Beiträge von JS86

cosmos Der Admin-Rechner steht im default-LAN? Kannst du uns einmal deine Netzwerke als Screenshot zeigen?

Noch verstehe ich nicht ganz deinen Aufbau

Aber ganz allgemein: Wenn du eine Regel erstellst, die besagt dass ein Recher, Subnetz oder eine IP-Gruppe einen anderen Recher, anderes Subnetz oder eine andere IP-Gruppe erreichen darf gilt dies erst einmal nur für die Pakete zum besagten Ziel. Das heißt aber nicht, dass das Ziel auch Antworten darf . Wenn die Kommunikation nur von einer Seite aus aufgebaut werden darf, muss die Regel für den Rückweg nur Pakete erlauben die auf eingehende Kommunikation antwortet (Hacken bei Zustand -> Hergestellt). Ein passendes Bild ist im oberen Link unter Option 3 zu sehen.

Kannst du uns einen Screenshot deiner Firewallregel zeigen?

Ansonsten ist hier eine Anleitung zu finden: UniFi - USG Firewall: How to Disable InterVLAN Routing – Ubiquiti Support and Help Center

Wichtig ist es bei einer Accept-Regel diese für beide Richtungen zu erstellen. Je nach Anwendungsfall kannst du auch mitgeben, dass eine Seite nur auf hergestellte Verbindungen antworten darf.

Und natürlich, wie du ja auch selbst erkannt hast, werden die Regeln von oben nach unten abgearbeitet

Wenn du bereits einen Ubiquiti Account hast hilft wir bei der Planung vielleicht das Unifi Design Center (UniFi® Design Center (ui.com)) weiter. Dort kannst du deine Pläne hochladen, virtuell Wände einzeichnen, Geräte Positionieren, Kabel verlegen und sogar den Rack grob planen.

Falls der Netzwerkschrank in Bodennähe gestellt/montiert wird evtl. bedenken, dass gerne Wasser in Keller läuft.

Wenn du überlegst die USG Pro plus Cloudkey zu nehmen und evtl. auch Kameras (Ubiquiti?) installieren möchtest würde ich wie BackSpy und Raven die UDM Pro empfehlen .

@EJHome amaskus konnte es doch erfolgreich testen mit dieser Konfiguration (Nur VLAN) und ich bin mir ziemlich sicher es an einem Standort auch so konfiguriert zu haben. Ist allerdings schon ein paar Jahre her.

Zitat von amaskus

Ich hab es gerade mal auf unserem Firmen Controller versucht (wir haben nur APs)

GEHT

also entweder VLAN oder Unternehmens Netzwerk einrichten

@EJHome mir fällt kein Grund ein warum das nicht funktionieren sollte. Außer dass neben "Nur VLAN" steht [USW erforderlich] . Im Grunde ist ja der Port am Access Point ebenso ein Port der VLAN-Tagging unterstützt, beim UAP IW-HD sogar mit Switch. Und die Informationen, welche im Unternehmensnetzwerk eingerichtet werden müssen interessieren den Access Point eigentlich recht wenig.

Intuitiv hätte ich es zumindest so eingerichtet und wenn ich mich richtig erinnere auch über längere Zeit es in einer alten Installation so am laufen. Nun steht aber auch dort eine USG.

amaskus Auswählbar ist es bei mir. Habe es auch für die pädagogischen Netze an einigen Schulen am laufen. Ok inkl. USW und USG

amaskus Ich meinte nicht, dass er kein Netzwerk erstellen soll, sondern dass ein Netzwerk "Nur VLAN" reichen würde

Hallo,

SGzwei ich habe jetzt nicht alles hier verfolgt, aber ich habe es doch richtig verstanden, dass du lediglich die Accesspoints über den Controller steuern möchtest? Hierzu ist es eigentlich nicht notwendig, dass du die Netzwerke als Unternehmensnetzwerke (Corporate) einrichtest. Die APs müssen nur lernen welche VLAN IDs es gibt und später, welche SSID zu welchem VLAN. Ergo reicht es wenn du die Netze, für die jeweils eine SSID ausgesendet werden soll, als VLAN Only konfigurierst.

