Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Hallo,
ich habe das Problem, dass wenn ich mein NAS auf dem mein Controller (7.2.25) via docker läuft alle switches und meine FW nicht mehr eingebunden sind.
Das führt dann sogar dazu, dass falsch DNS Server vergenem werden und FW Regeln nicht mehr funktionieren.
Hat jemand ähnliche Probleme, oder einen Tipp für mich?
Bei den WLAN APs läuft alles iO.
Geu,
Ede
Hi,
wie sieht denn deine l2tp config und das routing aus?
Wenn das passt wäre die Frage ob entsprechende FW Regeln was droppen könnten?
Gruß,
Ede
Hi,
hast du der FBox vor der Unifi eine route eingetragen?
Wie sieht deine config von der usg aus?
Gruß,
Ede
Hallo zusammen,
ich nutze unifi nun schon was länger, habe aber immer mal wieder mit DNS Problemen zu kämpfen und scheinbar auch routing Probleme, wenn ich mir meine Logs so anschaue.
Ausgangslage (s.Anhang):
Ich habe eine USG, 4 Switches und 3 APs.
Ich nutze mehrere vlans (eth0.170-eth0.180).
Mein management vlan ist im 192.168.1.0 er Netz.
Jetzt habe ich bspw. folgenden Log Eintrag:
„martian source 192.168.1.1 (usg) from 192.168.1.12 (AP) on eth0.175 (Netz 192.168.175.0, mein client Netz.
Macht aus meiner Sicht irgendwie Null sinn?
Weiterhin bekomme ich auf den APs selber folgende Warnungen in den Logs:
„[STA_TRACKER] DNS request timed out“
Wobei das mit dem DNS auch ein Problem bei den wired Geräten ist, ich vermute das könnte auch was mit dem Routing zutun haben. Meine DNS Server laufen auf meiner Synology in einem Container (1x pihole, 1x adguard) und im management vlan (die syn hat 4 interfaces).
Sämtliche tracerts und pings von allen Geräten funktionieren aber, womit meine Routing Vermutung ja auvh wieder hinfällig ist….
Ht noch wer von euch eine Idee?
Gruß,
Ede
Hi,
also bei mir läuft es problemlos, außer dass wenn ich die Multiroom Gruppe ändere der stream kurz unterbrochen wird. Finde ich etwas nervig, aber glaube das liegt an spotify.
Aktiviere doch testweise mal Multicast enhancement.
Gruß,
Ede
Wenn du alles inkl. Management vlan über den pihole schicken willst trägst du da die IP vom pihole ein.
Das schaue ich mir nachher an.
Ich muss nur die Zeilen, 47, 49 & 50 und den Tunnel unten anpassen, korrekt?
Export als Teil eines Backups sollte gehen. Musst Dir den Export dann in einem ordentlichen Editor ansehen, dann solltest Du das Gesuchte finden.Das hast Du bei Dir auch wie genannt konfiguriert? Nur zur Bestätigung.
Du hast Zeile 45 vergessen, die muss auch angepasst werden.
Wenn du andere Netzwerke verwendest natürlich auch die Netzwerk ranges und wenn es keine usg pro ist auch den ethernet port.
Export muss ich mir dann mal anschauen, die fbox steht bei meinen Eltern, sollte aber ja remote gehen.
Ja, das läuft soweit sehr gut, nur ist das schon was her mit der Einrichtung.
Hier die config auf meiner usg pro:
PSK, eigene dyndns und remote dyndns müssen natürlich angepasst werden.
"vpn": {
"ipsec": {
"esp-group": {
"ESP-FritzBox": {
"compression": "disable",
"lifetime": "3600",
"mode": "tunnel",
"pfs": "enable",
"proposal": {
"1": {
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ike-group": {
"IKE-FritzBox": {
"lifetime": "3600",
"key-exchange": "ikev1",
"proposal": {
"1": {
"dh-group": "2",
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"auto-firewall-nat-exclude": "enable",
"auto-update": "60",
"ipsec-interfaces": {
"interface": [
"eth2"
]
},
"nat-networks": {
"allowed-network": {
"0.0.0.0/0": "''"
}
},
"nat-traversal": "enable",
"site-to-site": {
"peer": {
"REMOTE_DYNDNS": {
"authentication": {
"id": "EIGENE_DYNDNS",
"mode": "pre-shared-secret",
"pre-shared-secret": "PSK",
"remote-id": "REMOTE_DYNDNS"
},
"connection-type": "initiate",
"ike-group": "IKE-FritzBox",
"ikev2-reauth": "inherit",
"local-address": "any",
"tunnel": {
"1": {
"esp-group": "ESP-FritzBox",
"local": {
"prefix": "192.168.160.0/24"
},
"remote": {
"prefix": "192.168.200.0/24"
}
}
}
}
}
}Auf der fritzbox bin ich mir gerade unsicher ob ich hier die aktuelle config habe.
