Posts by MacMika

Ne, stimmt schon. Hast Recht mit RDP freigeben. Brauche das auch nicht mehr allzu oft und dafür kann ich auch eben kurz VPN aktivieren. Dann ist das sauber.

Stimmt, die UDM kann auch nur eine Portweiterleitung auf die WAN Ports

Jetzt wollte ich noch einem Tablet einen VPN Zugang verpassen und habe fix ein Profil erstellt und in die App gescannt. Handshake ist da, alles gut. Aber kein Internet und kein Ping ins Heimnetz. Habe jetzt über ein Diagnosetool auf dem Tablet festgestellt, dass es per IPv6 ins Netz geht, obwohl es eine IPv4 vom Mobilfunkanbieter zugewiesen bekommen hat. Könntest du mir da vielleicht noch helfen? Müsste doch dann unter Allowed IPs noch einen Eintrag bei dem Peer des Tablets machen, oder?

Hey nochmal,

Es funktioniert soweit ja jetzt alles perfekt und hab noch nebenbei meine Domänen zu Hetzner umgezogen, weil der bisherige Anbieter wieder Probleme hat und alle meine Subdomains "verschluckt" und quasi auf deren Konfigseiten nicht mehr angezeigt hat.

Nur mal laut gedacht.. Könnte ja quasi einfach eine VPN Verbindung vom Handy aus aufbauen und dann würde alles funktionieren:

Nutze eine Windows VM mit einem abgeänderten RDP Port, die ich bislang über meine Domain:22828 erreichen konnte. Da meine Domain ja jetzt auf den VPS zeigt, müsste ich doch eine Portweiterleitung vom VPS auf die Heimnetz-Interne IP einrichten. Hast du eine Idee, wie das und ob das geht?

Also wie gesagt. Erstmal laut gedacht. Hab im Moment keine Ports offen und das finde ich sehr sympathisch, aber grundsätzlich würde mich das interessieren, ob das geht

Hab auf jeden Fall ein bisschen was dazugelernt und werde das Ganze jetzt mal noch ein bisschen verfeinern usw. 😊

Hatte mich vor langer Zeit mal mit Caddy beschäftigt, aber das jetzt dann noch in Kombination mit Authentik würde mich wahrscheinlich wesentlich länger aufhalten, als wenn ich im VPS den Nginx installiere und alle Konfigs vom Unraid Server auf den VPS übertrage.

Habe jetzt den VPS nochmal neu aufgesetzt und einfach nur Ubuntu installiert. Darauf das WGDashboard https://donaldzou.dev/WGDashboard-Do…ndex_topic.html , Docker und Portainer für Nginx. Das verhält sich jetzt am Ende tatsächlich exakt so wie mit meiner noch vorhandenen öffentlichen IP 👍

Die nicht ständig benötigten Ports schalte ich dann nur bei Bedarf in der Hetzner Firewall an.

Danke dir auf jeden Fall nochmal 😊

Genau, die Firewallregeln sind jetzt wie auf dem Bild. Also Internet In und Internet Local. Das Policy Based Routing und die NAT Ausnahmeregel sind beide abgeschaltet.

Aber es funktioniert genau so, wie es ursprünglich mal geplant war. Die internen Geräte gehen weiter über die aktuell noch öffentliche IP des Anbieters und zukünftig dann über die Glasfaser IP ins Netz.

Verbinde ich mich mit dem Fold oder mit dem iPhone mit dem Wireguard VPS (und das unabhängig davon, ob die Geräte im WLAN oder im Mobilfunknetz sind), kann ich jede IP im Heimnetz und im Wireguard Netz anpingen und komme somit überall drauf. Bin ich mit dem VPS verbunden, surfe ich auch mit der öffentlichen IP des VPS.

Jetzt kann ich halt hingehen und den Nginx Proxy Manager von meinem Unraid Server in den VPS verlegen, damit dieser öffentlich erreichbar ist und dann den Reverse Proxy auf die Docker macht. Dann ist es am Ende genauso, wie es jetzt auch ist.

Und ganz wichtig, ich muss da mehr Sicherheit reinkriegen. Hat man jetzt die öffentliche IP des VPS, kommt man ja direkt auf die Oberfläche von der Wireguard UI. Ein einfaches Passwort finde ich ein bisschen schwach. Knackt man das, könnte der Angreifer ja locker ein eigenes Profil erstellen und wäre somit im ganzen Netz. Den SSH Port hab ich schon abgeschaltet. Also entweder schränke ich jetzt die vom VPS in mein Heimnetz zugänglichen IPs deutlich ein, oder ich muss gucken, dass ich mindestens mal den Port der WireguardUI geändert kriege, damit ich den in den Firewallregeln bei Bedarf Ein und Ausschalten kann. Vielleicht gibt es ja noch intelligentere Lösungen?

Aber im Grunde hab ich jetzt echt nur die Traffic Regeln drin und selbst die pbr Geschichte ist nicht aktiv und das NAT ist dafür ja auch nicht deaktiviert.

Kannst du mir erklären, warum das jetzt trotzdem geht?

