Zitat von kstergi

Du sprichst in Sachen FRITZ!Box von einem Sicherheitsrisiko - grds. kann ich das nachvollziehen, jedoch habe ich mich bemüht, das Risiko zu eliminieren, indem ich an der FRITZ!Box keinerlei Netzwerkgeräte mehr habe. Nur die UDM ist per "Exposed Host" angebunden und nach meiner Logik steht die dann 'direkt' am Internet und soll mit Ihrer Firewall dafür sorgen, dass das Heimnetz sauber bleibt. Oder habe ich da einen Denkfehler drin?

Wenn die FritzBox jegliche Anfrage an die UDM durchreicht (was als Exposed Host so passieren sollte), relativiert sich das Sicherheitsproblem etwas, ja.

Mir selbst wäre mit so einem Szenario trotzdem nicht ganz wohl, da man sich ja leider nicht sicher sein kann, ob die FritzBox nicht doch irgendwelche Pakete als für sich selbst bestimmt auffasst.

Auch wenn Dein internes Netz nicht direkt kompromittiert wird, so wäre es aus meiner Sicht schon Ärger genug, wenn die vorgelagerte FritzBox beispielsweise durch DenialOfService-Attacken "abgeschossen" werden könnte und man potentiell viele Stunden mit Fehlersuche und einer wegen dauernder Verbindungsabbrüche verärgerten Familie verbringen muss.

Dieses Restrisiko wäre mit sehr schmalem Budget zu beseitigen, denn die Vigors gibt es bei Kleinanzeigen ab 50-60 €, eine FritzBox 7490 sogar für nur 20-30 €. Für mich wären es die paar Zehner in jedem Fall wert.

Hallo zusammen,

ich habe bei einem Kunden ein merkwürdiges Phänomen. Zwei Windows 10-Rechner hinter einer FritzBox 7590 bauen (mit individuellen Zugangsdaten) L2TP-Tunnel gegen eine UDM Pro auf. Dies funktionierte in der Vergangenheit problemlos.

Aktuell ist es aber so, dass ein Tunnel fehlerfrei läuft, der jeweils andere aber nicht aufgebaut werden kann und sogar den bereits etablierten stört - es ist dann im etablierten Tunnel so lange kein Verkehr möglich, bis der andere Arbeitsplatz seinen Verbindungsversuch abgebrochen hat.

Die "Erstverbindung" klappt sowohl auf Rechner A als auch auf Rechner B und der jeweils andere hat dann ein Problem.

Das Einzige von dem ich weiß, was sich zum ursprünglichen Setup geändert hat, ist die FritzBox, die nun auf der aktuellen Firmware 7.50 läuft. So ganz einleuchten will mir aber nicht, warum das FritzOS für diese Art von Problem verantwortlich sein soll.

Kennt jemand die Problematik oder hat sogar einen Tipp? Bestand Dank im Voraus!

Hallo Konstantin,

grundsätzlich sollte funktionieren, was Du Dir vorstellst. Du hast offenbar ein doppeltes NAT, also Router hinter Router.

Da das Ganze nach einem nicht mehr ganz kleinen, möglicherweise gewerblichen Setup aussieht, ist mein erster Rat: schaffe Dir ein DaytekVigor 165 oder 166 an, der dann die schon sehr betagte und seit 3 Jahren nicht mehr von AVM gepflegte FritzBox als VDSL-Modem ersetzt. Damit erhöhst Du potentiell die Sicherheit des Netzwerks und reduzierst auch die Komplexität, weil das doppelte NAT wegfällt.

Die FritzBox kannst Du innerhalb des Netzwerks, also "hinter" der UDM noch für Telefonie einsetzen, wenn es denn sein soll.

Direkt am Internet-Anschluss ist diese FritzBox ein Sicherheitsrisiko, weswegen ich auch hier nicht auf andere Konfigurationsmöglichkeiten eingehen möchte.

Ansonsten: Ohne feste IP-Adresse ist DynDNS ein probates Mittel, ja. Falls Du dafür den AVM-Dienst nutzt, geht dies nur solange, wie die FritzBox direkt am Anschluss verbleibt, was sie wie gesagt nicht sollte.

