Beiträge von DarthVaper

Vielen lieben Dank an all die freundlichen und konstruktiven Beitragsantworten.

In der Summe konnte ich mit diesen mein "Problem" lösen.

Besonderer Dank geht hierbei an

Zitat von gierig

Ne normale Reverse abfrage des DNS servers auf der UDM (dig -x a.b.c.d) bekomme

ich immer den Eintrag auch zurück den ich in die Local DNS Record Maske eingetragen habe.

(und ja auch in verschiedenen VLANS)

Das konnte ich über eine KVM in meinem Netz soweit nachstellen und damit funktioniert auch bei mir die Auflösung.

Der entscheidende Hinweis kam dann von

Zitat von bic

Der benannte "SoftPerfect Network Scanner" (bis 2016 Freeware, seit dem kostet der Geld) soll das per ICMP Requests machen. Nach meiner unmaßstäblichen Meinung fragt der Scanner -wie wohl andere auch- den DNS-Server ab, welcher auf dem Host, wo der Scanner läuft, als zuständig eingetragen ist. Verwaltet dieser DNS-Server dann nur die Zone der localen Domain, kann der Scanner auch keine Adressen aus anderen Zonen auflösen. Man muss daher den DNS-Server dazu bringen, entweder mehrere Zonen zu verwalten, oder eben alle Netze in eine gemeinsame Zone bringen. Verwendet man den DNS-Dienst von Windows, ist dies leicht gemacht, wie die UI-Kisten das handhaben

Obwohl mein Windows 11 Rechner eine IP-Adresse via DHCP und damit auch die DNS-Server erhält funktionierte diese Einstellung nicht. Erst nachdem ich explizit angegeben habe, dass der DNS-Server der UDM Pro genutzt werden soll funktioniert die Namensauflösung. Es werden genau die Einträge (auch unter Windows) ausgespuckt, die auf der UDM Pro als local DNS-Record hinterlegt sind.

Vielen lieben Dank nochmal! Tolles Forum!!

Beste Grüße

Frank

Hallo zusammen,

ich habe auf meiner UDM Pro neben dem Default-Netzwerk noch weitere Netze aufgespannt. Für manche Devices habe ich eine fixe IP und einen lokalen DNS Record angelegt.

Beispiel für Eintrag im Default-Netzwerk

Beispiel für Eintrag im Netzwerk "Server"

Wenn ich nun mit einem Netzwerk-Scanner (z.B. SoftPerfect Network Scanner) die einzelnen Netze nach Clients durchforste, werden mir nur vom Default Netzwerk die Hostnamen aus dem lokalen DNS-Record angezeigt.

Ein Scan über die anderen Netze liefert nur die IP-Adresse des jeweiligen Client.

Werden nur die DNS-Records des Default-Netzwerks ausgelesen? Ich weiß nicht, in welcher Richtung ich suchen muss, um dieses Verhalten zu beeinflussen.

Kann mir vielleicht jemand mit dem Zaunpfahl winklen?

Beste Grüße

Frank

Hallo zusammen,

erst einmal ein großes Zwischen-Dankeschön für die großartige Hilfestellung hier im Forum. Vielen Dank für eure Zeit und Zeilen!

So wie es aussieht, schein mein Problem nichts mit den Firewall- bzw. Netzwerkeinstellungen in der UDM Pro zu tun zu haben.

Auch wenn es merkwürdig bleibt, dass alles funktioniert wenn ich den Webserver im Default-LAN betreibe. Ich lasse das nochmal weiter im Kopf kreisen.

Ich werden nun versuchen, ISPConfig erneut from Scratch im VLAN60 zu installieren und mein Augenmerk auf die Konfiguration des Nginx legen. Der steht im Verdacht von mir falsch aufgesetzt zu sein.

Ich werde berichten.

Zitat von maxim.webster

Okay, es ist also Absicht, dass https://192.168.60.99/ (noch) nicht funktioniert, Deine unten stehende Aussage hatte mich in die falsche Richtung denken lassen.

Also braucht es jetzt Infos, warum die Zertifikatsbeantragung scheitert und ich bin mir sicher, es existieren Logfiles des ACME-Clients...

[Mi 1. Jun 11:34:37 CEST 2022] ispconfig99.newsxc.net:Verify error:178.202.44.83: Invalid response from http://ispconfig99.newsxc.net/.well-known/acme-challenge/cs5fNK9mVkjZ4XYlrYJQcBrbWheszJyFts_ZClyo1Zw: 404

Zitat von maxim.webster

Hier müsstest Du mal etwas ausführlicher werden, bitte. Welche Software wird eingesetzt (Certbod, Caddy) und welche Fehler gibt es.