Ich werd weich, das war es!! Sau gut, vielen vielen Dank!!!

Das funktioniert jetzt übrigens ohne, dass der Bereich vom NAT ausgeklammert ist 🤔

Richtig gut, vielen Dank für deine Hilfe!

Habe das alles so eingestellt und folgendes stelle ich fest:
Ich habe noch einem iPhone einen Zugang erstellt und auch darauf eben eingerichtet:

- ich kann das Fold und das iPhone untereinander anpingen. Egal ob im Wlan oder im Mobilfunk oder gemischt. Gerade ging das nicht, aber jetzt gehts...

Verbinde ich mein Fold sowohl im Wlan oder Mobilfunk mit dem VPN und checke heise.de/ip wird mir die öffentliche VPS IP angezeigt.

Dann habe ich in der UDM bei den pbr zum testen nur mal mein Fold als Quelle ausgewählt, anstatt das ganze Netz, surfe ich auch dann ohne VPN Verbindung zum VPS über die öffentliche IP des VPS.

Sobald ich die NAT Ausnahme aktiviere, ist mein ganzes Netzwerk ohne Internet

Mein Setup hat ja einen Atuhentik Authentifizierungsserver, an den dann die nach außen offenen Dienste verbunden sind. Nginx kümmert sich ums Reverse Proxy.

Ich verstehe nur einfach nicht, warum ich jetzt nicht die UDM anpingen kann. Wenn der Tunnel von der UDM zum VPS offen wäre, könnte ich ja weitermachen. Aber sobald ich die NAT Regel aktiviere, stehe ich im Dunkeln

Ja aber dann ist doch bei mir in den NAT Einstellungen was faul. Ich muss zugeben, dass ich mit den Richtungen "Quelle" "Ziel" usw. einfach jedesmal durcheinander komme.

Wähle ich bei "Quelle" "Netzwerk" aus und wähle dann mein Default Netz, stehe ich sofort im dunkeln und das Internet ist quasi weg. Aber das entspricht optisch jedenfalls so, wie du es eingestellt hast. 🤔

Dann werde ich das nachher mal testen 😊

Also muss ich den Schalter bei den globalen NAT Einstellungen von Auto auf Off stellen?

Hab noch ein paar Videos zu dem Thema geguckt. Das könnte ja tatsächlich mein Problem sein. Aktuell hab ich ja noch den Telekom Anschluss an einem Zyxel Modem im Bridge Betrieb. Das heißt, wenn ich das NAT in der UDM abschalte, muss ich eine statische Router im Zyxel hinterlegen, oder?

Ist das bei dem CGNAT von der Glasfaser dann auch?

Einfach kann jeder

Habe das jetzt alles abgeändert und wenn ich mein Fold, also mein Handy, mit dem VPS verbinde, wird mir auch die öffentliche IP angezeigt und ich kann darüber normal surfen. Ich kann vom Terminal aus mein Handy anpingen, auch das funktioniert.

Aber es geht nichts zum Unifi, weder rein noch raus.

Ist das richtig, dass in der Unifi Firewall unten bei "Destination" -> "Network" -> "Network Type" IPv4 Subnet steht?
Damit ich die angesprochene 10.10.10.0/24 eintragen konnte, musste ich eine Gruppe "Wireguard" erstellen

Im Unifi NAT Menü ist unten der Haken für Globale NAT Einstellungen aktiv. Ist das denn ok?

Muss ich eigentlich bei Hetzner nichts anderes aktivieren, außer die Portfreigabe für Wireguard?
Bin da gerade noch über den Punkt "Privates Netzwerk" gestolpert.

Habe ja ein PiHole laufen und den hab ich im Unifi in den Interneteinstellungen unten eingetragen. Das hat doch aber keinen Einfluss jetzt auf das Ganze, oder?

Wenn ich Netflix als Ausnahme für die Policy based Rule einrichten möchte, muss ich das dann so machen, wie auf dem Bild? Ich höre hier die ganze Zeit, dass ich aufhören soll, das Internet zu löschen

Schomal vielen Dank für deine lange Nachricht! Habe den VPS jetzt zurückgesetzt und mit dem Wireguard Template neuinstalliert. Habe danach nur den Standardport von 51820 nach 55120 geändert und den IP-Bereich für den Tunnel nach 10.10.10.1/24 geändert.
Die Verbindung zwischen Unifi und VPS und Handy und VPS steht problemlos.

Mein Ziel ist folgendes:
Ich habe einen Unraid Server laufen, auf dem alle möglichen Dienste bereitgestellt werden. Bspw. Immich, Nextcloud, Home Assistant, Authentik als SSO usw. Diese Dienste sind alle erreichbar von außen über eine entsprechende Subdomain und dem Reverse Proxy mit Hilfe vom Nginx Proxy Manager, der aktuell auch als Docker auf Unraid läuft.

Ab und zu kommt es vor, dass ich mich von meinem Handy aus per VPN in mein Netz schalte, wenn ich z.B. auf den VU+ Receiver möchte und ein TV Programm sehen möchte, oder direkt auf den Unraid Server möchte, weil warum auch immer.