Du bekommst einen kostenfreien DynDNS-Account z.B. bei ddnss.de - dieser ist dann auch unabhängig vom eingesetzten Routermodell.

Sobald Du die FritzBox aus dem Setup bekommen hast, richtest Du PPPoE (die "Internet-Einwahl") in Deiner UDM ein, fütterst die UDM mit den Daten von ddnss.de und kannst dann einer Standard-Anleitung zur Einrichtung von WireGuard-VPN unter Unifi folgen.

Viel Erfolg und Spaß dabei!

Die Versionsnummern sind irritierend.

Ich habe mit der Firmware 3.0.13 bereits UniFi Network 7.3.76 (also gleich) und Unifi Protect 2.7.18 (neuer).

"Fix whitelist for AD blocking" verlangt Network 7.4, die aber gar nicht mitgeliefert wird?

Mir scheint, hier ist noch einiges etwas durcheinander bei Ubiquiti.

Eine weitere Erkenntnis: Wenn ich das custom port profile auf den Anschluss für den Switch Flex Mini anwende, bekomme ich hinter diesem eine IP-Adresse aus dem Haupnetz, nicht wie gewünscht aus dem Subnetz.

Das custom profile darf also nur für die WLAN-APs gesetzt werden. Nicht besonders intuitiv, aber immerhin ist nun klar, wie man zum Ziel kommt.

Ich glaube, ich habe die Antwort gerade selbst entdeckt - toll, nach einem halben Tag knobeln und dann dem Eintrag hier im Forum.

Man kann für die Switches eigene Portprofile definieren und bei diesen dann das Hauptnetz plus ein oder mehrere Subnetze einschließen. Das ist im Prinzip genau das, was ich gesucht habe.

Muss nun noch ein wenig rumexperimentieren...

Sorry, hätte ich gleich dazu schreiben können: Ih habe das WLAN "Wohnung Müller" angelegt und als Basis Netzwerk dafür das VLAN "Wohnung Müller".

Derzeit bekommt der AP eine IP-Adresse über DHCP, eine statische Konfiguration hatte ich auch schon ausprobiert. Es wäre mir egal, ob der AP mit seiner eigenen IP-Adresse im Hauptnetz (wie UDM Pro, 16-Port-Switch und die gemeinsamen Geräte) hängt, oder eine Adresse aus dem Subnetz von "Wohnung Müller" bekommt.

Ich glaube, wie der AP netzwerkseitig konfiguriert ist, ist unerheblich für die über WLAN verbundenen Clients, oder?

Hallo zusammen,

ich helfe aktuell einem kleinen Wohnprojekt beim etablieren eines sinnvoll strukturierten Netzwerkes. Die Idee ist, dass sich vier "Parteien" den Internetzugang und einige Geräte (NAS etc.) teilen, aber jeweils voneinander abgeschottete Subnetze nutzen.

Die Geräte-Grundlage bilden zur Zeit eine UDM Pro und ein USW-16-POE. Es gibt leider lediglich zwei Patchports für jede Wohneinheit, daher arbeiten wir noch mit Unifi Switch Flex Minis in der Unterverteilung.

Ich habe nun für jede Partei ein eigenes Netzwerk angelegt (vollwertig, kein VLAN-only). Mein Problem bzw. meine Frage mache ich an einem Beispiel deutlich:

Ich lege für die Ports 1&2 am USW-16 das Profil "Wohnung Müller" fest, denn was auf beiden Netzwerknschlüssen in der Wohnung Müller "rauskommen" soll, ist ja lediglich dieses Subnetz. Kabelgebunden funktioniert dies auch einwandfrei, ich erhalte hinter dem Switch Flex Mini IP-Adressen aus dem Subnetz Müller. Am zweiten Netzwerkanschluss hängt ein Unifi 6 Lite AP - und über WLAN bekomme ich keine Adresse, es sei denn ich konfiguriere das Profil auf dem entsprechenden Port auf dem USW-16-POE auf "all".

