zeitnah ... ich liebe dieses Wort 
ich drück die Daumen.
Beiträge von DoPe
-
-
Echt, das ist mir aber komplett neu. In allen Tutorials wird erzählt, dass man unbedingt den Controller oder eben eine DM braucht.
Weil es auch sinnfrei ist die APs einzelnd mit der Handy APP zu konfigurieren und es dürfte auch nicht alles funktionieren. Bei einem AP ists ok aber bei mehreren ist der Arbeitsaufwand hoch, schnell mal ein Fehler im WLAN Key auf einem AP und auch das Handling eher bescheiden.
Allerdings ist es eigentlich kein Beinbruch die Controllersoftware bei Bedarf (Konfiguration des UniFi Systems) auf einem PC zu starten, ohne zusätzliche Kosten.
-
Wie wird das LTE Backup eigentlich konfiguriert? Auch im Controller? Falls ja dann würde da natürlich auch noch etwas Traffic generiert der beim Provider nicht registriert wird.
Wir hatten mal einen Kunden der einige UniFi Geräte an einem Standort ausschließlich mit LTE Anbindung betrieben hat. Der Controller war auf einem Server im Internet. Die wenigen Endgeräte an diesem Standort haben sehr wenig Internettraffic gemacht (Fernwartung/Fernsteuerung Windmühlen). Alleine durch die Kommunikation der UniFi Geräte mit dem Controller entstand im Monat soviel Traffic, dass der Kunde das Datenvolumen aufbohren musste, um den gesamten Monat vernünftig arbeiten zu können.
-
Vermutlich dürften das sehr alte Accesspoints sein, wenn die Controllerversion auch einige Jahre alt ist. Da wird man wohl einige aktuelle Geräte nicht adoptieren können weil dem Controller unbekannt.
Kannst Du auf die Accesspoints per SSH drauf? Dann könnte man die Accesspoints über die Shell Factory Reseten.
Die USG WebGUI ist prinzipiell erstmal uninteressant. Da kann man nichts großartig konfigurieren, was nicht vom Controller überschrieben wird. Wichtiger wäre wohl die Oberfläche vom Controller. Mit der IP vom Controller sollte eine Auswahlseite kommen ... einmal die Network App und einmal IP Settings für den Key. Beides benötigt Zugangsdaten, die unterschiedlich sein können. Geht da noch was?
-
Sicherheitslücken vor oder nach einem Fix "breit treten" ist immer so eine Sache. Man muss ja nicht die bösen Schergen noch animieren, diese Lücken zu entdecken und auszunutzen. Wenn allerdings die Lücken bereits ausgenutzt werden, dann finde ich es von Herstellerseite verantwortungslos, nichts zu kommunizieren. Da ist dann ein Hinweis auf den Fix oder ein Workaraound m.M.n. Pflicht.
Bisher gehörte AVM eher zu den besseren Herstellern ... Sicherheitsupdates auch für alte Modelle und das oft sehr zeitnah. Da gab es doch mal das Problem mit SIP Anmeldungen aus dem Internet und Horror 0900 Telefonkosten. Damals hat AVM fast alle betroffenen Boxen sehr kurzfristig an einem Wochenende mit Updates versorgt. Was die Zukunft bringt wird sich zeigen. Aber Besitzerwechsel (insbesondere wenn der neue Besitzer ein Heuschreckeninvestor sein sollte) sind selten gut.
-
Und die Sicherheitseinstellung sollte identisch bleiben. Also WPA x PSK. Könnte sonst passieren dass ein Client nicht verbinden kann, wenn da was älteres rumgeistern sollte.
-
Ich tippe mal darauf das Du fehlende Routen hast. allowed-IPs 192.168.177.201/32 bedeutet das nur von dieser einen Adresse was aus dem Tunnel angenommen wird und auch nur an diese Adresse in den Tunnel gesendet wird. Das ist aber das wireguard Interface der Gegenstelle ... Bei einem normalen Client wie deinem Handy passt das. Aber nicht wenn Du einen Router hast der sich einwählt, da möchtest Du ja in der Regel mindestens ein Netz von der LAN Seite erreichen. Du musst also bei allowed-ips schonmal die Netzwerk der Gegenseite eintragen. Dann noh für diese Netze prüfen ob statische Routen vorhanden sind oder diese händisch anlegen.
Bei den UniFi Gateways steht das Wireguard nicht umsonst unter Server.... Damit kann man per klicky klicky KEIN Site2Site VPN endfertig konfigurieren .... in der GUI gibt es ja auch keine Möglichkeit eine ausgehende Wireguard Verbindung zu konfigurieren. Dafür würde es bei entsprechenden UniFI Geräten das SiteMagic geben.
Dazu kommt dann noch der Fasching anderer Hersteller in ihren Oberflächen und den begrenzten Möglichkeiten.
