Beiträge von cosmos

Hast du einen alten Rechner zum Spielen zur Verfügung? Wurde hier ja schon vorgeschlagen und ich würde das auch nochmal in den Ring werfen.

Ich bau mir gerade aus nem alten Dell-System ein NAS-Server zusammen. Die Platten habe ich aus meiner alten WD-MyBook Duo, die vorsichtig formuliert, einfach totaler Mist war und für mich nicht zu gebrauchen. Nutzen will ich das ganze für Backup, Docker, Datensxnc, Fotos und ggfs. ein bisschen Videostreaming und 1 oder 2 VMs. Laufen soll das mit Unraid. Evtl. probier ich auch mal XPEnology. Vorteil ist, dass ich die Kosten klein halte und erstmal schaue, was ich wirklich möchte. 4-Bay mit Platten und bisschen Bums ist man schnell bei 1000€-1500€.

Aber klar, ne Racklösung schaut schon besser aus 😊

Zitat von maikki

Zur Umsetzung der Wireguard Implementierung kann eventuell ein UDMP SE User mehr dazu sagen.

Das wäre definitiv hilfreich :-).

Hi mAik,

vielen Dank für deine Rückmeldung. Deinen Lösungsansatz hatte ich mir so in etwa auch gedacht, aber irgendwie trotzdem gehofft, dass sich individuellere Freigaben und Zuordnungen ermöglichen lassen. Ich weiß jetzt, dass das nicht möglich ist. Nichtsdestotrotz bietet dein Ansatz zumindest eine Art provisorische Lösung, weil dadurch ein "Super-User" vermieden wird. Damit ließe sich erstmal arbeiten, wenn auch nicht optimal. Mit pfSense/OPNsense hatte ich mich in diesem Zusammenhang auch schonmal beschäftigt, aber ehrlich gesagt, bin ich mit der UDMP in unserem Einsatzszenario gar nicht mal so unzufrieden und würde die nicht gerne austauschen wollen. Ich hoffe mal auf ein entsprechendes Update, wobei ich, ehrlich gesagt, auch gar nicht weiß, ob die Wireguard-Implementiereung, wie sie bei der SE verwirklicht ist, mein Problem mit den VLANs wirklich lösen würde. Wäre ja nicht das erste Mal, dass Unifi es "anders" machen würde. Wenn alle Stricke reißen, müsste die UDMP halt trotzdem raus.

Meine Google-Suche brachte mich zu folgenden Ergebnissen: https://administrator.de/forum…-vpn-und-vlan-561986.html und https://www.reddit.com/r/UNIFI…ers_into_different_vlans/ Demnach scheint es einfach nicht zu gehen. Irgendwie kann ich mir aber nicht richtig vorstellen, dass es da nicht irgendeine Lösung geben sollte. Es ist doch ein Standard-Szenario, dass bestimmte Nutzer über VPN einen Zugang zu bestimmten Ressourcen/Subnetzen bekommen können und zu anderen eben nicht. Wenigstens das Subnetz sollte doch zugeordnet werden können. Ist bei meiner Frau in der Firma auch so (die btw. auch eher klein als groß ist...). Da wir hier das Netz in mehrere private, dienstliche (und öffentliche) Bereiche segmentiert haben ist das VPN-Tool so für mich leider erstmal nutzlos. Einen Super-User soll das hier nicht ermöglichen ;-). Vielleicht hat ja jemand noch eine Idee.
Falls die Wireguard-Implementierung irgendwann mal auf die UDMP kommen sollte. Wäre die Zuordnung zu VLANs damit möglich? Über eine Antwort wäre ich sehr dankbar. Ist im Moment noch nicht soooo dringend, aber mittelfristig halt schon und da braucht es dann eine Lösung.

Hallo zusammen,

ich spiele gerade ein bisschen mit der VPN-Funktionalität unserer UDMP herum. Teleport/Wifiman war zwar erstmal einfach einzurichten, aber ernüchternd in der Funktion. Es ist schon beim Test am iPhone alle paar Sekunden abgestürzt. Nun also DDNS eingerichtet und den L2TP-VPN Server aktiviert. Klappt auch soweit. Mein Problem ist, dass ich jetzt Zugang in alle VLANs habe. Idealerweise können aber in Zukunft bestimmte Nutzer nur in bestimmte VLANs. Da ich unter Radius (zumindest im Legacy Interface) jedem Nutzer eine VLAN-ID zuordnen konnte, dachte ich, dass diese dann auch automatisch mit dem richtigen VLAN verbunden werden und sich nur dort "bewegen" können. Das ist nicht der Fall. Gibt es hier einen Workaround?

