Beiträge von gierig

Moin moin,

Zitat von StephanABV

Da stellte ich nun fest, dass ich die FlexHD über ssh gar nicht mehr erreichen kann.

Also habe ich eine ssh Session zum Switch aufgebaut und von dort aus dann eine ssh Session zum FlexHD - das funktionierte.

Wars du in einem anderen Netz ? klingt fast als wenn Default Gateway auf dem AP fehlen würden.

(vom switch kommst du dann mit einer IP aus dem gleichen netz die dann geht)

Zitat von StephanABV

da wurde mir dann aber gesagt, dass der Upgrade Befehl nur in PID 1 aufgerufen werden kann.

Das macht keinen wirklichen sinn. Wie ist die genaue Fehlermeldung ? Bei welchen genauen Befehl ?

PID steht für "Process ID“ und ist sehr einfachst gesagt die „Laufende einzigartige" Nummer der gestarteten Programme

PID 1 is dabei der „Master“ Process der der nach dem Kernel Laden angestoßen wird und alles anderen Startet.

Klassisch ist das „init", auf neueren Systemen „systemd" und auf UNIFI APs scheinbar etwas das sich „procd" nennt.

Du kannst weder zu „pid1“ werden noch darunter etwas ausführen da darunter schon was läuft.

Auch kannst du die Process ID im Regelfall nicht selber aussuchen.

Du selber (also als inaktiver User) kannst maximal deine UID (User ID) ändern.

„sudo“ wird dazu häufig benutzt um Befehle als root (UID=0) auszuführen.

So langsam dämmerst mir aber nur langsam das vorab gesagt

ein paar Lose Stichpunkte ohne Reihenfolge oder Wertung also eher BrainStrom Charakter:

BYOD ist die Pest will der alte IT Mensch eigentlich nicht. Aber 2021 sind nicht

die 90er. Deswegen würde ich BOYD immer in einen eignes WLAN/Netz/Vlan Sperren

und diesem über die Firewall zugriff auf die nötigen Internen Systeme geben.

evt. kommt Zwangproxy in Frage (in einfachsten fall ist der Proxy das Gateway, Im

erweiterten Falle HTTP + HTTPS + X auf den Proxy umgebogen über Nat und Portweiterleitungen.

Da braucht dann keiner was einstellen denn der verkehr wie eh über den Proxy Geleitet

Jeder sollte über den Proxy rausmüssen (auch das normale Server Gedöns und KO)

direkter Internet Zugang ist RAUS eher selten nötig.

Über Proxy regeln würde ich dann einstellen das XY und Z dann alles dürfen und der Rest dann

halt nicht auf die Thailändische SheMale Seiten...

Das Proxy Autodiscovery Protocol sorgt aber auch dafür das die Geräte den Proxy benutzen

und wenn sie woanders sind dann halt nicht weil da dann nicht DEINE Einstellungen geladen werden.

Wenn deine „Leudde“ den Proxy Harken in einer Sekunde entfernen können um Thei Essen zu bestellen

dann bekommen sie es auch hin wenn die Gateway IP zu ändern um den „guten weg“ zu benutzen.

Es gibt halt viele Wege..

Warum sollte man das machen wollen ?

Also Warum WILLST du alle zwei tage den Controller Neustarten ?

CronJob reicht, Controller bietet da nicht selber an (warum auch)

Während des Neustarts halt keine Statistiken und kein GästePortal....

Du könntest DAS hier lesen als Einstieg für weitere Recherchen.

In Kürze:

Über bestimmte DNS Eintrage (oder auch über DHCP Optionen) ruft der client seine Gültigen Proxy Einstellungen automatisch ab.

Die Einstellungen beinhalten dann Proxy und ggf. Ausnahmen fürs Lokale / Interne Lan.

( was soweit geht das kann Du für einzelne Sub Domains entscheiden kannst ob Proxy oder nicht)

Moni Moin,

auf der USG kann dem Vlan Interface das auf die Schnittstelle gebunden ist eine zweite, dritte, ... Ip

zugewiesen werden. z.B Vlan 100 am Lan1

set interfaces ethernet eth1 vif 100 address 10.22.0.1/24 (commit & Speichern nicht vergessen)

(die USG Büchsen und Edge Teilen sich die gleiche vyatta Router software Basis. Bei den USG kommt

nur das Controller überschreibt alles Imme dazu). Das geht natürlich auch über die config.gateway.json um

es Reboot/Provisions sicher zu machen.