An deinen Switchen sollte es nun reichen dein VLAN 316 (hier erreichen die APs ja ihren Controller) untagged und die restlichen VLANs (die, für die du ein WLAN bereitstellen möchtest) tagged konfigurierst.

Der ganze andere Kram, der im Controller unter Netzwork zu konfigurieren ist, interessiert die Access Points doch eigentlich nicht. Das ist nur relevant, wenn die Switche und die Gateways von Ubiquiti Unifi eingesetzt werden.

Habe ich etwas übersehen?

Kann der Switch an dl.ui.com einen Ping absetzen, oder kann er evtl. wirklich den Namen nicht auflösen?

Vorschlag Variante 1: über den Controller die Netzwerkeinstellungen manuell setzen und einen externen DNS eintragen

Vorschlag Variante 2: über den Controller die Firmware zwischenspeichern (Einstellungen -> Wartung) und schauen ob du dann über den Controller upgraden kannst. Aber Achtung: gab es nicht neulich den Hinweis bestimmte Geräte eben nicht auf diesen weg zu aktualisieren?

Screenshots/Hardcopys deiner Konfigurationen sind besser. Auch wenn du nach bestem gewissen alles nach der Anleitung eingerichtet hast kann man Fehler machen. Ist nur Menschlich . Gerade wenn man noch nicht so tief in der Materie steckt.

Allein die IP des Vigors aus dem Video (dort ist es die 192.168.1.254) unterscheidet sich mit der IP die du uns mitgeteilt hast (192.168.1.1).

Auch irritiert mich noch, dass du einmal geschrieben hast das der Draytek Vigor die Interneteinwahl macht und dann wieder zur Konfiguration deiner Dreammachine schreibst, dass WAN1 PPPoE macht.

Samhain hat dir ja bereits geschrieben wie du an dem Mac Screenshots anfertigen kannst: <shif>+<cmd>+<4>

Vielleicht ein Problem mit dem DNS den der DHCP verteilt? Testweise bei einem Client einen externen (1.1.1.1 oder 9.9.9.9) Dienst eintragen und testen.

Hallo Jens,

du hast doch oben geschrieben, dass der Draytek die Einwahl übernimmt. Meines Wissens nach ist dies nicht im full bridge modus möglich. Hast du die Konfiguration geändert?

Zitat von JensHUE

Hallo JS....

Die Einwahl übernimmt das Modem Vigor 165 Draytek. Die Dreammachine zeigt bei der Glocke keinen Alarm an.

Ich komme leider nicht mehr ohne weiteres auf das Moden. Ich habe das Vigor als reines Modem eingerichtet (obwohl das schon in den Werkseinstellungen so war) , nicht als Router. Die Routerfunktion übernimmt die UDM.

Vielen Dank für die Begrüßung,

habe heute morgen bei ebay Kleinanzeigen gleich eine USG 3P und einen US-8 60W erstanden. Für das was ich zuhause vorhaben sollte es reichen.

Zitat von petra92

Vielen Dank!

Ja es ist das erste unifi-device in meinem Netzwerk (Fritzbox, 3 Layer 3 HP-Switches, 2 dumme Switches, 2 Fritz Repeater in Mesh, 100 Endgeräte, 6 VLans). Ich überlege die Infrastruktur auf Unifi umzustellen. Mit dem NanoHd AP wollte ich erste Erfahrungen sammeln und den Controller kennenlernen. Da ich (noch) keine UDM pro habe, habe ich den Windows Controller installiert.

Per ssh konnte ich auf den AP (wie von Dir beschrieben) zugreifen.

Die neuste Firmware für den AP hatte ich schon im ersten Anlauf mit der IOS App eingespielt (da die IOS App aber nnicht die Funktionalität des Controllers bietet, wollte ich in der Folge mit dem Controller fortfahren).

Das Kommando habe ich eingeben.

