Beiträge von Troubadix

Da ich Sky nun via Sky Q App auf dem Apple TV nutze ist mir das herzlich egal, welchen Mist die Box macht Die bleibt einfach unausgepackt im Karton und wandert in den Keller.

Ich hab mich jetzt entschieden, Magenta TV wie bisher wieder über die App auf dem Apple TV zu nutzen und mein Sky-Abo von der Telekom zu trennen. Die Telekom-Box geht dann zurück. Dann kann ich dieses über die Sky Q App nutzen und muss mich nicht mit der Netzwerk-Konfiguration rumschlagen. Ein Anruf bei Sky hat dafür genügt, sehr freundlicher Herr am Telefon

Solange die Telekom-Box noch da ist kann ich gerne noch testen und Dinge ausprobieren, die dann in ein Howto einfliessen können

Super, danke für die Erklärungen an Euch beide!

Jemand noch einen Tipp zum IPv6-Nachtrag?

Hmm, das ist ja mehr eine Anleitung WIE man das macht, aber nicht WARUM man die einzelnen Schritte macht. Heißt, diese Anleitung auf andere Szenarien zu übertragen, ist nicht so ganz einfach.

Was ich aktuell noch gar nicht verstehe, wann lege ich eine Regel in welcher Kategorie (LAN IN, LAN OUT usw) an? Worin unterscheiden sich die Kategorien oder dient das einfach nur der Übersicht und technisch gibt es keinen Unterschied? Was passiert, wenn ich eine Regel in der falschen Kategorie anlege?

Warum macht man das in der klassischen Ansicht, geht es in der modernen gar nicht oder ist diese "kaputt" oder ginge das schon und das ist einfach Gewohnheit?

Verstehe ich es richtig, das ich mir das mit den Gruppen sparen könnte, wenn ich die IPs jedesmal direkt in die Regeln schreibe? Und das somit einfach nur eine Arbeitserleichterung ist.

Zu den einzelnen Regeln selbst:

Warum will ich bereits bestehende (established) Connections erlauben? Ich würde von der Logik her erst mal alles bestehende kappen und dann nur noch neues, das den Regeln entspricht, zulassen. Was, wenn ich diesen Part weglassen würde?

Mit der Regel "allow access to IoT device" erlaube ich im Beispiel den Zugriff auf die IP des Druckers. Ich will jetzt aber nicht, das Gäste auf das Webinterface des Druckers sondern nur auf den Druckerport 9100 zugreifen können. Wie kann ich das entsprechend einschränken? Muss ich eine neue Group mit den erlaubten Ports erstellen ("Port Group") und diese dann zusätzlich zur Adress Group auswählen?

Nachtrag: Wenn im Netzwerk IPv6 aktiv ist muss man das da auch nochmal machen? Sonst bringen die Regeln ja nix, wenn man per v6 einfach dran vorbei kommt. Da sich das Prefix ja bei jedem DSL-Verbindungsaufbau ändert, wie kann man da "dauerhafte" Regeln erstellen?

Bei der Fritzbox kann man ja einfach das Gerät auswählen und die Regeln gelten dann für IPv4 und IPv6 gleichermaßen. So eine Funktionalität wäre da auch schick.

Danke!

Super, danke!!

Hallo,

ich möchte mich nun endlich mal mit dem Thema Firewall auseinander setzen.

Ich hab zwei VLANs - eins für IoT-Gerätschaften und eins für "richtige" Geräte.

Nun haben manche "Smart Home"-Geräte ja eine Weboberfläche oder App zur Konfiguration.

Wie muss ich bei der Firewall vorgehen, wenn ich vom "Haupt-VLAN" aus auf eine IP-Adresse mit Port aus dem IoT-VLAN zugreifen möchte?

Läuft das über Static Routes, Firewall oder Port Forwarding?

Was ist der Unterschied zwischen "LAN IN", "LAN OUT" und "LAN LOCAL" usw bei der Firewall?

Beispiel:

Von 192.168.1.1/24 aus möchte ich auf 192.168.2.22 Port 80 zugreifen.

Was muss ich dazu wo einstellen?

Gibt es dazu eventuell irgendwo ein Tutorial?

Danke!

