Beiträge von Xplosion

  • UCG-Ultra als Ersatz für USG3p

    Zitat von DoPe

    Da die ausgehenden VPNs über policy based routing verwendbar gemacht werden und das für bestimmte auszuwählende Clients und Netzwerke, wird das nicht funktionieren, denn die VPN Clients sind dort nicht auswählbar und somit gelten für diese die mit policy based routing erstellten routing tabellen nicht.


    Möglicherweise würden statische routen noch greifen (tun sie zumindest für das Gateway selbst) aber damit bist Du in keinster weise flexibel.


    Da musst Du dann wohl die VPNs von Unterwegs direkt zu den VPN Diensten benutzen.



    Ich hab inzwischen alles erreicht, was ich wollte, außer dass ich bei der Einwahl ins eigene Netz nicht über die VPN-Verbindungen routen kann.

    Wenn noch jemand eine Idee dazu hat, bitte melden...

  • Unifi AP AC-Mesh kabelgebunden betreiben möglich?

    Habe ich gerade versucht. Danach lässt sich das Mesh nicht mehr abschalten:


    Wireless meshing cannot be disabled until these devices are either removed or directly connected to your network using an Ethernet cable.


    Dann kann nur noch was mit der Verkabelung nicht stimmen oder? Aber Strom bekommt er ja übers Neztwerkkabel.

  • UCG-Ultra als Ersatz für USG3p

    Ich muss nicht flexibel sein bzw. kann mir die statische Route ja im Webinterface aktivieren und deaktivieren.


    statische Route müsste dann so aussehen oder? (zugewiesene IP: 192.168.2.6)


    Destination Network: 192.168.2.0/24

    Type: Interface

    Interface: meine gewünschte VPN-Verbindung

  • Unifi AP AC-Mesh kabelgebunden betreiben möglich?

    Zitat von noobatpc

    Ja klar kann man den ganz normal als AP betreiben. Am Besten einmal das Ding resetten, direkt ans Netz anschalten und dann einbinden.

    Das hab ich gemacht. Der AP erscheint dann als "AC MESH" mit der Option "Click to Adopt". Wenn ich das machen möchte, kommt folgende Meldung:


    Wireless meshing must be enabled on your host and APs before adopting this device.



  • UCG-Ultra als Ersatz für USG3p

    Kurzes Update:


    UCG-Ultra hat inzwischen USG3p ersetzt.


    Was funktioniert:

    • DNS-Weiterleitung (NAT) an PIhole über Webinterface einstellbar
    • mehrere VPN-Client Verbindungen in verschiedene Länder (es können ganze Netze durch die VPN geleitet werden oder auch einzelne IP´s oder Anwendung)
    • VPN-Server Verbindung für Fernzugriff ins Heimnetz ( PC: integrierte VPN-Funktion von Windows 10 über L2TP / Handy: über Wireguard App)

    Was noch nicht funktioniert:

    • dynamische DNS über spdns.de -> Hab das jetzt vorübergehend über Pihole gelöst, dieser läuft eh 24h und aktualisiert meine IP bei spdns.de
    • und dieser Punkt funktioniert nur teilweise:


    VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

    Ich kann nur über die normale Internetverbindung surfen, aber nicht über die VPN-Client-Verbindungen.

  • UCG-Ultra als Ersatz für USG3p

    Zitat von Xplosion

    Habt ihr schon gesehen, dass es die Controller-Software 8.3.20 gibt? (Beta)

    Bedeutet das, dass wir zukünftig unsere Umleitungen im Webinterface setzen können?

    Ich beantworte die Frage mal selbst. Hab inzwischen die UCG-Ultra Gateway und bin noch am Testen der Funktionen bevor sie dann endgültig meine USG3P ersetzt.


    Die NAT-Regeln lassen sich jetzt relativ einfach über das Webinterface eintragen. Schöne Sache!

    Punkt 1 ist somit erledigt


    Punkt 2 funktioniert auch soweit. Mir ist aber aufgefallen, dass beim Pausieren einer VPN-Regel trotz deaktivierten Failover die normale öffentliche IP angezeigt wird. Ich hoffe, dass zwischen Pausieren und echten Ausfall der VPN-Verbindung unterschieden wird. Hat das schonmal jemand geprüft und kann das bestätigen?


    Punkt 3: Konnte ich noch nicht testen, da der Dyn-DNS-Dienst noch nicht funktioniert. Hat schon jemand SPDYN im Unifi-Controller verwendet?

