Beiträge von Saarlaender

Netz muss ich noch ändern und das mit der Einwahl werd ich auch noch testen

Kann ich via Laptop die PPPoE Einwahl irgendwie machen oder muss ich dazu wieder das Vigor umkonfigurieren?

Kann jemand von euch den anderen Denied-Eintrag deuten? Wenn ich das richtig sehe, sind meine PINGs auch von SIZE=40 und TCP... und das Ziel von dem verworfenen Paket is meine public ip

Ok also ohne jetzt genau zu wissen wonach ich suchen soll hab ich mal die Live-Logs mitgeschnitten bzw. mir angeschaut. Dabei dann mal nen Ping und Tracert versucht

Wenn ich das richtig verstehe, dann muss ich suchen nach [WAN_LOCAL-default-#] wobei die # zum Beispiel A sein kann (Accepted) oder D (Denied).

Hier fällt mir auf, dass ich folgende Denied-Einträge vom WAN_LOCAL hab

in= eth2

out=

MAC=ff:ff:ff:ff:ff:ff:00:usw

SRC= 0.0.0.0

DST=255.255.255.255

LEN= 144

TOS=0x00

PREC=0x00

TTL=254

PROTO=UDP

LEN=124

und noch ein paar vermutlich nicht so wichtige Einträge

Deneben gibts auch einträge mit in= pppoe0

Ich wollte jetzt mal schauen was zum PING gehört bzw. nach dem Ping so passiert... allerdings finde ich in der LOG nichts von meiner IP vom Typ ICMP. Was is da los?

Wie kann ich im LOG herausfinden, was nach meinem Ping-Befehl (zu tel.t-online.de) passiert und da zb denied wird?

Kann man die LOGs irgendwie auf denied / rejected etc limitieren?

Ist folgender Eintrag evt. die verworfene Ping-Antwort?

[WAN_LOCAL-default-D]IN=pppoe0 OUT= MAC= SRC=92.63.197.5 DST=meinepubliciphier LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=49139 PROTO=TCP SPT=47707 DPT=8949 WINDOW=1024 RES=0x00 SYN URGP=0

In der Tech-Support-Ausgabe ist der Zähler der "Default Action - rule 10000" für "IPv4 Firewall WAN_LOCAL" auf einem extrem hohen Wert.... Muss ich hier spezielle Freigaben für Ping/SIP etc einrichten?

Gibts evt. testweise ne Rule um alles temporär zu erlauben?

Zitat von BlackSpy

https://help.ui.com/hc/en-us/a…iFi-How-to-View-Log-Files

Danke,

irgendwelche Hinweise wonach ich Ausschau halten muss bzw. in welcher Log ich inwiefern sehen würde wenn hier etwas verhindert wird bezgl. der Thematik hier?

Korrekt. Ich hab da immer wahllos was rausgepickt wenn ich die mal manuell vergeben hatte. Derzeit hab ich andere DNS-Server drin, die mir automatisch vergeben wurden. Die hab ich dann aber per Hand eingetragen, weil manchmal nach einiger Zeit dann doch irgendwie 127.0.0.1 oÄ dort steht auch wenn das eigentl nich sein kann?!

Ich berichte


Dennoch nochmal die Frage: Gibts nich irgendwo (ggf. nach separater Aktivierung) LOGs im Vigor und/oder USG um der Sache auf die Schliche zu kommen?

Ok, welchen Telekom-DNS soll ich nehmen? Akzeptieren da grundsätzlich alle die Anfragen an tel.t-online.de?

Parallel dazu müsste ich ja dann auch meine WAN-Settings und die Gateway-Einstellungen ändern ... denn dort wird ja eigentlich der DNS gesetzt?!

Ping grundsätzlich geht. Auch sonst geht alles - nur eben tel.t-online.de nicht

Ich hab ja Telekom DNS Server (offenbar nachweislich) - aber gerne kann man das nochmal irgendwie prüfen?!

Ohne USG und Vigor gehts, also muss es ja am Vigor und/oder USG liegen. Ich weiss bloß echt nich mehr was ich wie machen soll. Eigentlich würde ich bei so ner Hardware LOGS erwarten die mir sagen dass z.B. Pakete von tel.t-online.de geblockt werden oÄ

Also

ich hab jetzt versucht:

-> Thread Management deaktiviert (komplett aus)

-> Alle ggf. relevanten Portweiterleitungen deaktiviert

-> Alle ggf. relevanten Firewall-Rules deaktiviert

->>> Hier gibts z.B. den SMB 445 Block (WAN IN / WAN OUT)

->>> NoT-Netzwerk Block (WAN IN / WAN OUT)

Ich bekomm einfach den Ping nicht durch.

