Hi EJHome,

Zitat von EJHome

"Ausgehend von der Tatsache, dass ich in meinem neuen LWL-Netzwerk per se keine Verbindung von aussen herstellen kann (IPv6 mal aussen vorgelassen)"

Das solltest Du uns erklären!

Ja das hat mich auch überrascht.

Ich bekomme vom LWL-Netz-Betreiber auf dem WAN der UDM eine IP, die dann im Service der UDM bei meinem DynDNS-Provider eingetragen wird. Das ist allerdings eine Netz-interne Adresse zb. 100.78.0.78

Meine End-IP bekomme ich dann von meinem Internet-Provider das wäre z.B. 89.187.168.170

Diese Provider-Id wird anscheinend nicht auf die Netz-interne Adresse zurück umgesetzt.

Die Ping's auf beide Adressen laufen ins leere, bzw. tracert zeigt in meinem Büro, das die Suche in einen Loop läuft.

Das ist aber anscheinend kein Phänomen meines LWL-Bereiches sondern scheint allgemein bei LWL zu bestehen:

https://www.ulrichivens.de/index.php/glasfaser/

Sicherheitstechnisch ist das ja nicht so schlecht, so kann kein China oder Russland-Scan an mein Netz kommen.

Blöd ist nur, wenn man selbst einen Server zur Verfügung stellen will, zumindest für den Privat-Gebrauch.

Oder so wie ich eine Site2Site-VPN aufbauen will.

Ich habe im Pi-Forum auch nach Vorschlägen gefragt und dabei sind 2 genannt worden:
Reverse SSH

OpenVPN

OpenVPN wäre nicht so schlecht, da mein LinkSys-VPN-Router intern schon einen OpenVPN-Server bereitstellt.

Und jetzt kommt das Schwarmwissen und die Hilfsbereitschaft der Gemeinde hier ins Spiel.

Wenn ich einen Pi mit OpenVPN aufsetze und der aktiv einen Tunnel zu meinem Büro betreibt, wie binde ich diesen in das Unifi-Netzwerk ein?
Einfach ins Main-LAN hängen?

Oder ein neues Netzwerk erstellen, den Pi alleine an einen Port der UDM hängen und dann Zugriffe über die Firewall steuern (obwohl das jetzt sowieso alle anderen Devices sind, weil ich noch keine Trennung gemacht habe).

Fürs erste wäre mir die einfachste Lösung recht, Feintunig mache ich später.

Warum ich verunsichert bin?
Bei der früheren Lösung wurde das allen innerhaln zweier gleich Router abgewickelt und ich habe am Ausgang auf dem LAN schon beide Adrersbereiche zur Verfügung gehabt, jetzt muss ich das ausserhalb des Routers aufsetzen und das ist neu für mich.

Hi Leute,

Ausgehend von einem anderen Thread UDM - P/P VPN mit DynDns hat sich eine neue Fragestellung ergeben, weswegen ich dafür einen neuen Thread aufmache.

Ausgehend von der Tatsache, dass ich in meinem neuen LWL-Netzwerk per se keine Verbindung von aussen herstellen kann (IPv6 mal aussen vorgelassen) hätte ich gerne einen permanenten Tunnel zu meinem Büro adressierbar über DynDNS.

Ich brauche also einen VPN-Client.

Der UDM hat sowas nicht eingebaut, soweit ich weiss (nur VPN-Server)

Die Überlegung ist jetzt einen RasPi einzusetzen, der den Tunnel permanent aufbaut, sodass ich wenigstens von meinem Büro aus in das "Haus"-Netzwerk sehen kann (Kameras, FHEM, usw.)

und eventuell die HTTP/HTTPS-Abfragen über das Büro an das Haus weiterleiten kann (dort habe ich einen RasPi mit NGINX als EIngangsserver).

Wie stalle ich das auf Netzwerk-Ebene an? (was ich am Pi machen muss und dafür brauche, muss ich auch noch nachforschen)

Aber was mache ich auf der Unifi-Ebene?

Ein neues Netzwerk/VLAN erstellen und auf einen Port der UDM routen und dahinter nur einen PI setzen der das macht? So als eine Art DMZ?

Oder gibt es eine andere Möglichkeit?

Vielleicht kann mir einer von Euch den Weg weisen.

Vielleicht wären noch die IP-Ranges wichtig:

Büro: 192.168.10.x

Haus: 192.168.1.x (zumindest jetzt noch in der Anfangs-Phase, bevor ich mein Netz aufteile)

Danke.

Hi BlackSpy,

Raspberrys habe ich genug dafür

Die Frage ist nur wie ich diesen einbinde.

