Beiträge von gierig

Zitat von Hendrik2020

Portforwarding ist ja wenn ich raus ausm LAN wil

NEIN, Portforwarding ist eine Hilfsmittel um ein Gerät HINTER einem NAT zureichen.

Es definiert eine feste Zuordnung zwischen der IP/Port die präsentiert wird und der internen IP/Port

Das gleiche geschieht ganz automatisch wenn du Surfst da der „Rücktraffic“ ja wieder zu deinenm PC muss.

Das ist da dann aber ein dynamischer Vorgang und die eintrage werden nach einiger zeit wieder gelöscht.

ein „Portforwarding“ is dazu dann ein statischer fester Eintrag.

Wenn du keine Firewallregeln hast gilt da was razor sagte.

Wenn du Geheime Regeln hast die das Verhindern dann füge noch

VON IP/NETZ Port > 1024 nach Raspi Port22 erlauben an die richtige stelle.

Meine Glaskugel meint das du mögest auch checken ob der SSH Server überhaupt läuft auf dem

Raspi der ist Default aus....

Was genau geht nicht ? Gibt es einen Paket Trace bei dem du siehst ob Pakete raus gehen bloß nicht zurück ?

(tcpdump ist überall drauf und die file die damit erzeugt werden 1zu1 in wiereschark zu bewundern)

Ist das ruleset „LOAD_BALANCE“ auch an das Interface (bzw. an das Vlan) gebunden ?

Policy-Based-Routing (und die weiterführenden Links) kennst du ? Das ist zu 99% auch für die USG gültig.

Mal ganz auf die schnelle:

Ssh einschalten auf dem controller und sich mit public key vertraut machen

damit die Anmeldung passwortlos laufen kann.

Auf dem Switch gibt es mit „swctrl" einen Befehl der einen das leben leicht macht.

„swctrl“ gibt ne kleinen Hilfe

"swctrl poe“ Hilfe für die POE einstellungen

"swctrl poe show“ zeigt die einen status für alle Ports an

"swctrl poe set off id 4“ schaltet port 4 aus

"swctrl poe set auto id 4“ schaltet ihn wieder auf auto

damit würde dann ein

ssh x.x.x.x -f 'swctrl poe set off id 4'

bzw. zum wieder einschalten:

ssh x.x.x.x -f 'swctrl poe set auto id 4'

von deinem Rasbery reichen....das lässt sich dann auch in einen cron reinwuppen

oder sonstwohin..

Zitat von s25a

das sollte also so passen wie ich es verstanden habe

Zumindestens sprechen die Indizien dafür.

Mehrerer Seiten haben bestätigt das SSL über 465 Funktioniert.

Uboo21 im speziellen für den gleichen Anbieter wie du ihn hast.

Ich habe auseinander gedröselt wann wie und was verschlüsselt wird bei

welcher Option (inklusive das Ohne SSL auch StartTLS benutzt wird wenn es der Server anbietet)

Fei nach Ockhams Rasiermesser bleiben damit eigentlich nur deine Einstellungen .

Wie z.B user Name, Password, Absende Adresse erlaubt uns so weiter..

Das Log wird regelmäßig erneuert (das ganze findest du auf dem controller, siehe oben).

Dein part sieht auf den ersten blick recht normal aus mit den üblichen rauschen.

Was genau deutest du da als Fehler?

Im gründe würde ich deinem Fall auf die ältere Firmware gehen oder

die aktuelle beta testen. Also nach den kreuzeusch und verification was Hommes vorgeschlagen hat.

Grundlagen kann ich dir nicht wirklich vermitteln....

aber:

Punk1: SSH muss eingeschaltet werden auf dem Controller

Punk2:

terminal aufrufen und ein "ssh user@IPvomAP“ eingeben.

Password hinterher und ggf. bestätigen das die Key stimmen/neu sind.

„dmsg“ enegeben ist das boot log

"cat /var/log/messages“ is das syslog.

Sieht alles im alles ungefähr so aus (hier ohne password weil ich

mich über mein SSH Zertifikat anmelde und keins brauche)

Punk3:

nein SFTP Programme wie FileZilla kommen da nicht drauf. Das ist ein minimal Linux

ohne das SFTP subsystem. eine SCP Verbindung würde klappen das kann FileZilla aber nicht

(midnight commandos kann das)

Zitat von bergjet

UAP-AC-HD

4.3.28.11361

z.B hier gibt es hinweise auf Probleme die Deinem sehr ähnlich klingen.