-
War das gleich nach dem auspacken schon so? Klingt ja etwas nach defekt wenn die immer wieder im Recovery Mode landet nach einem reboot und erfolgreichem Firmware einspielen.
-
Du meinst sicher 192.168.2.1/24 und 192.168.7.1/24? Ansonsten ist das zweite keine gültige Netzwerkkonfiguration.
Wenn Du 192.168.7.1/24 in der Firewall Zugriff auf 192.168.2.1/24 erlaubst, zusätzlich natürlich die Established/Related-Regel hast, beide Regeln aktiv sind und *vor* der entsprechenden Block-Regel stehen, sollte es problemlos funktionieren.
Ansonsten einfach mal Screenshots posten, dann lässt sich der Fehler sicherlich finden.
Im Client sind auch bei allowed-IPs beide IP Netze aufgeführt?
Ansonsten dürfte es die Firewall sein, da müsstest Du im prinzip ja für das VPN-Smarthome ähnliche Regeln haben wie von deinem Default-Smarthome Zugriff.
Alles anzeigenIch schließe mich hier mal an die Fragestellung an.
Ich habe ein funktionierende Wireguard Verbindung.
Client ist bei mir ein openwrt Router (Modell GL.iNet GL-AR300M16).
Die Verbindung läuft und ich habe über die Verbindung Zugriff auf das Interent.
Nur komme ich in keine weiteren VLANs.
Interessanterweise funktioniert es von meinem Mobile komplett. Also auch der Zugriff auf die VLANs.
Ich suche den Config Fehler (UDM SE oder VPN Router).
Ist der OpenWRT Router das Standardgateway im entfernten Netz? Vermute mal ja. Sind auf dem OpenWRT die IP Subnetze deiner VLANs eingetragen auf die Du zugreifen möchtest? Allowed-IPs und auch checken ob in der Routing Table des OpenWRTs die Netze auftauchen mit einem geeigneten Gateway oder HOP Interface. Sonst bläst der die Pakete lokal ins Internet und dein Provider droped die dann.
Der OpenWRT nattet die Wireguard Verbindung nicht oder? Die UDM kennt nur die 192.168.17.2 als Client Adresse. Das Netz dahinter ist unbekannt. da musst Du dann also vernutlich händisch in der UDM eine statische Route für das Netzwerk hinter dem OpenWRT eintragen und als Gatewy wohl die 192.168.17.2 eintragen. In der GUI ist das beim Wireguard Server wohl nicht möglich, da für einzelne Geräte zur Einwahl vorgesehen.
Und dann könnten natürlich auch Firewalleinstellungen auf beiden Seiten schuld sein.
-
Ist es sinnvoller, die Traffic Restriction gänzlich ausgestellt zu lassen oder das Gäste-Netzwerk hinzuzufügen? Was ist Standard?
Standard ist das Default als natives Netz und keine Restriction, also alle anderen VLANs getaggt mit auf den Ports. Desshalb hätte das auch eigentlich von Haus aus klappen müssen. Da aber gerne mal an den Ports umgestellt wird, weil man zum Beispiel einen Port exklusiv für ein VLAN haben möchte und man sich nicht erinnert sowas getan zu haben, ist es immer gut genau das zu checken wenn es Fasching mit IP Zuweisungen gibt (keine IPS/ falsche IPS).
Wie man es letztendlich macht, ist persönlicher Geschmack. Ich setze Ports an denen normale IP Geräte hängen prinzipiell auf das entsprechende native Netz welches genutzt werden soll und aktiviere Restrictions mit allen anderen Netzen in Geblockt. Mit getaggtem Traffic können die 0815 LAN Geräte ehh nichts anfangen.
Die Ports welche Infrastruktur untereinander Verbinden (also Switch-Switch, Switch-Accesspoint, Router-Switch und Switch - Virtualisierungsserver) stelle ich in der Regel so ein, dass die Restriction aus ist. Alternativ geht auch Restriction an und alle erlauben. Da bin ich mir aber gerade nicht sicher ob nachträglich erstellte VLANs dann auch erlaubt werden oder ob die nachträglich aufgenommen werden müssen.
Je nach Nutzung der VLANs kann man natürlich die getaggten Netze auch einschränken. Wenn z.B. ein DVR und alle Kameras an Switch 1 und 2 hängen und für das VLAN kein WLAN existieren soll, dann kann man das getaggte VLAN auf den Verbindungen zu den Accesspoints auch blockieren. ebenso bei weiteren Switchen die es ggf. gibt. Eigentlich muss man sich nur gedanklich eine Linie denken vom Router über alles Switche etc. dann kann man gut sehen wo das VLAN notwendig ist und wo es völlig überflüssig ist.
-
Das geht zumindest mit 2 Internetanschlüssen und lässt sich vermutlich auch aufbohren. Automatisch geht das ganze aber nicht. Das nennt sich policy based routing oder auch source based routing. Im Edge wird festgelegt über welche routing Tabelle ein Client oder Netzwerk geroutet wird. Es gibt also mehr als eine routing Tabelle und ausschlaggebend ist primär die Quelle des Paketes und nicht wie sonst nur das Ziel.
