Hmmm....watn Aufwand...
Na ich schau mal, was ich so einstellen kann
als Alternative so ohne nen Port zu verschenken:
hat razor mal was Dokumentiert für die guten alten USG
USG | DSL-Modem erreichen (USG-only) - ubiquiti - Deutsches Fan Forum
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenHmmm....watn Aufwand...
Na ich schau mal, was ich so einstellen kann
als Alternative so ohne nen Port zu verschenken:
hat razor mal was Dokumentiert für die guten alten USG
USG | DSL-Modem erreichen (USG-only) - ubiquiti - Deutsches Fan Forum
Genau, er kennt nur sein eigenes Netz und kein Gateway, dann sind statische Routen doch schon konzeptionell nicht möglich?
Sag das keinem sonst glauben die das noch
Technisch is ein Default gateway nur eine Route für 0.0.0.0 (ein synonym für alles)
zu einem router. Cisco nennt das gerne „Gateway of Last Resort“ der letze Ausweg
wenn man nicht weis wohin mit den Paketen.
PlaastikBomber und SOHO Router haben das meist nicht, weil wenn sie als Router
Gerieben werden das Default ins Internet muss. Aber sie haben meistens
alle eine Möglichkeit so Statische Routen fürs LAN einzutragen.
Ich würde mir ein Management-LAN einrichten, in dem dann sowohl das USG als auch der Vigor enthalten sind, dann sind Zugriffe kein Problem.
Ohne Routen braucht es trotzdem einen Client dan IM gleichen Netzwerk/ Vlan / Broadcast Domain
OK, ich muss dazu sagen, ich hatte es so vor, wie in dem Video:
Habs nur durch gekippt weil ziemlich langweilig und lang, scheint aber das gleiche zu sein
was ich gesagt habe...halt die 08/15 Standart Lösung.
Statische Routen haben dann da gar nichts verloren.
Wenn das MGMT Interface erreichbar sei muss machen Routen sinn.
Problem ist das das Vigor im LAN kein Default gateway hat. Damit kennt er nur
den weg in eigne Netzwerk also in dem fall 10.10.40.0/24
du benötigt ein Richtiges VLAN50 mit einer IP, wenn der VIGOR schon die .1 hat
gibt der USG die .2 (im controller dann halt 10.10.40.2/24)
Damit der Vigor einen weg findet muss due es schaffen eine route einzutragen
Wenn richtig gemacht ist das auch kein Problem. Mach einfach 10.0.0.0/8
(255.0.0.0) und als ziel 10.10.40.2 (die IP der USG). Dann wird
der virg die USG als router benutzen für alles was nach 10.0.0.0./8 muss.
Port....UDM...Eco Modus finde ich nirgends
Hat sie auch nicht, die Fritzbox selber ist gemeint.
Auf meiner nagelneuen TZ310 steht immer noch Dell,
TZ310 ? Mit Dell Branding ? Ich finde schon keine TZ310 im Portofolio auch nicht
als legacy...Sicher ?
Aber um meine Kernfrage zu beantworten: Muss/sollte ich dann Regeln in der UDM erstellen „Internet out“ so wie ich sie beschrieben habe. Also zuerst Gruppen erstellen die die jeweiligen Ports zusammen fassen und diese dann in „Internet out“ freigeben und zum Schluss Any Any Drop. Ich will das von innen nach außen nichts raus geht außer die Ports die ich freigebe.
Korrekt.
In der alten GUI hatte ich wesentlich mehr Parameter einzustellen die jetzt einfach komprimiert wurden und mehr versteckt sind.
Über „Versteckt“ kann man Diskutieren. Abe mehr? Ich denke nicht, grade weil alles was „Neu“ ist
also einiges IPv6, Traffic Rules, OSPF, VPN Geschichten es NUR in der neue GUI gibt.
Und wenigsten mal das Deaktivieren aller eignen Reglen getestet um festzustellen
ob es dann geht ? Oder wird das ignoriert weil die eignen Regeln wasserdicht und ganz sicher richtig
sind ?
Moin,
es handelt sich um eine physikalische Hardware Firewall von Dell.
