Die Versionsnummern sind irritierend.

Ich habe mit der Firmware 3.0.13 bereits UniFi Network 7.3.76 (also gleich) und Unifi Protect 2.7.18 (neuer).

"Fix whitelist for AD blocking" verlangt Network 7.4, die aber gar nicht mitgeliefert wird?

Mir scheint, hier ist noch einiges etwas durcheinander bei Ubiquiti.

Eine weitere Erkenntnis: Wenn ich das custom port profile auf den Anschluss für den Switch Flex Mini anwende, bekomme ich hinter diesem eine IP-Adresse aus dem Haupnetz, nicht wie gewünscht aus dem Subnetz.

Das custom profile darf also nur für die WLAN-APs gesetzt werden. Nicht besonders intuitiv, aber immerhin ist nun klar, wie man zum Ziel kommt.

Ich glaube, ich habe die Antwort gerade selbst entdeckt - toll, nach einem halben Tag knobeln und dann dem Eintrag hier im Forum.

Man kann für die Switches eigene Portprofile definieren und bei diesen dann das Hauptnetz plus ein oder mehrere Subnetze einschließen. Das ist im Prinzip genau das, was ich gesucht habe.

Muss nun noch ein wenig rumexperimentieren...

Sorry, hätte ich gleich dazu schreiben können: Ih habe das WLAN "Wohnung Müller" angelegt und als Basis Netzwerk dafür das VLAN "Wohnung Müller".

Derzeit bekommt der AP eine IP-Adresse über DHCP, eine statische Konfiguration hatte ich auch schon ausprobiert. Es wäre mir egal, ob der AP mit seiner eigenen IP-Adresse im Hauptnetz (wie UDM Pro, 16-Port-Switch und die gemeinsamen Geräte) hängt, oder eine Adresse aus dem Subnetz von "Wohnung Müller" bekommt.

Ich glaube, wie der AP netzwerkseitig konfiguriert ist, ist unerheblich für die über WLAN verbundenen Clients, oder?

Hallo zusammen,

ich helfe aktuell einem kleinen Wohnprojekt beim etablieren eines sinnvoll strukturierten Netzwerkes. Die Idee ist, dass sich vier "Parteien" den Internetzugang und einige Geräte (NAS etc.) teilen, aber jeweils voneinander abgeschottete Subnetze nutzen.

Die Geräte-Grundlage bilden zur Zeit eine UDM Pro und ein USW-16-POE. Es gibt leider lediglich zwei Patchports für jede Wohneinheit, daher arbeiten wir noch mit Unifi Switch Flex Minis in der Unterverteilung.

Ich habe nun für jede Partei ein eigenes Netzwerk angelegt (vollwertig, kein VLAN-only). Mein Problem bzw. meine Frage mache ich an einem Beispiel deutlich:

Ich lege für die Ports 1&2 am USW-16 das Profil "Wohnung Müller" fest, denn was auf beiden Netzwerknschlüssen in der Wohnung Müller "rauskommen" soll, ist ja lediglich dieses Subnetz. Kabelgebunden funktioniert dies auch einwandfrei, ich erhalte hinter dem Switch Flex Mini IP-Adressen aus dem Subnetz Müller. Am zweiten Netzwerkanschluss hängt ein Unifi 6 Lite AP - und über WLAN bekomme ich keine Adresse, es sei denn ich konfiguriere das Profil auf dem entsprechenden Port auf dem USW-16-POE auf "all".

Ich möchte die gesamte Struktur möglichst manipulationssicher gestalten, daher hätte ich ein ungutes Gefühl, auf allen WLAN-AP bezogenen Netzwerkport keine Profileinschränkung setzen zu können.

Vielleicht kennt jemand ja dieses Phänomen und kann mir einen Denkanstoß geben - möglicherweise habe ich auch nur ein Verständnisproblem oder muss mein Netzwerkdesign überdenken.

