Beiträge von diwoma

Zitat von Elbee

Ich verstehe dein Netzwerk Aufbau noch nicht ganz. Hast du ein USG (oder UDM) und dann noch ein Linksys- Router in deinem Netzwerk, der quasi das Gateway in dein UniFi Netz ist, oder wie ist das zu verstehen? Kannst du das mal aufmalen?

Nein, ich habe keinen Linksys-Router mehr im System. Das ist nur der SCM-interne DNS-Name für 192.168.10.250, der im SCM-Netzwerk eingetragen ist, weil es früher ein Linksys-Router war, als es noch Standalone war. Aber am DNS-Namen kann es nicht liegen, es handelt sich ja um die IP-Adresse des Gateway

Zitat von Elbee

Wenn ich das richtig sehe, dann ist das einzige was verboten ist, der Traffic von den Nicht-SCM Netzen ins SCM-Netz. Alles andere ist erlaubt. Wenn ich das richtig verstanden habe, möchtest du jetzt vom SCM Netz in andere Netze - das sollte (eigentlich) gehen, zumindest erkenne ich von der Benennung keine Regel, die es verbietet.

Ja, des sehe ich auch so, darum glaube ich auch nicht, das es sich um ein Problem der Firewall-Regeln handelt, sondern das es was anderes ist.

Aber es geht nicht, ein Ping geht nur auf die jeweiligen Gateway-Adressen der anderen Netzwerke (192.168.1.1, 192.168.20.1 und 192.168.40.1), und damit komme ich auf die UDM.

Sorry, wenn ich noch einmal nachfrage:

Zitat von razor

Ich empfehle Dir bzgl. Deiner Firewall folgeden Wiki-Beitrag: Unifi Allgemein | Firewall-Regeln by EJ.

Nach dem Wiki, sollte ich eigentlich keine FW-Regel brauchen, da ja Standard ist, dass VLAN-übergreifend alles erlaubt ist und die FW-Regeln nur blocken sollen/müssen.

Ich habe nur eine Regel, die den Zugriff blockt, und das ist die Regel dass keiner ins SCM kommt (mit Ausnahmen, die vorher definiert sind)

Deshalb glaube ich an einen anderen Fehler, weil ja als Standard SCM in alle VLAN's kommen sollte.

Noch einmal zur Beschreibung des SCM-VLAN:
Es ist nur ein LAN-Netzwerk (kein WLAN darüber aufgespannt)

Es sind nur 2 Metal-Rechner im Netzwerk (EIn ESX und ein Office-Rechner), der Rest in VM's auf ESX oder Office

Es wird intern über einen Windows-Domain-Server gemanaged (DHCP usw.)

Die Gateway-Adresse ist 192.168.10.250 (historisch bedingt, da früher auf dieser Adresse der Internet-Router war)

Ich komme mit jedem der Rechner im SCM auf die UDM und ins Internet

Das Netzwerk wird über ein Port eines USW-Flex-Mini, auf dem nur SCM aufgeschaltet ist, gespeist.

Ich habe eigentlich nur mehr folgende Vermutungen:

Am UDM:
das DHCP nicht von der UDM sollte kein Problem sein

eventuell das das Gateway auf x.x.10.250 geschaltet ist

Tracert-Ausgabe:

PS C:\Users\Maier.SCM.000> tracert 192.168.40.10

Routenverfolgung zu 192.168.40.10 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  linksys [192.168.10.250]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *

Die Anfrage erkennt, dass die Adresse nicht im eigenen DNS-Bereich ist und fragt beim Router an.

Aber sollte die UDM da nicht weiterrouten? Gegen das WAN angefragt (google.com) funktioniert es ja:

PS C:\Users\Maier.SCM.000> tracert 142.251.36.142

Routenverfolgung zu prg03s12-in-f14.1e100.net [142.251.36.142]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  linksys [192.168.10.250]
  2     4 ms     4 ms     4 ms  194.127.196.161
  3     5 ms     5 ms     4 ms

An der Windows-Domäne:
Meiner Meinung sollte das kein Problem sein, da das Routing für Windows wie ein normales Routing einer unbekannten Adresse über das Gateway erfolgt.

Wer kann mir helfen, bzw. welche Informationen kann ich noch posten?