UDM hat ne andere Basis, aber im Grunde wird auch da auch aufs OS zurückgegriffen.

(bzw. es wird gleich auf vyatta als „middleware“ verzichtet.)

Irgendwo kann man da also auch dem VLAN Interface ne zweite IP geben.

Nötigen falls über die System „IP“ Befehle.. (oder den ifconfig bei älteren Systemen)

Aber:

Das ist gewollter Fusch.

Vlans werden grade zur Trennung von Netzen eingesetzt um

zu separieren, kleine Broadcast Domains zu haben und Router/Firewall die Aufgabe

zu überlassen zwischen den Netzen zu Vermitteln. Und weil nicht jedes VLAN an den

Switch Parts anliegen muss natürlich auch mehr Sicherheit.

Cisco kennt in ihrer Manual ein paar Anwendungsgebiete für zweites Netz in der gleichen

Broadcast Domain aber ganz ehrlich die 90er sind lange vorbei....

Diese Krücken werden nur noch benötigt um zu fischen

Ist die Wetter station von Netatmo oder ? Die Hat ja keine Buchsen und deren Hilfe beschränkt sich auch auf

„Ne Ne, da musst du aber eigne SSID haben auf deinen AccessPoints, und überhaupt stell den Router bitte neben mich und schalt lieber

5 ghz aus das können wir nicht, und Benutz google DNS server...)

Wo ist das FacePalm Smiley wenn man es braucht ?

Tja, Andere Firmware auf den AP würde mir noch einfallen, aber warum wenn alles andere gut geht.

USG neu gebootet ? (da läuft ja der DHCP drauf)

DHCP Config löschen und neu anlegen lassen ?

SSH aufs USG, die Ausgabe sieht dann etwa so aus:

root@USG:~$ configure
[edit]
root@USG# delete service dhcp-server
[edit]
root@USG# commit
[ service dhcp-server ]
Stopping DHCP server daemon...

[edit]
root@USG# save
Saving configuration to '/config/config.boot'...
Done
[edit]
root@USG# exit

Im Controller dann bei der USG in den Einstellungen „Force Provision“ Ausführen damit der DHCP Dienst wieder erstellt wird, mit deinen

Einstellungen.

LOL, Schön das es geht aber:

Zitat von iHaveAstream

fehlenden DHCP L2 Relay VLAN Konfiguration auf dem EdgeSwitch für meine VLANs

Widerspricht das nicht dem

Zitat von iHaveAstream

sind diverse VLANs aktiv und für diese auch DHCP. Im wired LAN ist alles bestens, Clients bekommen IPs aus den DHCP Pools

Oder bezog sich den nun doch auf die andere Seite der Salami Scheibe ?

Zitat von iHaveAstream

Circuit-ID und Remote-ID

Damit wird „Option 82" konfiguriert. Simpelst ausgedrückt liefert der Relay Agent dem DHCP server

weitere Informationen um ihn bzw. dem eigentlichen Client Identifizierbar zu machen wo er den steckt

um dann eine andere Antwort zu geben.

z.B:

Wird gerne bei WLAN Access Points verwendet. So könntest du z.b sagen das im

192.168.1.0/24 die ersten 100 Adressen nur über die APs im Haus1 vergeben werden

und die nächsten 100 nur über die AP im Haus2.

oder:

Im Haus 2 bekommen alle über den DCHP einen anderen Boot Server für PBX oder

einen anderen DNS, Zeitserver, Gateway oder fürs Telefon eine andere

Voice Vlan Config. oder was man halt noch so über DHCP Verteilen kann...

Zitat von fred05

Hatte früher auch nie Problem ist eine Netatmo Indoor Station

Wann war früher ? Vor Unifi oder bei nur einem AP?

Ne zwanglose suche berichtetet von einigen Problemen mit dem Netatmo kram bei Multiplen AP's

Weil der sich dann nicht wirklich entscheiden kann wo hin er sich verbinden wich wenn er mehr

als einen AP sieht. Abhilfe war scheinbar immer „Eigne SSID nur auf einem AP“ oder Kabel dran

(wenn dein Model den ne Buchse hat).

Moin,

Wenn er wieder Normal ist war er vorher nicht normal.

Gegenmaßnahmen:

- Meldung Abschalten

- Dafür sorgen der „Clients WiFi Experience Score „ bei dem Client nicht sinkt

- Den Client rauswerfen

Punkt 2 ist wahrscheinlich interessant für dich oder ?

