Ich glaube, so langsam verstehe ich es.
Danke für eure Geduld mit mir 😘😘😘😘
Beiträge von portboy
-
-
Mit Assets meine ich alles in meinem Netzwerk. Also Clients und Server.
Das Bild für mein Vorhaben ist einfach. Ich möchte mit einem externen Client über den OpenWRT Router Zugang zu meinem Netzwerk hinter der UDM erhalten.
Wenn ich die VPN mit OpenVPN aufbaue, dann erreiche ich alle Server/Clients in den verschiedenen VLANS plus das Internet.
Wenn ich die VPN mit WireGuard aufbaue, erreiche ich nicht die VLANS sondern nur das Internet.
Ich habe verstanden, dass ich dafür Routen einreichten muss.
Ich habe nicht verstanden, warum ich die Routen nur bei WireGuard anlegen muss.
-
Ok, verstanden... für Handy, aber ich habe auf dem Router! eine OpenVPN Verbindung mit der UDM eingerichtet. Hier habe ich Zugriff auf alle Assets und Internet ... also mit meinem Rechner, der sich über den Router mit dem heimischen Netzwerk verbindet. 😬
-
sorry dass ich erst jetzt antworte.
Für die VPN habe ich keine Routen eingestellt.
Bevor ich dies vornehme noch mal eine Verständnisfrage.
Ich habe auf dem Mobiltelefon eine Wireguard VPN sowie auf dem von mir beschriebenen OpenWRT Router eine OpenVPN Verbindung.
Beide funktionieren out of the Box und nutzen die gleiche Config auf der UDM. Bei Beiden habe ich neben Internet auch Zugriff auf alle Assets in meinem Netzwerk.
Wieso muss ich genau bei der Wireguard Lösung über den OpenWRT Roure noch zusätzlich ein Routing einrichten?
-
als Idee (weiss nicht ob es klappt, werd ich aber sicher mal austesten, da ich eh in 30 Minuten Wochenende hab
) ein Port Profil mit Mac Based Autorisation. Un da die Mac vom AP hinterlegenKlappt nicht, habe ich schon probiert. Alle Pakete mit einer anderen MAC werden abgewiesen.
-
Die sollten ins Management vlan, wo sie auch Standardgemäß eingebunden werden. Es kann jederzeit sein, dass der Controller die wieder anders einbindet
Vlan Zuweisungen macht man ja dann für die clients.
Danke für den Hinweis.
Der Grund, warum ich ein eigenes VLAN habe, ist die Absicherung. Der Angreifer, der sich das Kabel vom AP schnappt herhält erst mal lediglich Zugriff auf das VLAN der APs, was wiederum kein Zugriff auf die restliche Infrastruktur hat. Nur getaggte Pakete, welche über den Anschluss kommen, haben darüber hinaus gehende Rechte. Diese Tags müsste der Angreifer aber erst mal erraten.
Ich habe sonst keine andere Idee gehabt, dieses Angriffsrisiko anderweitig zu mitigeren.
-
Noch mal Rückmeldung meinerseits.
Ich habe alle APs zurückgesetzt und neu eingebunden.
Dabei habe ich gemerkt, dass meine VLAN Konfiguration (die APS haben ein eigenes VLAN) etwas schief war ...
Bisher ist es stabil
Noch mal vielen Danke für die Hinweise hier!
-
Wird ausgelöst durch AP's die Wired und sich im Mesh Mode befinden
Ok, sowas habe ich im Netzt und einer hatte die letzten Wochen auch sich verselbstständigt .... Schon mal danke für den Tipp.
-
Doof wenn er den Controller deswegen grade nicht erreicht
Dachte das hätten die schon behoben mit der bessere Erkennung ob nen Kabel dran ist oder nicht.. wo hatte ich das den bloß her...
Haben sie nicht. Der Support konnte nicht eingrenzen, ob es wired oder wireless betrifft bzw. dort der loop erzeugt wird.
-
Dann warte ich mal auf den nächsten "freeze"....
