Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Ok, also ich habe die Regel so angelegt und getestet.
Aber irgendwie verbinden sich die DInger immer noch nicht mit den Servern im WAN.
Zur Info: Ich habe keinen Einfluß mauf die Quell-Adressen, noch auf die Could-Dienste dieser Geräte.
Leider gibt es in der USG kein aussagekräftiges LOG, was mich weiter bringen würde 
Das nervt. 
Ahh, ok. bei mir sieht das ein wenig anders aus. Habe ne neuere Version.:-)
Danke.
Aber warum soll ich als "Destination" eine IP aus dem selben Netzwerk eintragen? 
Das check ich nicht.
Eine einfache Regel im IP Bereich 192.168.4.1 sollte hier wohl reichen, oder?
Du kannst es auch jedem einzelnen "komischen Gerät" erlauben, über die Quelle IP Adresse.
1. Wie sieht die Regel aus?
2. Wie sieht die Regel aus?
Moin
DNS eingetragen? Ist ein ping möglich z. B goolgle?
Nein, soweit bin ich nicht gekommen.:-(
Hast Du das Netz 192.168.4.x auch in der USG angelegt ? Wenn ja, wie ?
Ja, habe ich gemacht, sieht so aus:
Am einfachsten legst Du ein VLAN an für den Adressbereich, trägst als als Standartgateway die 192.168.4.1, trägst Nameserver ein und ggfl auch einen DHCP Bereich.
OK, das habe ich gemacht, wie Du oben sehen kannst.
Hi,
ich habe ein LAN_01 mit dem Subnetz 192.168.0.xxx, mit DHCP als "Standard"-Netzwerk.
Dann gibt es noch ein paar Geräte, die das Subnetz 192.168.4.xxx im LAN_2 haben ohne DHCP, weil alle feste IP.
Wie genau / was genau muss ich einstellen, damit LAN_2 auch Zugriff auf WAN_OUT hat?
Ich bekomme das irgendwie nicht gebacken.
Die Geräte haben alle vom Hersteller als Gateway 192.168.4.1 fest eingetragen.
Und NEIN, das kann man nicht umstellen.
So sieht der Weg aus:
[KOMISCHE GERÄTE] -> [SWITCH] -> [SWITCH] -> [USG] -> [WAN]
Hat jemand eine Idee? 
Danke schon Mal!
Also irgendwelche "undruchsichtigen" FW-Regeln, oder wie kann ich das verstehen?
Was genau und für wen erlauben die was?
Cool.
Jetzt funzt es zumindest in der Command-Line.
Allerdings bei keinem Client, wie z.B. Filezilla.
Egal, welches Protokoll ich verwende (FTP, FTPS, FTPES, ...)
Ist praktisch unverändert.
Ich versteh das nicht.
Was zum Geier brauchen die, was der FTP-client im CLI nicht braucht? 
Hi,
ich habe ein wenig gegooglet, werde aber leider nicht wirklich schlau draus.
Was genau macht "Conntrack Modules"? (FTP, SIP, etc...)
Kann mir das bitte jemand in einfachen Worten verständlich erklären?
Danke schon Mal.
LG
DIe Scheisse bei Unifi ist das da kein ordentliches Logging vorhanden ist wo mal mal richtig sieht was eigentlich abgeht. Port 20 hast Du ja freigegben für passives FTP?
Ja, 20, 21, 990 und 115 ist als TCP-Portgroup einer demenstrechenden WAN_OUT-Regel zugeordnet und erlaubt.
Port-Group:
port-group 5e7653f3a6f71100125f6503 {
description "customized-TCP FTP_FTPS_SFTP"
port 20
port 21
port 990
port 115
port 22
}Regel:
rule 2021 {
action accept
description "LAN_1_to_FTP erlauben"
destination {
group {
port-group 5e7653f3a6f71100125f6503
}
}
protocol tcp
source {
group {
address-group NETv4_eth1
}
}
}Hast Du nun das Problem von INNEN auf einen außerhalb Deines LOKALEN Netzes ? Wenn ja musst Du mein LAN_OUT eine Regel in den Firewalleinstellungen machen die FTP in LOKALEN Netz nach EXTERN erlaubt
Ja, ich möchte mich von INNEN auf einen im WAN befindlichen FTP verbinden.
Warum also nicht nit WAN_OUT und stattdessen LAN_OUT? Das verstehe ich nicht.
Laut Definition von UBNT beschreibt LAN_IN / LAN_OUT nur die Kommunikation zwischen deinen Netzwerken.
Also ich komm locker auf den FTP Server da oben drauf. Der will nur direkt was downloaden was relativ gross ist ?
Ja, die DIR ist sehr groß. Ist n super Test für eine stabile Verbindung.
Alles anzeigenFehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
es wird an der fehlenden oder falschen Freigabe liegen!?
Hast du denn mal einen anderen Server versucht zu erreichen?
VG Gatzi
Ja sicher. Das Verhalten ist bei allen gleich.
Credentials werden abgefragt, aber bei der Abfrage der Daten geht nichts mehr.
Aso.. wan_out bringt da nicht viel. du musst eine Portweiterleitung machen auf dem Server wo FTP"D" liegt.
du hast in prinzip nur den port geöffnet
Könntest Du mir das bitte im Detail erläutern?
