Beiträge von supernova1963

Hallo zusammen,

ich habe bereits über g**gle versucht das Problem versucht zu lösen. Es ist mir jedoch nicht gelungen.

Problembeschreibung:

Sowohl meiner FB7490 (hinter der UDM als Telefonanlage und LAN-/WLAN-Router) als auch meinem DLAN Magic 2 WiFi kann ich über die Web Oberfläche kein VLAN und keine feste IP vorgeben.

Das ist insofern ungünstig, da ich die jeweils daran angeschlossenen WLAN Geräte alle auch im falschen VLAN habe.

Bei anderen Geräten funktioniert die Vorgabe von VLAN und IP problemlos.

Ja, ist klar, kauf dir 2 weitere Unifi AP's und gut ist!

In meinem konkreten Fall bedeutet es jedoch, dass ich für 3 WLAN Clients und 1 LAN Client gleich 2 AP's kaufen müßte.

Hat einer von Euch eine Erklärung und bestenfalls auch eine Lösung für mich?

Danke,

Gernot

Zitat von N0head

Wo mache ich das und vor allem wie?

Ja, mit Firewall Regeln.

Zitat von N0head

hat da einer ein Best Practice für mich?

Nein, wichtig ist der Unterschied zwischen ein-/ausgehenden Datenverkehr (Sicherheit i.d.R. eingehend) und die Reihenfolge der Regeln beachten (die erste passende Regel wird verwendet.

Zitat von N0head

Kann mir jemand was zum integrierten Schutz sagen?

Wie funktioniert das, was tut es genau?

- bezogen auf lokale Netze: Standard bei "Corporate" Netzdefinition: Es werden automatisch Firewall-Regeln an gelegt, die gültige Anfragen zwischen den lokalen Netzen erlauben und ungültige verbietet.

- bezogen auf WAN:

• Nach der Aktivierung von IPS (bzw. IDS) im Threat Management (beta) werden Steuerungsmöglichkeiten angezeigt, die die Funktionalität ganz gut nachvollziehbar macht.
• GeoIP Filtering: Geografische Ausgrenzung (beta nutze derzeit nicht)
• Content Filtering: Inhalte filtern (Alpha) mit Zuordnung zu Block, Security, Familiy, Adult ...)
• Deep Packet Inspection (alpha) füllt die Netzwerkstatistik und Device Fingerprinting versucht ein Geräte auf Basis von Mac-Adresse und Datenverkehr zu identifizieren
• Network Scanners (Endpoint Scanner und internal Honeypot): Analysiert die Endgeräte um Sicherheitsrisiken und Schwachpunkte aufzudecken
• ...

Generell hoffe ich, dass die gewonnenen Daten nicht, oder wenn, dann nur annonymisiert weiter verwendet werden!

Aber, diese Steuerungsmöglichkeiten gibt's z.B. bei FB gar nicht.

Was die Warnung angeht, schön, dass man es überhaupt ausschalten kann.

Zitat von N0head

Sie blockt erstmal sämtliche Anfragen, oder? Sprich ich muss gewünschte Ports explizit erlauben

Im Standard, nein (siehe oben)

Ich hoffe, ich konnte etwas helfen. Hinweis: Es handelt sich nicht um detailliertes Expertenwissen"!!!

lg

Gernot

Ich habe einen Glasfaseranschluss bis ins Haus (HÜP statt Modem)

Probleme hatte ich als Anfänger auch, nach dem Motto „Ein Boot tut gut“ habe ich es hinbekommen

Ich habe nur eine UDM Basic und mittlerweile DDNS (duckdns.org) und VPN (L2TP) funktionsfähig mit der FritzBox7490 als DECT Telefonzentrale hinter der UDM. Mir hat die aktuelle FW 1.8 (bei UDM Basic noch Beta) sehr geholfen das PPPOE Login am WAN (FTTH HÜP) hinzubekommen.
VPN und DDNS funktionieren.

Ja

Nachdem ich den bestellten USW-Lite-8-POE erhalten habe und einbinden wollte, mußte ich feststellen, dass dieser nur mit der

UDM Firmware 1.8.0-rc.16.2888 von meiner UDM (Basis, deswegen derzeit "rc") erkannt wird. (Bitte vorher lesen !!!)

