Beiträge von diwoma

Hi Grendelbox,

vielen Dank für Deine Ausführungen.

Allerdings war der Hinweis auf die MS-Server nur gedacht, wie ich es anderswo (Büro) mache. Im Haus werde ich keinen Win-Domain-Server verwenden.

Aber das mit der internen DNS-Auflösung ist eigentlich (bei mir) allgemein ein Problem, bzw. eine Unbekannte.

Ich habe jetzt eine Maschine mit einer statischen Adresse (natürlich ausserhalb des DHCP-Bereiches in der UDM) eingehängt.

Als Client wird er mit seiner MAC-Adresse angezeigt. Ich will ihn aber mit seinem Namen ansprechen.

Und wie das gehen kann, ist mir unbekannt.

Deshalb wollte ich wissen, ob bzw. wie man die DNS-Rechords der UDM auslesen, bzw. anpassen kann.

Hi Leute,

mal etwas weiter gefragt, wie macht ihr den DHCP und DNS?

Überlasst Ihr das dem Router oder habt ihr eine "externe" Lösung?

In meinem kleinen Büro musste ich mal für für eine Umgebung mit MS Exchange entwickeln und habe mir dafür eine Windows-Domain aufgebaut. Da macht natürlich der Server die DHCP und DNS, und nicht der Router. Das soll auf meinem Ruhestands-Ort natürlich nicht nachgebaut werden.

Aber zahlt es sich aus, einen externen Rechner (eventuell PI) diese Aufgaben zu überlassen, um genauere Daten über den Bestand zu bekommen?

Und bei mehreren VLAN's würde das natürlich für jedes VLAN so einen Server bedeuten, was natürlich mit Docker nicht so problematisch wäre.

Was mich stört ist irgendwie die fehlende Möglichkeit der Auswertungen der Daten aus der UDM.

• Keine Liste der vergeben IPs mit ihren Leases
• keine Protokolle über den Traffic (außer dem Dashboard), aber wenn ein Drucker permanent kleine Menge Daten lädt, würde mich schon interessieren, warum und woher er die Pakete holt.

Oder sehe ich das zu schwarz?

Hi Leute,

ich habe ein Problem mit der internen DNS-Auflösung eines Geräte-Namen.

Seit heute habe keine bzw. eine falsche Namensauflösung eines PI.

Die UDM spielt den DHCP für das interne Netzwerk, sollte damit auch die interne DNS-Auflösung bereitstellen (und tut das eigentlich auch).

In der Clientliste ist der PI zwei mal vorhanden, einmal mit leerer IP einmal mit der richtigen IP.

Pingen mit IP geht, mit Namen nicht.

Während ich das geschrieben habe, habe ich mir gedacht, vielleicht sollte ich die UDM mal rebooten.

Gedacht, getan.

Jetzt ist der Pi einmal in der Client-Liste mit der richtigen IPV4-Adresse.

Wenn ich allerdings im Windows ein PING ausführe, löst er den Namen mit der IPV6-Adresse auf.

Und andere PI's melden: "Zu diesem Hostnamen gehört keine Adresse"

Kann man in der UDM irgendwie die gespeicherte DNS-Liste einsehen?
Im Web-Interface sehe ich dazu nichts (wäre aber nicht schlecht, genauso wie die vergebenen IP's vom DHCP-Server).

Und wie kann ich verhindern, dass intern IPV6 verendet wird, seitens der UDM?

Vielen Dank.

Nachtrag:

nach einieger Zeit bekomme ich doch noch eine Auflösung mit IPV4 und die anderen PI's bekommen nun auch die Adresse aufgelöst.

Das Problem wäre somit erledigt durch

Restart UDM -> etwas warten

Klar ist mir das allerdings nicht und ich hasse es, wenn etwas plötzlich funkioniert, ohne dass ich die weiss warum.

Das erinnert mit an meinen Physik-Professor in der Schule mit der Aussage:

Was ist Theorie

Wenn's funktionieren soll und tu es nie

Und was ist Praxis, fragst Du dumm

Wenn's funktioniert und keiner weiß warum

Hi an alle,

Der BUG war vor dem Bildschirm!!!

Ich habe eine WAN-IN Rule an erster Stelle definiert, mit der ich SSH blockieren wollte, aber kein Port angegeben. Damit ist alles blockiert worden.

Darin sieht man wie mächtig und granular diese Firewall ist.

Zwar ist die Frage nicht beantwortrt, wo es Logs für WAN gibt, wenn ich vielleicht mal den Traffic abgreifen will um die Daten in einer DB zu speichern und/oder grafisch aufzubereiten, aber das Problem um was es mir jetzt gegangen ist, ist gelöst.