Abfall des "Experience Score„ kommt immer zu tragen wenn der AP Denkt das er seinen

Client nicht mehr soooo gut erreicht. Weis garnicht was und wie genau da gescheckt wird

ob das noch das WLAN ende ist oder schon weitergeht LAYER 2 (ARP oder MAC lPing oder

ne Mischung ausallen. Ubiquiti macht auch daraus ein kleines nicht Dokumentiertes Geheimnis..

DINGE zum Prüfen:

- Client zu weit weg

- Client geht in Schlafmodus oder schaltet anderweitig Wlan ab

- Babyphone, billige DECT Telefonen , Mikrowelle funken gerne um 2,4Ghz rum und stören (auch wenn sie es nicht sollten)

Hihi nein habe ich nicht mitbekommen wie den auch, das steht nicht hier in diesen Thread

Zitat von Nobo01

mit lautem Knall und geflogener Sicherung verabschiedet hat.

Chancen stehen nicht sooo schlecht das es der X Kondensat war der nun duchlegiert ist und einen Kurzen erzeugt

oder der primäre Ladekondensator der auch Typischer Weise immer auf Kante genäht ist. Mit ein wenig Glück ist dann nur

das Netzteil Kaputt.. Ohne vorher das Bord selber gegrillt zu haben...

Freilich ohne Ahnung ist das alles doof aber in Reparatur Kaffes sitzen immer auch man fähige Menschen,

grade Netzteil und Kondensatoren ist eins der häufigsten Uhrsachen einfach überall..

Ich biete ungesehen 30 Euro

Die Antwort ist "42"

Ganz ehrlich verstehe ich nicht alles was da steht. Ein Bild oder eine Zeichnung würde ich mit hier wünschen

oder wenigstens eine Tabellarische Aufzählung der Anordnung.

Aber soviel:

Wenn ich es richtig verstehe:

Switchport an den die AP angeschlossen sind:

Natives VLAN 20

+taggaed VLan für jedes weitere Netzwerk/WLAN

Im Controller:

Das erster nicht löschbare „Corporate“ (mit der VLAN1) ist dann quasi dein VLAN 20.

in dem also dein 192.168.20.x/24). Der Controller weis ja nicht das das Native VLAN auf dem

Switch nicht die1 ist und merkt das auch nicht. Du solltest bloß nicht Vlan 20 hinzufügen.

Alle andern VLAN und das WLAN Mapping wie der Rest von deinem aussieht.

Zitat von grandor

Warum wechselt der den Channel von "Auto" auf einen festen Kanal?

Klingelt was in meinen Ohr...

hast du "WLAN AI" an (Neue UI -> Settings, Advance Futures ganz oben)

Das stellt die AP um und sorgt dann nachts für einen Festen Kanal Wechsel.

Wenn mach es aus die Funktion wird von den meisten als "Dreck" empfunden

was ich auch so bestätigen kann

Zitat von drsnuggles

aber ich sehe jetzt nicht, warum PCI nicht mehr zertifiziert werden sollte wenn wir auf Ubiquiti setzen?

Weil der Prüfer sowas sagen wird. "Zeig mir mal das die Firewalls PCI Compliance ist"

Und du dann sagen wirst, also ja ahm die kann Ipsec ganz prima wenn ich ein wenig suche

dann kann ich auch sagen mit welchen Schlüssel Stärke...Hersteller kennt ihr doch oder ?

Ne der hat keine Doku, kein BCM, kein Security Managment das Transparent ist. SLA ?

SLA...SLA...nein haben die auch nicht nicht gehört... aber Blaue LED...?

Nein Doku sind nur tote Bäume in PDF form, da reicht uns die QuickStart Anleitung

und Community.

Kennst du bei dem IDS den Ablauf wann wie welche Regeln reinkommen ?

Oder kann jeder in der Community regeln vorschlagen die ggf DEIN Netzwerk Kicken.

Bzw eine ausnahme von "BösenHost" zu erlauben wegen "false Positiv" der dann

unbehelligt benutzt werden kann um von euch Daten zu zapfen ?

Zitat von drsnuggles

Unsere WAN Installationen finde ich jetzt nicht wahnsinnig exotisch.

Ohne Tiefe Kenntnisse eh nicht abschätzbar. Aber üblicherweise wird der aufwand und die Struktur

völlig unterschätzt....

na in xxx der name der Verbindung...

mach einfach ein clear vpn und "Tap" dich durch....

