Beiträge von supernova1963

Es läuft nachdem ich im Unterschied zu gestern nach dem Factory Reset die Cloudflare DNS unmittelbar bei der Einrichtung der Internetverbindung eingegeben habe.

Vielen Dank für eure Hilfsbereitschaft,

Gernot

Zitat von EJHome

Das Du das VPN-Subnetz umbenannt hast, war Absicht?

Ja, ich habe es gelöscht und neu angelegt mit einem neuen Namen

Hast Du dann alles angepasst.

Ich habe nur den Namen geändert, wo spielt der eine Rolle?

Und merke; eine VPN-Verbindung im WLAN zuhause ist nicht möglich!

OK, das ist und war mir bewußt!

Gruß!

Alles anzeigen

So, jetzt habe ich hoffentlich alle Empfehlungen korrekt umgesetzt. Leider verbindet sich jetzt kein Client mehr per VPN ???

Ich bin scheinbar einfach zu blöd.

Vielleicht fange ich einfach noch einmal von ganz vorne an und mache einen Factory Reset, denn ich bekomme den Stand, zu dem eine Verbindung aufgebaut wurde, auch nicht mehr hin.

Habe ich etwas falsch gemacht?

Danke,

Gernot

Vielen Dank @EJHome ,

ich habe alle Deine Hinweise aufgenommen und überall den "Standard" wieder eingetragen.

Wo ich mir nicht sicher bin und einen Zusammenhang mit meinem Problem vermute, ist dein Hinweis zu den DNS Einträgen im WAN Netzwerk.

Ich hatte vorher meine FTTH Verbindung über DHCP und mußte sie auf PPOE umstellen. Da "(fast) alles" lief, habe ich es vollständig aus den Augen verloren, dass ich da keine Einträge gemacht habe.

Leider bin ich mir nicht sicher, was korrekt wäre. In der "neuen UI" steht: Unifi recommended. Ist damit die IP der UDM selbst gemeint?

Zitat von EJHome

Hi!

Ich habe einige Fragen!

Warum ist hier IPv6 konfiguriert? Ist das notwendig?

Derzeit noch nicht zwingend ... (Deaktivierung von IPv6 ändert aber nichts an meinem Problem)

Warum sind keine DNS-Server eingetragen?

Ich habe , da in der neuen UI "Unifi recommended " : 192.168.1.1 zweimal eingetragen -> ohne Erfolg

Ich habe es auch mit 1.1.1.1 (Cloudflare) + 8.8.8.8 (google) ohne Erfolg probiert.

Welche DNS sollten den da angegeben werden?

Warum ist der VLAN Support angewählt?

Ich war der Ansicht, da ich VLAN definiert habe, dass ich ggf. mit der Radius User VLAN Zuordnung weiter komme. Hat aber nicht geholfen.

Jetzt, nachdem ich IPv6 deaktiviert und DNS Server im WAN teste, habe ich den VLAN Support für Radius wieder vollständig deaktiviert, bisher leider auch ohne Erfolg.

Ich hatte gelesen, dass Du zwei Nutzer in das VPN lassen möchtest.

Mit den Einstellungen oben, kannst Du max. einem Nutzer eine IP zuweisen.

Würde ja für den Test auch reichen, ich habe es dennoch wieder auf /24 gestellt, leider auch ohne Erfolg.

Die XXX.XXX.XXX.1 ist immer das "Gateway" des Subnetzes.

Diese IP kann nicht anderen Clients vergeben werden.

komischerweise, bekommt der 1. VPN User bei der Verbindung immer diese IP 192.168.2.1, auch, wenn ich ein /24'er Netz freigebe.

Gruß!

Alles anzeigen

Noch einmal vielen Dank für die Hinweise,

Gernot

So, ich habe es mit einem Windows Rechner versucht und es verhält sich nicht anders, als alle Apple Geräte.

Nachdem die VPN-Verbindung bei einem Windows 10 Rechner steht:

Microsoft Windows [Version 10.0.19041.928]
(c) Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\gernot>route print -4
===========================================================================
Schnittstellenliste
 10...90 1b 0e 16 66 4d ......Gigabit-Netzwerkverbindung Intel(R) 82579V
 24...........................12tp
  1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0  192.168.123.254    192.168.123.6   4516
          0.0.0.0          0.0.0.0   Auf Verbindung       192.168.2.1     36
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4556
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4556
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4556
      192.168.2.1  255.255.255.255   Auf Verbindung       192.168.2.1    291
    192.168.123.0    255.255.255.0   Auf Verbindung     192.168.123.6   4516
    192.168.123.6  255.255.255.255   Auf Verbindung     192.168.123.6   4516
  192.168.123.255  255.255.255.255   Auf Verbindung     192.168.123.6   4516
   193.176.123.80  255.255.255.255  192.168.123.254    192.168.123.6   4261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4556
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.123.6   4516
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.2.1     36
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4556
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.123.6   4516
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.2.1    291
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0  192.168.123.254  Standard
===========================================================================

Bei Verbindungsaufbau mit einem MacBook:

Gernot@MacBook-Pro ~ % sudo netstat -nr -f inet
Password:
Routing tables

Internet:
Destination        Gateway            Flags        Netif Expire
default            link#17            UCS           ppp0       
default            192.168.178.1      UGScI          en0       
default            10.224.146.1       UGScI          en7       
10.224.146/24      link#11            UCS            en7      !
10.224.146.1/32    link#11            UCS            en7      !
10.224.146.1       70:79:b3:ff:64:54  UHLWIr         en7   1195
10.224.146.71      0:1:29:a7:82:e5    UHLWI          en7   1095
10.224.146.102/32  link#11            UCS            en7      !
10.224.146.134     20:cf:30:e6:61:97  UHLWIi         en7   1091
10.255.255.0       192.168.2.1        UH            ppp0       
127                127.0.0.1          UCS            lo0       
127.0.0.1          127.0.0.1          UH             lo0       
169.254            link#6             UCS            en0      !
169.254            link#11            UCSI           en7      !
192.168.1.1        link#17            UHWIi         ppp0       
192.168.2          ppp0               USc           ppp0       
192.168.178        link#6             UCS            en0      !
192.168.178.1/32   link#6             UCS            en0      !
192.168.178.1      e8:df:70:7e:3d:8d  UHLWIir        en0   1195
192.168.178.11     8c:4:ba:a0:5d:36   UHLWIi         en0   1117
192.168.178.23     9c:4e:36:d2:b9:3c  UHLWI          en0   1117
192.168.178.44/32  link#6             UCS            en0      !
192.168.178.44     88:e9:fe:73:5d:42  UHLWI          lo0       
192.168.178.112    16:5a:6b:91:b1:6f  UHLWI          en0   1123
192.168.178.199    16:98:f3:e1:a0:9a  UHLWI          en0   1119
193.176.123.80     192.168.178.1      UGHS           en0       
224.0.0/4          link#17            UmCS          ppp0       
224.0.0/4          link#6             UmCSI          en0      !
224.0.0/4          link#11            UmCSI          en7      !
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI         en0       
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI         en7       
255.255.255.255/32 link#17            UCS           ppp0       
255.255.255.255/32 link#6             UCSI           en0      !
255.255.255.255/32 link#11            UCSI           en7      !

... kann keine Internet Seite und auch kein Rechner/Server im verbundenen UDM LAN:

 Gernot@MacBook-Pro ~ % ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
    options=1203<RXCSUM,TXCSUM,TXSTATUS,SW_TIMESTAMP>
    inet 127.0.0.1 netmask 0xff000000 
    inet6 ::1 prefixlen 128 
    inet6 XXXX::1%lo0 prefixlen 64 scopeid 0x1 
    nd6 options=201<PERFORMNUD,DAD>
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8963<UP,BROADCAST,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
    options=400<CHANNEL_IO>
    ether 88:e9:fe:73:5d:42 
    inet6 fe80::c23:8ece:d12:8f9e%en0 prefixlen 64 secured scopeid 0x6 
    inet 192.168.178.44 netmask 0xffffff00 broadcast 192.168.178.255
    inet6 XXXX:XX:XXX:XXXX:XXX:XXXX:XXXX:XXXX prefixlen 64 autoconf secured 
    inet6 2004:XX:73e:3900:950f:2c50:c9d9:6eb7 prefixlen 64 autoconf temporary 
    nd6 options=201<PERFORMNUD,DAD>
    media: autoselect
    status: active

...

p2p0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2304
    options=400<CHANNEL_IO>
    ether 0a:e9:fe:73:5d:42 
    media: autoselect
    status: inactive

...

ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
    inet 192.168.2.1 --> 10.255.255.0 netmask 0xffffff00 

Gibt es weitere Quellen/Möglichkeiten um den Grund für die "Isolation" des mit VPN verbundenen Rechners zu finden?

Danke,

Gernot

Den Test mit dem Windows PC kann ich frühesten Montag machen

Ausserdem habe ich im Controller Log gestöbert und folgende vielleicht passende Einträge gefunden:

2021-04-17T14:19:01,656] <webapi-11> WARN  vpn    - Could not assign VPN ifname, unknown VPN type
[2021-04-17T14:19:01,656] <webapi-11> WARN  api    - ifname not assigned for VPN RemoteVPN
[2021-04-17T14:19:01,680] <webapi-11> WARN  vpn    - Could not assign VPN ifname, unknown VPN type
[2021-04-17T14:19:01,680] <webapi-11> WARN  api    - ifname not assigned for VPN RemoteVPN
....
[2021-04-17T15:22:26,114] <webapi-13> WARN  api    - websocket session error:null

Sagt Euch das etwas?

Danke,

Gernot

Zitat von BlackSpy

Versuche mal beim Radius User, im Controller, als Medium Typ die 6. 802....…, anstatt 1 IPV4.

Keine Änderung, Verbindung wird aufgebaut.

Zwischenzeitlich habe ich die neuen Beta Version von UDM FW und Controller geladen.

Da werden jetzt die Remote User angezeigt:

Meinst Du es macht Sinn die UDM auf Werkseinstellungen zurückzusetzen, und das ganze noch einmal zu versuchen?

