Beiträge von RobiWan

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

ahh und was ist WIFI 6?

Na nicht für 6GHz, denn 6Ghz wird nur bei dem Ernteprise ausgewiesen.

Link

Zitat von thghh

ür WiFi 6

Ja OK wird passen.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

könntest evtl. Besuch von der Bundesnetzagentur bekommen, wenns hart auf hart läuft.

Dann hätten die Geräte keine Zertifizierung bekommen.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Decken meine Derzeitige Wohnfläche gut ab.

Ja an sich schon. Ich will den einen im EG in anderes Ende verfrachten und einen (den noch nicht vorhandenen) nach draußen bringen, damit ich auf der Terrasse auch Empfang habe.

(Ich glaube ich nehme einfach den PRO. Werden keine Welten im Sinne besser/ Schlechter sein. Bis es viele Geräte gibt die mit 6GHz arbeiten können wird noch wohl dauern, daher heutige Investition in den Ernteprise spare ich mir)

Moin,

ich habe 2 UAP-AC-Pro (also schon was älter aber laufen und tun was sie sollen). Ich brauche jetzt einen weiteren AP.
Wenn ich das richtig verstehe gibt es U6- Long Range, U6 Pro und U6 Ernteprise. Was mir nicht so klar ist - was bedeutet genau die Zahl "6" in Namen und was hat es wirklich mit dem "Long-Range" auf sich? (Name lässt vermuten aber ist das wirklich relevant?)

Zitat von gierig

Wenn der Dienst der Meinung ist

rauszutlefonieren wird das nicht darüber geschehen.

Wenn in der Konfiguration kein anderes Interface/ IP angegeben ist, wird sich die Software nicht einfach "irgendetwas" was im System vorhanden nehmen.

In dem Fall gibt es durchaus Parameter "outgoing-interface" mit dem man es explizit setzen kann. Der TO hatte es aber nicht gesetzt und das einzige Interface was die Software kannte war 127.0.0.1

Komisch, dass nach der Umstellung auf "alle Interfaces" plötzlich mit dig was passiert - wo doch die Fritze alles wegfrisst oder?

Übrigens, weil ich es nicht lassen wollte, hatte ich gestern, weil ich im Moment sehr viel Zeit habe -auf meinem unbenutzten Raspi das zeug Installiert - nicht docker, weil für kurzen Test mir zu viel Aufwand und ich habe keine USG sondern pfSense und als fritze 7530 (v. 7.28) spaßeshalber umgestellt. Nach ca. 1 Stunde lief ja auch alles.

Da ich auf mein Glasfaser warte und dann auf der Sense pfBlockerNG kommt, habe ich es Abends wieder zurück gebaut.

Zitat von gierig

Ende vom Lied ist bestimmt das IDS/DPI System das da zwischen Fummel

oder ne FW Einstellung.....

Wenigstens scheinst Du zumindest inzwischen an diese "fritze verwirft das alles" Theorie nicht weiter zu glauben oder nie geglaubt.

Zitat von gierig

so sehen Logfiles aus wenn es funktioniert bei bei der Servity ?

vergleiche das erste und zweite Logfile. Wie der TO auch plötzlich geschrieben hat, hat es wie auch immer verkürzt.

Aber da ich immer mehr als ....... dargestellt werde - schaut Dir von Anfang an was der TO hier schreibt.

"Umzug von Fritzbox zu USG......" . Ist aber nicht ganz richtig, denn mit seiner Konfiguration konnte es so nie funktionieren. Ob er im Netz dicken Brocken hatte oder noch hat, kann ich nicht sagen - ich sehe nicht war er macht und wie sonst sein Zeug konfiguriert ist. (Soll plötzlich völlig unerwartet 2 mal funktioniert haben?)

Aber von Anfang an:

Ein Rechner soll per DHCP Pi-Hole als DNS mitgeteilt bekommen 192.168.2.12:53 (Paket/ Dienst 1)

Pi-Hole soll sich an Unbound wenden, wenn es um Namensauflösung geht (Paket/ Dienst 2 127.0.0.1:5335).