Einstellbar. Üblicherweise ist es HTTP/80, aber es kann auch HTTPS/443 sein und hängt vom Challenge Type an.

Also

• WAN:80 -> 192.168.60.99:80
• WAN:443 -> 192.168.60.99:8080

WAN:443 auf 192.168.60.99:443 kann ja nicht funktioneren, weil nix auf 192.168.60.99:443 lauscht.

Der Port 8080 ist nach außen nicht freigeben und dient nur dem Aufruf der administrativen WebGUI von ISPConfig.

In der Firewall sind unter Port-Forwarding die Ports 80 und 443 (auch wenn da im Moment noch nix lauscht) auf die IP 192.168.60.99 gelenkt.

Zitat von razor

142 Regeln auf WAN IN (Internet)? WOW!

Die wären auch noch schön - wenn OK. Am liebsten in ein paar Blöcken, sodass man den Inhalt auch lesen kann - oder liegt das an mir?

Sorry. Ich dachte, den Anhang bringt er dann größer. 2ter Versuch:

Zitat von maxim.webster

Da lauscht nix auf Port 443, dein Problem ist nicht die Firewall.

Hhmmm... aber müsste nicht bei der Anforderung eines LE-Zertifikats alles über Port 80 abgewickelt werden? Und das schein ja nicht zu funktionieren.

Zitat von maxim.webster

Also

• http://192.168.60.99:80/ geht
• https://192.168.60.99:443/ geht nicht
• https://192.168.60.99:8080/ geht

Das kann nicht sein, oder Du hast es unglücklich formuliert. Ob vorne http oder https steht hat auf zwei Dinge Einfluss:

• die Anforderung von Transportverschlüsselung TLS/SSL
• den Standard-Port der Anfrage (80 für HTTP, 443 für HTTPS)

Der Port der Anfrage lt. Zitat 8080 und es wird TLS/SSL angefordert. Port 443 ist aus dem Spiel.

Hast Du auf dem Webserver denn mal geschaut, ob irgendhaupt ewas auf Port 443 lauscht? Mach mal auf dem Server sudo netstat -tulpen | grep -E ':443|:80' und poste das Ergebnis (sofern vorhanden).

Alles anzeigen

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      0          426576     258536/nginx: maste
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      0          426574     258536/nginx: maste
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      0          426572     258536/nginx: maste
tcp6       0      0 :::80                   :::*                    LISTEN      0          426577     258536/nginx: maste
tcp6       0      0 :::8080                 :::*                    LISTEN      0          426575     258536/nginx: maste
tcp6       0      0 :::8081                 :::*                    LISTEN      0          426573     258536/nginx: maste

Zitat von razor

Ich würde erstmal alle in der Übersicht empfehlen, um die Reihenfolge der Regeln zu sehen.

Dann können wir besser fragen - mMn.

Zitat von maxim.webster

Scheitert nur die Beantratung eines LE-Zertifikates oder ist der Server via https gar nicht erreichbar?

Ich hab den gleichen Setup (hab mein VLAN vollmundig als "DMZ" bezeichnet), bin gerne bereit zu helfen.

Vielleicht zum besseren Verständnis: installiert ist ISPConfig

Den Server kann ich erreichen über http://192.168.60.99 nicht aber über https://192.168.60.99 - Die Nichterreichbarkeit über Port 443 kann ich mir ja noch erklären: Ist ja auch noch kein SSL-Zertifikat angefordert worden bzw. installiert.

Die WebGUI von ISPConfig lässt sich über https://192.168.60.99:8080 erreichen (hier funktioniert der Zugriff über Port 443 da ein Self-Signed Zertifikat vorhanden ist.

In der UDM Pro habe ich unter Port-Forwarding eine Firewall-Regel welche die Ports 80 und 443 auf die IP 192.168.60.99 leiten soll.

Ebenfalls ist das Netzwerk Server mit der VLAN ID 60 in der UDM Pro angelegt.

Bei meinem DNS-Anbieter Cloudflare existiert ein Eintrag für meinen Server und ich kann diesen auch per Ping erreichen.

Ich kann mir nicht erklären, warum im Default-Netz alles funktioniert wie es soll und im VLANXX nicht.

Zitat von noexpand

Ich muss präziser Formulieren, tut mir leid. Was ich eigentlich sagen wollte ist: ich vermute, dass der Unterschied in deinen Firewall-Regeln begründet liegt. Kannst du die hier mal posten?

Welche brauchst Du hier genau? Kann man diese aus der UDM Pro irgendwie exportieren so dass es für den "Profi" besser lesbar wird (bevor ich alles hier reintippe und am Ende alles falsch ist)?