4.3.20 soll da besser laufen und ein downgrade wird empfohlen.

Sollte dann dieses hier sein.

ggf. sonst eine neuere „Beta“ version. Viele sind hier mehr oder minder Glücklich mit den aktuellen Betas (#metoo)

btw. mit SSH meine ich auf den AP um ggf. der um /var/log/* oder per dmsg nützliche infos zu ziehen.

Tja zeig' halt die ganze Wurst wenns nicht geht.

Keiner kann helfen mit "mein Auto fährt nicht, es ist aber rot".

Ich zitiere aus der obigen Dokument:

Zitat

We recommend using a UniFi gateway router such as a UniFi OS Console or USG for the best experience. It is possible however, to use a third party gateway router instead. When doing so, the following configuration needs to be added to the gateway router to match the UniFi settings....

Wie gesagt: ich kann es aus Mangel an einem L3 nicht nachvollziehen, aber es wird KEINE USG/UDM benötigt.

Nur etwas config-Arbeit und der Hinweis "nutze bitte unseren Kram für die beste Erfahrung" (was jeder andere Hersteller auch macht). Das klingt logisch und sind quasi die gleichen schritte, die bei anderen L3-Switches auch getätigt werden müssen (hier bloß dann der UniFi-Weg).

Das war der dritte Hinweis auf Dokumente von Ubiquiti. Habe leider das Gefühl, dass es noch nicht wirklich verinnerlicht wurde. Da du es mit keinem Wort erwähnt hast oder Rückfragen aus dem Setup andeutest. (außer dass Dein Auto rot ist und trotzdem nicht fährt).

Nimm's nicht persönlich

Bye Gierig

Zitat von bergjet

"nicht verfügbar".

Neben den von Hommes ersuchten Informationen. Was genau bedeutet

"nicht verfügbar“. Kein Wlan Wlan Verbindung mehr ?

Lässt sich der AP noch Anpingen aus dem Lan (z.B vom Controller)

und wenn ja kannst du noch per SSH drauf (SSH access muss ggf. eingeschaltet werden) ?

Welcher FW auf den AP ? welcher Controller Version ?

auf dem Controller gibt es im unifi basedir unter

"logs/remote/„ Log files nach Gerät (beginnt mit der IP+MACADD)

das könnte Aufschluss geben..

auf der UDM ist das dann

/usr/lib/unifi/logs/remote/ (you must first enter unifi-os shell)

Zitat von Ghostrider

Aber wenn ich hier einen DHCP Bereich anlege, bekommen die Clients nicht diese IP Adresse, sondern von meinem DHCP (Firewall).

Aus mangel an einem PRO Switch kann ich das nicht nachvollziehen. Aber:

Laut deinem Schaubild ist kein L3 Switch involviert. Kann sein das du das nicht Änder kannst

sondern nur bei der NEU Einrichtung eines Netzes auswählen kannst.

also das hier:

Also ggf. Löschen, neu Anlegen. Sonst steht alles wichtige eigentlich in dem verlinkten Dokument.

Zitat von Ghostrider

Jetzt muss ich allerdings feststellen, dass ich den VLAN keine eigene IP mitgeben kann.

Einfach dran denken ein VLAN ist erstmal nur ein getrenter L2 Bereich. Ein Virtual Lan halt.

Wenn du da raus willst must etwas im VLAN haben das zum rest kommunizieren kann.

Eine "VLAN IP“ oder eher eine Gateway IP in einem VLAN benötigt IMMER ein Gerät, das als Router agieren kann. Neben der USG/UDM wären das z.B auch die „UniFi Pro“ Switche (L3 Switche).

Informationen (zu den L3 Switches) dazu findest du HIER (inklusive wie du deinen „Third Party Router“ einbindest).

Wenn Du das nicht willst bleiben Dir immer noch „Vlan Only“-Netze und DEIN Router muss das Gateway im jeweiligen VLAN anbieten. Sprich: Du benötigst einen VLAN fähigen Router.

Hast du keinen VLAN-fähigen Router aber einen Router mit genügend Ports kannst Du natürlich auch einzelne Kabel von jedem VLAN zum Router ziehen.

