Beiträge von gierig

Grundlegend hat der YouTube Onkel da oben recht.

Es gibt Automatische Einrichtung von Routern (findet meine Mutter gut, einstecken und geht)

und natürlich haben die großen auch alle "Remote support" mit dem sie über dein einen oder

anderen Weg auf den Router kommen.

Ob, wie und ob das ein Problem ist soll und muss jeder einzelne für sich entscheiden

anhand seiner Bedürfnisse und nötigenfalls anhand der Restmenge auf der Aluhutrolle

Gut wir haben (im Gegensatz zur USA) Routerfreiheit und können ggf. nen Kiste an die Wand

nageln die unter UNSERE Kontrolle ist. Für die die das nicht können ist dann wohl Router hinter

Router das mittel der Wahl

In Min 6 sagt er auch das NAT KEIN Security Werkzeug ist.

NAT oder um genau zu sein eine Portbasierte for des Source Nat (PAT)

ist weder was schlechtes noch bring es große einbüßen (wenn der kram nicht grade auf einem Toaster Läuft)

Ich sollte aufhören dinge übers Handy zu tippen....:-)

Aber ja Cloudkey 2+ ist gemeint gewesen.

Wobei aktuell heißt die Kiste nur "CloudKey+"

Weil ich grade im UI Forum gelesen habe... Hast du SmartQueues an in den WAN Einstellungen ?

Da scheint es mit dem Failover das eine oder andere Problem zu geben.

Wenn an schalt mal aus und teste nochmal...

Zitat von pasoleati

Und um auf der sicheren Seite zu sein, Unifi Protect funktioniert mit beiden, oder? Noch habe ich keine Kameras, aber bald;)

Gateway lite (UXG Lite) und Gateway max (UXG Max) sind beides Reine Router die einen externen Controller benötigen

So wie alle anderen UXG Produkte...

Wenn Du Protect machen willst braucht du also die großen NVR Lösung (auf den dann nur Protzt läuft)

oder das Cloudgateway2+ (also Controller und Protect server) oder halt eine der UDM / CloudGatway MAX).

Orientierung ist das "Includes full UniFi application suite for device management" in der Produktbeschreibung.

Zitat von pasoleati

dass die Monetarisierung doch eher früh als spät zuschlägt. Mein Verhältnis zu Ubiquiti ist durch einige Enttäuschungen "gestört", muss ich wohl an dieser Stelle zugeben.

Wie darf man das Verstehen ? Befürchtest du in X Monaten nochmal zu Kassen gebeten zu werden ?

Und wenn warum nicht bei den UXG Zeugs ?

Erfahrungen grade die Schlechten können einen Prägen. die Frage ist dann WAS für schlechte Erfahrungen.

Oder besser was deine Erwartungen waren / sind.

Zitat von DoPe

Unify ist defacto bald tot. Gehört schon ne Weile zu Mitel und die beerdigen Unify ziemlich zügig.

Ach kuck.. spurlos an mir vorbei gegangen. Aber gut für mich war das immer noch "Siemens" aber das ist ja auch schon lange nicht mehr.

Aber Mitel war für mich auch eher "Klein Krauter Bedarf mit 1-100 Nebenstellen". Also so wie Auerwald oder Agfeo... Das sie auch "Enterprise"

können.... Na mit den Gazen Konsolidierungen aka Aufkäufe von anderen Firmen

Zitat von Carbonide

Hier ist jemand der sogar die Meinung vertritt, dass es die Sicherheit erhöht:

Faszinierend. Im Grunde findet er es also nicht gut das sein Provider Router Protokolle und Mechanismen besitzt

die dem Provider ermöglichen gewisse Einblicke in sein Internes Netz zu erhaschen und hat dafür

einen zweiten (nat) router dazwischen geschaltet um Topologiehiding zu betreiben.

das für ein eigentlich "gut gemeinstes" Protokoll das es Menschen ohne IT Hintergrund es vereinfachen soll

ihren kram ans laufen zu bekommen.