Danke für euren support
-
Der Support hat sich mit meinem Support File beschäftigt und einen loop gefunden 😣
Sowas zu finden wird ja nicht einfach ... aber ich überlege mir gerade ... wenn die UDMSE wieder "hängt" könnte ich doch die Netzwerkkomponenten einzeln trennen bis die UDMSE wieder erreichbar ist ... oder habe ich da einen Denkfehler?
-
Hast du ein aktuelles Backup? (Cloud oder Local)
SE zurück setzen oder besser full Recovery durchführen, Backup rein, danach sollte es fertig sein.
Bei einem Stromausfall kann es passieren das die Datenbank zerschossen ist.
Reset oder Recovery wäre das einfachste.
Es bestünde auch die Möglichkeit per CLI die Datenbank zu reparieren, habe ich aber noch nie gemacht.
Reicht für das FullRecovery ein Backup der Console? Oder Brauch ich dann noch ein zusätzliches Backup von Protect und Network?
Kann ich ein aktuelles (Gestern) Backup nehmen oder lieber eines, welches zum Beispiel aus dem (fehlerfreien) August stammt?
Die erste Antwort vom Support war generisch.
Zitat"This is an automated email to guide you through your request.
We see your submission is related to setting up a UniFi Console, ..."
Ich habe denen geschrieben, dass das am Problem vorbei geht ...
-
Nutzt du diese denn ?
Mit ID wollte ich eigentlich mal experimentieren. Ich hatte es mal eingerichtet, aber wie gesagt vorerst gestoppt.
Access nutze ich gar nicht.
Du darfst nicht vergessen, da ist ein "normales" Linux auf der Konsole. bei einem Stromausfall kann es dir schon was zerschießen (ist ja auch schon bei einigen vorgekommen)
Ja, aber was bedeutet das für mich? Ist die Console komplett defekt? Oder ein Reset notwendig?
-
letzter Stand in welchem Channel ? da gibts ja 3. Also welchje Version genau
UniFi OS 3.1.16 bzw. Network 7.5.176
Beide auf dem normalen Update Channel
Duu kannst gleich ein Support File Downloaden, das wollen die sicher haben. Findest du unter "Console Settings"
Das habe ich direkt mit angefügt, danke.
Hattest du mal einen Stromausfall, oder zb zum Festplattenwechsel,... die UDM SE "einfach so" ausgeschaltet, ohne sie über das Menü herunterzufahren?
Ja, es gab einen Stromausfall. der liegt aber schon etwas zurück. Ich würde hier keinen Zusammenhang eigentlich sehen ...
Neu ist lediglich die HDD. Aber auch wenn ich diese ausbaue, tritt der Fehler auf.
Was ich gemacht habe, die Module Talk und Connect habe ich deinstalliert. Access und Identity sind lediglich gestoppt.
Es laufen nur Network und Protect.
LG
Rob
-
Hallo Zusammen,
ich habe seit ca. 3 Wochen folgendes Problem.
Der Controller bzw. meine UDMSE funktioniert nicht mehr ...
Also das gesamte Routing bricht zusammen. Ich kann keine Clients im Netzwerk mehr erreichen. Gesamtes LAN hat keinen Zugriff mehr auf das Internet.
Der Controller kann nur noch über Remote erreicht werden (https://unifi.ubnt.com). Dort will er auf einmal diverse Hardware neu adoptieren.
Ich erhalte die Meldung "It looks like some Unifi devices may have been previously adopted to another console. Would you like to reassign them all to currently connected OS console."
Im SyLog habe ich keine Logmeldung, die auf irgendwelche Fehler hindeutet.
Erst wenn ich einen Neustart einleite, funktioniert die UDMSE wieder.
Zuerst passierte das zwei mal mit einem Abstand von einer Woche. Mittlerweile hält die UDMSE keine 24h ohne Neustart durch …
Bis zu diesem Problem habe ich sie noch nie durchstarten müssen ….
Wie kann ich mich diesem Problem annähern …
Ich bin am verzweifeln …
Das ist meine Hardware:
Die UDM SE hängt hinter eine Fritzbox (BridgeMode) und hat eine fest IP.
Firmware ist auf dem letzten Stand.