Interesaant..Ich habe es bei genau bei meinen Mac mini der mit Mac und Ohne Ip in der Client liste auftauchte

in einem VLAN das zum Test extendiert (aber am Mac abgeschaltet und gelöscht ist)

Meine Lösung war ne Reservierung im Controller (DHCP macht aber jemand anders)

Habs erstmal drauf geschoben das die MAC in zwei VLAN aufgetaucht ist der Controller darüber

verwirrt ist und kein sauberes cleanup macht.

hier hört sich das noch etwas Tiefgründiger an.

DHCP Settings sehen gut aus

Im VLAN96 verteilst du von 192.168.96.6 bis 192.168.96.254

hat aber Reservierungen auf 192.168.96.6 und 192.168.96.7

Das sollte passen wenn Unifi nicht mist baut. Wollte es aber explizit nochmal sagen

für deine eine Beurteilung ob es da Probleme gibt...

Simpler Reboot löscht den ARP Cache, grade explizit getestet (würde mich auch wundern wenn nicht).

Reboot löscht ALLES auch die die alten ungültigen Eintrage (die auch nicht in der Web Oberfläche auftauchen)

die auf der Console als invalid auftauchen (Linux Cached die richtigerweise bis Ultimo oder bis sie mit alter oder neuer IO

wieder auftauchen).

Es mach auch keinen Sinn hier irgendwo eine liste zu haben die den ARP cache wider füllen würde.

Das geschieht von ganz alleine über die ARP Broadcast und ist by design eine Temporale Geschichte.

Wenn da also Einträge drinnen sind mit IP und MAC dann weil die USG da angerufen hat und die Geräte

geantwortet haben oder die Geräte nach dem USG als Gateway gefragt haben und das USG sich den

Client schonmal merkt für später. ARP halt.

Zitat von FMSR

Jetzt noch der Werbeblock zu den Starlinkanlagen,

Und noch ein paar Dinge die die Werbung nie sagt:

• Starlink ist immer noch Beta
• Hardware einmalig 499€
• Monatlich 99€ Gebühren
• Starlink möchte „Feste Örtlichkeiten“ mit der Antenne rumfahren und Sie hier und da zu benutzen ist aktuell nicht erlaubt

Sonst natürlich wunderbar um Internet dahin zu bekommen wo es grade benötigt wird. Zusammen mit den externen AP und weiteren Komponenten kann man einfach HotSpots schaffen.

Wenn es denn auch da ankommt / hingestellt wird wo es wirklich gebraucht wird.

Zitat von Nobody

und die ARP-Einträge schin vorhanden sind

Was genau ist vorhanden ? Es liegt in der Natur der dinge das der SOFORT eintrage drinnen drinnen sind

die MAC/IP von bekannten Geraten beinhalten. Also für die Netze auf der USG + Deinem Laptop

Zitat von Nobody

Daraus zeigt sich mir, das scheinbar nicht alles wirklich zurück gesetzt wurde!

Spätestens nach einem Reboot ist der Bursche leer. Die Tabelle wird iim Speicher gehalten.

sonst „clear arp address all“ and der console.

But again:

ARP ist Elementar. Es ist in Ethernet Netzwerken DER Grundpfeiler der überhaupt erst ermöglicht

das Kommunikation in der Lokalen Broadcast Domain (LokalesLan/Vlan) statt finden kann.

Da ist und wird auch bei die nicht kaputt oder schief sein.

Und nun wieder hole ich mich selber

Zitat von gierig

Die Netzwerkkonfig fehlt dazu bitte auf der USG die Ausgabe von show "configuration commands | grep dhcp" posten

Denn wie soll man auch nur im Ansatz helfen können wenn du keine Informationen lieferst. Oder

du mit Salami Scheiben kommst die zum Teil unlogisch sind...

Noch mal durch editiert.

Wichtig ist wohl das auch ohne „enable SSSL“ Verschlüsselt versendet wird

wenn Controller und Mail Server sich drauf einigen.

Was auch den „aktuellen“ Standard anspricht.

So habe es grade noch mal ausführlich getestet.

"Enabled SSL“ bedeutet das der Controller direkt SSL will und auch nur SSL spricht.

