Sollte man hier hier auch Notieren:
Aktuell ist beim neuen ZBF Firewall kein Filterung von IPv6 möglich. Sprich
alles Geräte Hinter dem Gatway sind über ihre V6 Adresse erreichbar.
UI ist informiert, hat aber noch nicht so recht reagiert...
Beiträge von gierig
-
-
Da gibt leider ein Bug bei der ZBF, die Geräte im lokalen Netzwerk sind über IPv6 über Internet erreichbar. Da wird leider nichts geblockt. Habe an dem UI-Support gemeldet. Habe dann IPv6 ausgeschaltet, bis der Bug gefixt ist.
Kann ich nachvollziehen... hab auch grade meine Meinung ins UI forum gekippt...
-
Eigentlich JA, ist halt ein leicht anders Konzept mit einer zusätzlichen Schicht der Abstraktion.
Konzept selber ist ja auch nicht neu andere Hersteller machen das Seit Jahrzenten
inklusive UI mit der EDGE Router Reihe was witzig ist den in Theorie könnte das alte USG
das auch da es auf EDGE os bzw. vyatta basiert (weis aber nicht ob die Uralt USG schon neu genug war)
-
Must du Selber wissen was du willst. Kommt auch drauf an was du aktuell als Kontrolle hast was für
Sonstige UI Hardware.
Aktuell ist das Cloud Gateway Ultra der heiße scheiss (eingebauter Controller)
Oder der Cloud Gateway Max der die Controller für Protect, Access etc auch mitbringt.
-
Zone Gateway gemeint?
Das ist die gateway Selber.. Also die VLAN IP, DHCP Server, DNS (wenn der benutzte wird) oder auch das Webinterface der UDM
Das ist grob das was vorher "Local" war.
-
Wild... Deine ganzen VLAN sind Offensichtlich alle in der gleichen Zone (internal)
Klick oben drauf dann siehst du das. Denke das der "Ich Konventiere nach TBF" hier dann auch
Doppel und dreifach Dinge anlegt.
Das müsste man Reglen für Reglen auseinander Dividieren
Ich denke ich würde Tabulrasa machen alles und abreißen und dann meine VLAN in neue
Zonen packen und dann ein neues Regelwerk Schaffen
Zu beachten dann Natührlich
UniFi Gateway - Zone-Based FirewallUniFi's Zone-Based Firewalling (ZBF) simplifies firewall management by allowing you to group network interfaces—such as VLANs, WANs, or VPNs—into zones. This…help.ui.comda steht eigentlich alles. Und die Readme von dem Release wo auch noch ein paar hinweise stehen.
-
100.74.3.53 ist ne Typische CGNAT IP
Du hast an deinem Internet halt keine Öffentliche IP.
Die hat dein Provider und macht ein NAT (genauer in PAT) für Dich.
Also im Grunde das, was dein Router daheim auch macht: viele Clients mit einer
privaten IP hinter einer Provider-IP zu verstecken.
Daher siehst du bei den Tischen "zeig meine IP" Seiten eine öffentliche IP-Adresse
-
Ja kannst du.
Aber eine USG ? das ding ?
Die Kiste ist EOL*1 seit ein paar Jahren. Die Unterstützung im Controller wurde schon mal gekündigt
wurde aber erstmal zurückgenommen. Aber das Ding wird ggf nicht mehr lange vom Aktuellen Controller
unterstützt (hast ne Cloudkey dafür oder nen Rechner wo der Controller drauf läuft)
*1 kein Support von UI, kein Firmware updates neue Funktionen. Nicht empfohlen für Neueinrichtung.
Gilt auch für die USG Pro
-
Wer wie was und wie schaut's aus ?
Geräte selber stehen nicht einer Zone. Es sind VLANs die einer Zone Zugeordnet sind und dann alle Geräte in diesem VLAN
Trifft. VLAN kann du entweder in Networks selber in eine andere Zone schieben
oder
bei der Firewall auf die einen Klicken um da die Zuordnung zu ändern.
(bei den ohne Schloss)
In der Zone EXTERNAL dürften eigentlich nur die WAN Verbindungen sein.
Wenn da was anders auftaucht.... denke das du dann gleich nen Ticket aufmachen kannst.
Das währe Verkehrt... aber zeig mal genau was du meinst nicht das ich dich falsch verstehe,
Den Rest must d dir die Reglen anschauen, teilweise je nach dem was du vorher hattest gibt es
ggf für alle Kombinationen Reglen die erstellt wurden . Ich hatte z.B eine Erlaube ICMP von extern
für ALLE extern nach adere Zonen drinnen für IPv6. Da wolle ich aber nur das von Extern nach Internal.
Musste also ein paar "Doppel" selber löschen
-
Tja und so wie ich Microsoft kenne, werden ständig neue Subdomains eingeführt oder entfernt. Bei denen ist nichts beständiger als Veränderungen.
Ja die Liste wird ständig Aktualisiert. Das ist kein Fire and Forget. Das ist bei anderen aber auch das Selbe..
