Beiträge von hoppel118

Mit Radius ist es völlig egal, wie viele VLANs man hat, am Ende weist man dem Radius User lediglich eine VLAN ID zu und fertig. Wenn man dann noch clevere Firewallregeln hat, ist das eine Super Sache. Dazu gibt es hier im Wiki auch einen super Beitrag.

In das LAN würde ich wirklich nur Ubiquiti Komponenten packen. Damit das Mangement Netz der Komponenten frei von anderem Verkehr ist.

WPA2/3 ist super, wenn das bei dir sowieso schon läuft. Für Handys, Laptops, Tablets und Co würde ich auf jeden Fall ein eigenes VLAN erstellen. Drucker gehören ins IoT/NoT VLAN. Ansonsten schließe ich mich @KJL an.

Gruß Hoppel

Erstelle dir ein Wifi mit Radius MAC Auth aktiviert und ziehe einen Client nach dem anderen um.

Welche WPA Modus planst du?

Denk dran, nicht alle Clients unterstützen PMF.

Mit der 2er Firmware hat man erstmals ein richtiges Debian als Basis.

Damit können Scripte oder Cronjobs ganz einfach persistent ohne Installation des Boostchicken Paketes auf der UDM bzw. config.gateway.json auf dem USG eingerichtet werden:

UDMPRO SE · Issue #214 · boostchicken-dev/udm-utilities

Describe the bug Hi just received the UDMPRO SE. I'm not able to get this package to install on it. Wondering if anyone has any ideas? When I SSH into the…

github.com

Das ist ein Riesen Mehrwert!

Für einen Cronjob sind bspw. nur noch zwei Befehle erforderlich. Der Cronjob selbst und ein reload der Cronjobs zur Aktivierung, siehe folgenden Thread. Da haben wir das einmal durchgekaut:

Thema

UDM Pro Wan

hi,

die Wan Verbindung baut meine UDM pro auf über ein Vigor Modem.
Wie kann ich die WAN Verbindung neu starten, damit ich eine neue IP vom Provider bekomme?

Danke

Lucascoco

17. Juni 2021

Gruß Hoppel

Zitat von noexpand

Mehrere VLANs pro WLAN bekommst du nur mit Radius hin, da soll das möglich sein. Das ist aber "höhere Magie", damit habe ich auch noch keine Erfahrung gesammelt ...

Richtig, mit Radius kann man das lösen.

Ich habe hier 7 VLANs:

• VLAN 1 Management
• VLAN 2 Main
• VLAN 3 Main 2 (Mieter im Haus)
• VLAN 4 IoT (Internet of Things: mit Cloud Abhängigkeit und mit Client Isolation)
• VLAN 5 NoT (Network of Things: ohne Cloud Abhängigkeit und ohne Client Isolation)
• VLAN 6 Protect
• VLAN 7 Guests

mit nur 3 SSIDs.

1. Wifi mit WPA3-Enterprise (5GHz only): hier authentifizieren sich alle meine "High Performance" Geräte: MacBooks, iPhones, Windows 10 Surface Laptop (diese Geräte befinden sich alle in meinem Main VLAN, könnten aber über die Radius User auch in andere VLANS gebracht werden)
2. Wifi mit WPA2/3 und Radius MAC Auth (2.4 und 5Ghz): hier authentifizieren sich alle anderen Endgeräte und werden über die Radius Mac User in die entsprechenden VLANs gebracht
3. Wifi mit WPA2/3 ohne Radius MAC Auth (5GHz only): hier authentifizieren sich ausschließlich Gäste

Ich habe dafür hier im Wiki zwei Artikel erstellt:

Wifi: UniFi Allgemein | Radius Server mit 802.1x- und MAC-Authentication im WLAN einrichten

Ethernet: UniFi Allgemein | Radius Server mit MAC-Authentication an den Switchen einrichten

Klar, MAC Adressen sind spoof-bar. Aber diese Lösung bietet so viele Vorteile, dass ich keine Möglichkeit mehr sehe, auf Radius zu verzichten.