Code

set-inform http://192.168.0.240:8080/inform

Adoption request sent to 'http://192.168.20.34:8080/inform'.  Use the controller to complete the adopt process.

Der AP taucht im Controller nicht auf

AP und Controller PC haben folgende IPs: (AP 192.168.0.240 / Controller 192.168.20.34)

Auf dem PC ist nur Windows Defender als Antivirenprg. installiert.

Der Controller hat die Version 6.0.45, der AP:

Code

UAP-nanoHD-BZ.5.43.23# info


Model:       UAP-nanoHD
Version:     5.43.23.12533

AP befindet sich in VLAN 20, der Controller in VLAN 1. Mein HP Core LAyer 3 Switch routet zwischen den VLANs.

AP und Controller können sich Wechselseitig anpingen

Code

UAP-nanoHD-BZ.5.43.23# ping 192.168.0.240
PING 192.168.0.240 (192.168.0.240): 56 data bytes
64 bytes from 192.168.0.240: seq=0 ttl=127 time=2.809 ms
64 bytes from 192.168.0.240: seq=1 ttl=127 time=64.837 ms


C:\WINDOWS\system32>ping 192.168.20.29

Ping wird ausgeführt für 192.168.20.29 mit 32 Bytes Daten:
Antwort von 192.168.20.29: Bytes=32 Zeit=5ms TTL=63
Antwort von 192.168.20.29: Bytes=32 Zeit=2ms TTL=63

Alles anzeigen

Windows Firewall ist deaktiviert

Hat noch jemand einen Tip?

Liebe Grüße

Petra

Alles anzeigen

Hast du denn das Problem auch, wenn sich beide im selben VLAN und Adressbereich befinden? Falls das Problem beim HP Switch und dem Routing liegen sollte muss ich leider passen . Aber wenn bald eh die Dreammachine kommt ist das Problem vielleicht auch erst einmal zu vernachlässigen?

Viele Grüße

Samhain entschuldige, ich wollte dir nicht in die Problemanalyse reingrätschen. Mit dem Reset des Drayteks während der Problemanalyse hast du wahrscheinlich recht und ist ehr eine grundsätzliche Überlegung und Empfehlung meinerseits gewesen und an der Stelle unangebracht. Auch bin ehr davon ausgegangen, dass sich der Draytek im bridge mode befindet, da dieser (war beim Vigor 130 noch bis zu einer bestimmten Firmware anders) eben im bridge mode ausgeliefert wird. Auch du hast geschrieben:

Zitat

Ich hoffe, dass Vigor läuft im "full bridged modus".

Die Antwort darauf hatten wir bis eben noch nicht erhalten.

JensHUE bitte die Pings weiter verfolgen, um zu prüfen ob der Fehler nicht intern im LAN zu suchen ist. Die Logs des Drayteks sind natürlich ebenfalls hilfreich, da er die Einwahl übernimmt. Wenn man es sich antun möchte kann auch ein Telefonat mit dem ISP hilfreich sein und nach den Abbrüchen erkundigen.

Wie sieht denn die WAN-IP der Dreammachine [Edit: hatte hier versehentlich Draytek geschrieben] aus und was für Adressbereiche gibt es im LAN?

Moinsen,

ich bin Jörg und administriere wie Sascha (Thread unter mir) unteranderem mehrere Schulen, aber auch einige Kitas und weitere Einrichtungen. Um uns das leben einfacher zu gestalten bauen wir seit 2014 (erst nur die AccessPoints) unsere Netzwerkinfrastrukturen überwiegend auf Unifi auf. Natürlich war diese Entscheidung auch eine Finanzielle.

Meine IT-Kenntnisse im allgemeinen sind breit aufgestellt aber nirgends spezialisiert. Ein Generalist und genau richtig in einer Position in der man gefühlt für ALLES zuständig ist .

In meiner Freizeit bin ich Familienmensch. Hier wird das Thema IT lediglich stiefmütterlich behandelt, da es a) eine Zeitfrage und b) auch eine finanzielle Frage ist. Ambitionen hier das ein oder andere zu erweitern sind allerdings immer wieder gegeben . Es juckt immer wieder in den Fingern ...