Zitat von BlackSpy

Ist in Verbindung Access, NFC Karte, Freischaltung etc. Womöglich kannst du auch sehen wer wie viel gezapft hat

Ja darauf wird's wohl hinauslaufen. Wohl eher was fürs geschäftliche Umfeld. Sieht aber schon schick aus. Nur ob die sich da Dutzende von auf den Parkplatz stellen werden im Wissen um die Gefahr, dass das ein oder andere doch echt buggy ist bei Unifi oder eine neue Produktkategorie nicht lang nach erscheinen still und leise wieder verschwindet? Ich bin gespannt.

Habe auch mal mit Teleport angefangen rumzuspielen. Toll ist ja die sehr, sehr einfache Einrichtung. Bin ich mit Wifi verbunden scheint es auch gut zu klappen. Nutze ich mobile Daten, bricht die Verbindung nach ein paar Sekunden zusammen. Das ist schonmal enttäuschend. App für Intel-Mac gibt es nicht, für Windows scheinbar auch nicht. Wieder eines dieser Features, die vom Ansatz her super sind, aber einfach nicht zu Ende gedacht werden. Schade...

Hatte auch so meine Mühe mit diversen Meross-Geräten. Am Ende hat nur geholfen, sie in ein eigenes iot-Netz zu packen, welches ausschließlich auf 2,4 Ghz funkt. Vorab gab es immer wieder Probleme. Das würde ich also empfehlen, falls du es noch nicht gemacht haben solltest. Außerdem ist mir im Zusammenhang mit meinem Garagentoröffner aufgefallen, dass die Sendeleistung der APs (wir nutzen privat nur den Lite) gar nicht mal das Problem ist, sondern eher die Sendeleistung der Meross-Teile. Die gehen nach einer Weile in eine Art Standby, vermindern daraufhin ihre Sendeleistung und gehen dann verloren. Theoretisch sollten sie wieder "aufwachen", wenn sie ein Signal hören, aber in der Praxis hat das dann natürlich nicht so gut geklappt. Eine höhere AP-Sendeleistung wäre daher auch nicht zwingend zielführend gewesen. Aus diesem Grund habe ich noch einen AP in die Garage gehängt. Seitdem klappt das ziemlich ordentlich. Dass die Einbindung in HomeKit manchmal zickt, ist aber noch mal ein anderes Thema...

Zitat von taxman

… doch aber „nur“ bei der „alten“ Ansicht. Das ist aber schon längere Zeit der Fall, das die WAN-IP angezeigt wird.

Ah ok. Danke für die Antwort.

Hab jetzt auch das Update eingespielt- Läuft erstmal soweit. Eine Sache, die mir aufgefallen ist, ist, dass in der Geräte-Übersicht die UDM-Pro jetzt mit der WAN-IP-Adresse angezeigt wird. Gibt es das Phänomen bei anderen auch?

Das heißt, wenn 20-30 Personen mehr oder weniger gleichzeitig ins Gast-Netz übers Portal wollen, können sie das auch flüssig? Die Bedienung war für unser Klientel kein Problem. Es hat einfach technisch nicht funktioniert. Ein paar sind manchmal ok reingekommen, ein paar nach längerer Wartezeit und ein paar viele gar nicht. Manchmal ließ sich das Gastportal auch überhaupt nicht aufrufen. An der Bedienung hat es hier nicht gelegen. Wir haben zwar überwiegend Jugendliche, die unser Wifi benutzen (die haben halt auch nie Datenvolumen über...), aber auch einige im Rentenalter, die das brauchen. Ok, dann mache ich eine Rolle rückwärts und werde es demnächst doch mal wieder ausprobieren. Kann halt nicht 30 Leute zum Testen einladen. Probieren heißt, es bei einer Veranstaltung zu probieren. Ist doof, wenn es dann nicht klappt und man erstmal das Gastportal ausschalten und die ganzen Einstellungen ändern muss. Das hatte ich einfach zu oft. Werde mal sehen, wann es passt. Danke auf jeden Fall für die Klarstellung.