Zwei Baustellen habe ich hiermit noch offen:

1. Derzeitig können sich die MAC Adressen User auch am WPA3-Enterprise anmelden. Das gefällt mir gar nicht. Hatte aber noch keine Lust/Zeit mich damit intensiver auseinander zu setzen. Evtl. kann man das über verschiedene Radius Profile lösen. Ich wohne hier auf dem Land und meine Nachbarn sind definitiv keine Hacker.
2. Den Switch in der Scheune möchte ich komplett mit 802.1X schützen. Das heißt, wenn jemand unbekanntes ein Kabel in den Switch steckt wird er komplett abgewiesen oder in das Fallback VLAN gebracht. Grundsätzlich funktioniert das. Ich weiß aber noch nicht, wie ich das auf den beiden Access Point Ports mache. Wie gesagt, mir fehlt da momentan die Zeit. Der Switch ist physikalisch geschützt, extra Raum mit extra Netzwerkschrank.

Wenn du zu den letzten beiden Punkten etwas herausfindest, kannst du es gern im Wiki ergänzen.

Welche Geräte hast du denn im Einsatz?

UDM(-Pro/SE) kann Radius von Haus aus. Wenn du keine UDM hast, müsstest du dir bspw. einen Freeradius Server einrichten und diesen in deine Unifi Network Application einbinden.

Viele Grüße Hoppel

Da, ich nicht weiß, wie ich hier einen Thread in der mobilen Browser Version beobachten kann, ohne eine Antwort zu schreiben, hinterlasse ich hier mal eine Antwort..:

Bin auch gerade am Überlegen mir eine Doorbell zu holen. Ich behalte den Tread mal im Blick.

Zitat von Grendelbox

dito einen bestellt....2.5GbE hab ich ja...von daher ZIELFÜHREND

2.5GbE Ports habe ich auch. Habe mir gerade folgende Erweiterungskarte bestellt:

Ziyituod WiFi 6E AX210 Bluetooth5.2 PCIe WLAN Karte | Bis zu 5400 Mbit/s | Intel WiFi 6E AX210 | 6G/5G/2.4G-Netzwerkkarte mit MU-MIMO, OFDMA, extrem niedriger Latenz | Für Windows 11/10 https://www.amazon.de/dp/B07Z1…pi_i_NZGAT4RA7KKWQNV7GFXP

Damit sollte ich dann auch zielführend testen können.

Gruß Hoppel

Danke Bluespy für die Info. Ich konnte nicht widerstehen und habe mir mal einen bestellt, auch wenn ich keinen Wifi 6e Client habe…

Dann werde ich mir wohl auch mal eine PCIe-Erweiterungskarte für meinen PC holen müssen.

Schönes We

Der USW-Enterprise-24-PoE hat auch nur weiße LEDs. Ich glaube, der Aggregation Switch hat auch nur weiße LEDs. Ich schätze, dass es dabei um die Optik geht. Das sieht halt schick/modern aus, wenn alles im Rack Weiß leuchtet und blinkt. 💪😃

Gruß Hoppel

Moin,

ich bin viel in den Firmware Release Threads unterwegs. Das Thema RAM Auslastung ist bei der UDM(-Pro) hoch und runter diskutiert worden. Ab 95% Auslastung kann es zu einem ernsthaften Problem werden, wenn die Web Oberfläche nicht mehr reagiert oder schwergängig wird…

Ansonsten ist es so, wie hier schon mehrfach geschrieben wurde. RAM ist dafür da genutzt zu werden. Das wurde in den Release Threads auch von Ubiquiti mehrfach bestätigt. 😉

Gruß Hoppel

Hast du dich schonmal per SSH au der UDM-SE eingeloggt und dir die PPP Logs angeschaut?