AWS z.B haben da ihre Richtlinien aber auch besser zu Dokumentiert... (x Wochen Vorlauf bevor ne neue IP für einen Service
auch aktiv Genutzt wird)
-
"virtuelle MACs" von irgendeinem Virtualisierungssystem
Die sollten dann eigentlich auch nut eine "Locale" Mac Verwenden. Dazu muss 2 BIT im LSB auf "1" gesetzt sein:
x2:xx:xx:xx:xx:xx
x6:xx:xx:xx:xx:xx
xA:xx:xx:xx:xx:xx
xE:xx:xx:xx:xx:xx(20:1f:3b:8a:9e:10 and 20:1f:3b:aa:47:1a)
"20:1f:3b" ist der Vendor Code von Google..
Vielleicht hilft das die Kisten zu Identifizieren. Evt. Mobiltelefone mit fragwürdigen APPs...
-
Microsoft 365-URLs und-IP-Adressbereiche - Microsoft 365 EnterpriseZusammenfassung: Microsoft 365 erfordert eine Verbindung mit dem Internet. Die unten angegebenen Endpunkte sollten für Kunden erreichbar sein, die Microsoft…learn.microsoft.com
Daraus Resultierend dieses JSON da wird drinnen dann den Diensten unterschieden.
Danach dann aber bitte unbedingt mit der
TelefonSeelsorge® Deutschland | Sorgen kann man teilen. 0800/1110111 · 0800/1110222 · 116123. Ihr Anruf ist kostenfrei.Die TelefonSeelsorge® ist in Deutschland ein Seelsorgeangebot in Verantwortung der Evangelischen und der katholischen Kirche.www.telefonseelsorge.desprechen... du wirst entweder suizidale Gedanken haben oder einen ungesunden Hass auf Netzwerke
oder deinem Chef...
-
API:
Clients... bisher TYP, NAME, IP, MAC... noch nicht viel aber ein GUTER Anfang.
Paar Statistiken gibt es auch...
Seltsam finde ich das es über den LOKAL weg "Client" Informationen gibt. Aber (bisher)
nichts über WAN Verbidung... das Wiederrum geht über die Externe API über unifi.ui.com
Aber mal schauen das zeug ist noch nicht bereit für Kinderschuhe
-
ist das QoS jetzt ein QoS oder nur das Unifi QoS ?
Bandbreiten Filter Deluxe würde ich sagen:
-
Was bedeutet das? Ich habe etwas Respekt
Na das die IDS Reglen.
Auf ein Minimum gesetzt waren.... FrüherTM konnt man sich MIN/MAX/Custom aussuhen...
nun wohl nicht mehr... Hat ja nicht mit deinen Firewall Reglen zu tun...
Das "neue" ZBF format habe ich noch nicht an....Das kommt heute Abend...
-
Kommt drauf an wo man seine Grenze zieht zwischen Nützlich und nun ist es SchlangenÖl
-
So.... Läuft erstmal...
UniFi CyberSecure schlägt dann erstmal mit 89 Euro im Jahr zu buche...
Nein für mich als Privat mensch nicht...
Die Alten "Gratis" regeln sind aber noch da soweit ich das überblicke..
Achtung bei mir wurden Viele Kategorien auf "default" minimum zurückgesetzt...
-
In der Beschreibung der Module steht 30m bei Cat 6A
Inwieweit hat jemand schon mit größeren Längen eine stabile 10G Verbindung hergestellt?
CAT7 kann 100MHZ Höhere Bandbreite als CAT6a, hilft nicht viel da Stecker Dosen eh nut CAT6a sind.
KANN Funktionieren, kann auch nicht Funktionieren und das in Abhängigkeit vom Sonnenflecken,
Mondstand und der Anzahl der Katzen Population im Umkreis von 10km oder der Packet Last
auf dem Netzwerkport neben an.
Empfehlungen sind bei der länge Definitiv GLAS zu nutzen...
-
Dein Gerät ist cool, und mehr als ein Switch
Nüchtern betrachtet nen 08/15 Server + ne Anzahl von NIC Karten die im Bridge Setup laufen.
Geschilderter Spass bei der Sache bisher... ein paar Stunden Zeit um günstige alte SFP Karten
zum kaufen zu bringen + die Erkenntnis das der die 2.5GB dinger nicht Frist.
Wie gesagt nicht zum schlecht Reeden, darf jeder machen was er will und daran wachsen / Lernen / Spaß
haben (der Spas am Gerät im Privaten / Hobby Umfeld wird immer gerne Vergessen von Menschen wie
mir die das Beruflich machen)
Uns solange auf dem "Server Part" nur 08/15 dinge laufen wird sich auch anfühlen nach einem
Switch...Immer noch gespannt auf belegbare Speed Tests....Performance wird dann wohl kosten wenn "Server" Server dinge tut und das IDLE auf unter 50% runtergeht.
-
Die Fehlermeldung besagt das >1 gerate in deinem Netzwerk die Adresse haben.
Wenn nicht selber Konfiguriert hast du entweder einen Fremd DHCP im Netz der die Adresse verteilt.Oder etwas das Manuel die Adresse benutzt.
Erster schritt:
SSH auf dein Gatway. arp ausführen. Die ARP Tabelle zeigt alle bekannten MAC und IP an
wenn diese nicht zu lange herr versucht haben irgendwie übers Gateway zu kommen.
Das BRX am ende gibt Aufschluss in welchen VLAn die Geräte sind.
ggf. auch Logfiles wie /var/log/messages durchsuchen, da sollte es auch was geben wenns doppelte
Adressen gibt.
Das das aber 'ne Öffentliche IP die zu einem Telekom Unternehmen in Asien gehört ist
durchaus suspekt...