Und da ist/ war schon das Problem - er hatte Unbount fest in Abstellgleis gestellt (Interface 127.0.0.1). Aber Unbound als DNS Server der keine eigenen Zonen hat, sondern lediglich Root-Server befragt muss mit diesen auch irgendwie kommunizieren können. Wie soll es aber tun, wenn es auf 127.0.0.1 festgenagelt ist? Geht nicht. Das sieht man im ersten Log. Im zweiten beklagt sich keiner über fehlendes Response

Wo er jetzt noch Fehler hat - ich muss die Welt nicht retten. Für mich weiß ich ........

So ganz passt es nicht, denn das Logfile sagt was anderes.

Was passiert mit telnet 192.168.2.12 5335?

Zitat von Hoktar

Und im Browser bekomme ich keine Seite angezeigt.

So fern die Maschinen wirklich per DHCP den DNS mitgeteilt bekommen, stimmt Deine Einstellung zwischen Pi-Hole und Unbound.

Und wieso machst Du nicht z.B so etwas?

dig ns google.com

Laut Deinem Logfile funktioniert auch jetzt alles.

Zitat von Hoktar

Habe oben die alten Einträge ein wenig weg gekürzt

Und funktioniert alles?

Passt für mich - jetzt noch mal bitte das Logfile was Du als unbound.txt gepackt hast.

Scheinbar ist die Angabe von "::0" nicht übernommen worden.

Ach komm, wir machen gleich die Lösung.

In der komfig von unbound änderst Du das

interface: 127.0.0.1

in

interface: 0.0.0.0
interface: ::0

und machst noch mal die Ausgabe von

ss -tulpn

Dazu noch das Logfile was Du auch jetzt Angehängt hast.

Quatsch - war nur Spaß

Zitat von gierig

GUT warum so ein Drama mit der 4 fachen Bestätigung das unbind auch läuft und auch lauscht ?

Nun ja - das ganze schreibe ich später . Nicht so ungeduldig.

Magst Du den telnet noch für die 192.168.X.X Adresse zu machen?

Da wirst Du um tcpdump nicht herumkommen.

Hast Du auch irgendwo lokale Namensauflösung definiert? Funktioniert die?

Und als erstes eben das Logging hoch setzen und gucken was da so beim Start geschrieben wird und wenn Du ein Name/ IP auflösen wirst.

Zitat von uwe.bein.98

wie hast du denn das VPN bei dir gelöst oder nutzt du diese Verbindung gar nicht?

Ich habe kein UDM/ USG o.ä - ich habe seit Jahren pfSense im Einsatz

Zitat von uwe.bein.98

r Angreifer eine Option hat, oder?

Na ja diese Option stellst Du dem potentiellen Angreifer schon mit einem VPN Server zur Verfügung. Dabei spielt es keine Rolle wo es steht. Es gibt jemand der auf einem Port einen Dienst anbietet. Wenn diese Kiste "Fehler" hat, dann hat sie Fehler und das egal wo sie sich im Netz findet.

So bald man einen Dienst anbietet - ist es halt wichtig sich über die Konsequenzen im klaren zu sein und ggf. Maßnahmen zu treffen - was passieren soll, wenn plötzlich ein vorgegebener Weg "verlassen" wird.

Genau so wichtig (meiner Meinung nach) ist sicherzustellen, dass nur derjenige der sich "ausweisen" kann - überhaupt irgendwelche Angaben tun kann.

Zitat von uwe.bein.98

bei USG kann ich doch z.B. NAT abschalten, was bei UDM P wohl nicht so einfach gehen soll.

Puh, dazu kann ich nicht wirklich was sagen - habe eben weder die eine noch die andere Kiste. Spontan würde ich behaupten - so lange die WAN Schnittstelle nicht benutzt wird, sind es Router mit ggf. Firewall-Funktion und damit kommt kein NAT ins Spiel (zumindest dann nicht, wenn man es vernünftig macht)

(Kenne aber beide Geräte nicht - kann also tatsächlich falsch sein an der Stelle)

Zitat von Hoktar

Wie mach ich das? und für was ist das?

In der von Dir zitierter config hast verbosity:0

Damit wird der Loglevel höher gesetzt, damit man auch etwas mehr sehen kann was da schief geht

Zitat von Hoktar

Meintest du lsof -i :53 ?

So ist das mit dem klein/ groß - sorry für die Verwirrung.