Mit folgendem Befehl müsstest du alle deine Einwahlversuche sehen:

cat /var/log/messages | grep ppp

Mit folgendem Befehl kannst du deinen Einwahlversuch live beobachten

tail -f /var/log/messages | grep ppp

Anschließend kannst du letzten Befehl mit folgender Tastenkombination wieder beenden:

Strg+C

Kannst ja die Logs des Einwahlversuchs mal hier posten. Evtl. sehen wir da etwas. Falls da sensible Daten enthalten sind, bitte anonymisieren. 😉

Ich habe kein Vigor. Ich gehe von einem ONT (FTTH-Anschluss) in meine UDM-SE, PPPoE ohne VLAN bei mir.

Gruß Hoppel

Moin, habe gerade mal nachgesehen.

Bei mir hat es also fast 2 Monate gedauert. Das kann man allerdings nicht als Vergleich nehmen. Bei mir handelte es sich damals um einen EA U6-Pro, der zum damaligen Zeitpunkt nicht verfügbar war. Ich habe dann aber einen GA U6-Pro erhalten, kurz bevor er dann offiziell von EA zu GA gewechselt hat und somit allgemein verfügbar war.

Man kann aber Kontakt zum Support aufnehmen und nach einem aktuellen Stand der Dinge fragen. Das habe ich zweimal gemacht und immer zügig eine Antwort erhalten.

Support Email-Adresse (entferne die Leerzeichen und ersetze (at) durch @:

RMA (at) ubnt . com

Gruß Hoppel

Also ich hatte jetzt ca. 4 Jahre ein USG-3P, 1 Jahr eine UDM-Pro und nun seit knapp 2 Monaten eine UDM-SE.

Ronny1978 Das was du hier gerade beschreibst, hatte ich noch nie. Meine Umgebung ist in den letzten Jahren Hardware-technisch ziemlich stark gewachsen, es wurde viel ausgetauscht und umstrukturiert und immer wieder an meine Bedarfe angepasst. Meine Umgebung ist auch sonst relativ komplex: 7 VLANs, 3SSIDs (u.a. WPA3-Enterprise, WPA2/3 Mixed Mode mit Radius MAC auth), mDNS, Firewall grenzt die Netze untereinander ab, IDS/IPS vollständig aktiviert, Wireless Mesh, etc.

Das erste Jahr habe ich nur LTS Soft- bzw. Firmware verwendet. Anschließend bin ich auf den Stable Zweig „umgezogen“. Seit ca. einem halben Jahr nutze ich auch Beta Software/Firmware oder für die Network Application auch mal den Release Candidate.

Auch damit hatte ich solche Probleme bisher nicht.

Neo1984 Es liegt also nicht unbedingt an der Hardware oder Firmware. Lass uns erstmal dein Logfile anschauen. 😉

Gruß Hoppel

Interessant! Synology hat also einen „Logsammler“. Synology habe ich hier allerdings nicht. Schade, aber deine Screenshots sahen grundsätzlich so aus, wie ich mir das vorstelle.

Danke für die Rückmeldung hier!

Gruß Hoppel

Wenn die UDM das nächste Mal abstürzt, wäre interessant folgendes zu verstehen, bevor der Stecker gezogen wird.

• Kannst du die UDM von einem per Ethernet verbundenen Gerät noch anpingen?
• Wenn ja, kannst du dich noch per ssh mit deiner UDM verbinden?
• Wenn ja, kannst du das WebInterface der UDM noch von einem per Ethernet verbundenen Gerät aus öffnen?

Gruß Hoppel

Geh mal per ssh auf die Kommandozeile und gib dort folgenden Befehl ein:

cat /var/log/messages

Dann suchst du dir den Zeitpunkt, wo du die UDM abgeschaltet hast bzw. die UDM neugestartet wurde. Irgendwo in dem Zeitraum von gestern Abend (wo noch alles funktionierte) bis zum Abschalten heute morgen, findest du mit Chance einen Hinweis auf das Problem.

Wenn nicht, ggf. mal das gesamte Logfile hier posten.

