Beiträge von DoPe

Und was sagt ein Traceroute zu strato.de ?

ist ping auf folgende hosts möglich?

ipv6.mvgosus.de

ipv4.mvgosus.de

Bitte auch mal auf dem PC ein ipconfig /all ausführen.

Strato.de ist in jedem Fall über IPv6 und IPv4 erreichbar. Der Ping geht aber via IPv4 ... eigentlich sollte v6 bevorzugt sein ....

Hab da keine Idee mehr zu. Allerdings hab ich auch nicht wirklich einen Plan wie das mit dem Streamen da genau abläuft, also wer mit wem ...

Die Geräte sind aber alle im gleichen VLAN ? Dann sollte bei vlan internem Traffic glaube ich das IDS/IPS gar nicht anspringen.

Wie äussert sich das genau?

Kannst Du die Hostnamen der Webseiten und des Mailservers anpingen?

In der UDM-Pro evtl. Ländersperren drin?

Das geht leider nicht

Hast Du das mal probiert mit Site importieren?

Ich hätte vermutet, dass der lokale Admin aus der UDR evtl. übernommen wird - geht aber ja scheinbar nicht. Und der alte lokale Admin des selfhosted Controllers geht dann auch nicht mehr nach Restore?

Das Routing müsste passen, wenn man aus den Filialen auf die Zemtrale zugreifen kann. Da ja auch hier das Routing in beide Richtungen stimmen muss. Das klingt für mich eher nach Firewall - Stichwort New von Zentrale -> Filiale blockt, Related Zentrale -> Filiale accepted.

Routing könnte höchstens sein, wenn es noch parallel einen anderen Tunnel geben sollte. Hatte das neulichs bei ner Umstellung von OpenVPN auf Wireguard. Da gings von Filiale zu Zentrale über den neuen Wireguard Tunnel und von Zentrale zur Filiale wurde noch der OpenVPN Tunnel benutzt, bis in der Zentrale die Route auf den neuen Router umgestellt wurde.

Zitat von nadstefan

Vielleicht als Tip für andere.

Die APs müssen im gleichen Netz sein wie der Controller sein, weil sie sich sonst nicht finden können. (auch wenn ein Routing vorhanden ist). Ein setzen der IP Adresse über den Controller, ist dann auch nicht möglich.

Hier bleibt dann nur die Möglichkeit über SSH den Inform Link zu ändern.

Erst dann kann der AP sich ins andere Netz connecten. Der default inform Link: http://unifi:8080/inform funktioniert natürlich nicht automatisch (DNS Einträge).

Ich bin ehrlich, find ich nicht ganz optimal

Alles anzeigen

Die müssen im selben Netz sein, damit das ganze mit L2 Discover einfach funktioniert. Sind die Devices in einem anderen Netz als der Controller, dann muss man L3 Adoptieren, wie soll sonst ein Device den Controller alleine finden - müsste ja das komplette IP Spektrum abklappern. L3 geht z.B. über SSH und dem setzen der Inform Adresse per Hand. Das Ganze kann man auch per DHCP Option (im Unifi Controller bei Verwendung eines entsprechenden Gateways und auch im Edge Router vorhanden) machen und es gab auch eine Möglichkeit das per DNS zu erledigen.

Hmm Wie genau spielst Du das ein?

Ich kann es gerade nicht ausprobieren, weil Controller noch nicht uptodate ist. Aber im Self hosted Controller kannst Du ja MultiSite aktivieren und dann eine neue Site hinzufügen mit Importieren aus dem Backup. Dann sollte zumindestens der Super Admin erhalten bleiben. Dann ist vermutlich nur noch das Problemchen, dass der neue Controller wohl nicht auf der IP der UDR anzutreffen ist und man die Devices noch umbiegen muss.

Mit den Useraccounts ist das Erlebnis leider etwas wirr geworden ... Ich kann auf meiner UDMP mit dem aktuellen Owner nichtmal ein lokales Login anlegen

Also wenn Du im Controller auf System Logs - Security Detections gehst sollte da doch ne Liste kommen mit den Einträgen. wenn Du da dann einen anklicks, kommt doch rechts eine detailreichere Anzeige worum es da geht. also so was hier z.B. und da kannst Du dann ganz unten auch Festlegen, dass es nicht geblockt werden soll.

Was steht denn da genau im security log?

Zitat von Matthias

So, jetzt kommt noch erschwerend hinzu:

Am Samsung Galaxy Z5 Fold stimmt irgendwas nicht. Das braucht fünfmal so lange wie andere Geräte.

Für was?

Klingt nach IDS/IPS aktiv mit Meldung und Blocken. Evtl. bei der Sensibilität auf Custom stellen und rausfinden welche Kategorie da Alarm auslöst.

