Beiträge von Ronniequiti

  • Streaming über VPN (Firewall/Routing Problem)

    Danke für deine Antwort. Ich hatte das schon mal alles gemacht, auch jetzt nochmal. Habe in den Profilen erstmal alles gelöscht wo das Netz vorhanden sein könnte. Einmal in der RFC-group und dann einmal in der Auflistung der Ultranetzwerke. Habe alle Statischen- sowie Policy-based Routen entfernt. Auch wenn ich bisher keine verwendete Netze eintrage bspw. 10.100.100.0/24, erscheint die Meldung. Und dieses Netz war bisher auf keine der beiden Seite angelegt worden.

    Ich glaube da muss ich echt warten, bis Unifi da mal eine Korrektur einspielt oder die Option unter StS zur Verfügung stellt. Oder halt solange den Umweg über Remote oder Portforwarding gehen.


    Bei dir kommt keine Fehlermeldung, wenn du die gegenüberliegenden Netze anlegst?


    Danke nochmals für deinen Support!


    Viele Grüße

  • Streaming über VPN (Firewall/Routing Problem)

    Hallo,


    besten Dank für deine ausführliche Antwort. Ich gehe am besten direkt auf deine Aussagen ein:


    Zitat

    Auf der UDM musst Du bei der Konfiguration des Wireguard Clients in der Wireguard Serverkonfiguration "Remote Client Networks" anhaken und dort das IP Netz hinter dem UCG eintragen, indem das Kathreinteil ist, das also 10.20.0.20 enthält. Kann man aus deinem Bild nicht ableiten was da für eine Subnetmaske verwendet ist. Gleich mal die Interface-IP des Clients für die statische Route im nächsten Schritt merken!

    Sollte er Dir hier in der GUI anzeigen, dass das Netzwerk schon existiert, wird es spannend. Da gibts bei der Prüfung wohl Problemchen und es werden teilweise Dinge berücksichtigt, die eigentlich nicht relevant sind. (den Schritt dann erstmal auslassen und weitermachen und hier melden.

    Ich habe dieses Problem mit den existierenden Subnetzen. Dieses war der Anlass für die VPN-Krücke, wie im ersten Post beschrieben. Ich hatte auch alle Statischen Routen und Policy-Based Routen gelöscht, neugestartet, einen neuen Server angelegt. Es kommt immer der Hinweis "This subnet already exists".

    Das Netz vom Sat-IP-Server ist 10.20.0.0/24. Die Ultra ist aber sauber mit der UDM verbunden.


    Zitat

    Policy Based Routes einstellen. Würde erstmal "Specific Traffic" mit Destination IP machen. Als Quelle das LAN mit dem Kathrein, Bei Ziel IP Adress Bereich und dort erstmal das komplette Netz hinter der UDM eintragen mit Start und End IP, Interface unten dann den Namen der VPN Client Schnittstelle auswählen.

    Habe das komplette TVHeadend Netzwerk in der Ultra freigegeben.

    Source: 10.20.0.0/24

    Destination: 172.30.0.0/24

    Interface: VPN-Tunnel zur UDM


    Nach diesen Maßnahmen kann ich aus dem 10.20.0.0/24 das Netzwerk 172.30.0.0/24 anpingen. Sprich, der Tvheadennd Server ist pingbar aus dem Ultra Netzwerk.


    Zitat

    weiter gehts mit NAT unter Routing - NAT. Protocol auf All, Interface die VPN Verbindung auswählen. Destination anhaken (IPv4 Adress / Subnet) und dort das IP Netz hinter der UDM eintragen ( wo die 172.30.0.10 enthalten ist). Unten Manual auswählen und Exclude anhaken und fertig.

    Hier habe ich folgendes Verhalten, nachdem ich die Regel angelegt habe:

    Regel ist aus/deaktiviert/gelöscht: es findet ein ping zwischen 10.20.0.0/24 und dem Tvheadend statt -> alles super.

    Regel ist an: keine Verbindung möglich. Ping kommt nicht durch, bzw. startet erst gar nicht.


    Zitat

    jetzt noch die Firewall

    - am besten ein Profil anlegen welches das Netz hinter der UDM enthält und das Tunnelnetzwerk.

    - In der Firewall bei INTERNET_IN eine neue Regel erstellen. Protokoll All, Source als Address Group das eben angelegte Profil auswählen, Destination auf Any/Any lassen. Unten Manual auswählen und New, Established und Related anhaken und fertig. Die Regel sollte bei INTERNET_IN ganz oben stehen in der Liste.

    Diese hatte ich bereits angelegt, daher konnte auch der Ping oben durchgehen. einzig das ich nicht Manual ausgewählt habe, sondern auf auto-einstellung belassen habe. Diese befinden sich im Internet_IN und Internet_LOCAL an vorderster Stelle. Ich habe hierzu groups angelegt.