Ok, das ist natürlich doof. Hier wären es maximal 40-60 Personen, die gleichzeitig in Gastnetzwerk wollen. 20-30 sind es regelmäßig. Das muss sauber funktionieren. Gastportal wäre halt die schönere Lösung. Mit normalem Gast-WLAN geht es aber einwandfrei. Werde es dann wohl doch lassen. Falls du positive Erfahrungen gesammelt haben solltest, würde ich mich natürlich über eine Rückmeldung freuen.

Schön, dass du für dich eine Lösung gefunden hast. Bei mir hat das Gastportal trotz kleinem Logo und ohne Beschränkung nie wirklich funktioniert. Im Test ging es meist noch, aber bei Veranstaltungen mit 15-20 Personen ging nichts mehr. Komplett unbrauchbar. Normales Gast-WLAN geht aber einwandfrei. OPN-Sense u.ä. kommt hier ebenfalls nicht in Frage.

Vielleicht liegt es ja auch an den neueren Softwareversionen, dass es bei dir klappt. Ermutigt von deinen Erfahrungen, überlege ich, dem Ganzen nochmal eine Chance zu geben.

Zitat von mcm23

Nicht zu unterschätzende Fehlerquelle, wenn man keinen detaillierten Kabeltester hat... selbst bei gekauften Kabeln...

Das hatten wir zusätzlich auch noch. Bei zwei Patchkabeln war noch Gummi über den Kontakten vorne. Konnte man kaum erkennen, hat aber schön die APs rausgehauen. Bei größeren Systemen lohnt die Anschaffung eines Kabeltesters oder mal den Elektriker kommen lassen.

Zitat von defcon

Ist es egal wie man die U6-LR montiert?

Manche APs von UI sind ja nur entweder zur Montage für Wand oder Decke geeignet. Manche aber auch für beides.

Thema Abstrahlung etc.

Die U6-LR kann man sowohl an der Decke, als auch an der Wand montieren. Mann muss sich halt die Abstrahlung anschauen und dann konkret entscheiden, was besser passt. Wir haben den U6-LR sowohl an der Decke als auch an der Wand. Funktioniert prima. Was mir noch als Fehlermöglichkeit einfällt: Bei mir hat ein AP aus der oberen Etage alle iot-Geräte aus der unteren Etage zu sich gezogen und damit Probleme verursacht, da die iot-Teile nach einer gewissen Zeit ihre Sendeleistung reduzieren und dann irgendwie verloren gingen. Habe beim oberen AP die Sendeleistung etwas verringert und die Probleme waren weg. Hinzu kam, dass ein LAN-Kabel, an dem ein AP hing nicht ordentlich gepatcht war und dadurch der AP immer wieder für ein paar Minuten ausgefallen ist.

Unifi ist m.M.n. keine Profi-Ware (und damit auch kein Ferrari) aber schon ein System, was viele, viele Möglichkeiten eröffnet und damit leider auch viele Fehlermöglichkeiten. Bei uns war der Start auch etwas holprig. Mittlerweile läuft das System aber super und ich will nie mehr zu Fritz und Co. zurück. Für Probleme gibt es zum Glück auch dieses super Forum. Hier wird einem geholfen. Arbeit muss man erstmal trotzdem reinstecken.

Konnte jetzt ein bisschen rumspielen. Es ist so, dass sobald in der Gaststeuerung die Gastrichtlinien (bzw. das Gastportal aktiviert) sind, die Regel 3008 in der Firewall gesetzt wird. Internetzugang ist dann nicht mehr möglich, wenn das Häckchen bei "Gastrichtlinien anwenden" in den Drahtlos-Netzwerk-Einstellungen nicht gesetzt ist. Hat man aber sowohl in der Gaststeuerung und in den Drahtlos-Netzwerk-Einstellungen das Gastportal aktiviert, kommt man über das Portal ins Internet. Mein Fehler war also, das Gastportal nicht auch zusätzlich in der Gaststeuerung zu deaktivieren. Ist es dort aktiviert, wird dieFirewall-Regel 3008 gesetzt (allow authorized and drop unauthorized), die auf die Autorisierung durch das Gastportal abzielt, diese aber nicht bekommt und so den Internetzugang blockiert. Es tut also genau das, was es tun soll. Das doppelte Häckchensetzen in zwei verschiedenen Untermenüs ist natürlich etwas verwirrend, aber so ist es halt. Jedenfalls ist mein Fehler gefunden. Dir hama19 vielen Dank für deinen Einsatz. Der Hinweis auf die Regel 3008 war für mich der entscheidende Hinweis. Das Thema ist damit für mich gelöst.