    Punkt 4: Kann ich erst testen, wenn DYN-DNS-Dienst geht


    Punkt 3 und 4 könnten auch zu Problemen führen, weil derzeit die UCG-Ultra keine öffentliche IP hat. (sitzt hinter meinen vorhandenen System)

  • 2 pi-holes als DNS mit UXG-Lite

    Ich hab inzwischen die UCG-Ultra und dort auch die NAT-Regeln getestet. Da mein PI-Hole aber in einem extra Netz sitzt, benötige ich die Masquerade-Regel nicht. Hab allerdings für jedes VLAN eine eigene Regel erstellt. Funktioniert soweit ganz gut und der Umweg über die .json mit der USG3P ist endlich Geschichte.

  • UCG-Ultra als Ersatz für USG3p

    Vielen Dank für die Informationen.


    Zu 1: Meine aktuelle .json sieht wie folgt aus, wie lässt sich das anhand eines Beispiels übersetzen?

    Zu 4: Bei meinen Draytek-Router kann ich auswählen, welche IP-Adresse ich über die VPN-Verbindungen leiten will. Der VPN-Client, der sich von extern einwählt, muss doch auch bei Unifi eine IP-Adresse zugewiesen bekommen. Diese IP müsste dann bei den VPN-Verbindungen angegeben werden, damit der externe VPN-Client über Zuhause auf die VPN-Verbindung weitergeleitet wird.


    Aber für den Notfall kann ich auch die VPN-Software vom Anbieter verwenden.

  • UCG-Ultra als Ersatz für USG3p

    Hallo zusammen,


    ich bin am Überlegen, meine USG3p gegen die UCG Ultra zu tauschen.

    Aktuell sieht es bei mir wie folgt aus:


    APs / Switch -> USG3P -> Draytek Vigor2865 -> DSL


    folgende Funktionen sind mir wichtig:

    1. json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?
    2. mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Videos schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)
    3. VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)
    4. VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

    Meine Beweggründe:

    • Draytek-Router wird nur noch im Bridge-Modus benutzt. Derzeit recht komplexe Konfiguration. (DMZ-Port, VPN, Routing zwischen Draytek und USG VLANs, DHCP-Weiterleitung für VPNs an Draytek usw.)
    • Mini-PC für Unifi-Controller entfällt
    • Verwaltung findet nur noch an einem Gerät statt.

  • .json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

    Ich habe den Fehler nun gefunden:


    In der ovpn-Datei habe ich folgendes ändern müssen:


    route-nopull > route-noexec


    Danach ging das Internet wieder bei allen Netzen, die nicht durch´s VPN sollen.

    Allerdings bleibt mir das USG im Controller bei "Getting ready" dauerhaft hängen.


    Ich habe dann die Befehle wie unten stehend über SSH ausgeführt (sinngemäß für mein Netzwerk)

    Die USG bleibt selbst nach einem Neustart auf Status "Online"



    Allerdings hab ich durch den Save-Befehl oder durch den Befehl "mca-ctrl -t dump-cfg" die Konfiguration in der config.boot stehen. Wie kann ich das wieder rückgängig machen?


    Ich wollte mir mit dem Befehl mca-ctrl -t dump-cfg > config.txt die aktuelle Einstellungen anschauen und mit der json-Datei von mir vergleichen.


    Wo befindet sich eigentlich die config.txt nach Ausführung des Befehls mca-ctrl -t dump-cfg > config.txt ?

  • .json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

    Gibt es keinen mehr, der sich mit der Json-Konfiguration gut auskennt?


    Hier nochmal meine Ergebnisse:


    Code aus Post 1 mit VPN -> VLAN für VPN funktioniert / alle anderen VLAN´s haben kein Internet mehr

    Code aus Post 8 -> alle VLAN´s gehen über VPN-Verbindung ins Internet


    Ziel war: VLAN 90 über VPN-Tunnel, Rest ohne VPN


    NAT-Regel bei Post 1:

    Code
     "5020":{
 "description":"OpenVPN Clients",
 "log":"disable",
 "outbound-interface":"vtun0",
 "source":{
 "address":"192.168.90.0/24"
 },
 "type":"masquerade"

    Das bedeutet, dass nur VLAN 90 über den VPN-Tunnel geleitet wird so wie ich das verstehe oder?



    NAT-Regel bei Post 8:

    Code
     "5004":{
 "description":"masq to vpn vtun0",
 "destination": {
 "address": "0.0.0.0/0"
 },
 "outbound-interface": "vtun0",
 "type": "masquerade"

    Hier wird das gesamte Netzwerk in den VPN-Tunnel geleitet?


    Brauche ich eventuell für alle anderen VLAN auch nochmal eine masquerade-Regel, die nicht in den VPN-Tunnel verweisen sondern ins "normale" Internet?