Danke.

Hi Elbee,
Danke für die Antwort

Zitat von Elbee

Ohne deine Firewall Regel zu kennen kann man nur raten. Könntest nochmal prüfen ob

- Regel am richtigen Ort eingeben sind (LAN IN)

- Allgemeine Established & Related Regel existiert

- Reihenfolge der Firewall Regeln

- Switchports den Traffic auch routen

Ich dachte, ich hätte alles in der Start-Message angegeben, zumindest die Regel ist abgebildet und wie das VLAN SCM definiert ist.

Aber stimmt, die Reihenfolge meiner Regeln ist nicht abgebildet:

Ja, die Regel ist in LAN IN

Alles vor dieser Regel ist erlaubt:

Die letzte Frage verstehe ich nicht ganz,

Was meinst Du mit Switchports den Trafic auch routen?

Der Port, an dem das SCM-Netz hängt routet nur SCM, In die anderen Netze sollte doch meiner Meinung nach die UDM routen.

Oder ist das mein Fehler im Denken?

Zitat von mayli01

Ich bin was das angeht überhaupt kein Experte...

Ich auch nicht, deshalb habe ich den einfachen Weg genommen

Hi mayli01,

In meinem Fall (Steiermark, Sbidi-Netzwerk) hängt an der Glasfaser ein "Glasfaser-Koppler GPO ONT Terminal" vom Typ "Huawei EchoLife EG8010H", der die Umwandlung auf ein Netzwerk-Kabel macht, mit dem ich dann in die UDM einspeise.

Die Verbindungs-Erkennung läuft dann über ein VLAN, das ich in der UDM am WAN-Interface eintragen muss.

Von aussen erreichbar ist mein Anschluss nur über eine Fixe-IP-Adresse, die ich vom Provider bekommen habe.

Hi Razor,

Danke für den Hinweis, ist das nur ein allgemeiner Hinweis, weil "Firewall" in der Headline steht oder kann ich spezifisch für mein Problem was auslesen. Die anderen Regeln die ich erstellt habe funktionieren ja, also glaube ich, das System "Firewall-Regeln" schon verstanden zu haben.

Hi,

Unter Umständen ist es ein Windows-Problem und keine Unifi-Problem, aber ich denke, hier sind sicher Profi's, die in beiden Welten zu Hause sind

ich habe ein "freistehendes Firmennetzwerk" mit Windows-Domain (DC, Exchange) ein ein neues Netzwerk "SCM" als VLAN übernommen. Die Adressen-Range war schon als 192.168.10.xxx definiert, also habe ich es ins VLAN so übernommen. DHCP, DNS im VLAN wird vom Domain-Controller übernommen, WLAN gibt es nicht:

Freigabe des NAS und des Druckers für bestimmte Rechner (MAC-Adressen) sind eingerichtet und funktieren, Das Netz kommt in das Internet und auf das Gateway (also die UDM). Alle anderen VLAN's sind gesperrt und kommen nicht in das Netzwerk.

Aber ich hätte gerne aus dem SCM-Netzwerk Zugriff in andere VLAN's (schon um die Kameras einzusehen und auf das IOT-Netzwerk, aber das bekomme ich nicht hin. Vom Management-Netzwerk "LAN" funktionioniert es (da bin ich über WLAN eingebunden) aber nicht aus dem "SCM" Netzwerk:

Die Firewall-Regel von SCM auf VLAN's ist so eingerichtet:

Ich habe es auch schon mit Eintragung einer Ziel-Netzwerk-Liste versucht:

Ich sehe für mich 3 Fehlerquellen, warum es nicht gehen könnte:

- Firewall-Regel nicht korrekt

- Ich komme nicht in die VLAN, weil es nur ein LAN-Netzwerk ist

- Irgenwas in der Windows-Domänen-Einstellung stimmt nicht.

Und noch etwas:
Ich habe einen Zugang zum Exchange über einen NGINX-Proxy-Server, von den anderen VLAN's und von aussen komme ich hin, nicht jedoch aus dem "SCM".

Irgendwann habe ich gelesen, das eventuell bei diesen Anfragen vom Router gleich zurückgeleitet wird und gar nicht ins WLAN kommt, aber ich habe den Begriff dazu vergessen (was man sich nicht gleich notiert ist verloren ).