Ja nen palet Filter AKA Firewall würde wohl mehr sinn machen, oder die Möglichkeit die Mechaniken

abstellen zu können.. aber die lieben Provider haben ja gerne ihre Ansprüche die sie auch besser durchsetzen können in

nicht Europa

Aber mal so am Rande...hat 1905.1 irgendeine Relevanz in Europa ?(ich wie nun ist offtopic)

Stecker raus, Bügel umklappen und rausziehen ? Das sollte eigentlich die Verriegelung lösen..

Zitat von Naichbindas

danke aber um diesen Teil der VPn geht es ja nicht, ob ich da nun eine Ip oder ein ganzens Netzwerkfreigebe ist nicht der auschlaggebene Punkt.

Doch darum geht es. Du gibts in der WG Config damit nichts frei sondern bestimmt welche Ziele über das VPN geführt werden.

Der Eintrag erzeugt Routen auf den Client die dann dafür sorgen das die Pakete darüber geleitet werden.

ein "0.0.0.0/0" ist die universale Route für ALLES... Das willst du nicht also weg damit. Aber dein "internen" Op müssen das

auftauchen, entweder als einteilen /32 oder als Bereiche um alles "intern" erreichbar zu machen

Vorab...

Unifi = Netzwerkram

Unify = Cloud und on Premise TelefonAnlagen..

Nicht das wir empfindlich sind...aber du weist ja

Kurze Antwort JA, geht ohne Probleme.

Lange Antwort.. Kommt drauf an Es gibt im z.B Gaming Bereich meist bei älteren dingen das eine oder andere Problem.

Diese treten aber auch auf wenn du eh einen Internet Anschluss ohne Öffentliche Ipv4 hast. (CGNAT, Provider macht schon ein NAT,

was Standart ist bei den meisten Providern). Da Speedport gehe ich aber davon aus das du Telekom künde bist.. die bekommen bisher alle noch ne

Öffentliche IP.

Ansonsten kann man das NAT aber auch bei Unifi abschalten, dazu bedarf es dann aber auch (statische) Routen auf den Vorgelagerten router..

um die Ziel Netze auch wieder erreichen zu können. Keine Ahnung ob die Telekom Kisten das noch können / zulassen.

Königsweg währe aber dann nen Draytek Vigor als reines VDSL Modem oder halt Glasfasermoden2 / SFP Modul bei Glasanschlüssen

Zitat von Naichbindas

AllowedIPs = 192.xxx.xxx.xx/32

/32 = 255.255.255.255 damit erlaubst du genau DIESE IP und nicht mehr.

Wenn du "192.168.0.0/16" eintragen würdest würde du ALLE 192.168.x.x Adressen zu lassen.

Weil 255.255.0.0 Maske... 192.168.1.0/24 (255.255.255.0) dann halt nur das 192.168.1.X netz...

natürlich alles auf Client Seite.

Zitat von GMN2503

Aber vom Prinzip her ist meine Überlegung also richtig?

Nein zu sagen währe genauso falsch wie Ja zu sagen Also was in der Mitte...

Schau die "Helfer" Module sind allgemein dazu da Kommunikation zu ermöglichen und auf Besonderheiten

von Protokollen einzugehen die selber IN den Protokollen andere Verbindungen benötigen oder Wege

aufmachen müssen uns so nicht anhand von IP und port zu erkennen sind.

Nen wirklichen Sicherheitsgewinn durch abschalten der Helfer ist eher als sehr sehr sehr gering einzuschätzen

und würde ich persönlich als "Nicht über den Placebo Effekt hinaus" bewerten.

und auch der Performance gewinn wird sich eher in ein paar Promille weniger CPU/Speicher auf dem Router

bemerkbar machen.

Mach es aus fürs gute Gefühl, schaden kann es nicht...

Zitat von tuxnet

Was ist den das für ein Plugin ?