Vielen Dank, erneut,

Gernot

Vielleicht noch einige mögliche Hinweise:

Im vergangenen Jahr, habe ich eine L2TP erfolgreich erstellen können (DDNS Duckdns.org und DDNS von strato.de).

Nach irgendeinem FW Update hat es dann nicht mehr funktioniert (wahrscheinlich, da meine UDM keine korrekte öffentliche IP mehr bekam)

Ich habe es aber dann nicht weiter versucht, da ich Anfang 2021 eh' eine feste IP bekommen sollte.

Die kann ich mittlerweile auch nutzen, aber auch erst, nachdem mein Provider von DHCP auf PPOE umgestellt hat.

Jetzt hat meine UDM die zugesagte öffentliche IP. Als nächsten Schritt wollte ich endlich wieder VPN nutzen und nicht immer den iMac über Paralles Access fernsteuern zu müssen (Das ist auf dem Handy eine echte Quälerei).

Vielen dank, noch einmal,

Gernot

Vielen Dank für deine Unterstützung,

die manuellen DNS Einträge haben keine Änderung gebracht.

WLAN am Handy ist aus. VPN Verbindung wird über LTE aufgebaut.

Die IP Adresse habe hier her:

Zitat von BlackSpy

Warum ist dein VPN ein /30 Netz?

/30 max. 2 IP's mehr sollen nicht zugelassen werden

Zitat

Was sagt dein Client nach der Anmeldung?

IP: 192.168.2.1

Subnet: wo, finde ich die Anzeige z.B: bei iphone

Gateway: wo, finde ich die Anzeige z.B: bei iphone

DNS: wo, finde ich die Anzeige z.B: bei iphone

Ich habe diese Frage mittlerweile auch ubiquiti forum gestellt: VPN over fix IP of FTTH to UDM is connected, but without any access to LAN or WAN

Derzeit habe ich noch keine Lösung:

Meine Einstellungen, die meiner Ansicht nach etwas damit tun haben könnten:

UDM 1.93 und 6.1.71,

WAN Definition:

Folgende Netzwerk Definitionen:

Keine eigenen Firewall Regeln:

WAN AUSGEHEND, LAN LOKAL, GAST EINGEHEND, GAST AUSGEHEND und GAST LOKAL ohne Einträge

=

Radius User Definition:

Radius Profil default:

Helfen diese Informationen, oder, werden weitere benötigt?

Wie gesagt, die VPN Verbindung selbst funktioniert einwandfrei ...

Danke,

Gernot

... dann funktioniert der Zugriff auf einen Server in den UDM LAN nicht und auch das Internet funktioniert auf dem entfernten Client nich mehr.

Was mache ich falsch?

Vielen Dank,

Gernot

Meinen Versuchen zufolge gibt es einen primären Netzwerkbereich, der immer genommen wird, wenn keine feste IP mit Subnet und Gateway Vorgabe seitens des Clients erfolgt. Es scheint mir so, dass dieser primäre Netzwerkbereich das LAN ist, was bei der UDM Installation angelegt wird.

Kann einer diese Vermutung bestätigen, bzw. konkretisieren?

Wenn du, spaeter112 für diese „primäre“ Netz DHCP deaktiviert hast, bekommt der Client keine IP, es sei denn, der Port des Switches läßt dieses Netz nicht zu.

Hallo Maddeen,

danke für Deine Unterstützung. Ich werde es voraussichtlich am Wochenende 'mal mit einem Factory Reset der UDM versuchen.

Gernot

Hallo Madden,

wenn ich das richtig verstanden habe, ist es das, was ich prinzipiell umsetzen möchte. Die ausführlich behandelten Firewall Regeln, mache ich aber erst, wenn sich alle Geräte im richtigen VLAN befinden.

Mein Problem ist jedoch, laienhaft ausgedrückt, dass die UDM irgendwie nicht vergisst, dass die FB dem "Standard Netz" zugeordnet ist und keine Änderungen am Device mehr zulässt.

Wenn ich es versuche über die Porteinstellungen zu erzwingen und daraufhin die FB neu starte, damit sie nur noch den "richtigen" DHCP Server ansprechen kann, wird sie immer noch mit der falschen IP in der UDM geführt und ist nicht mehr erreichbar, läuft aber mit der IP aus dem gewünschten VLAN.

Im übrigen ist das mit dem ausschalten von DHCP an der FB und eintragen der gewünschten festen IP vergleichbar.

Das komische daran ist, dass ich weiß, dass es funktioniert hat, und ich der Ansicht bin, dass ein Factory Reset der UDM es wieder ermöglicht.

Ich suche also nach einem Weg, die FB vollständig "aus dem Gedächtnis" der UDM zu entfernen, ohne einen Factory Reset.

Danke,

Gernot

Hallo Maddeen,

nein, die Ports stehen auf All, wie die anderen, bei denen es funktioniert, auch.

Hallo Maddeen,

ja, die FB7490 direkt an der UDM und der DLAN über UniFi Switch.