    Soweit haut das einseitig bestens hin. Aber ich habe nach wie vor keinen Zugang von der UDM -> Ultra + Netze.


    Kennst du einen Weg, diese Fehler/Bug/Errormeldung zu umgehen?


    Besten Dank nochmals für deinen Support.


    Einen angenehmen Abend allen.


    Viele Grüße

  • Streaming über VPN (Firewall/Routing Problem)

    Hallo zusammen,


    vielen Dank für eure Rückmeldung. Ich gebe euch natürlich erstmal recht. Zwei VPN Verbindungen auf diese Art und Weise macht wenig Sinn. Aber ich kenne derzeit keine funktionierende Methode eine StS über Wireguard aufzubauen, ohne Remotezugang (UDM, UDR für Site-Magic) oder Portforwarding (FritzBox) zu aktivieren (Ultra, OpenVPN). Der Zugriff soll halt von beiden Seiten ermöglicht werden (über Wireguard). Daher diese Krücke mit zwei VPN. Und damit unterschiedliche Netze. Ich würde mich natürlich über eine besser geeignete Umsetzungen freuen, weswegen ich ja hier Hilfe suche :). Da ich ja weiß, dass es irgendwie Käse ist.


    Ich müsste doch bei UDM-Ultra auch zwei Verbindungen herleiten? Zumindestens bekomme ich nur von einer Seite einen Durchgang (Bsp: UDM als Server, Ultra als Client, dann nur Zugang Ultra zu UDM. Aber keine Verbindung UDM zu Ultra). Oder habe ich hier etwas überlesen bzw. Einstellungen übersehen?


    Ja, mit Site Magic und OpenVPN funktioniert es tadellos. Für Site Magic wird OSPF verwendet, ja. Das konnte ich mit Hilfe von ssh sehen. Ds sollte also auch irgendwie damit funktionieren. Ich habe davon aber absolut gar keinen Plan.

    Bei OpenVPN funktioniert es aber auch tadellos.


    Also TVHeadend holt sich die Sat-Tuner von einer Kathrein exip418. Diese steht bei meinen Schwiegereltern, da diese eine Schüssel haben. Die Tuner werden per satip_xml eingebunden. Dann stehen diese zur Verfügung wie ein lokaler Tuner. Das funktioniert auch alles und werden angezeigt und Einstellungen sind möglich.. Nur wenn es dann darum geht, die Tuner anzusprechen, gibt es eine Errormeldung. Das heißt, das entscheidende Signal kommt irgendwie nicht durch. Die Kathrein sendet per UDP port 554. Das Signal kommt bei der jetzigen Konfiguration irgendwo aufm Weg zum Server nicht durch..


    Wir würdet ihr denn bei dem Vorhaben euer Netz aufbauen? UDM mit Ultra verbinden? Aber wie, das beide Richtungen funktionieren?


    Über jegliche Hilfestellung bzw. Denkanstöße wäre ich wirklich dankbar.


    Ich wünsche allen noch einen schönen Abend.


    Viele Grüße

  • Streaming über VPN (Firewall/Routing Problem)

    Hallo zusammen,


    schönen Guten Abend erstmal. Ich hoffe ich bin hier richtig. Ich stehe vor einem Problem was ich derzeit nicht lösen können. Um mein Anliegen besser verständlich zu machen, erstelle ich mal eine kurze Übersicht:

    Was will ich:
    Streaming über VPN. Auf meiner Seite steht ein TVHeadend Server. Bei meinen Schwiegereltern ein Sat-IP-Server (Kathrein). Ich möchte einen Tuner von Kathrein in Tvheadend einbinden und darüber TV gucken.


    Welche Komponenten sind hierbei im System:

    Auf meiner Seite: UDM-Pro, Tvheadend Server

    Gegenseite: Fritzbox (Hauptrouter), dahinter eine Unifi Ultra (Auch per VPN verbunden)


    Wie baue ich die Verbindung auf:

    UDM baut eine Verbindung zur Fritzbox (Server) per VPN auf. Statische Routen der Ultra Netzwerke sind auf der Fritzbox eingerichtet.

    Fritz!Box stellt eine Verbindung zur UDM (Server) per VPN her.

    Ultra stellt eine Verbindung zur UDM (Server) per VPN her.


    Welche weitern Einstellungen habe ich gemacht?

    In der Firewall habe ich jeweils die gegenüberliegenden Netze bei INTERNET_IN eingetragen, sowie die VPN IP des Tunnels 10.123.123.0/29.

    In der Policy-Based Routes die gewünschten Netze eingetragen und das dazugehörige VPN Gateway ausgewählt.


    Diverse Einstellungen mit statischen Routen, NAT-Einstellungen etc.

    Firewall habe ich hierfür erstmal komplett offen (also normale default Einstellungen)


    Was passiert?

