DynDNS geht noch nicht, das ist etwas mies das Plugin aber das wird auch noch laufen.
Sonst klappt alles wunderbar.
Welchen Anbieter verwendest Du denn? Ich habe Strato und damit keine Probleme.
Beiträge von usr-adm
-
-
Was mich nur wundert, es gibt viele Foreneinträge mit Usern die Probleme mit dem Speichern haben - kann es sein das nur die Edge dafür gemacht sind?
Die Befehle die Du verwendet hast, stammen definitiv aus der "Edge-Welt" und sind für Edge-Geräte gedacht. Ich wüsste nicht, dass diese auch auf UniFi Geräten funktionieren.
-
Einen Reboot könnte das überstehen, aber ein Update vielleicht / wahrscheinlich nicht.
Wenn es sich, wie ich vermute, um eine Edge-Switch handelt, dann übersteht es auch ein Upgrade. Bei den Edge Geräten ist es nicht ungewöhnlich, dass vieles nur über die CLI oder den Config-Tree eingestellt werden kann.
commit = führt die aktuelle Änderung aus
save = speichert diese dauerhaft in der config, die beim Neustart verwendet wird.
-
Alles anzeigen
en
configure
set igmp querier address <IP of your core switch>
set igmp querier query-interval 10
exit
exit
Du hast vergessen zu speichern:
...
...
commit
save
exit
exit
-
Bei mir läuft nun auch Sensei (ist eine Next Gen Firewall) lokal im LAN und blockt alles weg was nicht da sein soll.
Für kostenlos schon nicht schlecht
Sensei heißt inzwischen (seit 09/2021) Zenarmor
Kann ich aber auch absolut empfehlen, frisst aber, abhängig von der Netzwerkgröße, viele Ressourcen. Aktuell habe ich eine Arbeitsspeicherauslastung von 28GB und müsste eigentlich noch erweitern. Dafür werden aber jetzt unerwünschte Dienste wie Nextflix, TikTok, SnaptChat, etc. zuverlässig in der Schule unterbunden.
-
Welchen Unterbau hat Deine Installation auf dem Pi? Welches OS, nativ oder Docker Installation?
Sind auf dem OS irgendwelche Firewalls aktiv?
Wenn Docker, sind dann dort die Ports richtig konfiguriert?
Hast Du mal versucht auf Deinem PC einen einen temporären Webserver zu nutzen, z.B. TinyWeb Server und auf diesen weiterzuleiten, einfach um zu gucken ob dies funktioniert?
-
-
-
PPPoE Einstellungen sehen richtig aus, ist bei mir genauso.
Wie hast Du das Internet getestet?
Kann Du von der OPNsense-Konsole z.B. 8.8.8.8 anpingen?
Wenn Du von einem Client getestet hast: Sind die Firewall-Regeln richtig? Kannst Du die OPNsense anpingen? Sind DNS und Gateway richtig?
Laufen alle "Services" auf der OPNsense (Dashboard)?
Hast Du unter System > Settings > General einen DNS Server eingetragen ODER den Haken bei "Allow DNS server list to be overridden by DHCP/PPP on WAN" gesetzt?
Evtl. erstmal ohne PiHole testen und wenn alles läuft, diesen wieder integrieren.
-
Den lokalen DNS-Server so konfigurieren, dass dieser die Domain auf die interne IP umleitet und die Firewall-Regeln anpassen.
-
Das ist so einfach nicht zu realisieren.
Du könntest den Port auf dem Switch, an dem der PoE-Injektor angeschlossen ist, so konfigurieren, dass dort nur Tagged Netzwerke vorhanden sind. Dann müsste man zumindest das VLAN kennen und auf dem Endgerät per Hand konfigurieren um in das Netzwerk zu kommen.
Sonst bleibt Dir (fast) nur noch ein physikalischer Schutz.
Eine ähnliche Frage findest Du hier.
-
Ich bin mir nicht sicher, ob ich Dich richtig verstanden habe, oder was Du genau möchtest.
Wenn Du einen UniFi-Switch im Einsatz hast (erst mal ohne LAGG):
Die einfache Variante:
Beide Ports vom OPNsense auf einen "ALL" Port auf dem Switch.
Dein Management Netz ohne VLAN befindet sich bei UniFi im Netzwerkwerk "Default" (VLAN 1). Wenn Du die APs jetzt auch auf einen "ALL" Port hängst, bekommen die APs selber eine IP aus dem Management-Netz und verbinden Deine SSID mit dem Konfigurierten VLAN.
ALL = "Default" Netzwerk ist auf dem Port untagged und alle anderen Netzwerke sind tagged.
Die komplizierte Variante:
Du konfigurierst Dein Management-Netzwerk auch mit einem VLAN (dann sparst Du Dir den separaten Port) und lässt das "Default" Netzwerk ungenutzt. Allerdings wird es dann aufwändig neue und vorhandene Geräte zu konfigurieren und in das Management-Netz zu integrieren.---------------------
Untagged und Tagged auf einem Port soll bei OPNsense, in machen Konfigurationen, wohl Probleme machen.
-
Site to Site VPN mit IPSec. Sollte eigentlich jeder Router unterstützen.
-
Jetzt meine frage kann man den USG auch ohne Controller betreiben?
ich baue eigentlich nur eine OpenVPN zu mein Unfi auf.