Ich möchte die gesamte Struktur möglichst manipulationssicher gestalten, daher hätte ich ein ungutes Gefühl, auf allen WLAN-AP bezogenen Netzwerkport keine Profileinschränkung setzen zu können.

Vielleicht kennt jemand ja dieses Phänomen und kann mir einen Denkanstoß geben - möglicherweise habe ich auch nur ein Verständnisproblem oder muss mein Netzwerkdesign überdenken.

Danke für Eure Tipps!

USW-16-POE

Sowohl als auch. Aber ich nutze für die Verbindung den Shrewsoft Client, der, wie alle Softwareclients, auch Domänennamen akzeptiert.

Es geht hier nicht darum, VPN-Tunnel durch die UDM selbst aufbauen zu lassen.

Alles Weitere dann besser per PM, wir sind schon sehr off topic.

Dazu eine Frage: Ist eine Version - also hier z.B. die 3.0.13 - als EA, RC und final jeweils bitgleich oder könnten es unterschiedliche Versionen trotz selber Versionsnummer sein?

Hallo tomtim , ich betreue die Netze verschiedener Kunden über VPN-Tunnel, bei einigen Kunden ist "nur" Fritz-VPN verfügbar. Die Tunnel öffne ich nur jeweils nach Bedarf, das funktioniert sehr gut und Probleme gab es eigentlich nie. Die Tunnelverbindungen bleiben auch über Stunden stabil geöffnet.

Eine Standortvernetzung ist das natürlich nicht, nur ein Roadwarrior-Szenario.

Ich hoffe, damit konnte ich Deine Frage beantworten.

Mit der 3.0.13 laufen IPsec-VPN-Tunnel (z.B. zu FritzBoxen) wieder. Ich bin froh, dass dieser Fehler schnell gefixed werden konnte.

Dringende Warnung vor 3.0.10 / 3.0.12 für alle, die IPsec-VPN-Verbindungen nutzen (z.B. gegen FritzBoxen oder SonicWalls): Die VPN-Verbindung lässt sich aufbauen, aber über den Tunnel ist danach kein Host erreichbar. Ich habe diesen Bug schon im offiziellen Forum gepostet und andere Nutzer haben das Problem bestätigt.

Hallo zusammen,

ich betreue ein Netzwerk mit einer UDM Pro, die als exposed Host hinter einer FritzBox 7530 hängt. Leider funktioniert offenbar die Prefix Delegation für v6 nicht, denn obwohl in der FritzBox (höchstwahrscheinlich) korrekt eingestellt ist, bekommt kein Rechner im Netzwerk eine ULA.

Wenn ich die Schnittstellen der UDM Pro über SSH abfrage, haben die genutzten aber durchaus ULAs, vom ersten zum zweiten Router werden also Präfixe weitergereicht.

Der Provider teilt ein /56 zu und so habe ich es auch für die Internetverbindung in der UDM Pro konfiguriert. Das entsprechende interne Subnetz steht auch auf "Prefix Delegation" und hat aktivierte Router Advertisements.

Kennt jemand das Problem?

Danke maxim.webster für Deine schnelle und zielführende Antwort!

Für die SE ist der passende Befehl: inadyn -f /run/ddns-ppp0-inadyn.conf --once --loglevel debug -n

Ich hatte hier nun Fehler 400 "Bad Request" entdeckt, konnte darüber weiter recherchieren. Offenbar soll man mittlerweile beim Eintrag des DynDns das Feld "Server" leer lassen solle. Wenn ich dies tue, verschwindert der "Fehler 400" in den Logs und alles liest sich positiv, aber beim DynDNS-Provider kommt trotzdem nichts an.