    Der Zugriff auf die Netze und Geräte funktioniert tadellos. Dahingehend habe ich keine Probleme. Nur beim TVHeadend Server empfange ich kein Signal vom Sat->IP Server. Ich sehe das ein Zugriff irgendwie erfolgt, jedoch werden die Tuner nicht durchgereicht.


    Was habe ich bisher probiert und getestet?

    Probeweise Site-Magic aktiviert und damit eine Site-to-Site Verbindung erstellt. Netzwerke ausgewählt. Der TVHeadend Server erfasst die Tuner und startet das TV-Programm.

    Probeweise Site-to-Site mit Openvpn (UDMP-Ultra) aktiviert. Der TVHeadend Server erfasst die Tuner und startet das TV-Programm.


    Problem:

    Über diese Brücken von VPN Verbindungen scheint etwas nicht durchgereicht zu werden. Ich habe aber keinen Plan wo ich ansetzen soll/kann.



    Hat jemand ein paar Hilfestellungen für mich, um das Problem zu lösen?


    Da ein Bild mehr als tausend Worte sagt, habe ich mal meine Struktur als Anlage beigefügt. Evtl. hilft dies beim besseren Verstehen.


    In diesem Sinne wünsche ich noch einen schönen Abend.


    Viele Grüße und Dank im Voraus!


  • UDM SE, RADIUS Server mit 802.1X Port Based Authentifikation einrichten

    Sind LAN-Geräte. Unter Radius habe ich ABCD Mac-Form (Groß, ohne Doppelzeichen) angegeben. Unter Portprofile ein Neues erstellt und 802.1x aktiviert. Mal Native das Default-Lan mit Tags, mal ohne, mal ohne alles. In den globalen Switch Einstellungen ebenfalls aktiviert, mit Fallback. Geräte und UDR zeitgleich neugestartet. Alles landet immer immer im Default-Lan


    Edit: Ich kann das Problem eingrenzen. Ich habe das Profil auf meinen Switch angewandt. Da funktioniert es wie es soll. VLAN wird zugewiesen. Ich habe das jetzt ebenfalls mal meiner UDMP probiert. geht auch nicht. ich habe jetzt den Verdacht, dass es nur bei den Switchen funktioniert. UDR, UDMP, UDMSE können in diesem Thread bisher nicht bestätigt werden, dass es funktioniert? Hat das jemand direkt, ohne Switch am Laufen?

  • UAP nanoHD mit 802.1x

    Hallo zusammen,


    ich habe mal eine Frage da ich irgendwie nicht weiterkomme. Ich versuche krampfhaft zwei nanoHD anzuschließen. Beide vorzugsweise mit 802.1x. Einen UAP bekomme ich hin. Bei dem anderen schlägt die Einbindung permanent fehl.


    Hintergrund: Ich würde gerne dynamische VLAN-IP-Adressen automatisch zuordnen lassen per WLAN. Ich weiss, dass es per Radius-Server funktioniert. Nur leider nicht mit Geräten, die nicht hinterlegt sind. Da entsteht dann immer ein Fehler und man kann sich nicht verbinden. Sofern ich den Radius-Server im WLAN deaktiviere und einen UAP auf einen 802.1x Port anschließe, werden die WLAN-Geräte auch in die entsprechenden VLANs sortiert. Und Geräte, die nicht erfasst worden sind, landen dann automatisch im Gästenetzwerk.


    Schließe ich nun einen zweiten nanoHD an (ebenfalls per 802.1x), wird dieser wie angegeben nicht eingebunden. Und zur vollständigen Verwirrung. Verbinde ich den zweiten nanoHD per Uplink, funktioniert alles wie es soll. ich würde aber gerne den zweiten mit Kabel laufen lassen (mit 802.1x) und nicht per Uplink verbinden.


    Das gleiche Problem besteht in abgewandelter Form auch bei 2 Switches (US 8, US 8 60W). ich kann immer nur einen per 802.1x verbinden. beim zweiten schlägt die Einbindung fehl.

    Die USW-Pro wird hierbei als ausgehender Switch benutzt.


    Kennt das jemand? Was mache ich falsch? bzw. geht das überhaupt :smiling_face:


    Besten Dank für die eine oder andere Hilfestellung :smiling_face:

  • DNS Traffic immer an AdGuard umleiten

    hi,


    doch das geht. ich habe das bei mir so gemacht wie du es vorhast. guck dir mal das Video an (ab Minute 12)!


    DNS Server


    Du erstellst in der Firewall eine Ip-Adresse (dein DNS-Server) und Port und erstellst dann drei Regeln. Damit kannst du auch verhindern, dass eine manuell eingegebene DNS Adresse auf einem iPhone deine Regeln umgehen. Es kann in deinem Netzwerk nur noch dann über deinen DNS Server gesurft werden. Oder hab ich dich falsch verstanden?


    Viele Grüße und Erfolg