Wie könnte ich z.B. denn einfach mit Werkseinstellungen testen, danach aber 100% save wieder zurück zu meinen Settings? Ich frage zum Einen, weil ich noch kein echtes Backup gefunden habe (nur das runterladen der automatischen Backups) und zum Anderen, weil ich noch nie problemlos ein backup hatte einspielen können. Meine Devices waren immer "Fremdverwaltet" etc.

Ansonsten könnte ich halt alle Benutzer-Rules (auch die vermutlich irrelevanten) mal deaktivieren. Die System-Einträge (drop invalid state etc) kann ich aber nicht bearbeiten.

Gibt es nicht irgendwo LOGs die aufzeigen, was genau vom USG verworfen wird etc? Kann man ggf. eine entspr. Log-Datei aktivieren?

Mein LAN-Netz hat als Settings übrigens

Unternehmen

LAN

192.168.1.1/24

localdomain

DHCP-Server

DHCP-Nameserver Auto

Leasezeit 86400

DHCP-Gateway-IP Auto

UPnP LAN

Rest is deaktiviert, auch IGMP Snooping und DHCP Guarding

PS: Kann hier evt. der Unifi-Support irgendwie (mit LOGS oÄ) herausfinden, weswegen der Ping fehl schlägt?

Ich meinte für den Fall dass da eine der Firewall-Rules Probleme macht...

Ich kann da zwar jede einzelne Rule deaktivieren, aber das is ja recht umständlich. Gibts da keinen "Hauptschalter" um die Firewall komplett zu deaktivieren?

Auf welchen Ports läuft der Ping an tel.t-online.de eigentlich? Dazu brauch ich ja keine Portweiterleitung. Wenn der mal funktioniert, ist der Rest sicher Kindergarten

SIP Contrack is aus, genau

Hab die DNS-Einträge im Vigor gelöscht - rein vorsorglich. Hat nichts gebracht

Thread Management war früher auch aktiv - aber ich schalte das nochmal komplett aus. Die bisherigen Tests haben aber nix gebracht.

Kann ich die Firewall des USG komplett deaktivieren ohne jede einzelne Regel anpacken zu müssen?

Kannst mir die Ausnahme/n konkret nennen wie / wo die hingehören?

Die Fritzbox geht nich, die Pings gehen nich - alles wie bisher 😞

Also ich denke solange die Fritzbox keine SIP-Verbindung herstellen kann, brauch ich das 3CX nich mehr versuchen.

Thread Management hat keinen Einfluss, egal ob Warnen, Avoid oder deaktiviert.

Weiterleitung 5060 derzeit auf die FritzBox eingestellt wie von dir gezeigt

Bei Netzwerke->WAN hab ich lediglich Zugangsdaten bei IPv4. IPv6 ist deaktiviert. DNS Server sind leer, VLAN-ID und SmartQueues sind nicht aktiv

Folgende DNS-Server hab ich

217.237.150.51

217.237.148.22

Wie kann ich das Vigor ausschliessen?

Danke

kurz zum Vigor - passt hier alles?

Ich habe

General Setup

DSL Mode: Auto

Physical Mode: VDSL2

Bei VDSL2:

Customer enable, Tag Value 7, Priority 0

Service Disable

PPPoE

Client disable

vpi 1

vci 32

Passthroug enable

mtu 1500

MPoA

Enable

Channel 2

1483

1

32

Arp detect

mtu 1500

rip disable

bridge enable

dns 8.8.8.8 und 8.8.4.4

IPv6 offline

Firewall

Call Filter enable

Data Filter enable

accept large... enable

enable strict

und ipv6

Also mit der Fritzbox geht es. Ich erhalte allerdings auch eine IPv6-Addy. Das ist glaube ich im USG z.B. nicht der Fall (vermutlich deaktiviert). Laut WieIstMeineIP.de hab ich jedoch keine IPv6-Addy

In der Fritz-Log sehe ich nur, dass zunächst wg. DNS-Fehler keine Registrierung möglich war. Dann wurde erfolgreich trainiert (DSL Training; sprich ich war Online) und dann wurden alle Rufnummern registriert - ohne Logeintrag

Ping auf tel.t-online.de geht.