Du kannst in Deinem Controller doch eine weitere "Site" hinzufügen und dort die USG von Deinem Opa einbinden. Die USG kann auch über WAN mit Deinem Controller kommunizieren. Dafür müssen nur zwei Portweiterleitungen auf Deiner Seite konfiguriert werden.
bei EdgeRouter X muss man sich wieder rein arbeiten.
großer Vorteil ist aber hab mein eigene Web Konsole. Was ich schon etwas cool finde
EdgeRouter ist auch kein großes Problem. Auf der Weboberfläche müssen für VPN nur 6 Werte eingetragen werden und fertig.
-
Zweite Frage: Wie ist das mit irgendwelchen Firewall-Regeln, mit denen man die beiden Netze eventuell voneinander abgesichert hat? Werden die im L3-Switch ebenfalls beachtet? Oder sind Netze, die im L3-Switch geroutet werden, prinzipiell komplett durchlässig?
Soweit ich weiß und nach kurzem Blick ins UniFi Forum funktioniert das ganze nicht oder nur sehr begrenzt.
Die Frage ist, ob dies im privaten Umfeld überhaupt viel Sinn macht und Dir reelle Vorteile bringt.
Du kannst UDM und USG mit 10G verbinden und ob Du das überhaupt ausgelastet bekommst ich eher unwahrscheinlich (ohne näherer Informationen über Dein Netzwerk und Deine Nutzung).
-
1.) Macht es Sinn (geht es überhaupt) die config des Cloud Keys V2 mit allen provisionierten Geräten und WLan's auf die DM SE zu übernehmen, oder macht man besser einen kompletten Neustart mit der DM?
Mit einem Backup sollte dies möglich sein, ich persönlich würde aber alles von Grund auf neu konfigurieren. Die Geräte sind ja das kleinste Problem. Wenn es viele (komplexe) Firewallregeln gibt macht es ein Backup evtl. einfacher.
2.) Kann man die DM SE auch so konfigurieren, dass Sie im ersten Step nur als "Key" Ersatz fungiert und erst im Step 2 die Firewall integrieren? Wäre ein ruhigerer Umstieg
Sprich ich konfiguriere alle Komponenten "hinter der SE / LAN" und schalte danach erst den WANDies sollte grundsätzlich möglich sein, macht die Sache aber etwas kompliziert.
Ich würde die DM SE komplett konfigurieren und mit ein/zwei Geräten alles testen. Wenn es funktioniert, die restlichen Geräte hinzufügen. Du könntest für den Anfang die DM SE auch per DHCP hinter den Router hängen und konfigurieren. Wenn alles wie gewünscht funktioniert, alten Router raus und die DM direkt ans Netz.
3.) Wo bekommt man gute Infos zur Firewall der Unifi Geräte her? Link reicht
Guck mal ins Wiki.
z.B.
-
Entschuldigung für die harten Worte, ABER WARUM so kompliziert???
Warum muss man 100 MBit/s Geräte mit RJ45-Anschluss an einen Aggregation-Switch mittels SFP Modul anschließen, wenn anscheinend ein Enterprise-Switch vorhanden ist?!?!
Nur weil etwas technisch möglich ist, macht dies noch lange keinen Sinn.
-
Blöde Frage: Ist unter Einstellungen -> Remote-Zugriff -> der Remote-Zugriff noch aktiviert und die Daten richtig?
Evtl. mal deaktivieren und wieder aktivieren. Vielleicht gibt es irgend welche Probleme mit Deinen Zugangsdaten.
-
Da Du kein UniFi Gateway hast, musst Du bei den Netzwerken nichts einstellen und nichts hinzufügen. Einfach alles so belassen, da es eh keine Rolle spielt, also nur das Default Netzwerk. Dies ist das Netzwerk, welches in der Übersicht, kein VLAN zugeordnet hat. Die IP-Adresse, die dort konfiguriert ist, ist auch uninteressant.
Dann erstellst Du Deine Drahtlos-Netzwerke/SSIDs mit VLAN "Default".
Mehr ist eigentlich nicht zu machen.
Ganz einfach ausgedrückt: Default bedeutet, dass er ohne VLAN arbeitet. Jeder AP holt sich jetzt seine IP-Adresse aus dem Netzwerk wo er eingesteckt ist und gibt weitere DHCP-Adressen über die WLANs aus.
-
Ich hab diese 2 Standorte per Site2Site-VPN verbunden.
Sehr gut. Können beide Seiten den Controller "sehen" bzw. erreichen, evtl. die Firewall-Regeln anpassen.
Auf der Nebenseite ist ein UAP verbaut den ich per Layer-3-adoption auch in den Controller befördert habe.
Ich würde ungern den DHCP-Server übers VPN laufen lassen ....
DHCP über VPN ist auch nicht so leicht zu realisieren.
Eigentlich sollte das ganze kein Problem sein, VLANs sind nicht notwendig und machen das ganze komplizierter. Sobald alles funktioniert könnte man dies aber auch umsetzen um das ganze zu optimieren.
Jedes Seite hat Ihr eigenes Netzwerk mit DHCP
Site A: 192.168.0.0/24
Site B: 192.168.1.0/24
Auf beiden Seiten einfach das DEFAULT Netzwerk verwenden, Einstellungen muss Du hier keine vornehmen, da diese sowieso nicht greifen, weil DHCP, etc. vom Edge/FritzBox kommen.
Bei den SSIDs das Netzwerk "Default" wählen.
Bei den APs das Management VLAN auch auf "Default" belassen.
Somit sind die Clients die über den AP angemeldet sind und der AP im jeweiligen Netzwerk.
