in Frage. Bei den Switches kommt es zunächst mal auf die von Dir benötigte Portanzahl an. Außerdem natürlich auf Deinen Anspruch an die Geschwindigkeit im Netzwerk, denn 1 Gbit/s ist leider noch immer der Standard, 2,5-10 Gbit/s gibt es durchaus, wird aber teuer.

Wenn Du einen PoE-fähigen Switch kaufst, sparst Du Dir die ganzen Injektoren, sogar kleine 5- oder 8-Port-Switches in der Unterverteilung (Garage) lassen sich darüber mit Strom versorgen.

Eine UDM Pro oder Pro SE hat integrierte Controller (Network, Protect, Access usw.) - Du brauchst also die Konstruktion mit dem Controller auf dem NAS nicht mehr.

Die Konfiguration so zu gestalten, dass verschiedene Gerätekategorien ihr eigenes, abgeschottetes Subnetz bekommen, trotzdem aber von spezifischen Geräten aus anderen Subnetzen erreichbar sind, wird über Firewall-Regeln gesteuert. Zu diesem Thema findest Du dann wenn es soweit ist viel Input hier im Forum oder auch auf Youtube.

Du kannst ja mal prüfen, ob diese Infos Dich weiter bringen und dann konkreter weiter fragen. Viel Spaß beim reinfuchsen!

Schon richtig, ich wollte Blebbens aber (zusätzlich) darauf hinweisen, dass Firewall-Regeln nur für Subnetze greifen, für die sie auch geschrieben sind.

Zitat von Blebbens

Mein Sohn hat dem Arduino jedoch per Sketch eine statische IP 100.100.x.x zugewiesen.

Diese IP-Adresse gehört nicht zum privaten Adressraum (RFC 1918). Deine Firewall-Regeln zur Abschottung von VLANs beziehen sich aber logischerweise lediglich auf den privaten Adressraum.

Das kannst Du nur für Dich selbst beantworten, es gibt dazu keine pauschale Antwort.

Bei EA und RC kommst Du einige Wochen oder auch mal Monate früher an neue Features oder die Korrektur eines Fehlers, dafür steigt die Wahrscheinlichkeit im Vergleich zu Stable, dass es neue Probleme oder Instabilitäten gibt.

Im geschäftlichen Bereich würde ich prinzipiell immer nur Stable einsetzen, allerdings kann auch hier mal die Situation auftreten, dass man möglichst schnell einen Fix für ein aktuelles Problem haben möchte und somit die Gefahren der Nutzung einer EA-Version in Kauf nimmt.

Habe ich beispielsweise gerade für einen Kunden mit einer LTE-FritzBox gemacht, die offiziell seit über einem Jahr auf 7.29 fest hängt, mit (Labor-)Firmware 7.51 aber den LTE-Empfang deutlich verbessert.

Hallo Community,

ich habe gerade festgestellt, dass es offenbar nicht möglich ist, sich mit zwei Clients (die sich hinter demselben Internetanschluss befinden) gleichzeitig via L2TP-VPN mit der UDM Pro zu verbinden. Jeder Client für sich verbindet sich stabil, sobald aber der jeweils andere einen Verbindungsaufbau startet, werfen sie sich gegenseitig immer wieder raus. Natürlich nutzt dabei jeder Client seinen persönlichen VPN-User.

Kennt jemand dieses Problem? Lässt es sich beheben?

Alternativ: Kann ich parallel zum L2TP-Server z.B. der Wireguard-Server nutzen, um das Problem so zu umgehen? Zielstellung ist, dass von Zeit zu Zeit zwei Windows-Rechner gleichzeitig per VPN verbunden werden sollen (daher scheidet Teleport wohl leider aus?).

Danke für jeden Tipp!

Ok, das ist dann an mir vorüber gegangen, bei den W7xxx und W9xxx ging es definitiv nicht und die Hybrid-Modelle unterstützen es schon mal gar nicht.

Danke für die Korrektur, ist ja erfreulich, wenn sich für manche Anwender dadurch ein Gerätekauf sparen lässt.