Langer Einstieg, aber ich hoffe, alles beschrieben zu haben.

Was kann die Ursache sein und kann mir wer helfen?

Danke.

Danke, so hätte ich es mir gedacht.

Aber in den DHCP-Regeln muss dann natürlich der Pi-Hole als primärer DNS-Server eingetragen sein. Zumindest, nachdem die Firewall-Regeln eingerichtet sind

Zitat von Tuxtom007

Ich habe gerade mal rumprobiert

Die UDMPro lösst nur Hostnamen aus dem selben VLan auf, wenn ich diese direkt als DNS-Server anspreche.

Da bei mir aber ein PiHole in Vlan10 läuft, der alle lokalen DNS-Auflösungen selber macht ( lokale Hosteinträge ) oder an die UDMPro weiterleitet, habe ich so eine Auflösung alle Hosts in den diversen VLan's

Bei UDMPro ist ohne größeren Eingriff nicht in der Lage, das zu bewerkstelligen, DNS-Auflösung über VLan zun machen. Die USG konnte das wohl noch.

Alles anzeigen

Sorry, muss noch mal nachfragen:
Damit haben also alle VLANS als DNS-Server den Pi-Hole eingetragen?

Und in der Firewall wird DNS-Protokoll für alle VLAN's freigegeben?

Danke für die Antworten.

Hi Leute,

je mehr ich herumprobiere, umso mehr Fragen tauchen auf

Sorry wenn es manchmal einfach und laienhaft klingt.

Es geht um die interne DNS-Auflösung über die VLANS hinweg.

Das Management-LAN soll auf die meisten VLANS zugreifen können. Die einzelnen VLANS bekommen über DHCP von der UDM in ihrem Bereich die IP zugewiesen.

Über IP kann ich auch zugreifen, aber nicht über den Namen.

Ist da für übergreifende Namensauflösung noch eine Rule einzubauen?

Ausserdem habe ich einen Adminstrator-Rechner, der anhand seiner MAC identifiziert wird und Durchgriff von jedem VLAN auf alle VLANS bekommen soll, auch von und ins Gäste-Netz.

Das habe ich in einem anderen Thread schon angefragt.

Trotz der einer ALLOW Rule gelingt mir das nicht.

Vielen Dank für die Antworten

@KJL

Ja, ich gebe mein Wohnungsbüro in der Stadt auf, weil ich die Wohnung verkaufe und mit meiner Infrastruktur (ESX-Server, MS-Server, Entwicklungs-Umgebung, usw.) in mein Haus-Netz übersiedle. Dafür habe ich eben ein eigenes Firmen-Netzwerk eingerichtet. Nur für mich, ich bin ein EPU in Sachen IT-Dienstleistung. Eigentlich schon im Ruhestand, aber mein Haupt-Kunde braucht mich noch eine Weile. Das Netzwerk wird abgeriegelt! Eventuell nur Zugang zum Drucker wird erlaubt. Das sehe ich erst, wenn ich gesiedelt bin.

gierig

Stimmt, PiHole muss nicht erreichbar sein, Kameras eigentlich schon, deren Stream bekomme ich jetzt schon über einen NGINX von einem PI mit Motion drauf. Nur ist jetzt alles, was ich über den NGINX in das WAN gebe, im gleichen Netzwerk.

Vermutlich ist es wirklich nur "Mit Kanonen auf Spatzen zu schiessen". Aber früher hatte ich keine so einfache Möglichkeit, mehrere Netzwerke einzurichten. In Wirklichkeit ist ja auch die Unifi-Infrastruktur oversized, aber da ich sie nun habe, will ich sie auch ausreizen .

So gesehen wäre eigentlich nur der NGINX-Reverse-Proxy das einzige, das bei mir wirklich in eine mögliche DMZ kommen muß und ein PI sozusagen als Vorschalt-Gerät auch eine Hardware-mäßige Trennung von allen anderen Geräten.

Hi Leute,

ist vielleicht etwas Off Topic.

Seit ich mit Unifi "herumspiele" und leicht verschiedene Netzwerke bereitstellen kann, denke ich auch über eine DMZ nach.