Hi an alle Netzwerk-Spezialisten: Ich habe jetzt auf der UDM den Traffic mal mitgetraced und habe beim Versuch vom Büro auf den Webserver hinter der UDM zuzugreifen folgendes aufgefangen:

07:03:38.402011 IP AAA.BBB.CCC.DDD.28776 > aaa.bbb.ccc.ddd.80: Flags [S], seq 3054009929, win 64240, options [mss 1400,nop,wscale 8,nop,nop,sackOK], length 0

IP gross: Büro

IP klein: UDM

Der Versuch über die von iTWeek vorgeschlagene Site ergab:
07:00:10.547795 IP 198.199.98.246.44557 > aaa.bbb.ccc.ddd.80: Flags [S], seq 1275608970, win 14600, options [mss 1460,sackOK,TS val 2316678025 ecr 0,nop,wscale 8], length 0

d.h. Traffic kommt durch bis zur UDM, ist also kein Provider-Problem, sondern muss an der UDM liegen, das das Port als geschlossen erkannt wird.

Wenn's nicht an der UDM liegt, werde ich noch bei meinem ISP nachfragen.

Danke für die Hilfe

Danke für den Link.

Alle Ports sind zu.

Der UDM ist über ein "Huawei EchoLife HG8010H GPON Terminal" ans LWL-Netz angebunden, wenn also jetzt die Ports zu sind und nicht in der UDM extra zu öffnen sind, bedeuted das wohl das mein Provider, bzw. der Netzwerk-Anbieter die Ports nicht geöffnet hat.

Hi ITWeek,

Sorry, DRM ist meine (wie ich jetzt erkannte) falsche Abkürzung für die DreamMachine, hätte UDM sein sollen.

Ja Portweiterleitung zu einem RPi mit NGINX ist eingerichtet.

Darum will ich ja sehen, ob mein Request überhaupt ankommt, deshalb die Frage nach möglichen WAN-Logs.

Aufbau vom Netz:

Zur Zeit WAN und ein LAN.

Und die Frage ob ich jetzt noch eine Verknüpfung zwischen WAN und LAN machen muss oder on das schon intern geregelt ist, wenn ich eine Portweiterleitung von WAN auf das 192.168.1.xxx (LAN) mache.

Hi Leute,

Ich suche (etwas verzweifelt) nach Protokollen, die den Datenverkehr auf dem WAN aufzeichnen, z.B. einkommende und ob eine Firewall-Regel abweist usw.

Wenn ich im DRM-Netz bin und über die Webadresse eine Site auf meinen weiter gerouteten Webserver öffne, funktioniert es, nicht aber von einem Netz ausserhalb, obwohl die Adresse über Ping erreichbar ist.

Ich nehme an, dass die DRM das intern regelt, wenn sie erkennt, dass die IP sich auf sie bezieht.

Ich würde jetzt gerne wissen, was da ankommt, ob was ankommt und warum der Server nicht erreichbar ist.

Hi scheint sich erledigt zu haben.

Zurückgestellt auf DHCP _und_ Restart der DRM hat dann die richtige Adresse vom ISP eingetragen.

Um zum ursprünglichen Thema zurückzukehren, aus der SiteToSite-VPN wird da wahrscheinlich nichts gehen, weil ich bei meinem anderen Provider keine feste IP habe (und für die nächste Zeit auch nicht haben will), aber da ich nun in das Netz über WAN kommen kann, kann ich einen VPN-Server in der DRM anlegen und wenigstens vom Büro aus zum Haus verbinden.

Alles in allem ist zwar das Thema nicht ganz erledigt, aber zumindest zur Zufriedenheit gelöst.

Ich danke allen, die mir mit ihren Messages geholfen haben.

Ansonsten bleibt nur noch zu sagen:
Ich wünsche allen ein schönes Osterfest und viele bunte Ostereier

Nachtrag zur vorigen Message:

Die DRM meldet bei meinen Angaben einen Konfigurationsfehler:

There was a problem applying the configuration on . 
Please try again or contact Ubiquiti Support if the problem persists

Allerdings weiss ich jetzt nicht, was für einen Fehler ich da habe.

Wenn ich eine statische IP-Adresse angebe, welche Subnetzmaske muss ich dazu geben?

Hi,

Tja, da habe ich noch ein Verständnis-Problem:
Ich trage in der DRM unter WAN eine Statische IP ein, aber der Router zeicgt immer noch die alte IP an.

Muss ich die DRM Restarten oder sonst was machen daß die Einstellungen übernommen werden?

Zitat von EJHome

Hi!

Super, Du hast von Deinem ISP eine öffentliche IPv4 bekommen.

Das ist doch ein Erfolg.

Und was möchtest Du jetzt realisieren?

Die Antwort auf einen Ping ist ja wohl nicht Dein Ziel, oder?

Gruß!

Alles anzeigen

Wie ich schon geschrieben habe, zumindest einen Webserver. Was dann noch kommt, wird sich weisen

Hi Leute,

Ich will mich wieder mal melden und an den Thread anschliessen.

Mein Provider hat mir eine öffentliche IP gegeben.

