Posts by LevyKo

Quote from Vegas Maximus

Aber kommt dann nicht eventuell das Problem was du beschrieben hast mit dem Konflikt? Das erste VLAN ist ja immer die 1

Die VLAN-ID ist die 1 ja, aber das Subnetz ist ja unabhängig davon. Bei mir wäre es dann die 192.168.100.0/24 die unter VLAN-ID 1 läuft. Da dort der DHCP-Server deaktiviert ist und die IP's statisch eingetragen sind (ausschließlich UniFi-Komponenten), ist auch die Umstellung kein Problem und schnell gemacht.

Wenn eh alles neu aufgesetzt wird, würde ich aber wahrscheinlich ebenfalls auf die Subnetze unter 10.x.x.x gehen. Das ist mir nur jetzt zu viel Aufwand alles wieder umzustellen. An Deiner Stelle würde ich es wie Networker beschrieben hat machen.

Da danke ich auch mal für den Tip! Bisher habe ich zwar keine Probleme mit der 192.168.1.0/24 gehabt, aber Prävention ist die halbe Miete. Ich werde dann mein Management-VLAN (also das Native UniFi LAN) mal auf 192.168.100.0/24 umstellen.

Und es erinnert mich daran, nie wieder einstellige VLAN-ID's zu nehmen

Das kannst Du auch machen, aber so habe ich eine (gedankliche) Verknüpfung zwischen dem IP-Subnetz und der VLAN-ID (192.168.10.X und VLAN-ID 10, 192.168.20.x und VLAN-ID 20, etc.).

Hi,

ich hatte vor ein paar Wochen unser komplettes Netz endlich auf VLAN's verteilt und den "Fehler" gemacht, VLAN-ID's einstellig zu vergeben. Danach kam es zu teils kuriosem Verhalten im Netz. Geräte haben falsche IP's erhalten, Drop's ohne Ende, usw.

Am letzten WE habe ich alles wieder umgekrempelt und nur die UniFi-Geräte im VLAN 1 belassen mit festen IP's ohne DHCP. Jetzt sieht es so aus:

VLAN 1 -> Management (192.168.1.0/24 - ohne DHCP - UniFi-Geräte mit festen IP's)
VLAN 10 -> Native (192.168.10.0/24 - mit DHCP - MacBooks, iPhones, Standard-Netzwerk, etc.)
VLAN 20 -> IoT (192.168.20.0/24 - mit DHCP - Home Assistant, CCU3, Hue Bridge, etc.)
VLAN 30 -> Security (192.168.30.0/24 - mit DHCP - Cams, EMA, Nuki's, NVR, etc.)

Damit läuft alles super und ohne Probleme.

Hallo zusammen,

vorab möchte ich erwähnen, dass hier soweit alles so funktioniert und läuft, wie ich es erwarte und keine Probleme aktuell existieren. ABER: Ich bin mir nicht ganz sicher, ob meine jetzige Verkabelung und Konfiguration ganz korrekt und optimal sind. Daher mal die Frage an die Profis hier, ob Ihr das vielleicht anders machen würdet.

Meinen Internetzugang beziehe ich über Vodafone (Vodafone Business CableMax 1000) mit der Option IPv4 und einer statischen IP-Adresse. Der Zugang erfolgt über eine AVM Fritz!Box 6591 Cable auf Mietbasis mit aktuellem FRITZ!OS 8.03 (also die Vodafone-Version davon). Die öffentliche IP-Adresse ist die 78.94.220.197 und das System ist als Internet-Router eingerichtet. Unter "Öffentliches IPv4-Subnetz" ist das entsprechende Subnetz, welches mir Vodafone zugewiesen hat, eingetragen und die o. g. IP ist unter IPv4-Adresse eingetragen. Bis auf die Telefonie sind alle Dienste (DHCP, WLAN, etc.) inklusive IPv6 komplett deaktiviert. An LAN 1 hängt die Unifi UDM Pro mit ihrem Port 9 (WAN1) per GbE. Die UDM Pro selbst ist auf die 192.168.55.1 konfiguriert und hat auf Port 9 (WAN1) die IP 78.94.220.198 (also die Folgeadresse aus dem öffentlichen IP-Segment) mit der Gateway-IP 78.94.220.197. In der Fritz!Box ist diese IP (also die .198) als Exposed Host angegeben. Die Ports 2, 3 und 4 an der Fritzbox sind nicht aktiv.