Wenn der Mail Server unverschlüsselt antwortet und ggf. „startTLS“ als Option anbietet

um die Verschlüsselung zu starten, dann geht es nicht und es kommt zu der Fehlermeldung

im Controller.

Bitte führe ein "telnet mailserver 465" aus und berichte was Du siehst.

telnet 10.99.0.1 465
Trying 10.99.0.1...
Connected to 10.99.0.1.
Escape character is '^]'.

und nach der Blinden Eingabe von irgendwas + Enter sollte dann dann ein

"Connection closed by foreign hosts.“ kommen (oder analog die Verbindung wurde beendet)

Sollte stattdessen sowas wie „220 - mailserver bla blub ESMT ready“ aufploppen",

dann ist der mail Server Falsch für Port 465 konfiguriert.

Wobei falsch relativ ist. Port 465 ist eigentlich deprecated (so auch nicht ganz richtig).

Ist aber auf jedenfall impliziertes TLS, wenn er denn noch benutzt wird.

Der Controller hält sich an diesen "alten" Standard und spricht bei "Enabled SSL" auch nur SSL

Der Rest der Welt benutzt seit Jahren „StartTLS“, wo unverschlüsselt angefangen wird und

dann per "StartTLS" Kommando auf SSL gewechselt wird (und Port 587).

Dein ThunderBird und Co erkennen diesen Umstand und passen sich einfach an und senden entweder

gleich SSL oder die StartTLS Sequenz.

NACHTRAG:

Das oben gilt nur wenn "Enable SSL" auch angekreuzt ist.

Wenn StartTLS angeboten wird wird auch Verschlüsselt versendet.

(aber ggf. auch unverschlüsselt wenn der Server kein startTLS anbietet)

Hier ein Trace, Fatony ist dabei der Controller

„enabled SSL“ is aus, nach dem startTLS wird trotzdem verschlüsselt

Kommuniziert.

Das "enable SSL" ist also wirklich ein „Force SSL“ Schalter der dann aber

auch von Mailserver so unterstützt werden muss (wofür Port 465 auch ins leben

gerufen wurde).

Alle Angaben mit Controller 4.4.47 sollte aber auch für den aktuellen „stable“ gelten.

Zitat von Devilmaster

....und bin total begeistert über die Geschwindigkeit.

......rennt wie die Feuerwehr.

... ich bin überrascht über die Power von dem Ding

Sorry das klingt ein wenig wie diese überdrehten Influencer die dir die neue Arschfalten Cream andrehen

wollen.... Auch die Webseite vermittelt mir erstmal den Eindruck das hierSschlangenöl in Fässern verkauft wird

und alles ganz toll ist...

Was haben wir:

Ein 4 Port Netzwerk Interface angetrieben von einem Intel® Celeron, 2GB RAM, 16GB Flash (liebevoll SSD genannt)

nen 08/15 Wlan Chip (fertiges Modul über miniPCI angebunden). Grundlegende Software ist Open WRT/Linux

mit eignen Erweiterungen und Frontend um diverse VPN Anbieter einfacher anzubinden und einzustellen.

Die Kiste kann nur OpenVPN, kein IPsec oder Wireguard. (und nennt sich dann VPN Router)

Das ganze für $498.75 (warum die da 25% MwSt draufschlagen für Deutschland weiß ich nicht, und warum der

Preis in Doller angeben ist weis ich auch nicht, für ne Swedische Klitsche aber eher seltsam)

macht also je nach Kurs ca. 425€. (wow)

Also ein weiterer router auf den Weg in Netz der als einzigste feature VPN Integration zu den

etablierten VPN Anbietern enthält.

Verstehe schon nicht ganz was der Hinweis von BlackSpy nützen könnte bei der Sachlage.
Aber Hommes letze klingt eher das er zu einem anderen Topic gehört...

Zitat von Althir

Im speziellen zicken hier auch lediglich diverse Meross IOT Devices rum.

Genutzt werden die IOT Geräte mit Homekit.

Zicken sie den wirklich rum, oder sagt nur der Controller das sie zicken ?

schau mal ggf den Beitrag von mir an:

Client's WiFi Experience Score has returned to normal

Neue Version vom Controller bringt da eine Option mit die Helfen kann.

die Englischen Foren überschlagen sich zwar nicht vor Begeisterung scheint

aber durchaus zu helfen (da werden nochmal bestimmte Timings angefasst)