Beiträge von DoPe

"Serveridentität kann nicht überprüft werden" ... was genau benutzt ihr denn da? Sprich sind das Microsoft Cloud Dienste oder habt ihr onPrem Server? Offenbar stimmt was mit den Zertifikaten nicht, was bei den Cloud DIensten eher unwahrscheinlich ist, dann wäre massiv mehr Kunden betroffen als ihr. Bei onPrem solltet ihr mal schauen was da los ist mit euren Zertifikaten.

Ich würde ja erstmal prüfen, ob das Problem mit dem Gast WLAN zusammenhängt ...

"WLAN CALL" ... Mobilfunk Verträge und Internetanschluss vom gleichen Provider und unterstützt der Provider das auch? Wenn es eigentlich gehen sollte, dann ist das Gäste WLAN offenbar firewalltechnisch beschnitten ... was in der Regel auch sinnvoll ist. WLAN CALL hingegen ...

Besorgt euch jemanden der sich auskennt oder die Person die das eingerichtet hat. Liest sich für mich als wenn der Bock zum Gärtner gemacht wird. Mit Oberflächlicher Ahnung wird man da nichts ausrichten können.

Ziemlich unwahrscheinlich, dass die UDM am SSL was vermurkst. Was ich mir vorstellen könnte, wäre fragmentieren von Paketen, das würde sich aber auch beim Surfen und Mailen bemerkbar machen.

Schnapp dir doch mal den Mac und teste mal bei einem Bekannten. Dann kannst DU zumindest feststellen ob es am Mac und der Software klebt oder am Netzwerk bei dir.

Dein Verständnis über S2S, routing, DHCP ist grundlegend falsch! Bitte belese Dich über die Grundlagen, bevor Du solch ein Projekt angehst. Das wird sonst wohl daneben gehen.

Die Verbindungen zwischen Switchen und Switchen und Accesspoints werden oft beim 802.1x ausgelassen. Oftmals sind die Switch ausschließlich zutrittsgesichert in entsprechenden Räumen oder wenigstens in abgeschlossenen Schränken. Wenn die Accesspoint und die Datendose dafür auch nur mit Aufwand zu erreichen sind, dann ist das für viele aktzeptabel.

Wenn ich mich recht entsinne, hatte ich da auch schon mal experimentiert und egal wie man es machen wollte, gab es Probleme wenn an einem 802.1x Port ein Switch oder AP dran kam, der ebenso von seinen Clients 802.1x verlangte. Bin mir nicht sicher ob das mit MAC based 802.1x überhaupt geht.

Die WLAN Einstellungen und die VLAN Einstellungen des Switches, an dem die Accesspoints hängen bitte.

Wenn die Gebäude per VPN verbunden werden, dann schliesst sich das "ich möchte auf allen Seiten die gleichen Netzwerke" aus. VPN routet und das geht nicht wenn auch nur ein IP Bereich mehrfach vorhanden ist. Das gilt bereits bei einem Netzwerk pro Standort. Dann sind die Netzwerke aber sowieso nicht die gleichen Netzwerke nur weil sie den gleichen Namen (IP Bereich) tragen.

Andere Sache wäre die Gebäude mit LWL zu Verbinden. Dann kannst Du ja auch über alle Switche die Netze verfügbar machen. Aber das ist vermutlich nicht gegeben.

Ohh Du hast recht, bei 802.1x bei den Switchen gibts das nicht oder nicht mehr. Bei WLAN ist es noch da, wenn man Radius MAC Auth aktiviert, gibt e MAC Adress Format.

Trifft sich gut, muss ich im Hinterkopf behalten für ein aktuelles Projekt.

Ich meinte das du das nichts hinbekommen musst. Das ist völlig normal.

Manche Infos werden später angezeigt oder auch mal gar nicht. Das System muss teilweise erst Infos sammeln (manches wird auch von anderen UniFis gemeldet) und aufbereiten um sie anzuzeigen. Das kann etwas dauern. Klar könnte Ubiquiti das sicher schneller machen... aber eigentlich sollen die Resourcen ja für die eigentliche Arbeit der Geräte zur Verfügung stehen und nicht für Echtzeitanzeigen und bunte Diagramme verschwendet werden.

In deinem Bild sind prinzipiell ja alle wichtigen Dinge ersichtlich.

Wie das Format der MAC (und dann vermutlich auch das Passwort) aussehen soll, dass kann man einstellen. Großschreibung, Kleinschreibung, : - oder kein Trennungszeichen.

Könnte man nicht im AD ne OU erzeugen wo diese Accounts rein kommen und die aktuelle Passwort Policy nicht gilt? Dann noch dafür sorgen, dass diese Benutzer Zugriff auf nichts haben.

Zitat von Habakuck

Ich möchte es nur im Unifi Network Admin Center zum Auswählen bekommen. Weil das Open VPN und IPSec kann man hier auch auswählen.

Würde auch nichts bringen. Denn OpenVPN und IPSec ist zwar auswählbar, konfiguriert aber in deinem Fall rein gar nichts.

Um Wireguard auf dem Edge zu installieren, am besten hier anfangen. Dort findet man alles was nötig ist.