Netter Nebeneffekt, der PPPoE Verbindungsaufbau meiner UDM an FttH von vitroconnect funktioniert jetzt problemlos mit den o.g. Zugangsdaten (Das Kennwort des GWN Users ist wirklich beliebig wählbar. Ich habe "Beliebig" eingegeben).

Damit habe ich jetzt die FritzBox 7490 als DECT Telefonanlage hinter der UDM. Das ist imo für meine Rahmenbedingungen die von mir bevorzugte Variante!

Hey,

ich habe gerade eine mögliche Erklärung gefunden. Bei der Telekom scheint es bei VDSL ein Feature das mit "easy Login" bezeichnet ist.

Vielleicht gibt es ein ähnliches Feature auch bei FttH.

lg

Gernot

Zitat von TheFreeman

Sicher. Nur verumte ich mal, dass dir das hier niemand wirklich erluetern kann.

Ich vermute einfach, das das ständige "herumkonfigurieren" an verschiedenen Stellen die UDM und den Controller ein wenig durcheinander geworfen haben.

Nach einem Factory-Reset war dann keine störende Konfig mehr vorhanden und der Controller konnte dann ordentlich deployen.

OK, wegen der Herumprobiererei habe ich den Factory-Reset auch gemacht.

Was ich mir nicht erklären kann, ist, dass kein PPPoE Login mit User GWN und VLAN 7 notwendig ist.

Danke,

Gernot

Nicht direkt, da die VLAN Eingabe nicht wie erhofft funktioniert hat.

Ich habe sehr oft neu gebootet bis ich dann einen Werksreset durchgeführt habe.

Die setup Routine zeigte mir dann, dass ohne weitere Einstellungen die Internetverbindung, - warum auch immer -, hergestellt werden konnte?!
Gibt es eine Erklärung dafür?

Danke,

Gernot

Vielen Dank für diese Information, TheFreeman.

Aktuelle Konfiguration: FTTH -> ONT -> FB7490 -> UDM läuft mit der Einschränkung des VPN Zugangs

• L2TP VPN der UDM ist aus dem Internet nicht erreichbar
• IPSEC der FB7490 über AVM funktioniert, kann aber nur auf Geräte hinter der UDM zugreifen, die eine UDM Firewall allowed Regel für den WAN Port haben

Gestern habe ich wieder die Gelegenheit genutzt auszuprobieren, ob ich die UDM direkt am ONT ohne FB7490 anschließen kann:

FTTH -> ONT -> UDM

Leider ohne Erfolg. Sobald ich die vorkonfigurierte FB7490 anschließe (auch hinter der UDM), funktionierte der Internetzugang.

Die Beschreibung des Netzbetreibers ist für mich etwas dürftig:

Zitat

Einrichtungshilfe Router:

Internet:

VLAN-ID: 7 ; User: GWN ; Passwort: frei wählbar

Telefonie:

Telefonie-Anbieter: anderer Anbieter

Benutzername: [email protected]

Beispiel: [email protected]

Kennwort: Das Passwort aus der Zugangsdatenübersicht

Register: sip.vitroconnect.de

Proxy-Server: sip.vitroconnect.de

Alles anzeigen

Es müßte doch möglich sein zumindest den Internetzugang auch ohne die FB7490 einzurichten.

Meine Versuche mit der Verbindung ONT -> UDM WAN Port:

-> WAN: PPOE mit user: GWN, password: irgendwas, vlan: 7

-> WAN: DHCP vlan: 7

-> WAN: DHCP vlan: 7 und definiertem

• vlan: vitroconnect , VLAN ID: 7 als vlan only und definierten
• Radius Benutzer: GWN mit password: frei wählbar, VLAN ID: 7, Tunnel Type: 1 Point-toPoint Tunneling, Tunnel Medium Type: 1 IPV4

Wie richte ich diese Parameter in der UDM korrekt ein ???

Danke,

Gernot

genau die automatische Optimierung meinte ich.

Hallo TheFreeman,

nein, ich habe es ohne Änderungen an der Firewall (sowohl mit als auch ohne "Optimierung") nach dem zurücksetzen auf die Werkseinstellungen der UDM versucht.