Internet <-> Fritz!Box (78.94.220.197) <-> (78.94.220.198) UDM Pro (192.168.55.1) <-> Internes Netz (192.168.55.x)

In der UDM Pro wird auch als Provider Vodafone Germany angezeigt und alles funktioniert, wie oben erwähnt, relativ gut. Mir ist nun aufgefallen, dass die UDM Pro teilweise mehrere Minuten braucht, um einen Verbindungsabbruch mitzubekommen. Das scheint daran zu liegen, dass auf die IP 78.94.220.198 getestet wird. Diese ist ja auch weiterhin erreichbar, wenn das Netz wegbricht. Kann das sein? Oder ist der Prüfintervall so lang?

Haben die Profis hier einen Änderungsvorschlag oder würdet Ihr das so belassen. Wie erwähnt, funktioniert soweit alles sehr gut.

Viele Grüße

Levy

OMG, es funktioniert nun!

Wenn man zu kompliziert denkt... Einfach ein VLAN mit ID 16 (oder etwas anderes zweistelliges) anlegen und die beiden Switchports, wo die DECT-Basis und das Tischtelefon dranhängen, diesem zuordnen. Dann ein separates Profil erstellen und dieses dem VLAN zuordnen.

Zack, läuft.

Trotzdem ein großes Danke an alle hier!

Cheerio,

Levy

Kann eigentlich auch nicht sein, da in dem "Wichtigen Infos"-Schreiben von Vodafone drinsteht, dass die 78.xx.xxx.197 als "Business-Gateway-Adresse (Modem)" reserviert ist und die 78.xx.xxx.198 als "frei und kann von Ihnen genutzt werden" beschrieben wird. Die 78.xx.xxx.196 ist das Subnetz und 78.xx.xxx.199 ist die Broadcast-Adresse. Ist ein /30 Subnetz (255.255.255.252).

Die zweite Variante (mit dem eigenen VLAN) und einem separaten Patch von UDM Pro zu Fritz!Box hatte ich auch schon probiert. Funktionierte aber auch nicht, weil es ja eigentlich auch die gleiche Konstellation ist. Nur halt mit einem anderen VLAN-Tag.

Viele Grüße

Levy

Die Siemens N510 IP PRO und auch das Snom D375 hängen per LAN (mit PoE) an einem Unifi-Switch. Dieser wiederum an der UDM Pro und diese wiederum an der Fritz!Box. Das N510 und das Snom melden sich mit den entsprechenden Nutzern (z. B. ipphone620) an der Fritz!Box an. Diese ist in den Geräten auch als "Server" eingetragen. Ich weiß nicht, ob man diese dann als SIP-Server oder SIP-Trunk bezeichnet, aber dahin geht es per LAN.

DECT macht ausschließlich die N510. In der Fritz!Box ist alles DECT-mäßig deaktiviert, da diese im Rack steht; fernab der Mobilteile.

Das Snom ist ein IP-Tischtelefon, kein DECT-Telefon.

Viele Grüße

Levy

Hallo zusammen,

mit großer Freude konnte ich gestern unsere "alte" USG Pro gegen die neu erworbene UDM Pro austauschen. Auf der USG Pro ein Backup der Einstellungen gezogen, auf der UDM Pro eingespielt und taraaaa... Alles lief wie am Schnürchen. VPN-Einstellungen wurden übernommen, die Unifi-Devices adopted, IP-Adressen und Namen, also erst einmal alles gut. Bis meine Frau gestern Abend von einem unserer zwei "Festnetz"-Telefone aus telefonieren wollte...