GitHub - WireGuard/wireguard-vyatta-ubnt: WireGuard for Ubiquiti Devices

WireGuard for Ubiquiti Devices. Contribute to WireGuard/wireguard-vyatta-ubnt development by creating an account on GitHub.

github.com

Na wenns n EdgeRouter von Ubiquiti ist, dann einfach da wg installieren, konfigurieren und glücklich sein.

Wo steckt der Accesspoint? an der UDM?

Dass die WLANs alle im Default Netz hängen, ist hoffentlich nur weil sie so erstmal funktionieren? Oder ist dass genau Dein Problem?

Bei MAC based auth ist Benutzer = Passwort = Mac Adresse. Das ist nicht änderbar.

Das ist ja auch eigentlich nur eine Notlösung für Geräte die 802.1x nicht wirklich unterstützen.

In einer Windows Domäne wird ja meist Computer oder Benutzer Authentifiziert mit den entsprechenden Daten aus dem AD.

Die Anzeige ist so okay. Da ist nichts hinzubekommen

Das ist ein CGNat Anschluss. Ich denke die 84er IP ist quasi mit etlichen Kunden geteilt.

Synology quickconnect und unifi cloud sind keine aus dem Internet ankommenden Verbindungen. Hier wird jeweils von der Hardware im LAN eine Verbindung zur "Cloud" des Herstellers aufgebaut. Der Nutzer von ausserhalb tut das gleiche und wird dann in der "Cloud" verbunden.

Glaube mit IPv4 wirds wohl eher nichts. IPv6 hab ich noch nicht und kann dazu nix sagen.

Zitat von Paytheprice

10

Welche Anwendung wird das denn dann? http, https oder eine andere Anwendung. Port ist vermutlich der, den WIreGuard benötigt?

Genau dort. Andere Anwendung - Namen eingeben. Protokoll UDP, externer und interner Port ist der den Wireguard nutzt (siehe Konfig Wireguard). Und das ganze für das Gerät UXG oder deren WAN IP. Sollte dann etwa aussehen wie auf dem Screenshot von swag

Mit beiden Stellen der WAN IP der Fritte meinte ich aber xxx.yyy Wenn denn die 10 die Antwort auf meine Frage war. Aber 10 oder auch 100 als erste Zahl sieht nicht wirklich gut aus, weil 10 ist definitiv nicht öffentlich und 100.64.0.0 to 100.127.255.255 ist Carrier Grade NAT. Beides ist aus dem Internet nicht erreichbar und Wireguard und alles andere in Sachen Zugriff aus dem Internet ist "gestorben".

Nein. Dann legst Du einen weiteren Wireguardserver an, nur in der Fritte. Dann kommst Du aber nicht ins LAN der uxg.

In der fritte links auf Internet - Freigabe und da ist irgendwo Portweiterleitung. Dort musst Du tätig werden.

Was zeigt Deine Fritzbox für eine IPv4 an? Die ersten 2 Stellen reichen.

swag das war aber sehr knapp formuliert xD

Paytheprice was hast Du denn für einen Internetanschluss? Wenn Du auf der Fritzbox eine öffentliche IPv4 Adresse hast, dann müsstest Du in der Fritzbox eine Portweiterleitung auf die WAN Adresse des UXG einrichten. Der Port der weitergeleitet werden muss siehst Du in der Konfigurationsdatei des Clients in jedem Fall im peer Abschnitt unter Endpoint, die Zahl hinter dem :

Das Handy sollte dann unterwegs möglichst auch eine IPv4 vom Mobilfunkprovider haben. Da klemmt es manchmal je nach verwendeten APN.

Vielleicht sind die Minis auch überhaupt nicht in der Lage irgendwie L3 Adoptiert zu werden?!? Hab leider keinen

Ansonsten kann man UniFi Zeugs sehr wohl in etliche Netze packen und in einen Controller (und eine oder mehrere Sites) verwalten. Einfaches und Doppeltes NAT ist da auch kein Problem. Betreibe ich hier bei Bedarf öfter mal und wenn es mit NAT nicht möglich wäre, dann wäre der Ubiuiti miet Controller irgendwie sinnfrei.

Liegt also entweder speziell an den Minis oder aber da stimmt was mit Routing und/oder Firewalling nicht. Prinzipiell ist das Setup aber so trotzdem "unüblich".

Du könntest höchstens mal versuchen die beiden Ports der beteiligten Unifi Switche auf 100FDX zu stellen. Dafür musst Du natürlich den neuen Switch mal direkt anschliessen, damit Du den Konfigurieren kannst. Und bitte zuerst den Switch konfigurieren der logisch weiter vom Controller entfernt ist.

Keine Probleme mit dem Netgear ist ja auch nicht so korrekt. Die Tatsache dass er braucht um dann einen 100Mbit Link zu etablieren, lässt auf Probleme schliessen. Möglicherweise können dort nichtmal 100Mbit übertragen werden. Ob ein Link zustandekommt, wenn die Verbindung ausserhalb der Spezifikationen liegt, kann schon alleine durch die Toleranzen der elektronischen Bauteile liegen.