Jetzt will ich prüfen, ob es funktioniert, aber auf Ping gibt es keine Antwort,ich habe auf der DRM zwar eine Einstellung für Ping gefunden, wo ein Echo-Server eingetragen wird, aber ich weiss nicht ob das für das WLAN gilt.

Gibt es eine andere Einstellung, dass DRM auf einen Ping im WAN antwortet.

Und eine andere Frage:
Wenn ich mit HTTP auf diese Adresse zugreife, sollte eigentlich mein NGINX antworten, der in der HTTP-Weiterleitung als Standard definiert ist.

Aber muss ich noch ein Routing einstellen, dass WAN auf das LAN eine Portweiterleitung durchführt?

Ich habe voerest nur ein LAN, vielleicht später ein VLAN als DMZ, ist aber noch nicht notwendig, vorerst möchte ich nur mal reinkommen.

Zitat von EJHome

Das ist ein echtes Dilemma!

Kann der ISP nicht eine öffentliche IPv4 zu Verfügung stellen?

Kann ich noch nicht sagen, ist WE und auf mein Mail ist noch keine Antoert gekommen.

Zitat von grusim

Google einfach mal nach Dual Stack lite und VPN, da solltest du schnell fündig werden. Vielleicht passt ja eine der Lösungen zur UDM und ist bezahlbar ;-).

Danke für den Tip, werde ich machen.

Und auch auf andere Lösungen suchen.

Zitat von EJHome

Jedoch müssen beide genannten IP's vom Internet erreichbar sein.

Und genau das ist das Problem, meine UDM bekommt eine IP, es ist aber nicht die IP, die im Internet zur Verfügung gestellt wird.

Also fällt ein direktes S2S aus.

Ich brauche eine Möglichkeit, einen Tunnel von einem Client aufzubauen, der bidirektional verwendet werden kann.

Aber das Wochenende ist vorbei und damit werden die Versuche erst nächstes Wochenende weitergehen.

In der Zwischenzeit werde ich wohl noch Recherche betreiben.

Zitat von tomtim

Bei Site-To-Side musst du eben eine feste IP haben

OK, schade, dann fällt das aus.

Aber danke für die Erklärung

Sorry, aber so ganz verstehe ich den Ansatz noch immer nicht.

Und ich weiss nicht ob ich erwähnt habe, dass ich auf der Büro-Seite nichts von Unifi habe und außerdem DynDNS.

Meine Konfiguration gegen einen OpenVPN-Server sähe so aus:

Allerdings kann ich keine fixe Remote (Büro?) Adresse angeben. Ich weiss zwar nicht, ob mein Privider switch't, aber es wäre möglich.

Und auch nicht was jetzt die lokale id ist.

Und die IpSec-Konfiguration sieht so aus:

und hier hier wüsste ich nicht, was ich als lokale WAN-Ip eingeben sollte.

LWL intern: wird nicht auflösbar sein

Provider extern: dynamisch

Es ist tatsächlich kompliziert in einem LWL-Netz.

Zumindest kommt es mir so vor.

Zitat von tomtim

Wenn der Controller aussen ist wird deinen Netzen ja die set-inform Adresse vom Server mit fester IP gegeben. Dann können die Netze wohl verbunden werden.

Ich verstehe nur nicht, was Du unter außen verstehst.

Haus: Internet -> Provider -> LWL -> Router

Büro: Internet -> Provider -> Router

Ausserdem bin ich wahrscheinlich von falschen Voraussetzungen ausgegangen, ich dachte ein Tunnel wäre immer bidirektional.

Ich habe meinen OpenVPN-Zugriff zu meinem Büro-Router mal auf meiner Windows-Maschine getestet.

Verbindung klappt, Zugriff auf Devices von Haus zu Büro klappt.

Allerdings nicht die Strecke Büro-Haus.

Das ist also der Unterschied einer Sit2Site Verbindung und einer Client/Server-Verbindung.

So geht es also nicht.

Hi tomtim

Zitat von tomtim

Controller nach außen verlagern (kleiner Ubuntu - Server ) und dann dort die Sites miteinander verbinden.
Feste IPs für beide Standorte besorgen (kein dyndns)
den Hauptrechner per VPN ins Netz bringen - also in der Firma -> nach Hause und umgekehrt - Verbindung bleibt ja dauerhaft bestehen bei Unifi

zu 1) Anscheinend gibt es bei der LWL-Anbindung kein außen

zu 2) Das zahlt sich nicht aus

zu 3) Das will ich mit dem aktiven Aufbau des Tunnels vom Haus aus realisieren.

Als 4. Möglichkeit sehe ich noch die Verwendung von IPv6 wie es in https://www.ulrichivens.de/index.php/glasfaser/ beschrieben ist. Das würde dann auch als Insellösung nur für das Haus funktionieren, wenn später die Firma nicht mehr existiert, und ich trotzdem von extern zugreifen will

Danke für die Vorschläge.