Ping auf 217.0.128.133 geht auch

Tracert auf tel.t-online.de geht und endet bei 217.0.27.53

Wie seh ich nochmal, welche DNS Server aktuell genutzt werden?

Was nicht geht: Fritzbox an Vigor und Fritzbox soll sich mit Zugangsdaten einwählen. Da steht "der Internetanbieter antwortet nicht auf PPPoE Pakete"

Ahh ok, das hab ich jetzt schonmal für die Fritte gemacht - dann sollten die Thread Alarms deutlich runter gehen

Ich teste dann mal die Fritte direkt an der DSL Leitung. Bin gespannt

Kannst du mir das etwas genauer ausführen? Sprich was ich machen / einstellen sollte?

Also USG wurde erst komplett neu aufgesetzt - das is ja das spannende.

Ich bekomm jedenfalls sehr viele "Thread Management Alarm 2" - Einträge die auf den SIP-Port der Fritzbox gehen.

Ausgangs-IPs sind z.B. 217.182.199.129 oder 217.182.45.107

sorry Leute, ich war kurz nich mehr hier am Start

Also: Vigor läuft so, wie es die Firmware hergibt. Dh ich hab die "Reset-Firmware" für den FullBridgeMode geflasht. Zuvor hatte ich die "normale". Wie genau die Dateiendungen hier sind müsst ich nochmal schauen.

DH ich hab mein Vigor nur neu geflasht und nichts eingestellt.

Die FritzBox ist auch unverändert (es sei denn, dass diese selbstständig die Konfig ändert - da ich die Fritte testweise dann als DSL Modem wieder konfigurierte ... jedoch die Telefonie-Einstellungen nicht angepackt hatte) und solange die Fritzbox hinter dem USG ist geht auch hier nichts mehr bezgl. Telefonie. Obwohl dies mit den noch immer aktuellen Einstellungen zuvor funktionierte.

Test der noch fehlt: FritzBox wieder als Modem direkt an die DSL Leitung und dann testen, um Vigor und USG auszuschliessen

Telekom-DNS sind manuell eingestellt

Ping auf 217.0.128.133 geht nicht

Die Telekom-Entstörfunktion (App) hilft nicht weiter und ich lande immer wieder bei "kostenpflichtigen Einsatz buchen" oÄ. Die Frage ist, wo ich eure Vermutung prüfen lassen kann. Jedenfalls aber werde ich heute mal das mit der FritzBox testen und wenn das auch nicht geht, bin ich ja eigentlich raus

Hat nix gebracht... so langsam nervts echt.

Ich komm wohl nich drum rum das Ganze mal ohne Vigor und USG mit der Fritte zu testen. Wenns dann geht, muss es ja am Vigor und/oder USG liegen

Du meinst bei Netzwerke -> WAN -> DNS?

Soll ich da mal 2 T-Online-Server eintragen? (man kann ja 2 eintragen)

Brauche ich SmartQueues?

Hast du VLAN ID gesetzt? Scheinbar macht Vigor das mit der Werkseinstellung selbst, da ich nur Online kam ohne VLAN ID im USG

PS: Ich hab aktuell mal 3CX deaktiviert. Die Fritzbox hängt wieder am LAN und kommt weiterhin nicht rein. Ich hab jedoch im Thread Management immer wieder ET SCAN ... friendly scanner. Dieser versucht die FritzBox auf Port 5060 zu erreichen.

PPS: Ich hab die Telekom-Diagnose laufen lassen (evt war die das?)

PPPS: Ich habs einfach mal gemacht, die Provisionierung is durchgelaufen aber wenn ich direkt auf den USG gehe, sehe ich als preferred DNS weiterhin 127.0.0.1 und als alternate DNS "leer". Hier hab ich dann direkt auf dem USG unter Configuration mal den preferred DNS rausgelöscht und danach sind 2 offensichtliche Telekom-DNS-Server drin gelandet ... aber nicht die fürs WAN konfigurierten?! Es ist auch keine deiner genannten IPs dabei

ok thx.

Kann ich die Firewall komplett im USG abschalten oder muss ich jede Rule einzeln angehen wenn ich das mal testen will?