Als einzigen Rechner in ein eigenes Network? VLAN? Da ist meine Erfahrung leider NULL.

Und dann die Regeln entsprechend einstellen?

Oder ins MainLan?

Mit meinen alten System war das einfach, weil das die beiden Router selbst ausgehandelt haben und automatisch das Remote-Netzwerk eingebunden war, wenn ich auch nur über die IP-Adresse zugreifen konnte.

Was aber jetzt mit dem LWL sowieso nicht mehr ginge.

Ich werde noch etwas im Netz suchen, vielleicht finde ich eine "Gebrauchsanleitung" für die Erstellung.

Aber die meisten Sites erklären nur das Einrichten eines VPN-Servers in einem "normalen" Netz, wo man dann auf die UDM zugreifen kann und nicht umgekehrt.

Danke für Deine Antworten.

Hi,

Zitat von BlackSpy

Normales VPN, das geht auch mit DynDNS

Sorry für die späte Antwort, aber da muss ich noch etwas nachfragen.

Ich bin erst jetzt auf eine weitere Hürde gestoßen, die mich ziemlich deprimiert, da ich damit nicht gerechnet habe.

Da, wo ich die UDM einsetze, bin ich einem OAN-LWL-Netz, und jetzt bin ich draufgekommen, das die vergebene Adresse am Router OAN-intern ist und nicht von "aussen" erreichbar ist. Daher hat DynDNS da keinen Sinn.

Das heist, den Tunnel kann ich sowieso nur von der UDM her aufbauen.

Wie funktioniert das nun?

Ein neues Netzwerk einrichten, dort müsste dann aber ein VPN-Client laufen, der sich am VPN meines Büro-Routers anmeldet.

ist das möglich, wenn ja, wie?

Und ist der dann bidirektional? OK, ich denke die FW-Regeln müssen entsprechend eingestellt werden.

Oder muß man über ein anderes Gerät den Tunnel aufbauen.

Da bin ich ein wenig überfordert, da mir für die Suche im Internet die Schlagworte fehlen.

Hi BlackSpy,

danke für die schnelle Antwort.

Schade das es nicht geht.

Jetzt bleibt die Frage, ob und wie ich eine der beiden anderen von mir angedachten Lösungen realisieren kann.

Hi,

dank der Hilfen hier und den Ratschlägen habe ich heute nun meine UDM installiert.
War gut so, weil mein alter Router hätte sich nicht auf meine neue LWL verbinden können, weil man keine VLAN-Id angeben konnte.

Hat einigermaßen gut funktioniert, bis auf eine Sache gleich zu Beginn:
UDM hat zwar gemeldet, dass es Internet connected hat, hat mich aber dann nicht bei Unifi anmelden lassen, sodass ich nicht gewusst habe, woran es liegt.

Nach einigen mal ab/anstecken des Netzwerkkabels hat es dann aber funktioniert.

Mein alter Router ist ein Linksys VPN LRT214. Einen gleichen habe ich im Büro, sodass ich eine permanente VPN-Verbindung aufgebaut habe.

Beide Seiten waren über DDNS erreichbar und das hat funktioniert.

Jetzt denke ich natürlich auch über eine permanente VPN-Verbindung nach, aber ich finde die Einstellung nicht, den Partner über DDNS auswählen zu können.

Ist das überhaupt möglich?

Wenn ja, wo und wie wird das eingestellt?

Oder geht es den alten Router ins Netz zu hängen und über den die VPN laufen zu lassen?

Oder einen VPN-Server in einem RPI im Netzwerk das tun zu lassen?

Danke.

Die Controller-Version ist 6.0.45

Also wird nur grusim 's Vorschlag funktionieren.

Die beiden AP's sind zwar schon am laufen, aber das wird kein Problem sein.

Einen davon habe sowieso zuerst an's Netz gehängt und dann aber zum probieren mit WLAN an den ersten AP gebunden, rein zu Testzwecken.

Das ist auch nicht ohne Reset gegangen. Aber ich brauche noch Übung

Und in der Zwischenzeit übernehmen meine Devolo-AP's so wie früher ihre Aufgaben.

@all

Banke für die Antworten-

Modem ist wohl etwas falsch ausgedrückt gewesen. Es ist ein ONT=optisches Netzwerk Terminal.

Meinen Controller habe ich auf einem Raspberry Pi in einem Docker-Container am laufen. Also denke oder dachte ich auf den CloudKey verzichten zu können.

Die Transferrate in meinem Abo ist 150/50

Und bezüglich der Firewall denke ich, werde ich alles bis auf http/https zumachen.