EDIT: Habe mir gerade deinen Screenshot nochmal angeschaut. Exakt um 3:00 ist die UDM anscheinend ausgefallen. Bleibt die Frage, was kurz vorher passiert ist. Evtl. irgendein Cronjob.

Gruß Hoppel

Lumi Mit deinem Problem kann ich dir nicht helfen.

Aber evtl. hast du ja Lust in nachfolgendem Beitrag mal kurz zu beschreiben, wie du deine Logs einsammelst und per WebInterface abrufst:

Thema

Monitoring von UniFi

Wenn Ihr unzufrieden seit mit dem eigentlich nicht vorhandenen Monitoring bzw. Logfileauswertung von Unifi guckt Euch mal Splunk an http://www.splunk.com Ich setze gerade einen auf um meine kpl. Netzt zu monitoren und alles im Auge zu behalten. Da wir in der Firma die Enterpriseversion nutzen lag es nahe zuhause mal die Freeversion (limitiert auf icvh glaube 5 Gigabyte Logfiles / Tag) zu testen. Das Tool ist einfach nur brutal Wir Monitoren damit 240 Rechenzentren, ca. 55000 Server , mehr…

Applehorsti

21. Mai 2020

Danke dir und Gruß Hoppel

Welches OS läuft auf OPNsense?

Installiert man da Pakete oder Docker/Podman Container? Was hast du denn für Hardware für deine Firewall?

Du hast ja vorhin selbst geschrieben, dass das Vorhaben äußerst Speicherhungrig ist. Mein Xeon hat 64 GByte EEC RAM hauptsächlich für einen ZFS Speicher. Auf meinem Server läuft Openmediavault 4, also Debian. Da habe ich alle Möglichkeiten. Wobei ich gerade am Überlegen bin, mein etwas in die Tage gekommene OMV4 durch OMV6 zu ersetzen. Da habe ich allerdings bisher keine Lust zu gehabt, weil da meine ganze Hausautomatisierung mit diversen individuellen Paketen für MQTT/Homebridge/Alexa drauf läuft. Vielleicht kämpfe ich mich da erstmal durch, bevor ich mit Elasticsearch und Kibana loslege. Meine Hausautomatisierung müsste ich in dem Zuge auch irgendwie Containerisieren, vielleicht LXC/LXD…

In der Auswertung der Daten wird es aber für uns gleich, also Bedienung der Tools. Zumindest da können wir uns dann evtl. beim Erstellen der Diagramme unterstützen…

Eigentlich müsstest du jetzt wieder einen Gegensetzen.

Jo, dann können wir uns ja vielleicht zusammentun und es gemeinsam einrichten, zumindest uns in der Einrichtung gegenseitig unterstützen, evtl. auch beim Wiki Eintrag…

Als Basis/Logsammler werde ich syslog-ng verwenden. Das habe ich jetzt schon im Einsatz.

Ansonsten habe ich hier einen fetten Xeon Server stehen. Der wird das schaffen.

Gruß Hoppel

Vielleicht sollte ich doch eher die Kombination aus elasticsearch, syslog-ng und kibana verwenden:

Logging to Elasticsearch made simple with syslog-ng

<a href="https://www.elastic.co/products/elasticsearch">Elasticsearch</a> is gaining momentum as the ultimate destination for log messages. There are two major…

www.syslog-ng.com

Jump-starting ESK: Elasticsearch, syslog-ng and Kibana

If you want to test drive syslog-ng or just want to learn something new, I recommend you checking out the <a href="https://github.com/amitn322/blackesk">BLACK…

www.syslog-ng.com

Kibana sieht schön bunt aus:

Kibana: Visualisieren, Analysieren und Erkunden von Daten | Elastic

Nachdem Sie Kibana oder den kompletten Elastic Stack kostenlos heruntergeladen haben, können Sie sofort damit beginnen, Ihre Daten zu visualisieren, zu…

www.elastic.co

und elasticsearch scheint meinen Usecase zu erfüllen.

Hat sich damit schonmal jemand hier auseinandergesetzt?

Gruß Hoppel