Ahm.... also wie sag Ich es am besten.... DELL hat den kram bereits 2016 verkauft
das ist 8 Jahre her und war damit nur von ca. 2012 bis 2016 in DELLs Offiziellen Besitz.
Generell ist bei einer DELL Firewall in den Default Einstellungen alles blockiert.
Ja einer Firewall (wie auch Checkpoint, ASA, oder OpenXX) ist das auch die natur der Dinge.
Meine Annahme ist, das die UDM alle Ports im default offen hat. Ich erstelle also und gebe diese von LAN und WAN und umgekehrt frei. Zuletzt folgt die Regel Any Any Drop.
Tut mir leid wenn ich mich etwas doof stelle. Aber ich komme darauf nicht klar 😅. Und was ich gelesen habe, bin ich damit nicht alleine.
Ja Das ist auch die Aufgabe eines Routers, der soll verbinden. Ob Cisco, Juniper, der Platikbomber
der beim Internet Provider dabei ist, Huwei oder halt auch Unifi.
Das sind Router die ggf. Firewall Funktionen haben.
Deine Annahme ist nur so Halb richtig:
Lan zu WAN ist erstmal alles erlaubt. IPv4 wird über ein Zwangs NAT geleitet
(Overload, PAT, Masquerade, Port BasedSourceNAT, wie du es immer nennen willst)
WAN zu LAN dann natürlich nur das was vor in den NAT Tabellen geöffnet ist also
typisch der Rücktraffic. Das natürlich Statefuel (nur related / Establish dürfen rein)
Bei IPv6 greift aus mangel an NAT nur das Statefuel und erlaubt nur related / Establish
von WAN zu LAN.
LAN zu LAN ist natührlich erlaubt alles (weil es ist ein Router)
Dazu kommen dann ggf. noch ein MDNS Proxy, ICMP Proxy als kleine helfer
für die Typischen Dinge die man im SOHO hat.
Linux basiert, also firewall via Netfilter mit Iptabes und IPSET als backend.
Irgendwelche Script ziehen gerne Neue Filme Listen für Alien, TOR, Böse IP
(landen alle im einer IPset tabelelle wenn aktiviert) + Geo Datenbank +
eingekaufter Closed Source KRAM fest im Kernel für die Traffic Erkennung (DPI)
IDS ist das gute alte Suricata mit den typischen Opensource regeln + ein paar eigne.
suricata lauscht dabei nur und gibt nen Altert den das UNIFI system dann ggf als
IPtables / IPSET Regle etabliert um die Vereisung zu unterbinden)
. Das neue Interface kann man ja ehh in die Tonne treten.
? Ist dem so und ist da nur ein wages Gefühlt weil du mit der alten „aufgewachsen“ bist
und Probleme hast dich umzugewöhnen. Die neue ist mittlerweile (nach langer Reife)
VIEL Besser als der alte kram...
In meiner Vorstellung daheim sitz du dann grade dem 17“ CRT, die Serielle Kugel Maus in der
Hand und versucht auf deinem aktuellen WIN2K den Teles ISDN zu Konfigurieren..
(sorry ein wenig Sarkasmus kann ich mir nicht verkneifen, nicht persönlich gemeint)
Und das Kabel zur UDM prüfen da nur eine 100er Verbindung, die Fritte hat 1000er Ports
+ die „green“ Funktion an der Avm box abschalten.. die fährt gerne den Port auf 100 runter
Und hat das eine oder andere mal für sowas gesorgt..
Nun wen du in deinen geheimen Regel Satz z.b multicast aktive unterdrückst
(Eher sehr spezielle lan out regeln) dann kann mdns nicht funktionieren weil das nunmal
Multicasts ist und von 224.0.0.251 kommt und Port 5353…
Sofern natürlich hier mdns gefordert ist…
Hat jemand für mich nen Tipp, was ich anders machen muss?
na die Falschen Regeln aus den du ein Geheimnis machst durch eine Funktionierende ersetzen.
Diese dann (auch wenn du denkst das sie richtig ist) auch in der richtigen Reihenfolge
und relation zu anderen Regeln sortieren.