Komm da nicht ganz mitm was genau Du da beschrieibst.
Hi,
wie der Titel schon vermuten lässt, funktioniert der FTP nach extern nicht so, wie es soll.
Port 20, 21, 990, 115 sind in WAN_OUT offen.
Ich kann mich auch mit einem FTP-Server verbinden. Aber solbald die-Daten-Kommunikation vonstatten gehen soll, bricht die Verbindung ab.
Hier mal einAuszug vom FileZilla-Log:
Status: Auflösen der IP-Adresse für ftp.dell.com
Status: Verbinde mit 143.166.147.76:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Unsicherer Server; er unterstützt kein FTP über TLS.
Status: Angemeldet
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (143,166,147,76,37,149)
Befehl: LIST
Antwort: 150 Opening BINARY mode data connection.
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Verzeichnisinhalt konnte nicht empfangen werdenDas passiert egal mit welchem Programm. Auch über CLI geht es nicht.
Hat wer ne Idee?
Danke schon mal.
Fernseher, Handy, Internet-Radios, sämtliche Betriebssysteme..... 
Ja, das ist gewollt.
Ich habe auch schon den Fehler geunden.
Und zwar muss man die Generelkle Drop-REgel für "WAN IN" NACH die beiden Standard-Regeln stellen.
Denn anscheinend spielen die Standard-Reglen aus WAN OUT und WAN IN zusammen.
Jetzt geht alles wieder so, wie erwaertet und meine Regeln greifen auch wieder,
Verrückt.
Ich muss mein Netzwerk gegen Aussen so restirktiv behandeln, da ich soooo viele GHeräte habe, die nach Hause telefonieren.
Ich habe mal im Wire-Sahrk mitgelesen. Das ist ja irre, was da über diverse Ports ungewollt Daten verschickt.
Hallo zusammen,
ich schlage mich gerade mit den Firewall-Regeln in der USG herum.
Ich weiss, dass standard-mäßig erst einmal alles erlaubt ist.
Dann gibt es als Starthilfe noch die Standard-Reheln von Ubituitim die man nicht einsehen kann.
Mein Wunsch ist es aber, erst einmal ALLES zu verbieten und dann
sukzessive alles, was ich möchte zu erlauben / freizugeben. 
SO, war meine erste Regel für "WAN OUT", alles zu droppen -> Hat funktioniert.
Danach habe ich Stück für Stück neue Regeln oben drauf gesetzt, was zu erlauben ist -> funzt
ABER... Plötzlich geht gar nichts mehr!
Meine Regeln haben super gut funktioniert! Ich war so zufrieden.....am Ar****
Nach ein paar Tagen geht plötzlich nichts mehr und ich musste die "Master-Drop"-Regel deaktivieren.
Ich bin nicht dahinter gekommenm was hier passiert ist.
Nun sieht es so aus (Ja, es ist schon recht umfangreich):
Hatte das Phenomän schon jenand von Euch und kann mir weiterhelfen?
Vielen Dank im Voraus 
Ja, danach hat es funktioniert.
Jetzt läuft alles wunderbar und ich kann mich auch ohne Probleme an der USG anmelden.
OK, also nach dem Reset der USG und einem erneutem Einbinden läuft es nun so, wie erwartet.
Anscheinend ist bei dem Deployment beim letzten Mal etwas schief gelaufen.
Danke Euch für Eure Hilfe. 
Alles anzeigenHallo Freemann, ich hatte das selbe Problem und bin auf folgende Lösung gestoßen.
Sobald die USG im Controller eingebunden wird, werden Benutzer und Passwort überschrieben. Das kann geändert werden.
Unter "Site/ Sandort" dann unter Dienste die "erweiterten Funktionen aktivieren"
Nach dem Speichern nach ganz unten scrollen zur Geräte-Authentifizierung
Hier ist zu sehen der geänderte Benutzer / Passwort, welches auf allen Geräten angelegt, bzw., überschrieben wird beim einbinden.
Entweder dann hier ändern, oder Copy Paste
Ich konnte somit wieder auf meine USG zugreifen.
Gruß
Vielen lieben Dank!
Genau das ist mir in der UI-Community auch gesagt worden.
Leider hat das auch nicht gefruchtet.
Ich werde also die USG jetzt mal resetten und neu einbinden müssen.
Hi,
wie ich Anfangs geschrieben habe, funktionieren diese auch nicht.
Wie sieht denn dein Netzwerk aus? Wo ist der USG angeschlossen und was benutzt du sonst noch für Geräte?
VG Gatzi
Entschuldige, aber deine Frage ist so allgemein und erläutert auch deine Absichten nicht weiter, dass es gar keinen Sinn macht, diese zu beantworten. Ich habe über 30 Geräte im Netzwerk.
Ähm was nutzt die Information?
Ich kann mich per SSH connektieren und kann auch Port 80 und 443 der USG erreichen.
Und sie wurde erfolgreich eingebunden.
Können wir also bitte beim Thema bleiben?
zur Zeit sind 84 Mitglieder (davon 2 unsichtbar) und 300 Gäste online - Rekord: 129 Benutzer ()