Hier mal der letzte Teil des Logs (Domain und Adresse editiert):

good 127.0.0.1

inadyn[20952]: Successful alias table update for XXX.spdns.org => new IP# 92.116.23.XXX

inadyn[20952]: Updating cache for XXX.spdns.org

root@UDM-SE:~# rg

inadyn[20952]: SSL server cert issuer: C=US,O=DigiCert Inc,CN=DigiCert TLS RSA SHA256 2020 CA1

inadyn[20952]: Sending alias table update to DDNS server: GET /nic/update?hostname=endofinternet.spdns.org&myip=92.116.23.XXX HTTP/1.0

Host: members.dyndns.org

Authorization: Basic xxx

User-Agent: inadyn/2.8.1 https://github.com/troglobit/inadyn/issues

inadyn[20952]: Successfully sent HTTPS request!

inadyn[20952]: Successfully received HTTPS response (273/8191 bytes)!

inadyn[20952]: DDNS server response: HTTP/1.1 200 OK

Date: Sun, 26 Jun 2022 20:05:54 GMT

Server: Apache/2.4.18 (Ubuntu)

Strict-Transport-Security: max-age=31536000

X-UpdateCode: B

Vary: Accept-Encoding

Content-Type: text/plain

Accept-Ranges: none

X-User-Status: vip

Connection: close

good 127.0.0.1

inadyn[20952]: Successful alias table update for XXX.spdns.org => new IP# 92.116.23.XXX

inadyn[20952]: Updating cache for XXX.spdns.org

Ich verstehe nicht, warum hier dem Anschein nach alles nach erfolgreicher Kommunikation zwischen UDM SE und Provider aussieht, es aber trotzdem nicht funktioniert (übrigens bei keinem meiner beiden Anbieter).

Hallo zusammen,

ich habe einen Account bei SpDyn, das ist ein DynDNS-Dienst von Securepoint. Dieser ist schon seit Inbetriebnahme meiner UDM SE eingetragen und hat auch bis vor ca. einem Monat Updates erhalten - seitdem aber nicht mehr. Es ist gut möglich, dass das Problem mit Aufspielen der Firmware 2.4.10 begonnen hat, ganz sicher kann ich es leider nicht sagen. Ich bin nun auf die Beta-Firmware 2.5.8 gegangen, aber auch hier keine Änderung.

Als Test habe ich mir einen zusätzlichen Account bei DDNSS erstellt und die UDM SE mit dessen Daten gefüttert, aber auch hier klappt die Aktualisierung der IP-Adresse nicht.

Steht vielleicht jemand vor demselben Problem oder hat sogar einen Lösungsansatz?

Es würde mir schon weiterhelfen, wenn ich wüsste, ob diesbezüglich irgendwo ein Log geschrieben wird, welches ich auslesen kann. Die network_serverlogs.log hatte ich mir schon heruntergeladen aber nichts Verwertbares entdeckt.

Danke für Eure Ideen!

Hey, falls Dein Problem noch akut ist: Lass das VLAN-Tagging durch die UDM Pro machen (in den Einstellungen der Internetverbindung -> Advanced manual -> VLAN aktivieren und auf "7" setzen). Im Vigor schaltest Du das Tagging ab. Darüber hinaus ist es dann höchstens noch eine Frage von korrekt eingegebenen Zugangsdaten.

Der Provider-Router wird leider keinen Bridge-Modus unterstützen. An Kabelanschlüssen ist man immer gekniffen, dafür gibt es keine professionelle Hardware zu kaufen.

Welchen Vorteil siehst Du für Dein Projekt in einer UDM im Vergleich zu einem USG?

Guten Abend,

zunächst mal: Ein Cloudkey ist lediglich der Unifi Network Controller in Hardware gegossen. Die kleine Alternative zur UDM wäre also das Unifi Security Gateway. Das gibt's für rund 100,-€, ist allerdings technisch leicht angestaubt. Wenn aber z.B. VPN-Durchsatz sowieso irrelevant für Dein Projekt ist, würde ich überlegen, das USG zu nehmen.

Dazu braucht es dann den angesprochenen Controller. Hier nimmt man dann einen Cloudkey oder beschränkt sich auf eine reine Software-Installation (der Controller muss im Prinzip nur für das Setup einmal laufen, wenn man weder Statistiken, noch das WLAN Voucher-System benötigt.

Bedenke auf jeden Fall das unschöne doppelte NAT, welches laut Deinem Layout entstehen wird. Je nach Nutzungsszenario kann auch dies aber möglicherweise keine spürbaren Auswirkungen haben.