Ich denke da an einen PI, in den alles von aussen geroutet wird. Und der als einziger vom WAN erreichbar ist (eventuell auch ein Container im Proxmox).

Sicherlich brauche ich da einen Revers-Proxy (NGINX) der die Anfragen auf meine Services innerhalb der anderen Netze (Web, API, Cameras) weiterleitet.

Aber gehört auch noch was anderes drauf, z.B. ein Pi-Hole?

Die Firewall sollte dann wahrscheinlich nur zu den speziellen Services geöffnet werden.

Oder ist das paranoisch für ein kleines Haus-Netzwerk?

Zur Zeit habe ich folgende Netzwerke:

- Standard (mit UDM)

- Gäste-Netzwerk

- IOT

- Firmennetzwerk

Zitat von hama19

Wenn Du in die "alte Ansicht" schaltest siehst Du mehr.

Danke, das hat weitergeholfen. Die neue Ansicht sieht zwar schöner aus, aber der Informationsverlust und die Suche nach Punkten, wo man erst das DropDown aufmachen muss, ist ein schwerer Rückschritt.

Ja, in dieser Liste ist der Container aufgelistet, mit Hostnamen aber ohne IP.

Korrektur: Da wird nur die "Feste-IP" angezeigt, die DHCP-zugeordnete IP ist schon korrekt vorhanden

Zitat von hommes

In den Einstellungen vom Controller... Insights/Einblicke dort kannst du alle Clients sehen die sich mal verbunden haben.

Da bin ich irgendwo falsch abgebogen.
In den Insights des Netwoks sehe ich nur WLAN-Geräte die in der Nähe meines Access-Points waren.

In den Settings sehe ich überhaupt keinen Eintrag namens Insight.

Ach übrigens, jetzt wird der Container in der Liste angezeigt, ohne dass ich irgendwas im Netz gemacht habe, ausser ein anderes aus/eingesteckt.Aber vielleicht verbessert sich das mit dem Update

Nachtrag ca. 2 Minuten später:

Und jetzt ist er wieder weg

Zitat von BlackSpy

Von der 1.9.2 auf die 1.10 auf jeden Fall. Den AP Pro kannst du auch uppen.

Und gleich Controller Version prüfen, Aktuell 6.2.26

Danke für das Feedback.

Ich sehe gerade, es gint ein Update für die UDM auf 1.10.0 und für meinen UAP-AC-Pro ebenfalls.

Empfiehlt es sich, das Update zu machen?

Ich bin sonst gerne auf dem neuesten Stand, nur die UDM ist das Herz der Kommunikation und am offenen Herzen arbeite ich nicht gerne. Es muss schon sicher sein wenn ich da was machen soll

Zitat von BlackSpy

Es gibt auch Clients welche nicht gefunden werden wollen.

zB unsere Alarmanlage, definitiv da, reagiert auch auf Ping, ansonsten unsichtbar für alles.

Ich hasse diese Heimlichtuerei

Zitat von hommes

Moin diwoma, nutzt du einen Unifi Switch? Was ist, wenn du unter insights mal schaust nach der MAC-Adresse taucht sie dort auf?

Der Proxmox ist an einem TP-Link-Switch angeschlossen, der Switch an einem Port der UDM.

Andere LCX-Container des ProxMox sind sichtbar.

Bitte um genauere Erklärung, was insights ist, wo man es aufrufen kann, und wie man es bedienen kann.

Danke.

Hi Leute,

ich habe da mal eine Frage zu einem Problem:

Es werden bei meiner UDM (Firmware 1.9.2) nicht alle Clients angezeigt, weder in der Topologie noch in der Liste.

Die IP ist vom DHCP-Server der UDM vergeben worden, ich kann die Maschine pingen. Es handelt sich um einen LCX-Container in einem Proxmox-Server, auch DNS funktioniert, nur ist er nicht in der Liste.

Ich würde gerne in der UDM eine IP-Adresse für den Container reservieren, das geht aber leider nur, wenn er in der Liste auftaucht.

Ich habe das schon bei anderen Gelegheiten bemerkt, aber jetzt stört es mich, so dass ich hier mal nachfrage.

Allgemein bekannt? Nur bei mir? Sitzt der Bug vorm Keyboard?

Oder warum ist das so? Und kann man was dagegen machen?