Den Zustand hätte ich auch gerne noch, wenn denn irgendwann meine öffentliche IPv4 abgeben muss.

Der IP Adressbereich meines internen Netzwerkes ist 10.0.0.0/24
Der Unraid Server hat eine feste IP: 10.0.0.3
Auf Unraid läuft ein PiHole Docker mit der festen IP: 10.0.0.20

Freue mich, wenn du mir helfen würdest.

wie hast du das NAT auf dem Unifi beim Wireguard Clienten denn deaktiviert?

danke schonmal. Kannst du mir vielleicht deine iptables posten, um die mal zu testen?

Gerade erstmal gemerkt, dass sich Netflix direkt verabschiedet hat, als ich die Policy bases rules scharfgeschaltet hatte. Habe jetzt zum testen einfach mal eine IP eines Dockers angegeben, um den vom VPS aus mal anzupingen.

Ist die Regel denn dann richtig, wenn ich vom Wireguard Tunnel auf eine feste Docker IP lenken möchte?

Hallo,

ich hoffe, es ist ok, dass ich den Thread mitbenutze, da ich genau vor demselben Vorhaben stehe. Im Moment bin ich einfach total durcheinander und sehe den Wald vor lauter Bäumen nicht mehr. Ich hab deine Anleitung genutzt, aber manches vielleicht auch einfach nicht richtig verstanden.. Tut mir leid. Aktuell habe ich noch eine öffentliche IPv4, die aber in ein paar Monaten aufgrund vom Wechsel zur Deutschen Glasfaser verloren geht. Ich bin nur gerne vorbereitet und möchte nicht erst dann anfangen zu basteln, wenn die Umstellung erfolgt ist. Es soll dann praktisch nahtlos geschehen.

Ich nutze eine UDM Pro, einen Unraid Server, auf dessen Dienste ich auch zukünftig gerne zugreifen möchte. Zum einen läuft ein Pihole, Nextcloud, Authentik, Home Assistant, Plex, Matrix hinter einem Nginx Proxy Manager als Reverse Proxy. Zusätzlich kann ich von unterwegs über den Unifi Wireguard Server einen Tunnel aufbauen, um z.B. von Pihole unterwegs zu profitieren, oder um auf andere Geräte im Netzwerk von unterwegs zuzugreifen.

Das interne Netzwerk lautet: 10.0.0.0/24
Pihole läuft im Docker unter 10.0.0.20

Ich habe einen VPS bei Hetzner mit einer statischen IPv4 und IPv6 auf dem ich WGDashboard installiert habe, weil es sich tatsächlich damit übersichtlich und ordentlich einrichten lässt. Die Verbindung Unifi -> VPS und Handy -> VPS stehen und ich kann vom Handy aus auch darüber ins Internet. Jedoch komme ich nicht in mein Unifi Netzwerk, also werde ich wohl ein Problem mit dem Routing haben. Und da komme ich gerade nicht weiter und checke das einfach nicht.

Die iptables sehen bei wg0 so aus:

iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

bei der Handyconfig so:

iptables -t nat -A POSTROUTING -o Handy -j MASQUERADE; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -D POSTROUTING -o Handy -j MASQUERADE; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Anbei ein paar Fotos vom Setup.
Ich hoffe, ich habe alle Informationen zusammen. Sonst bitte gerne Bescheid sagen.

Würde mich über jede Hilfe freuen.

Viele Grüße
Michael

Hallo zusammen,

kann mir bitte jemand den Sinn und die Funktion des kleinen Chime-Moduls erklären? Leider ist der Informationsgehalt auf der Ubiquity Seite nicht so aussagekräftig und ich kann mir nicht erklären, welche Aufgabe das Teil am Ende wirklich hat. Ich weiß, dass es eingebaut werden muss, sobald man einen Gong verwendet, aber was ist der elektrische Hintergrund? Zumal ja auch davor gewarnt wird, dass etwas zerstört werden könnte, macht mich das so neugierig.
Ich würde das gerne wissen, da das Setup bei uns aktuell so ist: 1 Klingeltrafo, zwei getrennte Wohneinheiten, zwei getrennte Klingeln an der Haustür, 1 klassischer elektromechanischer 8V Gong im OG und 1 Funk-Converter (Modell m-e Bell-212 TX) im UG. Die Unifi Doorbell soll nachher für das Untergeschoss sein. Der Funk-Converter soll mit Einbau der UniFi Doorbell verschwinden. Muss der Chime-Adapter jetzt, weil die gesamte Klingelanlage an einem Trafo hängt, an den Gong im OG?

Habe bereits die Klingel und einen neuen 24VAC 24VA Trafo bestellt. Den Gong oben muss ich ja dann auch ersetzen, wofür ich noch eine Lösung brauche. Da ich oben nichts verändern möchte, da das OG vermietet ist, dachte ich an einen Batterie-Gong, der durch ein 24VAC Relais angesteuert wird. Habt ihr bessere Ideen?

Viele Grüße

Michael