Danke für Eure Tipps!

USW-16-POE

Sowohl als auch. Aber ich nutze für die Verbindung den Shrewsoft Client, der, wie alle Softwareclients, auch Domänennamen akzeptiert.

Es geht hier nicht darum, VPN-Tunnel durch die UDM selbst aufbauen zu lassen.

Alles Weitere dann besser per PM, wir sind schon sehr off topic.

Dazu eine Frage: Ist eine Version - also hier z.B. die 3.0.13 - als EA, RC und final jeweils bitgleich oder könnten es unterschiedliche Versionen trotz selber Versionsnummer sein?

Hallo tomtim , ich betreue die Netze verschiedener Kunden über VPN-Tunnel, bei einigen Kunden ist "nur" Fritz-VPN verfügbar. Die Tunnel öffne ich nur jeweils nach Bedarf, das funktioniert sehr gut und Probleme gab es eigentlich nie. Die Tunnelverbindungen bleiben auch über Stunden stabil geöffnet.

Eine Standortvernetzung ist das natürlich nicht, nur ein Roadwarrior-Szenario.

Ich hoffe, damit konnte ich Deine Frage beantworten.

Mit der 3.0.13 laufen IPsec-VPN-Tunnel (z.B. zu FritzBoxen) wieder. Ich bin froh, dass dieser Fehler schnell gefixed werden konnte.

Dringende Warnung vor 3.0.10 / 3.0.12 für alle, die IPsec-VPN-Verbindungen nutzen (z.B. gegen FritzBoxen oder SonicWalls): Die VPN-Verbindung lässt sich aufbauen, aber über den Tunnel ist danach kein Host erreichbar. Ich habe diesen Bug schon im offiziellen Forum gepostet und andere Nutzer haben das Problem bestätigt.

Hallo zusammen,

ich betreue ein Netzwerk mit einer UDM Pro, die als exposed Host hinter einer FritzBox 7530 hängt. Leider funktioniert offenbar die Prefix Delegation für v6 nicht, denn obwohl in der FritzBox (höchstwahrscheinlich) korrekt eingestellt ist, bekommt kein Rechner im Netzwerk eine ULA.

Wenn ich die Schnittstellen der UDM Pro über SSH abfrage, haben die genutzten aber durchaus ULAs, vom ersten zum zweiten Router werden also Präfixe weitergereicht.

Der Provider teilt ein /56 zu und so habe ich es auch für die Internetverbindung in der UDM Pro konfiguriert. Das entsprechende interne Subnetz steht auch auf "Prefix Delegation" und hat aktivierte Router Advertisements.

Kennt jemand das Problem?

Danke maxim.webster für Deine schnelle und zielführende Antwort!

Für die SE ist der passende Befehl: inadyn -f /run/ddns-ppp0-inadyn.conf --once --loglevel debug -n

Ich hatte hier nun Fehler 400 "Bad Request" entdeckt, konnte darüber weiter recherchieren. Offenbar soll man mittlerweile beim Eintrag des DynDns das Feld "Server" leer lassen solle. Wenn ich dies tue, verschwindert der "Fehler 400" in den Logs und alles liest sich positiv, aber beim DynDNS-Provider kommt trotzdem nichts an.

Hier mal der letzte Teil des Logs (Domain und Adresse editiert):

good 127.0.0.1

inadyn[20952]: Successful alias table update for XXX.spdns.org => new IP# 92.116.23.XXX

inadyn[20952]: Updating cache for XXX.spdns.org

root@UDM-SE:~# rg

inadyn[20952]: SSL server cert issuer: C=US,O=DigiCert Inc,CN=DigiCert TLS RSA SHA256 2020 CA1

inadyn[20952]: Sending alias table update to DDNS server: GET /nic/update?hostname=endofinternet.spdns.org&myip=92.116.23.XXX HTTP/1.0