Die Verbindung kann zwar aufgebaut werden, aber weder die Gegenstelle, noch man selbst hört etwas. Von meinem Telefon aus kann ich auch nicht herauswählen und ankommende Anrufe werden erst gar nicht an die Endgeräte weitergeleitet.

Unser Anbieter ist Vodafone (mit Cable 1000 Tarif). Die entsprechende (Leih-)FRITZ!Box 6591 Cable (lgi) hat eine öffentliche IPv4-Adresse (78.xx.xxx.197). Dort sind auch die sechs Rufnummern hinterlegt und mit den entsprechenden Telefonen (1x Snom D375, 1x Siemens N510 IP PRO als DECT-Basis) eingerichtet. Zusätzlich hängen an der FritzBox selber noch ein Fax auf FON1 und eine Alarmanlage auf FON2. Zwei Anrufbeantworter sind dort ebenfalls eingerichtet. An LAN1 ist schließlich die UDM Pro mit ihrem WAN-Port angeschlossen. Dieser hat die IP-Adresse 78.xx.xxx.198. Diese Adresse ist auch als Exposed Host eingetragen. Da es sich hierbei um die öffentlichen IP-Adressen von Vodafone handelt, sollte NAT/Masquerading auf der Fritz!Box ja nicht aktiv sein (Stichwort doppeltes NAT).

Wie erwähnt ist die WAN-IP der UDM Pro mit 78.xx.xxx.198 eingetragen. Das interne Netzwerk ist auf 192.168.55.0/24 konfiguriert. Dementsprechend haben neben den anderen Komponenten auch die beiden Telefone (bzw. die DECT-Station) ebenfalls IP-Adressen aus diesem Segment.

Als die USG Pro noch im Netz hing lief alles wie es sollte und wir konnten auch problemlos telefonieren.

Ich habe nun im Netz schon einige Stellen gefunden die sagen, dass die UDM Pro mit SIP nicht klarkommt bzw. die UDP-Ports irgendwie nicht verwalten kann. An anderen Stellen lese ich, dass es ohne irgendwelche Probleme bei Leuten sofort so lief, wie bei meiner Konstellation. Auch hier im Forum habe ich nicht wirklich eine Idee gefunden.

Was ich schon probiert habe, ist das Conntrack-Modul "SIP" und "H.323" zu deaktivieren bzw. aktivieren (und Kombinationen daraus). Leider ohne Erfolg.

Ich möchte eigentlich ungerne die Fritz!Box hinter die UDM Pro packen und auch mit den Leitungen der Telefonie-Geräte direkt an die UDM Pro zu gehen und ein VLAN dafür separat zu spannen wäre unschön, da die Geräte über POE mit Strom versorgt werden und die UDM Pro ja kein POE auf ihren Ports bietet.

Kann mir da vielleicht jemand helfen und ein paar Schubser in die richtige Richtung geben?

Viele Grüße

Levy

Dazu musst Du erst im Controller die "Settings" -> "System" -> "Device Auto Updates" auf "Off" setzen. Erst dann sind in den Device-Einstellung das Feld "Location URL" und der Butten "Update" aktiviert.

Viele Grüße

Levy

Arrgghhh... ich hatte da schon gesucht, aber diesen Thread leider nicht gefunden. Vielen Dank, defcon! Nun leuchtet alles wieder, wie es sollte...

Viele Grüße

Levy

Hallo zusammen,

seit einigen Tagen habe ich das Problem, dass mein USW-24-G2 auf dem Display nur zwei Zahnräder und darüber den Text "Updating USW ..." anzeigt. Bedienbar ist das Display nicht mehr und weder ein Reset, noch 5 Minuten stromlos setzen hat etwas gebracht. Momentan ist die FW 6.3.11 darauf installiert. Verwaltet wird das Ganze über die UniFi Network Application 7.2.92 auf Debian.