Habs Korrigiert.. Protect Plugin ist natürlich gemeint... Die Anzeige in Apple TV macht Apple / HomeKit schon von ganz alleine.

Man mus halt nur was "HomeKit" kompatibles zur verfügung stellen und das geht halt mit HomeBridge und special für Cam gechcihten mit dem SCRYPTED ganz ausgezeichnet.

Zitat von fred05

1b. Geht das auch auf dem Apple TV es klingelt und es wird ein Bild eingeblendet?

Ja... die meisten haben dafür HomeBridge mit Protect Plugin Laufen oder SCRYPTED mit HomeKit und Protect Plugin (läuft bei mir)

Wenn Jemand Klingelt wird da für 10-15 Sekunden das Bild automatisch eingeblendet.. mit dem passen Knopfdruck auf der remote dann auch länger...

Zitat von Fenris

Problem wäre hier das Doppelte NAT.

Warum ist das ein Problem für dich ? als 08/15 künde bei Vodafone hast du wahrscheinlich eh schon ein NAT außerhalb deines Einflusses. Aber ja Das Geht.. Nat abschalten auf dem UNFI router geht ja mittlerweile Komfortable.. ein paar Routen auf der FB

legen damit die Deine VLAN hinter den Unifi kennt und gut ist....

Nötig ist das aber meist nicht wirklich...

Zitat von pasoleati

Du sagst also, ich scheitere mit meinem Anliegen, weil das USG zu alt ist? In welchem Frontend müsste ich das sehen?

EOL ist EOL. Konfiguration währe / ist im da wo sie hingehört im Controller.

Entweder in jeweiligen host Settings als "Local DNS Record" (benötigt ne Feste IP Zuweisung an der gleichstelle)

oder als Global unter Einstellungen -> Routing -> DNS (Controller ab 8.3.32 wenn ich mich nicht irre)

Natürlich neue UI.

Zitat von pasoleati

Nun gibt es in der Tat einige Gründe, das USG einzumotten, ist ja eh eine kleine Mogelpackung. Da wären die lächerliche IDP Bandbreite, die DNS Bugs und nun wie es scheint, die Unfähigkeit die DNS Tabellen zu bearbeiten.

Ja weil alt... Der kram ist 2014 oder auf den Markt geschmissen worden...Primär als Router und nicht als DNS Server.

Gemogelt wurde da nie.. IDS Bandbreite war schon immer bekannt das die nur knappe 70-80 MB Durchsatz macht.

Zitat von pasoleati

wieso man im Controller das Backup wieder einspielen soll, in meinem Fall läuft es ja im Container, idealerweise ja weiter. Also einfach einbinden (notfalls set-info), ggf. IP setzen und es müsste doch direkt laufen, oder?

Ja / nein / aber....

Quasi nur die Gatways die mit "Gateway" in Namen Anfangen haben keinen Eingebauten Controller. Da mag das wohl klappen

Bei den Ganzen "Cloud XXX" / UDM / ULTRAxxx haben den Controller eingebaut.. der muss dann auch zwingend auch genutzt werden das die Kisten sich nicht Fremssteuern lassen. Theoretisch kann nen backup auch darauf laufen, und dann ist dann halt

Controller wiederherstellen.

Meist klappt das Garantien gibt aber nicht Grade beim Wechsel auf ein Gänzlich anders Produkt.

ConnectionTracking allgemein ist die Funktion das das system sich merkt wer mit wem verbunden ist.

Das ist z.B erforderlich um nur den Rücktraffic einer Verbindungen auch zuzulassen bzw. zu ermöglichen

damit das NAT weis wohin mit den Paketen.

Conntrack Module sind nun Helfer um bei bestimmten Protokollen zu helfen.

So gibt es bei Aktiven FTP einen Kanal der von Server zum Client aufgebaut wird.

Ohne das Modul macht die Firewall üblicherweise dich, oder wüste nicht wohin mit der anfrage von außen

Das Modul macht nun ne Dynamische Weiterleitung aufgrund Daten aus der Uhrsprünglichen Verbindung.