Für Scripten hat jemand mal die vbash erfunden. Damit kann man befehle

absetzen. Also oben im script ein #!/bin/vbash

ggf. schauen ob du das ding auch hast auf deinem router (vbash ausführen Probieren)

255.255.0.0 als0 ein /16 das Umfasst also 192.168.0.0 bis 192.168.255.255

da liegen dann die "Eigentum vom Klinikum - kann ich nicht ändern." drinne.

Wenn das "Klinikum" nicht die Gleiche Maske hat, hast du pauschal Schomal ein

Problem das ggf. aber erstmal nicht auffällt. (Broadcast Addy, Netz Adresse)

x.x.x.63 als Gateway ? bei einem /26 wäre die 63 das die erste Broadcast adresse

klingt fast so als wenn sich dabei einer was gedacht haben könnte.

Ist das so gewollt ? keine Segmentierung mit Vlan ? Eine große Broadcast Domaine ?

Oder gar grober umfug mit Vlan wo der Router dann auch nicht mehr so weis so recht weis ?

Mann kann hoffen das das "Interne" Krankenhaus netzt damit nicht zu tun hat.

Sonst bitte Adresse damit ich die Gegend meide und niemals nicht Patient sein möchte.

Wenn der Flex sich die Fallback 192.168.1.20 gibt dann nur weil er keinen DHCP

Server erreichen kann oder eine IP von diesem bekommt. Klar kannst du

über deine Laptop dem auch eine andre IP geben (Settings, Zahnrad, Network, static Ip)

dann noch SSH Aktivieren und dann am Zielort die Inform Adresse auf den richten

Controller biegen (wegen dem Fremd Verwaltet). Aber das ist Rumdoktern

und schlangen Öl ausgießen und dann mit einem PostIt die Fleischwunde zu

verschließen.....

Zitat von MHPower

Weil wir immer wieder Ausfälle mit billigdorfer Switches hatten sind wir auf diese UbiQuiti Geräte umgestiegen:

Die Erfahrung zeigt das man Plastik Bomber austauschen will weil man mehr Funktionen/Geschwindikeit braucht.

Kaputt geht der kram gleich schnell unter den gleichen Bedingungen. Schranken anlagen hört

sich nach draußen / Heiß/Kalt, Naß/trocken, Abgase und Bewegung an. Da würde ich mir kein UNIFI für in den

Schrank hängen (auch nicht den "outdoor" flex) sondern irgendwas wo auch INDUSTRIE draufsteht und auf den

Zettel daneben das die KLIMA und Rüttle Schränke dieser Welt dem nichts ausmachen....

Schwer zu sagen so ohne selber Einblick zuhaben...

Es geht auch nicht wenn du es Manuel Startest das Script ?

Sagtest dich es geht oder wie jetzt ?

Schuss Blaue ins:

ifconfig vtun0 down && ifconfig vtun0 up

das "&&" sorgt dafür das der zweite befehl nur ausgeführt wird wenn der

errorlevel des ersten 0 ist also erfolgreich war.

teste mal ifconfig vtun0 down; ifconfig vtun0 up

also ein ";" dazwischen das ist die normale Verkettung und wird immer

ausgeführt.

wenn es ein VPN (also OpenVPN/IPSEC/ROT13Verschlüssleung) ist musst du ggf. noch die Verschlüsselung

Tunnel mit neuaufbauen was wird da benutzt auf den edge Büchsen Open/Srong Swan ?

Der müsse ggf mit duchgenudelt werden...

zu guter letzt:

warum kein "clear vpn xxx" das geht auch prima über die Shell dazu ist sie ja da. und Sollte

dafür sorgen das der Tunnel sauber neu aufgebaut wird. Dazu ist es ja da...

In den Englischen Foren wird gerne darüber gelästert das der Hash (Radius Passwort) nicht länger als 32 stellen sein darf.

Die aussage sind aber auch schon ein paar Jahre alt.

Such begriff:

An Access-Request message was received from RADIUS client X.X.X.X with a Message-Authenticator attribute that is not valid.

Von:

https://community.ui.com/quest…3b-4c75-8e99-e42dc6d41aaa

It appears that if you let NPS generate a password, or use a password that is too long, the Unifi switch will reboot and then not perform 802.1x correctly. I tried 1234 and it worked, then increased the password to 24 characters and it worked. 36 character does not work.

Hab zwar nur die U6-Lite aber gleiche FW. Völlig Unauffällig machen was sie sollen.

Mit ner älteren hatte ich nach 3-4 Tagen "Einbuchen ja, Netzwerk Nein" bei einigen Clients.

Das war dann aber mit dem Update auf die Beta FW weg....