Ich glaube nicht, das ich sehr viel experimentieren werde.

Es wird nur meine Ruhestands-Resisdenz damit versorgt.

Mir war wichtig (nachdem ich einige Youtube-Videos gesehen habe) die meiner Meinung nach einfache Konfiguration über den Controller und die VLAN's um meine Netzbereiche zu trennen.

Zum Preisvergleich der USG mit UDM: ohne CloudKey ist es 1/3, wenn man aber bedenkt, dass man sich mit den 4 LAN-Ports und der Funktion als AP den anschliessenden Switch und einen Access-Point zumindest in der Location erspart, ist das sicherlich zu überdenken.

Damit habt Ihr mir wieder einen schönen Floh ins Ohr gesetzt

Der Floh war aber nur kurz im Ohr, ich habe die UDM gerade bestellt (man soll nicht lange träumen )

OK, gehört jetzt zwar nicht direkt zum Thread aber zu den vorigen Antworten:
Funktioniert damit der Controller-Umzug über Export vom Docker-Controller mit Import in den UDM?

Ich meine, die beiden AP's sind kein Problem sie abzuhängen und in der UDM neu einzubinden, aber wenns einfacher wird.

Danke amaskus.

Du hast mir das Wochenende gerettet

Ich werde also gleich morgen einen USG und einen US-8-60W bestellen.

Damit habe ich dann eine Basis für weitere Versuche und kann mein Hausnetzwerk mal einfach an den neuen Switch anhängen (inkl. schon bestehender AP's).

Wenn ich Probleme habe, kannich wieder auf meine Schnecken-Verbindung zurückstecken.

Aber ich bin guter Hoffnung.

-- diwoma

Hi Leute,

Ich hätte wieder mal eine Vorab-Frage, bevor ich das Gerät kaufe:

Ich habe heute die Verständigung bekommen, daß sich mein neuer Provider endlich (nach 3 Wochen) auf meinen LWL Anschluss verbunden hat.

Allerdings muss man für die Verbindung zum Provider eine VLAN-ID einsetzen.

Er hat auch eine Beschreibung mit geschickt, was man bei einer Fritzbox einstellen muss, das es funktioniert (als ob jeder eine FB hat).

Die Konvertierung von Glasfaser zu LAN besorgt ein Huawei EchoLife EG8010H, falls das wichtig ist.

Bevor ich mir den USG anschaffe hätte ich gerne gewusst, ob/wie man auf der Eingangsseite ein VLAN einträgt.

Bzw. ob es doch notwendig ist, eine FB zwischen Modem und USG zu stellen nur um den Modem-Anschluss zu konfigurieren

Sorry, sollte es schon Antworten geben, dann war meine Suche falsch.

Was ich mit VLAN gefunden habe, war alles nur von USG zu AP's

Danke.

-- diwoma

Hi amaskus,

vielen Dank für Deine schnelle Antwort.

Also: Auf geht's

-- diwoma

Hallo Leute,

Ich bin neu hier und bitte im Voraus um Entschuldigung, sollte ich Boardregeln in dieser Anfrage misachtet haben, oder das Thema falsch gewählt haben.

Sorry für die vielleicht schon 1000 mal im Netz beantwortete Frage, aber ich habe die Antwort einfach nicht gefunden.

Ich möchte in einem Haus mein Netztwerk auftrennen, das ist ja schon oft beschrieben und wahrscheinlich auch Standard.

Kurze Erklärung über die Bereiche:

Main: LAN / WLAN

Gast: voraussichtlich nur WLAN

IOT: sicher nur WLAN

Kamera: Voraussichtlich nur LAN, vielleicht später auch WLAN.

Verwendet werden Unifi UAC-AC-PRO und UAC-AC-M

Mit Sicherheit aber noch zu kaufen: USG und wahrscheinlich 2 Managed POE-Switches (für 2 Haus-Ebenen)

Das ist also nicht so berauschend.

Da ich aber noch nie mit VLAN's gearbeitet habe, habe ich diese Frage:
Kann man auf einen AP mehrere VLAN's aufschalten?

Es wäre blöd, wenn ich für jedes VLAN (und das brauche ich ja doch alle auf jeder Ebene) einen eigenen AP brauche.

Ich denke mir (aus Videos) das das gehen sollte und nur von der Konfiguration des Portes abhängt, an dem der AP angeschlossen sein wird.

Wenn ich richtig liege, werde ich mich schon weiterhanteln (oder entsprechende Hilfe erbitten), aber die Frage ist für mich essentiell.

Danke im Voraus für eine Antwort (ein einfaches Ja/Nein/Aber) würde mirt schon genügen.

-- diwoma