Wenn wer Preiswert eine UDM oder USG abzugeben hat

Viele Grüße

Hallo Jens,

wer macht bei dir die Einwahl. Der Draytek oder die Dreammachine?

Protokolliert das Gerät, welches die Einwahl macht Abbrüche? Draytek in den Logs (glaube für längere Logs ist ein USB-Stick notwendig!), bei der Dreammachine würden die in den Alerts/Alarme (die Glocke in den Menüleiste) auftauchen.

Falls der Draytek die Einwahl übernimmt ist die Empfehlung diesen zu reseten (default ist er im bridge mode) und die Zugangsdaten in der Dreammachine zu hinterlegen.

Gruß

Hallo Petra,

nehme ich richtig an, dass der nanoHD die erste Unifi Hardware ist, welche in den Unifi Controller eingebunden werden soll, oder wurde bereits Hardware erfolgreich eingebunden?

Du kannst versuchen dem AP beizubringen bei welchem Controller er sich melden soll, indem du per SSH (z.b. Putty) auf den AP gehst.

1. Putty öffnen und mit der IP des AccessPoints mit dem nanoHD verbinden.

2. Anmeldung am AccessPoint

Benutzer: ubnt

Passwort: ubnt

3. set-inform http://%IP_des_Controllers%:8080/inform
ggf. zuvor den AP auf die neuste Version Upgraden. Eine Übersicht der grundlegenden Befehle gibt die Eingabe des Befehls "help"

Die neuste Firmware findest du hier: Ubiquiti - Downloads

4. am Controller prüfen ob der AP zu sehen ist und einbinden

Fall es nicht funktioniert wären weitere Informationen hilfreich.

z.B.:

- IPs des Controllers wie auch des nanoHDs (selbes Netz?)

- Antivierenlösung auf dem Windows PC?

- Controllerversion u. Firmware des nanoHDs

Viele Güße

Hallo SGzwei,

um irgendwelche Empfehlungen aussprechen zu können fehlen uns ein paar Informationen zum restlichen Netzwerk, z.B. sind auch Unifi Switche vorhanden oder wird andere Hardware eingesetzt? Allgemeine Netzwerklast, VLANs, Datenverkehr zwischen den VLANs (läuft über den Uplink der UDM Pro), Datenraten WAN (10Gbit symmetrisch?) usw.

Wenn ihr 10Gbits habt und ausnutzen können möchtet, dann ist die UDM, denke ich, das falsche Produkt

Grundkonfiguration der Switch-Ports (Switch Port Profil "ALL") ist ein Trunk. Das Default LAN (VLAN 1) ist meine ich untaggt und alle weiteren VLANs taggt.

Den Controller auf einem eigenen Server laufen lassen ist natürlich möglich, ist aber eben auch nur der Controller und braucht nicht sonderlich viel Leistung oder gar Bandbreite. Die UDM bzw. UDM Pro lässt sich dort aber nicht einbinden. Diese sind ehr als Art eierlegende Wollmilchsau gedacht.

Die Unifi Security Gateways benötigen einen separaten Controller. Leider ist Ubiquiti was das angeht gerade nicht gut aufgestellt, bzw. sind die Produkte alt und viele warte sehnsüchtig auf deren Nachfolger.

Evtl. wäre die USG-XG-8 (8 10G SFP+ Ports) etwas für euch gewesen?

Ich würde die Telefone in das Netz der Fritzbox (192.168.178.0/24) setzen. Meiner Erfahrung nach ist eine doppelte NAT-Konfiguration und SIP keine gute Idee und macht unnötig Probleme bzw. funktioniert nicht.

Im Controller ein Netzwerk VLAN-Only für die VoIP-Telefone und Verbindung zur Firtbox einrichten.

Falls du die Geräte von einem PC aus erreichen können möchtest, in der Ubiquiti Firewall entsprechende Regeln (WAN Ein- und Ausgehend) einrichten.

Viele Grüße