Zitat von noexpand

Ich vermute, dass deine Firewall die Ports 80 oder 443 im Default-Netz anders behandelt als im 60er Netz.

Das vermute ich auch. Nur - warum?

Hallo zusammen,

ich habe auf meiner UDM Pro mehrere Netzwerke eingerichtet. Neben dem Default-Netzwerk (192.168.2.x) existieren weitere Netzwerke/VLANs nach dem Schema 192.168.VLAN-ID.x

So habe ich z.B. ein VLAN60 eingrichtet, um dort Server bzw. Rechner/VMs die irgendwelche Dienste anbieten zu gruppieren.

Die VLANs sind nach den Firewall-Anleitungen die man hier finden kann voneinander separiert. Aus dem Default-Netzwerk darf auf alle VLANs zugegriffen werden. Außerdem gibt es noch ein paar Regeln die Ausnahmen für den Zugriff zwischen den VLANs definieren.

Nun zu meinem eigentlichen Problem:

Ich setze im Server-VLAN (VLAN60) einen Webserver auf und mache diesen über Port-Forwarding (80, 443 -> IP Webserver) erreichbar. Der Webserver ist über HTTP erreichbar. Der Versuch sich ein LE-Zertifikat ausstellen zu lassen scheitert.

Wenn ich den Server im Default-Netzwerk aufsetze funktioniert alles wie gewünscht. An dieser Stelle bin ich ratlos und weiß nicht, wo ich nach dem Fehler suchen soll/kann.

Hat jemand eine Idee bzw. Vermutung und schubst mich bitte in die entsprechende Richtung?

Danke vorab.

Vorab ein dickes DANKE für's Nachstellen und den Test. Das hat mich sehr motiviert, dem Fehler auf den Grund zu gehen. Warum sollte es bei mir nicht funktionieren wenn Du es nachgestellt bekommst und es sofort funktioniert, oder? Also habe ich mich erneut auf die Fehlersuche begeben. Eingrenzen konnte ich den Bereich der Fehlersuche auf ein bestimmtest VLAN. Glücklicherweise hängen in diesem nur drei VMs. Eben diese waren nach der Umstellung nicht mehr erreichbar. Die Lösung ist nun fast schon trivial: Beim Aufsetzen der VMs mit dem Standart-Adapter und der Standard-Bridge von Proxmox (en01, vmbr0) habe ich im Nachgang die Einstellungen für das Interface (/etc/network/interfaces) manuell angepasst und eine IP-Adresse für das VLAN20 statisch vergeben. Nur war eben diese IP an das "alte" Interface geknüpft. Nachdem ich der VM eine neue/zusätzliche Bridge spendiert habe (mit den Einstellungen für das VLAN) musste nur noch die Datei /etc/network/interfaces angepasst werden: Voila! Läuft!

Noch einmal vielen lieben Dank für die Hilfe!

Wahrscheinlich drücke ich mich verkehrt aus. Ich möchte gerne in Proxmox die existierenden und auf der UDM Pro eingerichteten VLANs anlegen.

So etwas hier habe ich im Netz gefunden:

Scheinbar lassen sich in Proxmox VLANs mit der Notation Port.VLAN anlegen. Also bei Port eno1 für das Management-Netzwerk ist kein VLAN-Tag gesetzt. Bei eno1.20 wird das VLAN20 gesetzt, bei eno1.30 das VLAN30 usw. Im Beispiel oben wurden als "Zwischenschritt" noch Bonds angelegt. Aber im Prinzip das gleiche.

In meiner Vorstellung lege ich nun eine neue VM an und bei Auswahl des Netzwerk-Adapters, z.B. eno1.20, wird auch schon das VLAN mit angegeben.

So könnte ich auch bei existierenden VMs durch Hinzufügen einer weiteren/anderen Bridge die VM in ein anderes VLAN schubsen.

Ich hoffe, ich konnte nun etwas besser erklären worauf ich hinaus will.

Wenn ich die Screenshots richtig deute, dann verfügt Dein Proxmox-Node über 5 NICs und jeder NIC ist eine Bridge vmbrx zugewiesen. Dann gehst Du mit 5 Kabeln auf 5 unterschiedliche Ports auf dem Switch die jeweils explizit ein VLAN gesetzt haben. Hhmmm... So mache ich das mit meinen Devices sonst auch. So bekommt mein FireTV Cube über einen Port auf dem Switch der für IOT Geräte zugewiesen ist eine IP-Adresse aus dem IOT-Netzwerk.

Leider hat mein NUC (eigentlich) nur eine NIC. Ich dachte (habe gehofft), dass man es auch mit der Anlage von VLANs auf dem Proxmox-Host irgendwie hinbekommt. Vielleicht sollte cih doch meine USB-Ethernet-Adapter reaktivieren?