Host: members.dyndns.org

Authorization: Basic xxx

User-Agent: inadyn/2.8.1 https://github.com/troglobit/inadyn/issues

inadyn[20952]: Successfully sent HTTPS request!

inadyn[20952]: Successfully received HTTPS response (273/8191 bytes)!

inadyn[20952]: DDNS server response: HTTP/1.1 200 OK

Date: Sun, 26 Jun 2022 20:05:54 GMT

Server: Apache/2.4.18 (Ubuntu)

Strict-Transport-Security: max-age=31536000

X-UpdateCode: B

Vary: Accept-Encoding

Content-Type: text/plain

Accept-Ranges: none

X-User-Status: vip

Connection: close

good 127.0.0.1

inadyn[20952]: Successful alias table update for XXX.spdns.org => new IP# 92.116.23.XXX

inadyn[20952]: Updating cache for XXX.spdns.org

Ich verstehe nicht, warum hier dem Anschein nach alles nach erfolgreicher Kommunikation zwischen UDM SE und Provider aussieht, es aber trotzdem nicht funktioniert (übrigens bei keinem meiner beiden Anbieter).

Hallo zusammen,

ich habe einen Account bei SpDyn, das ist ein DynDNS-Dienst von Securepoint. Dieser ist schon seit Inbetriebnahme meiner UDM SE eingetragen und hat auch bis vor ca. einem Monat Updates erhalten - seitdem aber nicht mehr. Es ist gut möglich, dass das Problem mit Aufspielen der Firmware 2.4.10 begonnen hat, ganz sicher kann ich es leider nicht sagen. Ich bin nun auf die Beta-Firmware 2.5.8 gegangen, aber auch hier keine Änderung.

Als Test habe ich mir einen zusätzlichen Account bei DDNSS erstellt und die UDM SE mit dessen Daten gefüttert, aber auch hier klappt die Aktualisierung der IP-Adresse nicht.

Steht vielleicht jemand vor demselben Problem oder hat sogar einen Lösungsansatz?

Es würde mir schon weiterhelfen, wenn ich wüsste, ob diesbezüglich irgendwo ein Log geschrieben wird, welches ich auslesen kann. Die network_serverlogs.log hatte ich mir schon heruntergeladen aber nichts Verwertbares entdeckt.

Danke für Eure Ideen!

Hey, falls Dein Problem noch akut ist: Lass das VLAN-Tagging durch die UDM Pro machen (in den Einstellungen der Internetverbindung -> Advanced manual -> VLAN aktivieren und auf "7" setzen). Im Vigor schaltest Du das Tagging ab. Darüber hinaus ist es dann höchstens noch eine Frage von korrekt eingegebenen Zugangsdaten.

Der Provider-Router wird leider keinen Bridge-Modus unterstützen. An Kabelanschlüssen ist man immer gekniffen, dafür gibt es keine professionelle Hardware zu kaufen.

Welchen Vorteil siehst Du für Dein Projekt in einer UDM im Vergleich zu einem USG?

Guten Abend,

zunächst mal: Ein Cloudkey ist lediglich der Unifi Network Controller in Hardware gegossen. Die kleine Alternative zur UDM wäre also das Unifi Security Gateway. Das gibt's für rund 100,-€, ist allerdings technisch leicht angestaubt. Wenn aber z.B. VPN-Durchsatz sowieso irrelevant für Dein Projekt ist, würde ich überlegen, das USG zu nehmen.

Dazu braucht es dann den angesprochenen Controller. Hier nimmt man dann einen Cloudkey oder beschränkt sich auf eine reine Software-Installation (der Controller muss im Prinzip nur für das Setup einmal laufen, wenn man weder Statistiken, noch das WLAN Voucher-System benötigt.

Bedenke auf jeden Fall das unschöne doppelte NAT, welches laut Deinem Layout entstehen wird. Je nach Nutzungsszenario kann auch dies aber möglicherweise keine spürbaren Auswirkungen haben.