Ja, systemctl restart udm-iptv habe ich gemacht. Die Konfiguration sieht wie folgt aus:

## Example configuration for udmp-iptv ##
# Interface on which IPTV traffic enters the router
IPTV_WAN_INTERFACE="ppp0"
# ID of VLAN which carries IPTV traffic (use 0 if no VLAN is used)
IPTV_WAN_VLAN="0"
# Name of the IPTV VLAN interface
IPTV_WAN_VLAN_INTERFACE="iptv"
# IP ranges from which the IPTV traffic originates (separated by spaces)
IPTV_WAN_RANGES="232.0.0.0/16 87.141.0.0/16"
# DHCP options to send when requesting an IP address
IPTV_WAN_DHCP_OPTIONS="-O staticroutes -V IPTV_RG"
# LAN interfaces on which IPTV should be made available
IPTV_LAN_INTERFACES="br4"
# Disable quickleave for igmpproxy
IPTV_IGMPPROXY_DISABLE_QUICKLEAVE="false"
# Enable debugging for igmpproxy
IPTV_IGMPPROXY_DEBUG="false"

udm-iptv-diag bringt folgendes:

root@UDM-SE:~# udm-iptv-diag
Please share the following output with the developers:
=== Configuration ===
WAN Interface: ppp0
WAN VLAN: 0 (dev iptv)
WAN DHCP: true (options "-O staticroutes -V IPTV_RG")
WAN Ranges: 232.0.0.0/16 87.141.0.0/16
LAN Interfaces: br4
IGMP Proxy quickleave disabled: false
IGMP Proxy debug: false
=== IP Link and Route ===
35: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN group default qlen 3
    inet 46.82.255.180 peer 62.155.242.153/32 scope global ppp0
       valid_lft forever preferred_lft forever
62.155.242.153 proto kernel scope link src 46.82.255.180
=== Service Logs ===
Apr 21 16:49:37 UDM-SE udm-iptv[26848]: Starting igmpproxy
Apr 22 00:01:17 UDM-SE systemd[1]: Stopping IPTV support for the UniFi Dream Machine...
Apr 22 00:01:17 UDM-SE systemd[1]: udm-iptv.service: Succeeded.
Apr 22 00:01:17 UDM-SE systemd[1]: Stopped IPTV support for the UniFi Dream Machine.
Apr 22 00:01:17 UDM-SE systemd[1]: udm-iptv.service: Consumed 801ms CPU time.
Apr 22 00:01:17 UDM-SE systemd[1]: Started IPTV support for the UniFi Dream Machine.
Apr 22 00:01:17 UDM-SE udm-iptv[26797]: NATing IPTV network ranges (if necessary)
Apr 22 00:01:17 UDM-SE udm-iptv[26797]: Monitoring interface ppp0 for changes
Apr 22 00:01:17 UDM-SE udm-iptv[26797]: Setting up igmpproxy
Apr 22 00:01:17 UDM-SE udm-iptv[26797]: Starting igmpproxy
root@UDM-SE:~#

Also kein Fehler mehr...

Danke!

Mit Änderung von IPTV_WAN_INTERFACE auf ppp0 ist dieser Fehler schon mal weg...

Das Bild friert aber immer noch nach ca. 10 Sekunden ein...

udm-iptv ist auf VLAN4 konfiguriert, von der UDM SE geht es per Kabel direkt zur Magenta TV Box welche auch in dem VLAN4 ist. Die Firewall-Regeln habe ich, nachdem ich die "klassische" Ansicht aktiviert habe, auch eingetragen... muss ich die Firewall-Regeln für das VLAN noch irgendwie anpassen?

Hallo,

ich versuche die Magenta TV Box hinter einer UDM SE 2.4.8 zum Laufen zu bringen. Aktuell friert das Bild immer nach ca. 10 Sekunden ein.

Die Box habe ich extra per Kabel direkt an der UDM SE Switchport 1 angesteckt, um nachgeschaltete Unifi-Switche zu umgehen...

Die Box hat auch ein extra VLAN #4 auf diesen Port aufgelegt bekommen.

Per SSH habe ich dann nach Anleitung https://github.com/fabianishere/udm-iptv den Container installiert, das wurde ja auf der ersten Seite dieses Threads von "stan23" als funktionsfähig erwähnt. Die Firewall-Gruppen und -Regeln habe ich auch erstellt.

Der Container per SSH startet aber leider nicht, den Fehler habe ich mal hier nachgefragt: https://github.com/fabianishere/udm-iptv/discussions/114

Vielleicht kann ja jemand hier etwas zu dem Fehler "There must be at least 1 Vif as upstream" sagen...?

Hat jemand aktuell die Magenta TV Box an einer UDM SE mit aktueller Firmware am Laufen und mag mir seine Einstellungen nennen?

Danke!!!

Hallo,

danke für die Tipps.

Das WLAN funktioniert mittlerweile lustigerweise, ohne das ich nochmal was geändert hätte.

Nur die iDevices möchten einen zweiten Einwahlversuch haben.

Welche Einstellungen habt Ihr beim WLAN?

Pihole: IP-Adressbereich ist eigentlich der gleiche und auch schon entsprechend reserviert, aber ich werd das reconfigure mal durchlaufen lassen.

Das mit dem zweiten Kabel vom Modem werde ich so machen, danke!

Hallo zusammen,

ich bin neuer UniFi-Nutzer, kommend von einer Fritzbox 7590 am VDSL-Anschluß der Telekom.