Ich habe hier mal exemplarisch einen Screenshot von den Hardwareeinstellungen einer VM aus dem LAB-Netz

Insbesondere habe ich hier dem Network Device das tag=20 für das VLAN20 mitgegeben. So funktioniert es bei mir. Aufgrund entsprechender Regeln in der UDM Pro lomme ich auch aus dem LAN an die VM.

Was ich letztendlich (auch) erreichen möchte:

In der UDM Pro habe ich ja die Netze eingerichtet. So sind hier auch die Einstellungen für DHCP pro Netz hinterlegt.

Wenn nun eine VM unter Proxmox aufgesetzt wird, soll diese in Abhängigkeit des VLANs den entsprechenden DHCP nach einer IP Adresse fragen.

Ich habe folgendes Switchport-Profile erstellt:

und dieses Profil dem Port zugewiesen an dem die NIC vom Proxmox hängt (eno1 in meinem Screenshot s.o.)

Meintest Du dies?

Hallo zusammen,

ich habe bei mir eine UDM Pro, diverse Switche (1xUSW-Pro-24-PoE, 2xUSW-Lite-8-PoE) und APs (2xUAP-AC-Lite, U6-LR, UAP-FlexHD) im Einsatz.

Diverse Netzwerke sind aufgesetzt, mit VLAN-IDs versehen (192.168.VLAN-ID.0/24) und WiFi-Netze zugeordnet. Das funktioniert soweit auch ganz gut.

Nun zu meinem (Verständnis-)Problem: Im LAN (192.168.2.0/24) habe ich auf einem NUC mit 1x NIC einen Proxmox-Server aufgesetzt.

Die VMs sollen in einer separaten Laborumgebung (192.168.20.0/24, VLAN20) arbeiten und einige VMs sind auch bereits angelegt, mit einer statischen IP-Adresse aus dem Labor-Netzwerk ausgestattet und erreichbar.

Sobald ich aber in Proxmox VLANs für meine Netzwerke erstelle, geht nicht mehr

Auch meine bereits erstellten VMs mit IPs aus dem Labor Netzwerk sind nicht mehr erreichbar.

Wo liegt mein Denkfehler?

Danke vorab für jeden Tipp und Schupser in die Richtung der Lösung.

Gruß

Leider kann ich dem Link nicht folgen: unzureichende Berechtigung

Richtig. Die Komfort-Option habe ich auch.

Das mit dem Support von AVM mit Verweis auf den Provider habe ich mir schon gedacht.

Die FB habe ich auch schon mal neu gestartet. Problem besteht immer noch

An einer Wegbeschreibung, die FB auch im BridgeModus aus dem internen Netz zu erreichen, bin ich sehr interessiert (auch wenn ich mir gestern das TECHNICOLOR TC4400 Kabelmodem bestellt habe - dann hat die FB als Router komplett ausgedient).

Hallo zusammen,

wie im Betreff bereits beschrieben, betreibe ich an einem Anschluss von Unitymedia / Vodafone eine FRITZ!Box 6660 Cable (Gerät vom Provider) und eine UDM Pro. Dabei hängt die UDM Pro an einem als Bridge geschalteten LAN-Port der FB.

Um meine FB zu erreichen habe ich ehedem den MyFRITZ!-Internetzugriff genutzt. Vor einigen Tagen gab es Wartungsarbeiten im Vodafone-Netz und seitdem kann ich meine FRITZ!Box nicht mehr erreichen:

Die FB hat eine IPv4-Adresse (WAN1 - 178.202.44.xx) und die UDM Pro hat über den als Bridge geschalteten LAN-Port ebenfalls eine IPv4 (WAN2 - 178.202.46.yy) vom Provider erhalten.

Von der WAN2 IP kann ich die WAN1 IP nicht erreichen (Ping) und damit auch nicht auf die Dienst der FB zugreifen.

Der Kundenservice von Vodafone versagt den Support und schiebt das Problem auf AVM.

Hat jemand einen Tipp, an welcher Schraube hier gedreht werden kann/muss, damit es wieder funktioniert?

Vielen Dank für all die sachdienlichen Hinweise.

Gruß

Frank

Zitat von erisel

Frage: Warum hast du noch Smarthome Geräte an der Fritzbox dran? Bei mir ist sie nur als Modem und zur Telefonie im Einsatz. Das komplette Netzwerk läuft auf der UDM pro.

Die Heizkörper werden über DECT-Thermostate von AVM gesteuert. Perspektivisch möchte ich aber ganz weg von AVM Produkten, weil diese mich wirklich nie so wirklich zufrieden gestellt haben.