Kann ich die irgendwie exportieren?
Gruß,
Ede
Werde die configs morgen im Laufe des Tages posten.
Meinst du mit der Config Datei die config.gateway.json Datei? Diese soll bei der UDM Pro nicht funktionieren. Hast du die auf einer UDM Pro laufen?
Sorry, dass habe ich wohl überlesen. Ich verwende eine USG.
Aber der Link von swerner sieht ja vielversprechend aus.
Hi,
also ich habe das bei mir auch via config datei gelöst:
"service": {
"mdns": {
"repeater": {
"interface": [
"eth0",
"eth0.170",
"eth0.174",
"eth0.175",
"eth0.178"
]
}
}Die Interfaces musst du für dein Modell dann entsprechend anpassen.
Gruß,
Ede
Das bedeutet, dass die Verbindung statt im main mode (verschlüsselter handshake) im aggressive mode aufgebaut wird.
Im aggressive mode wird im handshake auch unverschlüsselt (s. https://community.cisco.com/t5…ressive-mode/ta-p/3123382) gesendet.
Damit ist es im Prinzip möglich den PSK per brute force zu errechnen. Wenn man allerdings einen sehr guten psk verwendet halte ich das Risiko für eine private VPN Verbindung für vertretbar. Es gibt schlicht keine Alternative für s2s mit Fritzbox und unifi, bei Verwendung dynamischer IPs.
Hi zusammen,
also ich habe keine Probleme eine s2s Verbindung zwischen FBox mit dyndns und meiner usg (ebenfalls dyndns) herzustellen.
Wichtig war noch dieser Punkt:
Auf usg in /etc/strongswan.d/charon.conf die Zeile
# i_dont_care_about_security_and_use_aggressive_mode_psk = no
ändern in
i_dont_care_about_security_and_use_aggressive_mode_psk = yes
Achtung: Das kann nach einem FW Update wieder zurückgestellt sein.
Gibt da aber auch einen workaround für, muss ich aber ein anderes mal nachschauen, da gerade nur mobil.
Gruß,
Ede
Ja, also wenn ich mir die Temperaturen anschaue ohne silent:
und mit silent:
dann ist der Unterschied jetzt nicht allzu groß. Aber hörbar ist der Unterschied mE schon ganz gut.
Gruß,
Ede
Hi,
ja das silemt Kabel sollte die Drehzahl senken. Habe es jetzt mal ohne lufen, bin aber enttäuscht und werde es wohl wieder mit silent laufen lassen.
Gruß,
Ede
So, hab es dann gestern Abend auch mal geschafft:
Habe allerdings die silent Variante im Einsatz, war vorher jeweils ca. 10 Grad wärmer. Mal schauen denke ich probiere es auch noch mal ohne silent Kabel aus.
Vielen Dank an Alle,
Ede
Setting up unifi (6.2.26-15319-1) ...
Auch in der neuen Version sind alle Statistiken erhalten geblieben.
Komisch. Bei mir leider nicht. Auch nicht bei 6.2.26...
Hab auch mal die devices neu gestartet und DPI deaktiviert und aktiviert...
Noch jemand eine Idee?
Update: Habe jetzt mal ein Backup eingespielt. Siehe da, Statistiken scheinen wieder da zu sein und auch weiterhin aufgebaut zu werden.
Das soll noch mal jemand verstehen…
Hi zusammen,
sind denn bei euch die Statistiken noch da?
Bei mir gibt es nur ganz vereinzelte Werte (vor allem bei dropped packages und AP retries).
Gruß,
Ede
Naja, kann ich schon verstehen.
Mich hat es auch genervt und tut es noch immer, dass gewisse Dinge nicht einfach gehen oder gar nicht funktionieren.
VPN tut es aber und daher der Vorschlag das mal zu ändern.
Aber du hast natürlich Recht, es muss auch so gehen.
Aber wenn du die Settings so hast wie auf meinen screens hab ich leider keine andere Idee mehr.
Gruß,
Ede
Den Fehler habe ich auch gemacht 
Geht aber auch ohne doppeltes NAT und man hat im Prinzip dann eine 2 stufige Sicherheit.
Hoffe ich darf das so posten:
USG hinter Fritzbox ohne doppeltes NAT (agmedia.de)
Gruß,
Ede
zur Zeit sind 66 Mitglieder und 350 Gäste online - Rekord: 129 Benutzer ()