Hat hier evtl. jemand das gleiche Problem und konnte dies lösen?

Viele Grüße

Levy

Würde ich evtl. schon, wenn ich Zugriff hätte. Momentan wird mir in den Releases, wenn ich EA auswähle, die folgende Meldung angezeigt: "You currently don’t have access to any of Beta forums. To apply for beta program please visit your Account page." In meinem Account heißt es seit Ewigkeiten jedoch "Early Access participation is enabled"...

Hallo zusammen,

jetzt habe auch ich es verstanden: Das Problem ist bei UniFi bereits bekannt und liegt an abgelaufenen Root-Certs, wodurch die IPS-Signaturen nicht aktualisiert werden können. Ich ging davon aus, dass es mit der Version 6.4.54 bereits behoben sei. Dem ist aber nicht so. Erst in Version 6.4.56 wird dieses Problem gefixt und zum jetzigen Zeitpunkt ist diese Version nur über den EA Zugriff verfügbar.

Unter Ubiquiti UniFi - Fix for the Let's Encrypt DST Root CA X3 Expiration ist aber beschrieben, wie man das Problem bis zum offiziellen Release der 6.4.56 beheben kann. Nur zur Info, falls doch noch jemand da draussen so unterwegs ist wie ich und nichts dazu findet. Ich hoffe, der Link ist erlaubt, sonst bitte löschen.

LG

Levy

Hallo zusammen,

momentan nutze ich den UniFi Controller 6.4.54 auf Debian Buster. Der externe Datenverkehr läuft über eine USG Pro 4 hinter einer Fritz!-Box 6591 Cable (Exposed Host; Feste Public IP). Seit einiger Zeit wird mir im Controller unter Threat Management absolut nichts mehr angezeigt. Ich habe sowohl DPI, als auch IPS (somit auch IDS) aktiviert und habe sogar schon Stufe 5 (alles an) eingestellt. Es sind keine Logeinträge vorhanden.

Es würde mich wundern, wenn plötzlich keiner mehr unser System hier angreift bzw. niemand mehr einen Port-Scan ausführt. Ich bin mir nicht mehr ganz sicher, aber ich meine, dass dieses Phänomen seit dem letzten Update auftauchte. Davor waren täglich an die 50 Einträge vorhanden. An den Rules wurde nichts verändert.

Sind da irgendwelche Probleme bekannt?

LG

Levy

Ah, Perfekt! Vielen Dank für die Info. Ja, es ist eine "Leihgabe" von Vodafone. Eine 6591 mit dem "Vodafone Business Cable Max 1000"-Tarif. Vodafone schaltet die Boxen einfach auf Zuruf in den Bridge-Modus frei? Ich wollte schon den Wiki-Eintrag hier ausprobieren und so wäre es natürlich einfacher.

LG

Levy

Hallo zusammen,

momentan nutzen wir hier im Netz ein USG 4 Pro mit einem UniFi Controller auf einem Synology-NAS (in einer VM). Vor dem USG sitzt eine Fritte 6591 als Internet-Router mit fester IP (Business Cable Max 1000) und Exposed Host zur USG.

Da der Datendurchsatz bei aktivierter DPI und IDS/IPS "nur" 400 MBit/s beträgt, würde ich gerne auf die UDM Pro umsteigen.

Frage: Benötige ich dann noch den UniFi Controller auf dem NAS oder läuft dieser dann (oder etwas vergleichbares) auf der UDM Pro? Bisher habe ich es so verstanden, dass die Verwaltung dann über die UI Cloud erfolgt. Was ist aber, wenn der Internetzugang mal komplett weg bricht? Ist eine Verwaltung lokal dann noch möglich? Quasi wie aktuell bei dem lokal installierten UniFi Controller?

Vielen Dank und beste Grüße

Levy