Anstoß des Umstiegs ist es, künftig diverse "smarte" Spielereien in eigene Netze auslagern zu können, was die Fritzbox so nicht bietet.

Angesichts von immer wieder auftauchenden Lücken in TCP/IP- oder WLAN-Stacks und ausbleibenden Updates für irgendwelche chinesischen "Smart-Teile" ist das, denke ich, nicht verkehrt um die Sicherheit der restlichen Geräte im Netz nicht zu gefährden.

Ich habe mir eine UDM mitsamt externem Modem zugelegt und die letzten Tage eingerichtet.

Vorhanden sind schon 3 hintereinander geschaltete Managed Switche von Netgear, die u.a. auch VLAN können.

Die Verbindung via Draytek Vigor 167 hat nach einigem Gebastel geklappt und die Fritzbox hängt nun als IP-Client für Telefonie auch hinter der UDM und tut ihren Dienst.

Auch der nachgelagerte Netgear Managed Switch mit allen daran angeschlossenen Geräten war kein Problem; im ersten Schritt ist erst mal noch alles im gleichen VLAN.

Probleme macht mir jedoch das WLAN. Hier benötige ich bitte Eure Hilfe und würde mich über Tipps und Tricks freuen.

Initial (sprich bei dem während der Ersteinrichtung vergebenen WLAN-Daten) hat die Verbindung mit meinem Android-Smartphone und Windows-Notebook einwandfrei funktioniert.

Lediglich mein MacBook Pro wollte sich nicht verbinden - Meldung war stets, das WLAN-Passwort wäre falsch.

Nach etwas googeln habe ich die Option "Settings > Wireless Networks > SSID > Advanced Options > High Performance Devices" deaktiviert, seitdem verbindet sich auch das MacBook.

Jedoch will sich nun das Android-Smartphone (Google Pixel 4 XL, Android 12 Beta) nicht mehr verbinden und zwei iPads und ein iPhone verbinden sich erst im zweiten oder dritten Anlauf. Die iDevices melden ein Authentifizierungsproblem, im zweiten oder dritten Anlauf klappt dann alles wie gesagt.

Das Pixel verbindet sich direkt, verliert jedoch nach wenigen Sekunden bis Minuten die Verbindung, macht 2-4 Reconnects und meldet dann ebenfalls ein Authentifizierungsproblem.

Die WLAN-Einstellungen habe ich als Screenshots mal angehängt; die Vielzahl der Optionen überfordert mich ehrlich gesagt. Von manchen wie Protected Management Frames habe ich schon mal gehört, beim Rest stehe ich wie der Ochs vorm Berg.

Welche Einstellungen würdet Ihr mir hier empfehlen, um mit möglichst allen Geräten kompatibel zu sein?

Und: etwas verwundert bin ich, dass noch kein WPA3 für die Verschlüsselung angeboten wird? Für "Nicht-UDM"-Geräte soll das aber wohl schon gehen, heißt das kommt dann wohl demnächst per Update nachgeliefert?

Zweite Frage:

Ich habe einen Raspberry Pi mittels "Pi-Hole" als werbefilternden DNS-Server im Einsatz.

Nun habe ich rausgefunden, das ich die IP-Adresse des Pihole wahlweise "global" unter Settings -> Internet -> WAN -> Advanced hinterlegen kann (dann sehe ich aber im Pihole nicht, welcher Client wohin "funkt") oder aber in den DHCP-Einstellungen des jeweiligen Networks ("DHCP Name Server").

Via DHCP kommt der DNS dann auch an den Clients an, diese melden dann jedoch eine fehlerhafte Verbindung ins Internet.

Die Vielzahl der WLAN-Geräte habe ich aktuell noch auf der Fritzbox laufen, dort ist der Pihole auch noch als DNS-DHCP-Server hinterlegt und funktioniert für diese einwandfrei.

Am Pihole habe ich schon die Einstellungen geändert von fritz.box auf localdomain, das hat aber keinen Erfolg gebracht.

Was mache ich falsch?

Ach ja, eins noch:

Von der Fritzbox bin ich es gewohnt, bei Verbindungsproblemen in der Weboberfläche den aktuellen Status der DSL-Verbindung zu sehen. Vergleichbares sehe ich auch im Webinterface des Modems, wenn ich den Rechner 1:1 direkt mit diesem verbinde.

Gibt es einen Weg, diese Daten auch über die WAN-Schnittstelle (PPPoE) der UDM irgendwie einsehen zu können? Evtl. den 2ten LAN-Port des Modems mit dem Switch verbinden?

Tausend Dank im Voraus für Eure Hilfe und wenn ich irgendwas tun kann, um die Antworten zu erleichtern bitte Bescheid geben.

Viele Grüße

Troubadix