Die einzige große Änderung in der Vergangenheit war die Installation einer SATA Festplatte und Aktivierung von Unifi Protect.
Ich habe die Platte bereits ausgebaut, laufe aber immer noch in den Fehler ...
LG
portboy
PS: Parallel zu meiner Problembeschreibung hier habe ich ein Ticket bei Unifi aufgemacht ... -
Ich schließe mich hier mal an die Fragestellung an.
Ich habe ein funktionierende Wireguard Verbindung.
Client ist bei mir ein openwrt Router (Modell GL.iNet GL-AR300M16).
Die Verbindung läuft und ich habe über die Verbindung Zugriff auf das Interent.
Nur komme ich in keine weiteren VLANs.
Interessanterweise funktioniert es von meinem Mobile komplett. Also auch der Zugriff auf die VLANs.
Ich suche den Config Fehler (UDM SE oder VPN Router).
-
Da UDM…
Hast du den ad Block der in der udm eingebaut ist an?
Wenn ja werden alle DNS Anfragen die über die udm laufen (weil andern vlan Ins ins Internet)
Umgebogen auf den internen DNS der am Schluss die wan DNS Server nutzt.
Dabei völlig egal was am Client eingestellt ist oder per nslokup manuell gefragt wird…
Ich hatte genau diese Einstellung unter Firewall völlig vergessen ..
Jetzt funktioniert es und ich sehe den gesamt Traffic in AdBlock.
-
Danke für eure Antworten.
Also ich habe bei mir 7 vlans am laufen.
Alle VLANS nutzen den DHCP Service von meiner UDM
Einem VLAN ist ein extra DNS zugewiesen.
Adguard läuft nicht im gleichen VLAN sondern in einem Extra VLAN.
Zusätzlich nutze ich noch das Content Filtering der UDM.
Das werde ich nun mal testweise ausschalten.
Wenn ich PIHole betreibe, sehe ich auch alle Requests.
Das Issue betrifft nur Adguard.
In Adguard ist Protokolle/Statistiken eingeschaltet.
Wie geschrieben, sehe ich alle Requests, welche aus VLANs kommen, denen der DNS nicht zugewiesen ist (manuelle nslookup) Abfragen.
Verschlüsselung habe ich nicht eingeschaltet.
Als DNS Server habe ich erst mal 1.1.1.1 und 8.8.8.8 eingetragen.
LG
portboy
Portboy
-
Unter "DHCP Service Management" befindet sich der Punkt "DNS Server". Hatte ich mich vielleicht ungenau ausgedrückt. Darüber erhalten die Clients dann ihre IP und den DNS Server.
-
Ich stehe vor folgendem Problem.
Ich habe Adguard Home in einem Container erfolgreich am laufen.
Mein Ziel ist es, dass alle Anfragen von einem bestimmten VLAN diesen DNS Server nutzen.
Somit weise ich in der Netzwerk Konfiguration unter "DHCP Service Management" die IP meines Adguard Servers zu.
Wenn ich dann im Client eine nslookup Abfrage starte, dann gibt sie mir die IP meines Adguard Servers aus.
Wenn ich surfe, wird die gesamte Werbung geblockt.
Soweit, so gut.
Schaue ich in die Statik meines Adguard Servers.
Dann wird dort nix aufgezeichnet .......
Ja, ich habe alle Protokolle aktiviert.
Jetzt zu dem für mich interessantem Punkt.
Starte ich eine nslookup Abfrage aus einem Netzwerk, welches den Adguard Server nicht über den DHCP mitgeteilt bekommt, dann tauch diese Abfrage in der Statistik auf.
Also alle DNS Abfragen, welche aus dem Netzwerk erfolgen, welches die IP des Adguard Servers über DHCP erhält, tauchen nicht in der Statistik des Adguard Servers auf.
Mach mich eine manuelle DNS Abfrage über den Adguardserver von einem Netzwerk, welches nicht den Adguard Server nutzt, dann tauch diese Abfrage in der Statistik auf.
Das übersteigt meine techn. Expertise um ein vielfaches.
Wo liegt mein Fehler. Was mache ich falsch?
portboy