Oder auf melden stellen. Ich hatte bisher nur 2 Alarme ... einer bei nem kurzen Test mit nem Portforward und einer mit nem frischen Windows ... das war son könnte sein Fall.

Was ist denn das fürn PC bzw. was macht der denn die ganze Zeit um 70 Grad zu haben? Oder ist das Case vielleicht nicht so optimal?

Also Slit Tunneling läuft prinzipiell wie alles an Netzwerkverkehr über IP Adressen. Heisst wenn das Hauptnetzwerk z.B. 192.168.56.0/24 ist, dann kann man über die wireguard Konfiguration bei allowed-ips eben dieses Netz mit angeben. Das sorgt dafür das alle Pakete für dieses Netzwerk in den Tunnel gehen und Pakete mit Absender aus diesem Netz aus dem Tunnel nicht verworfen werden.

Die 0.0.0.0 Adresse muss dann raus, genau die sorgt dafür das alles in den Tunnel geblasen wird.

Damit die Namensauflösung dann klappt, muss dies zusätzlich konfiguriert werden. Dafür gibt es den DNS Parameter. Da kommt dann ein oder mehrere DNS Server rein, die die Domäne des Heimnetzes auflösen können und hinten dran die Domäne. Das setzt dann bei erfolgter Einwahl die Domäne als Verbindungsspezifisches DNS Suffix. Das wird bei unvollständigen hostnamen angehängt und beim angegebenen DNS abgefragt.

Mal so als Anregung.

Soweit mir bekannt, gibt es bei Wireguard kein Zeitlimit. Evtl. solltest Du drüber nachdenken Split Tunneling zu betreiben. Dann kommt auch nur Traffic über die VPN rein, wenn der Traffic für Dein Netz relevant ist.

Das geht natürlich nicht, wenn die Clients über deinen Anschluss surfen sollen.

Zitat von Wuestenfuchs

wenn ich im Browser darauf zugreifen möchte steht immer 403.6 IP address rejected.

Das heisst eigentlich soviel wie, der Server (also der Receiver) möchte nicht mit der IP des aufrufenden Gerätes sprechen. Sieht man ja dass der Request ankommt, denn es kommt eine Antwort.

Ich vermute mal wenn Du im gleichen Netz bist, wie auch der Receiver dann geht es? Das ganze wird vermutlich eine Art Zugriffsschutz des Receivers sein. Entweder ist das fest verdrahtet, dass man nur aus dem gleichen IP Netz drauf darf, oder aber Du musst das erlauben bzw. die Sperre wieder entfernen, falls die mal irgendwann gesetzt wurde. Ich vermute mal dass es wohl einstellbar sein dürfte in der Weboberfläche des Receivers.

Wenn der Vigor nur mit 82000 trainiert geht auch nicht mehr durch. Dazu dann der Overhead dazu. Lass dann mal noch einen anderen Client etwas machen und der Speedtest mit 72000 erscheint mir realistisch.

Teste ein anderes Modem. Vielleicht haste Glück und das läuft besser. Die verschiedenen Modems trainieren halt sehr oft sehr unterschiedlich an einem Anschluss.

Um was für ein UniFi Gerät handelt es sich denn?

Zumindest bei Wireguard kannst Du an deinem VPN Client keine IP aus deinem Netzwerk bekommen. Beim Erstellen des Servers wird dafür doch ein entsprechend nicht benutzter IP Bereich genutzt. Teleport benutze ich nicht ... mangels sinnvoller Anwendung für mich.

Hast Du in deiner Firewall denn etwas konfiguriert? Wenn nicht, dann sollte der Spaß offen sein. Wenn Du was konfiguriert hast, dann musst Du schon sagen was .... ohne Glaskugel kann hier sonst keiner sagen ob und was angepasst werden muss.

30 Sonos Geräte sind aber nicht gerade wenig. Können die Dinger denn inzwischen ihr eigenes WLAN auf 5GHz aufmachen oder wurschtelt das noch immer im 2,4GHz Bereich rum?

Ganz ehrlich, ich bin da etwas skeptisch, dass man das mit Austausch der Hardware beheben kann. Das scheint mir eher ein Funk-Flaschenhals zu sein. Bin gespannt auf den Bericht nach Umbau.

Ich glaube nicht, dass in einer Anleitung steht, dass Du den DSL Anschluss eines DSL Modems in einen Netzwerkanschluss eines Glasfasermodem anschliessen sollst.

DSL kommt aus ner Kupfer Telefonleitung. Daher synct dein Vigor nicht weil da kein DSL anliegt.

Vigor raus. Patchkabel vom LWL Modem an den WAN des Unif und wenn die richtig konfiguriert ist sollte es auch gleich mit der Einwahl klappen.

Beachten ... Du musst bestimmt im Unifi noch VLAN ID 7 für Internet einstellen, was bei DSL der Vigor gemacht hätte !