Obst Auswirkung für sich habt kommt drauf an ob du die Protokolle nutzt

Das SIP Modul wird aber üblicherweise nicht gebraucht.

Na ja.. erstmal die Antwort ob die Netzwerkeinstellungen da und vollständig sind.

Also die Kiste den auch das richtige Gateway gesetzt hat, ob DNS korrekt eingestellt ist.

Ob das dann nun richtig oder falsch ist könntest du belegen mit Bildschirmfotos vom netz Setup.

Dazu die allgemeinen Einstellungen. Hast du zB Firewall Reglen, darf das VLAN überhaupt raus ?

Können Clients im gleichen VLAN raus ? Hat sich die IP geändert bei deinem Umzug ?

Hast du auf der Kiste ggf noch ACL / Firewall config die was verhindern können..

und so weiter.

Du kannst aber selber schauen.. Kannst Du z.B das Gateway Ansingen.. das ist schon fast die Halbe miete.

fehlendes oder falsches Gateway sagt die Glaskugel... oder falscher dns....

Schwer zu sagen ohne Details... klingt halt nach Hilfe mein Auto fährt nicht mehr woran kann das liegen.. ach ja das Auto ist rot...

Kuckst du SIP also Signaling Funktioniert. Telefone per TCP Random Port angemeldet ?

Keine Ahnung von der AMV als Sip Server. Aber typisch währe bei kein Audio

das das Telefon Sagt "RTP zu meiner XX IP" Und AVM nicht weis wo das nun sein soll.

Routen auf der AVM zurück könnte da helfen. Dann aber gleich NAT deaktivieren auf dem Unifi sonst gibt

Asymmetrisches Routing (hin über nat, zurück direkt) das ist auch immer blöd (ggf. FW anpassen damit die AVM IP

rein darf auf der RTP Portrage)

Wobei üblich währe dann als Fehler bald ONEWay Audio also nach extern wird man gehört aber von extern bleib es ruhig,

der Ganze Schnack ist aber mehr oder minder nur im Dunkeln stochern...

Tools wie sngrep (1A SIp Tracer) aud der UDM können da Gewissheit Schafen weil mann sich so die SIP Invites

anschauen kann wer was auf welche IO schickt oder haben will (SIP Invite mit den passenden SDP Hadern dazu)

Da fängt dann aber auch wieder das man ein wenig Ahnung brauchte oder viel Geduld die Ahnung zu bekommen

Der Beschreibung nach hast du dein Vigor also schon mit dem Zeiten Port normale Lan gebracht.

Weil du kannst ja aus dem gleichen netzt zugreifen..

Wie DoPe schon sagte die Kiste weis nicht wo sich deine Netze befinden weil der

Router kram in dem Bereich üblicherweise kein Default Gateway hat ins LAN.

gehe auf dein Vigor und lege dir Routen für deine anderen Netze an.

bzw. genau eine "192.168.0.0/16" aus die I deines Gateways also 192.168.2.1

Sollten sie das in der Weboberfläche abgeschafft haben...

das ding hat auch ne Konsole:

ip route add 192.168.0.0 255.255.0.0 192.168.1.1 if0 stati

sollte das dann auch erledigen.

ODER:

Je nach Firmware auf der UDM ein Masquerade NAT von den Gewünschten Netzwerken auf die Ziel IP von deiner Kiste

Dann werden alle anfragen GENATET...

Zitat von Networker

dass dieser bei Neustart oder spätestens beim Update des Gateways verloren geht. Hab da auf jeden Fall mal ein Auge drauf.

kann nicht für die UXG sprechen.. aber bei UDM und co ist /data und /etc quasi Persistent.

Seit V 2.x ist mir nicht ein cornJob oder eine systemd Start Unit abhanden gekommen.

(was aber nicht heißt das das immer so bleiben wird.)