P.s.: Zur Info: Das Gastportal ist im Grunde klasse, kommt bei uns aber nicht damit zurecht, wenn mehrere Leute gleichzeitig versuchen, sich anzumelden. Daher habe ich das abgestellt. Eigentlich schade, denn so ein Gastportal finde ich grundsätzlich klasse.

Zitat von hama19

Ich habe auch noch mal Deine ganzen Einstellungen durchgeschaut und habe bei mir auch ein wenig rumprobiert, aber ich kann das nicht nachvollziehen. Was mir aufgefallen ist, bei mir fehlt die Regel 3008. Die kann ich auch nicht zuordnen, hast Du noch irgendwas aus der Gaststeuerung aktiv? Oder irgendwas anderes was mit Autorisierung zu tun hat?

Das wäre ein Ansatzpunkt.

Vielleicht hat ja noch jemand eine Idee?

Hi, sorry für die späte Antwort. Wir hatten hier über das Wochenende eine Veranstaltung, bei der ich rundum eingebunden und bei der auch das neue "Unternehmens-Gast-Netzwerk" genutzt wurde. Lief natürlich problemlos. Ist schon irgendwie komisch. Ich habe nochmal alle Einstellungen geprüft. Die Regel 3008 wurde automatisch vom System erstellt. Ich habe also jetzt nochmal ein Gast-VLAN erstellt und, siehe da, die 3008 ist nicht mehr da. Da ich auch vorher schon mehrfach ein neues Gast-VLAN angelegt habe, ist ja die Frage, warum die Regel 3008, die irgendwie seltsam scheint, jetzt plötzlich nicht mehr da ist. Die einzige Sache, die mir einfällt, die ich geändert habe, ist, dass ich in der Gaststeuerung die Gastrichtlinien deaktiviert habe, die ich versehentlich noch aktiviert hatte (hatte das bis dahin nur in den Einstellungen für Drahtlos-Netzwerke deaktiviert). Ansonsten habe ich keinerlei Änderungen durchgeführt. Spaßeshalber habe ich die Gastrichtlinien wieder aktiviert und ein neues Gastnetz angelegt und auch hier ist die 3008 nicht mehr automatisch vom System erstellt worden. Warum auch immer das so ist, weiß ich nicht. Jedenfalls ist das eine sehr aufmerksame Beobachtung gewesen und möglicherweise liegt genau hier der Fehler. Wir haben hier gerade noch eine Veranstaltung, in der das Gast-WLAN gebraucht wird, aber sobald die gleich fertig sind, werde ich das mal umstellen, also das GAST-Wlan mit dem neuen Gast-VLAN verbinden und schauen, ob es jetzt passt. Bin gespannt wie ein Flitzebogen.

Was ich jetzt schonmal festgestellt habe, ist, dass die 3008 direkt mit der Aktivierung der Gastrichtlinien in der Gaststeuerung zusammenhängt. Ich hatte die LAN-Eingehend-Seite in der Firewall aktualisiert und erst dann wurde die 3008 angezeigt. Lässt sich reproduzieren. Trotzdem scheinen wir hier etwas auf der Spur zu sein...

Für heute ist jetzt Feierabend. Habe jetzt übergangsweise aus dem Gastnetz ein Unternehmensnetz gemacht und das in der Firewall gegen die anderen Netze abgesichert. Wir brauchen das nämlich fürs Wochenende. Möchte natürlich trotzdem gerne wissen, warum das Gastnetzwerk mit Gasteinstellungen nicht funktioniert. Vielleicht hat ja noch jemand eine Idee.

Leider auch nichts gebracht. Wäre ja auch zu einfach gewesen.

Habe auch gerade nochmal das Gast-VLAN auf einen Port am Switch gelegt und mein Notebook drangehängt. Es kriegt eine ordentliche IP-Adresse, Internet geht aber nicht. Werde es jetzt einfach mal mit einem Neustart versuchen. Sag ich meiner Mutter auch immer...