Denn wenn eine Reglen darüber schon „DROPP / DENIED / NÖ“ sagt wird
eine darunter NIEMALS ich nur gefragt werden. (erster Treffer gewinnt, barbeitungn wird
beendet)
und / aber:
Welches Protokoll den überhaupt ? Findest die Kommunikation über UDP/TCP Statt ?
Oder brauch der Kram vorher Informationen die MDNS verteilt werden (dann MDNS
einschalten für beide VLANS und den Multicast erlauben)
Testweise alle Eignen Reglen deaktivieren. Ob es generell VLAN übergreifend geht.
Weil einige „ewig Gestrigen“ mögen sich nur unterhalten wenn Quelle und Ziel im
gleichen VLAN sind.
Preisfrage NR 1:
Der Unifi eigne AD Blocker im Controller für das VLAN is ausgeschaltet ?
Und im VLAn ist auch nicht Contenfilter (Price / Work) Aktive ?
Beide biegen DNS Anfragen die über den Router laufen (was gegeben ist wenn
der PI in einem anderen VLAN Hängt) auf den Internen DNS Router um
leiten dann weiter zum DNS der im WAN eingetragen oder gelernt wurde.
So da bin ich wieder...
wollte nur wissen welchen UDP Eintrag
Eigentlich nur UDP, es schadet aber nicht auch UDP-Stream zu erhöhen.
Der ist in der Conntrack Tabelle eigentlich für „Kontinuierliche Stream in beide Richtungen“.
Diese "aktiv halten" "Pings" gehen aber nur an die UX, oder kann es sein, das der ISP da irgendwie was von mitkriegt und wegen "Spam" temporär dicht gemacht hat?
Durch "aktiv halten" erneuert die Fritzbox die offene Verbindung einfach so regelmäßig, dass es zu keinem Timeout mehr kommt. Somit klappt es dann mit den eingehenden Anrufen zuverlässig.
Das "Aktive halte"n des Rückkanals in der Conntrack Tabelle de NAT Systems
findet dadurch statt das zu dem Ziel Irgendwas gesendet wird.
Irgendwas muss also zum Server des Providers. ob das nu ein „Fake“ Paket ist oder
ein echter SIP Option Request ist technisch egal zum Offenhalten des NAT Tunnels.
Der Provider könnte (muss aber nicht) aber dennoch sagen „Nö du bist doof dich sperre ich“
Telekom Privatkunden Anschlüssen waren vor ein paar Jahren SEHR empfindlich.
Du wurdest 20 min geblockt wenn du einen Option Request gesendet hast oder
dich öfters als alle 4 min Registriert hast (und und wird’s abgemeldet wenn der
Reregister nicht nach 5 min gekommen ist..
Nach meiner Erfahrung ist es hier aber nicht unbedingt notwendig, für VoIP einen Wert anzupassen.
Nach meiner schon, nicht jeder hat ne FritzBox
Ganz Allgemein:
Wenn es so garnicht klappen sollte. Testet eine Feste Portweiterleitung vom SIP
Port auf deine Fritzbox. Mitunter kommen Invites von anderen voice Gateway des Provider
Weil er einfach davon ausgeht das die TK Anlage direkt auf dem router hängt und
auf alle Quellen direkt lauschen kann. Würde aber nicht unbedingt für die Voice Kompetenz
deines Provides Sprechen....
Elden Ring.
122 Stunden Eldenring auf der PS5, Keine Portweiterleitung jemals benötigt. Üblich kommt die PS5/PS4 auch klar.
Was sagt der Verbidungstest der PS5 ? NAT 2 oder NAT 3 ?
(es sollte NAT2, sonst hast du Ports geblockt auf der FW, oder dein Provider
mag dich nicht)
Aus irgendeinem Grund muss ich vor dem Spiel einen Verbindungstest machen.
Dann scheint es zu funktionieren.
Internet Anbieter ? Oder Spezifischer hast du Überhaupt ne Öffentliche GCNAT und hast nur IP aus dem 100.64.0.0/10 Bereich ?
8571 UDP
wo kommt die Info eigentlich her ?
Vieeeeeeeel kürzer, jedenfalls wen auf dem Unifi Router nichts geändert wurde.
Das Nat Time Out für UDP ist bei Unifi bei 30 Sekunden. Da kommt es immer wieder zu Überscheidungen die nicht passen.