Hier kannst Du dir das anschauen mit 2 Internetanschlüssen.
EdgeRouter - Policy-Based RoutingOverview Readers will learn how to configure Policy-Based Routing (PBR) on an EdgeRouter. NOTES & REQUIREMENTS:…help.ui.com -
Mal vorausgesetzt, dass diese Routerfreiheit überhaupt EU Recht sein sollte, dann muss das ganze erst in den Mitgliedsstaaten in nationales Recht überführt werden. Das kann Jahre dauern.
-
Ich muss das dringend mal durchspielen. Leider lebt die Test UDM aber trotz mehrfachem "Stromausfall" noch immer.
Im Controller ist ja nur ein UniFi Router supportet. Durch das Update einspielen sollte der neue Router dann ja vermutlich auch das einzige UniFi Gateway werden oder ist dem nicht so?
Beim USG Tausch musste man den alten Router erst löschen und dann den neuen adopten, da ja der Controller dort separat läuft. Liest sich einfach, kann aber echt nervig werden wenn man viele VLANs verwendet und der Controller da auch irgendwo drin rumgeistert.
Hast Du gleichzeitig beide UDRs am Netz dran?
-
Das klingt nach einem Fehler bei den VLANs.
- Fürs 2. Netz eine VLAN ID vergeben und DHCP wirklich aktiviert?
- Diese VLAN ID beim Gäste WLAN ausgewählt?
- Ist dieses VLAN auf allen Port von UDM ausgehend, auf USW ankommend und auf den abgehenden LAN Ports zu den Accesspoints auch getaggt vorhanden? Wenn Du an den Portprofilen nichts geändert hast sollte das passen. Aber lieber kontrollieren. Es sollte an den entsprechenden Port als natives Netz das Default sein und entweder keine Traffic Restriction vorhanden sein oder aber das Häkchen sitzt, dann sollte dein 2. Netz aber bei erlaubt aufgeführt sein.
Als Test kannst Du einen Lan Port mal auf nativ: dein 2. LAN setzen und Traffic Restriction enablen und alle andere Netze als Blockieren. Danach sollte dann ein Gerät was an diesen Port angeschlossen wird in deinem Gastnetz sein und hoffentlich eine IP beziehen die passt. Danach weißt Du ob es bis zum Switch passt. und dann würde ich in Richtung Accesspoints weiterprüfen.
-
In der GUI ist doch auch kein Wireguard Client konfigurierbar oder bin ich blind? Würde dann ja ohnehin nur aus dem Unifi OS heraus machbar sein... so es denn ausreichende Infos zu den notwendigen Parametern geben würde.
-
Ich nutze Teleport nicht wegen der riesigen Auswahl an Clients. Kann also nichts dazu sagen. Aber was da jeden Tag neu generiert werden soll, erschließt sich mir jetzt nicht. Der Link für die Einladung läuft doch nicht ab?
Ich habe einfach den Wireguard VPN Server eingerichtet. Da muss nichts neu generiert werden. Ein Profil pro Client erstellen und das bleibt gültig solange es nicht gelöscht wird oder grundlegende Einstellungen in der UDM verbogen werden, wie z.B. ein neues Paar Keys für die UDM.
-
Und Port 1 könnte als WAN Port konfiguriert sein. Port 2 und 3 sind nicht umkonfigurierbar. Da biste definitiv im Standardnetz der Fritzbox. Eigenwillige Konfigurationen von diversen Anbietern im Bridgemode der Fritzbox mal Aussen vor ... dann könntest Du sehr wahrscheinlich in der Fritzbox auch nichts forwarden.
-
Die Port/IP Gruppen kann man aber beim Portforwarding nicht benutzen. Wie mir scheint sind die nur für die Firewallregeln einsetzbar.
-
Wie die UDMs das Hair Pinning realisieren weiß ich nicht. Bei den USGs und Edge Routern musste man zumindest bei mehreren LANs immer etwas nachhelfen. Da war das ganze eine Mischung aus Source und Destination NAT und ich meine der Traffic ging überhaupt nicht über das WAN Interface und wurde direkt in das entsprechende Ziel Netz umgebogen.
Ich würde einfach mal versuchen die Inter-VLAN-Blockierung etwas aufzuweichen und zumindest den Traffic den Du auch aus dem Internet durch die Portfreigaben zulässt, auch aus den benötigten VLANs zum Ziel (Proxy)) zu erlauben. Den Rückweg nicht vergessen!
-
Leg doch für die 1024 einen zusätzlichen Eintrag an oder mach 20-22,..... draus . Man kann vermutlich nicht endlos kommagetrennte Ports in einen Portforwarding Eintrag tun.