Hast Du die Optimierung eingeschaltet, bzw., was macht der UniFi Controller bei eingeschalteter Optimierung?

Die Störungen bei der Telefonie können ja auch woanders begründet sein.
Es ist schon mal gut zu wissen, dass es bei Dir problemlos funktioniert.

Danke,

Gernot

Hallo zusammen,

wie zuvor berichtet hatte ich meine FB 7490 (mit Firmware Voreinstellung des LWL = 100/100 MBit Netzbetreibers) "erfolgreich" hinter meiner UDM nur für Telefon.

Leider habe ich es nicht hinbekommen, dass die FB bzw. VOIP höchste Priorität (Echtzeitanwendung bei FB) erhielt, denn die Sprachqualität war eher schlecht und es kam zuweilen zu Verbindungsabbrüchen.

Im Sinne des Hausfriedens habe ich jetzt die FB vor die UDM (FB Port4: Exposed Host - an - UDM WAN Port) installiert. Damit ist die Telefonie wieder einwandfrei. Alles andere hinter der UDM funktioniert bisher ebenfalls hervorragend, bis auf VPN.

IPSec VPN über AVM zur FB funktioniert, aber dann komme ich leider nicht an die Geräte hinter der UDM.

L2PT VPN an UDM funktioniert nicht mehr, da DuckDNS die Lokale IP der UDM erhält.

Wie habt Ihr es gelöst bzw. was empfehlt Ihr mir?

Danke,

Gernot

Zunächst einmal Danke für die hilfreichen Informationen, und, sorry, dass ich erst jetzt schreibe.

Zitat von TheFreeman

Meinst Du nicht, dass hier eine USG schon ausreichend wäre?

Bestimmt hätte es zunächst ausgereicht.

Begonnen habe ich mit der Controller Software, die ich unter PROXMOX einfach 'mal installiert habe und ein wenig damit "gespielt" habe.

Als Alternative habe parallel pihole und pfSense auf PROXMOX installiert. Das hätte sicher auch gereicht (ohne die Anschaffung irgendeiner zusätzlichen Hardware).

Meine Kaufentscheidung für die Unifi Dream Machine mit zunächst einem UAP FlexHD fiel, als die Fritzbox immer mehr Probleme mit Empfang und Verbindungsstörungen bereitete (mindestens einmal pro Woche Neustarten).

Beide sind relativ aktuell und sollten mir ziemlich weitreichend das "Unifi Universum" zur Verfügung stellen.

Eine konkrete Frage habe ich auch schon:

Ich habe so meine Problem mit den festen IP's.

Für verschiedenen IoT Anwendungen benötige ich feste IP's nicht nur für die "Server" sondern auch für die einzelnen Aktoren und Sensoren.

Vergebe ich die IP in der Controller Software am Endgerät dauert es teilweise sehr lange, bis diese greifen. Auch nach einem reboot des Endgerätes zeigt die Endgeräteübersicht teilweise noch sehr lange die "falsche" IP für das Gerät.

Sollte ich die gewünschte feste IP doch am Endgerät erfassen?

Danke,

Gernot

Ich muss noch soviel lernen ...!

Am Besten fange ich einfach an. So viele Geräte hängen ja nicht hinter der Fritzbox und dem Devolo, die dann nicht separat zu steuern sind.

Im ersten Schritt war mir wichtig zu erfahren, dass es so überhaupt so funktioniert.

lg

Gernot

iTweek : OK, wenn ich es dann jetzt richtig verstanden habe, funktioniert es also nicht ein Gerät einem VLAN z.B. aufgrund seiner Mac Adresse zuzuordnen und diesem VLAN ( und damit dem Gerät) zu verbieten "nach Hause zu telefonieren" (die WAN Schnittstelle der Dream Machine) zu nutzen, da am Ende doch nur ein physikalischer Port dafür gesperrt werden kann, oder?

Danke, für die Geduld,

Gernot

iTweek: Ja, wieder ein Anfängerfehler, es hätte heißen müssen: ... die Dream Machine!

franzbertbua :

Das macht doch u.A. auch der Controller. Der vergibt doch das VLAN z.B. auf Basis des Users, des Gerätes oder des verwendeten DHCP Servers.

Ich bin total verwirrt.

Danke auch Dir für die Unterstützung,

Gernot