Daher diesen Timeout auf 300 Setzen und dann hast du Ruhe mit den Üblichen SIP Providern (und AVM natürlich auch
„port Offen halten“
Und da wissen AH macht...
Das Nat System merkt sich Verbindungen von A nach B und hält den Rückkanal
dazu offen und leitet die Pakete wieder dahin wo sie hingehören. Das ist Quasi
wie ne Dynamische Portweiterleitung zu verstehen und DIE Kern Funktion
von Port Basierten PAT / PNAT.
Sollte ne Zeit Lang nichts
darüber laufen und die Verbindung nicht geschlossen worden sein wird sie halt nach dem TimeOut
gelöscht. Das Passiert bei SIP und den 30 Sekunden schneller als man schauen kann.
Der Anrufer von Extern Klingelt dann zwar bei deiner IP, der router weis dann aber nicht mehr
damit anzufangen.
kann ich den für Status-Infos auf das Modem zugreifen
Was Uwe schon sagte...oder wenns sein muss
UDM-PRO-SE | DSL-Modem erreichen - ubiquiti - Deutsches Fan Forum
sich was basteln... schaut man aber auch nur die ersten drei tage drauf und dann ist egal..
verteilt die FB dann nicht auch munter IPs an die Clients hinter dem UCG? Außerdem wäre die ja in einem anderen Netz. Dann arbeitet das Cloud Gateway ja schon mit NAT, will ich eigentlich nicht... Ist ich packe die FB in ein eigenes VLAN und route sämtlichen Traffic vom/zum Internet irgendwie dadurch?!
Mich regt auf, dass das UCG Ultra das nicht out of the box kann.
No „klassisches" DHCP funktioniert über Broadcast bei IPv4 oder Multicast bei IPv6
Beide werden nicht üblicherweise nicht Geroutet. (anders bei DHCP Relay setups,
das ist dann aber nur über ARP Helper die den DSHCP request in L3 verpacken)
Damit kann dann also maximal dein WAN Port per DHCP eine Adresse bekommen,
muss aber nicht der kann auch Statisch sein.
Zum Thema NAT... Ob da noch ein NAT zwischen dir und dem ziel das du anfeuerst dazwischen ist
fällt nicht in Gewicht. Dein Router macht NAT, dein zweiter Router, dein carrier bei GNAT Adressen
der Highperformance WebServer Cluster von Amazon macht ganz viel NAT um zu den eigentlich Web Server zu kommen..
Wenn wo ne Gruppe Stirbt wird oft versucht den kram ner anderen Gruppe überzuholzen
oder werden übernommen / schlißen sich zu größeren Entitäten zusammen.
Wobei „Gruppe Niederrhein“ war glaub ich auch nur ein Versuch die „Dörfer“ zu was größeren
zu vereinen um geneinsam was zu Schafen...
http://freifunk-ruhrgebiet.de/kontakte/ ist vielleicht was für deine Ecke dabei.
Och ganz einfach:
Nicht Unterstützt von Unifi.
Unifi sieht bisher keine PPPoE Einwahl über IPv6 vor.
Das in der Config titulierte DS-lite bezieht sich auf eine andere art / Version die in Japan benutzt wird
Dort erhalte ich zumindest automatisch das AFTR-Gateway eingetragen, gebe ja allerdings nirgends die Zugangsdaten mit, oder sollte ich weiter PPPoE nutzen?
Das verstehe ich nicht ganz da gibt es doch nur ein Feld um manual ein Ipv6 Config Gateway einzutragen
Ich habe IPv6 für alle VLANs aktiviert, bin mir aber nicht sicher, wie ich innerhalb meines Netzwerks in Bezug auf IPv6-Adressen subnetten soll.
Kannst eh nichts einstellen, jedes VLAN bekommt ein eignen /64 automatisch zugeteilt das
aus deinem /59 gebaut wird.
Sprich aus einem 2001:db8::/59 wird 2001:db8:0:0:/64, 2001:db8:0:1:/64....2001:db8:0:1f:/64
zur Zeit sind 96 Mitglieder (davon 2 unsichtbar) und 602 Gäste online - Rekord: 129 Benutzer ()