Hier ist ganz wichtig, technisch genau und korrekt zu sein: Ich denke nicht, dass Dein Speedport wirklich nur als Modem genutzt wird, das lassen diese Geräte nämlich so weit ich weiß gar nicht (mehr) zu. Bei Geräten von 15-20 Jahren ging dies teilweise, heute eher nicht mehr.

"Nur Modem" bedeutet, dass das Gerät keine PPPoE-Einwahl durchführt und natürlich auch nicht NATtet.

Sobald UDM hinter FritzBox oder Speedport hängt, ist es zu 99% eine Router-Kaskade, was ganz andere Voraussetzungen für die Fehlersuche schafft.

Wirklich als Modem betreiben lassen sich die Vigors (165/166/167), wobei auch diese grundsätzlich Router sind. Der Markt für (V)DSL-Modems, die ansonsten gar nicht weiter können, war in Deutschland schon immer so gut wie nicht vorhanden.

Konkret zum Thema: Ich würde mir mal für einen Monat einen Testaccount bei einem der großen SIP-Anbieter buchen. Also Sipgate, Easybell, Inopla, Placetel...

Dann gezielt mehrere Male darüber telefonieren und vergleichen, in wieweit die Probleme hier auftreten, so lässt sich die Ursache zumindest auf "Provider oder nicht Provider" eingrenzen.

Cyberpower ist schon ganz prima, APC im Grundsatz auch (Platzhirsch). APC hat allerdings in den letzten Jahren massiv im Preis angezogen und ist, wie man liest, bei den ganz einfachen Modellen auch nicht mehr empfehlenswert. Angeblich stinken diese stark und sie haben auch keinen auswechselbaren Akku mehr, was ich total bekloppt finde.

Richte Dich auf einen Akku-Neukauf alle 3-5 Jahre ein.

Die Smart-Connect-Funktion bei dem von Dir genannten Modell wirst Du für Dein Setup nicht benötigen. Du hast ja offenbar kein Netzwerk mit mehreren Servern abzusichern, sondern das einzige Gerät, welches überhaupt Daten mit der USV austauschen kann, ist das NAS. Dann reicht definitiv ein simples USB-Gerät ohne Netzwerkanschluss, natürlich mit der entsprechend benötigten elektrischen Leistung.

Ich hatte bisher noch keine Zeit für eine umfangreichere Analyse. So dramatisch ist das Problem für mich auch nichts, insbesondere weil der Browser sich dann zumindest manuell verbinden lässt.

Darüber hinaus bin ich auch nicht sooo darkwebbig, dass ich nicht auch mal herkömmliche Browser nutzen würde.

Man muss bei EA halt immer damit rechnen, dass irgendetwas kaputt geht, ich wollte hier vor allem diejenigen warnen, für die TOR möglicherweise lebenswichtiger ist als für mich.

Werde das Ganze weiter beobachten und mit etwas mehr Zeit sicherlich auch mal tiefer in die Logs schauen.

Jepp, der war und ist auch weiterhin ebenso deaktiv. Interessant vielleicht noch, dass der erste Verbindungsaufbau des Browsers grundsätzlich fehlschlägt, man sich dann aber über Bridging doch verbinden kann. Das Bridging ist explizit für Fälle, in denen eine (staatliche...) Firewall TOR blockiert.

Mal beobachten, irgendetwas in der Unifi Beta scheint da einfach etwas zu viel zu filtern.

Habe ich kontrolliert, ist (weiterhin) abgeschaltet. Ist im Übrigen die einzige von den 35 Kategorien ("detection types"), die ich beim Filtern ausklammere.

Kurze Warnung: Nach dem Update auf 3.1.8 kann der TOR Browser bei mir keine Verbindung mehr mit dem TOR Netzwerk etablieren.

Ja, genau so sollte es funktionieren. Prinzipiell auch ohne Weiteres auf IP-Adress-Ebene, aber Konfiguration mit MAC-Adressen ist noch einmal eine mögliche Fehlerquelle weniger.

Und ja, der Regelsatz verdoppelt sich knapp. Ich benenne die Regeln meistens nach dem Schema "Zugriff auf XY zulassen eingehend" / "Zugriff auf XY zulassen ausgehend" - so wird es nicht unübersichtlich.