Mache dann noch bitte netstat -tulpn und suche nach unboud oder vielleicht besser ss -tulpn und suche nach den Ports 53 und 5335

Und dann noch ein telnet 127.0.0.1 53 und telnet 127.0.0.1 5335

Sollte Telnet nicht gehen - wichtig ist dann was passiert. Also kommt direkt nach dem Befehl ein connection refused o.ä oder erst ~10-20 Sec später

Zitat von uwe.bein.98

Portweiterleitung ist keine Option. Die Türe mache ich nicht auf.

Welche Tür genau?

Zitat von uwe.bein.98

In welche Richtung sollte ich dann gehen? USG?

Der Controller MUSS gar nicht permanent laufen. Der ist nur notwendig für die Einrichtung und Änderung der Konfiguration.

Vorteil natürlich, wenn das Teil permanent läuft sind Statistiken und die Möglichkeit "mal eben ein Port auf nem Switch zu ändern o.ä"

Heißt am Ende - mit USG bist Du doch mehr oder minder an der gleichen Stelle wie mit UDM.

Zitat von Hoktar

Der Container hat die IP 192.168.2.12 und wird auf allen Geräten

Hat die Kiste auf der Container läuft auch Adresse aus dem Bereich?

Zitat von Hoktar

Angepasst habe ich nichts,

Ew nicht so gut.

Zum einem wäre von Vorteil, wenn Du die "verbosity:" höher setzt. z.B auf 3 oder 5

Was kommt bei "lsof -l :53" und bei "lsof -l :5335"

Hoktar -

Was mich jetzt noch interessieret - (korrigiere wenn ich es falsch in Erinnerung habe)

• Du hast Pi-Hole und Unbound in 2 verschiedenen Docker Conteinern richtig? Wenn ja
  • was für OS / Distribution wird dafür verwendet?
  • wie sind wo welche IP Adressen konfiguriert?
  • hast die Linux FW angepasst?

Zitat von uwe.bein.98

Vlan mit UDM Pro also nicht zu empfehlen?

Nein, das habe ich nicht geschrieben.

Viele Leute lassen sich von Sachen irritieren die nie in Wirklichkeit eintreffen werden.

Also die UDM hat glaube ich u.a 8 (1GB) Ports. Je nach Version sind wohl diese 8 Ports über 1 GB Leitung an die CPU angebunden oder (2.5GB Leitung).

Jedes Paket welches vom VLAN A zu VLAN B muss, muss zu der CPU geschickt werden. Was bei diesem Konstrukt suboptimal ist. Ob das jetzt irgendwo im privaten Haushalt oder kleinem Büro wirklich eine Einschränkung darstellen wird, lässt sich aus der Ferne nicht wirklich beurteilen, denn man kennt das Netz nicht und weiß nicht was da so alles passiert.

Bei einem Netz wo eh die meiste Zeit einfach gesurft wird, Mails geschrieben, gelesen oder sonstige Dokumente wird es kaum eine Rolle spielen. Bei einem Netz wo mehr oder weniger permanent Terabytes an Daten hin und her kopiert werden wird es schon u.U anderes aussehen.

Dein Konstrukt ist so fern "gefährlich" weil Du 2 Geräte einsetzen willst die an sich für die gleiche Ausgabe geschaffen sind. Das kann funktionieren und bei richtiger Konfiguration wird es auch funktionieren.

Denke ew. noch mal darüber nach - die UDM als einziger Gerät zu behalten und hinter der UDM ein VPN Sever zu setzen und mit Portweiterleitung zu arbeiten. (Mir ist nicht ganz klar wofür Du VPN haben willst, wenn Du schreibst, da läuft nichts permanent. Also quasi Selbstzweck?)

Zitat von uwe.bein.98

Wer übernimmt dann das Routing innerhalb des LAN? opnsense oder UDM?

Tja sag ich doch man kann sich selbst das Leben schwer machen.

Wenn die Sense alle Netze kennt und Bein im jedem Netz macht, macht die Sense das. Wenn die Sense "nichts" kennt, musst Du alles auf der UDM konfigurieren. Bei kleinen Fehlern hast gleich 2 potentielle Fehlerquellen.

Und bei UDM ist doch so, dass Du die Performance nur dann hast, wenn alle Geräte im gleichen VLAN liegen, sonst muss es zu der CPU und das ist ein Flaschenhals bei der Kiste.