  • .json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

    Ich hab aber die Datei auf meinen Computer auch mit dem Validierer getestet. Vielleicht hab ich beim Code reinkopieren ins Forum was falsch gemacht.

    Aber egal. Glaub das war nicht das Problem.


    Wie kann ich die VPN-Verbindung trennen ohne die alte json-Konfiguration aufzuspielen? Über SSH?


    Ich hab mir jetzt nochmal ne neue Konfiguration zusammengebastelt. Die wesentliche Änderung ist der Code in Zeile 29 "name":"LAN_IN" und die NAT-Regler 5004. Hab ich wieder wo anders im Internet gefunden.


  • .json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

    Hallo,


    ich habe mir auf einem Raspberry den PI-hole mit Unbound eingerichtet und in der .json-Datei folgende Konfiguration erstellt:

    Diese Konfiguration funktioniert soweit ganz gut. Jetzt möchte ich noch eine VPN-Verbindung zwischen meiner USG und Hidemyname herstellen. Diese soll nur von VLAN 90 genutzt werden,

    Die ovpn-Datei habe ich in der USG hinterlegt und folgenden Code eingefügt:


    Nach der Provisionierung konnte ich aus VLAN90 heraus die IP-Adresse der VPN-Verbindung abfragen. Also der Aufbau und die Verbindung funktioniert.

    Allerdings hatten die anderen VLANs keine Internetverbindung mehr.


    Kann sich jemand die json-Konfiguration anschauen, wo der Fehler liegen könnte?


    Ich beschreibe nochmal meine Netze und Funktionen die ich haben möchte:

    • Netz Management: 192.168.1.0/24 (Unifi-Geräte)
    • Netz VLAN 10: 192.168.10.0/24 (Familie 1 kabelgebundene Geräte)
    • Netz VLAN 20: 192.168.20.0/24 (Familie 2 kabelgebundene Geräte)
    • Netz VLAN 30: 192.168.30.0/24 (Familie 3 kabelgebundene Geräte)
    • Netz VLAN 40: 192.168.40.0/24 (Haussteuerung -- SPS, HMI, PV-Wechselrichter...)
    • Netz VLAN 50: 192.168.50.0/24 (VOIP Familie 1+2+3)
    • Netz VLAN 60: 192.168.60.0/24 (WLAN Netz Familie 1+2+3)
    • Netz VLAN 70: 192.168.70.0/24 (Gäste-WLAN)
    • Netz VLAN 80: 192.168.80.0/24 (Testnetzwerk WLAN)
    • Netz VLAN 90: 192.168.90.0/24 (VPN WLAN)
    • Netz VLAN 100: 192.168.100.0/24 (DNS-Server PI-hole)

    Wenn die VPN-Verbindung abbricht, dürfen die Geräte im VLAN90 nicht mehr ins Netz kommen (kein Fallback!)

  • Geräte hinter Richtfunk (Litebeam M5) lassen sich nicht einbinden

    VNC funktioniert jetzt auch.


    Jetzt hab ich aber noch eine weitere Frage:


    Ich habe mehrere VLAN-Netze angelegt und wollte das erste Gerät dem neuen VLAN zuweisen.


    Wenn ich aber ein Endgerät auswähle und dort unter Netzwerk -> feste IP das VLAN auswähle und eine passende IP dazu, stellt er mir das VLAN (z.B. VOIP) wieder auf VLAN (Management LAN) zurück.



    Ich kann praktisch das Gerät nicht in ein anderes Netz setzen.


    Mein Management-LAN ist die 192.168.1.0/24

    Das VOIP-LAN ist 192.168.100.0/24 (VLAN ID 100) -> DHCP-Bereich ab 192.168.100.100 bis 254


    Unter Endgerät -> Netzwerk -> feste IP habe ich folgendes eingestellt:


    VLAN: VOIP

    192.168.100.70

  • Geräte hinter Richtfunk (Litebeam M5) lassen sich nicht einbinden

    Jetzt hab ich es geschafft.


    Die MTU war bei den Litebeam-Geräten auf 1480 eingestellt. Hab den Wert auf 1500 geändert.


    Der Draytek-Router ist auf MTU 1472 eingestellt.

    Ein Ping von Haus A zur USG ohne Fragmentierung führte erst bei 1452 zum Erfolg.


    Deshalb werden die IP-Pakete von Haus A zu B nicht vollständig gesendet sondern fragmentiert und das macht dann beim Unifi-Controller Probleme.

    Nach Umstellung auf MTU 1500 konnte ich einen Ping mit 1472 zur USG erfolgreich ausführen.


    VNC muss ich noch testen, aber das wird wahrscheinlich jetzt auch passen.