Viel Erfolg!

Zitat von dko

Immer diese Warum fragen...

Finde ich unpassend, hier so unhöflich zu werden, erst Recht als Neuling im Forum.

In der Unifi-Welt basiert ein jedes WiFi nunmal zwangsweise auf einem "Kabelnetzwerk" und es ist eher untypisch, da eine künstliche Trennung zu erzeugen.

Es gibt oft genug Anfragen à la "warum geht das nicht", bei denen das grundlegende Vorhaben aus technischer Sicht keinen Sinn ergibt.

iTweek hat doch schon in die richtige Richtung gedeutet: Wenn Gerät A mit Gerät B kommunizieren soll, beide Geräte aber in unterschiedlichen, voneinander abgeschotteten Subnetzen hängen, braucht es eine Firewall-Regel für A->B und für B->A. Wie soll eine ICMP-Antwort (Ping) ansonsten A erreichen, wenn lediglich A mit B reden darf, umgekehrt aber nicht?

Vor allem: Wo ist der Gewinn/Vorteil? Einen Router mit entsprechendem Platz- und Energiebedarf braucht es lokal ja trotzdem, zusätzlich hat man die Hosting-Kosten.

Dann doch lieber direkt eine PFsense vor Ort einrichten?

Zitat von kstergi

Du sprichst in Sachen FRITZ!Box von einem Sicherheitsrisiko - grds. kann ich das nachvollziehen, jedoch habe ich mich bemüht, das Risiko zu eliminieren, indem ich an der FRITZ!Box keinerlei Netzwerkgeräte mehr habe. Nur die UDM ist per "Exposed Host" angebunden und nach meiner Logik steht die dann 'direkt' am Internet und soll mit Ihrer Firewall dafür sorgen, dass das Heimnetz sauber bleibt. Oder habe ich da einen Denkfehler drin?

Wenn die FritzBox jegliche Anfrage an die UDM durchreicht (was als Exposed Host so passieren sollte), relativiert sich das Sicherheitsproblem etwas, ja.

Mir selbst wäre mit so einem Szenario trotzdem nicht ganz wohl, da man sich ja leider nicht sicher sein kann, ob die FritzBox nicht doch irgendwelche Pakete als für sich selbst bestimmt auffasst.

Auch wenn Dein internes Netz nicht direkt kompromittiert wird, so wäre es aus meiner Sicht schon Ärger genug, wenn die vorgelagerte FritzBox beispielsweise durch DenialOfService-Attacken "abgeschossen" werden könnte und man potentiell viele Stunden mit Fehlersuche und einer wegen dauernder Verbindungsabbrüche verärgerten Familie verbringen muss.

Dieses Restrisiko wäre mit sehr schmalem Budget zu beseitigen, denn die Vigors gibt es bei Kleinanzeigen ab 50-60 €, eine FritzBox 7490 sogar für nur 20-30 €. Für mich wären es die paar Zehner in jedem Fall wert.

Hallo zusammen,

ich habe bei einem Kunden ein merkwürdiges Phänomen. Zwei Windows 10-Rechner hinter einer FritzBox 7590 bauen (mit individuellen Zugangsdaten) L2TP-Tunnel gegen eine UDM Pro auf. Dies funktionierte in der Vergangenheit problemlos.

Aktuell ist es aber so, dass ein Tunnel fehlerfrei läuft, der jeweils andere aber nicht aufgebaut werden kann und sogar den bereits etablierten stört - es ist dann im etablierten Tunnel so lange kein Verkehr möglich, bis der andere Arbeitsplatz seinen Verbindungsversuch abgebrochen hat.

Die "Erstverbindung" klappt sowohl auf Rechner A als auch auf Rechner B und der jeweils andere hat dann ein Problem.

Das Einzige von dem ich weiß, was sich zum ursprünglichen Setup geändert hat, ist die FritzBox, die nun auf der aktuellen Firmware 7.50 läuft. So ganz einleuchten will mir aber nicht, warum das FritzOS für diese Art von Problem verantwortlich sein soll.

Kennt jemand die Problematik oder hat sogar einen Tipp? Bestand Dank im Voraus!