Beiträge von mensa

Zitat von razor

DNS-o-Matic ist keine Lösung, aber ein Versand Deiner Daten unverschlüsselt? Möchtest Du das weiter ausführen?

Dann kannst Du das auch via dnsomatic machen lassen - sogar per TLS.

Eine andere Lösung habe ich nicht gefunden. Für mich wäre der Verzicht auf TLS kein besserer Workaround als das Update via dnsomatic durchzuführen.

JA, wie gesagt ist es mir in diesem Fall völlig egal, wenn die Daten unverschlüsselt übertragen werden. Dementsprechend unsicher ist auch das Passwort. Es ist wirklich EGAL!

Mich würde es einfach technisch interessieren, wie man es hinkriegt, dass die SSL Connection in diesem Fall auf dem USG funktioniert. Auf dem anderen USG mit anderem ISP tut es das ja auch problemlos mit Afraid.org.

Zitat von gierig

Nun deine Seite bekomme ich auf ohne ans MTU oder MSS drehen zu müsse.

und ja wenn dein Carrier scheint da noch ein paar Bytes irgendwo einzufügen die

dan Zuviel sind... das müsste der aber wissen und dokumentiert haben...

Zitat von razor

#MeToo:

Setup siehe Signatur

pppoe0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 100

Ja! Bei mir geht das auch ohne Probleme und ohne ändern der MSS! Aber eben nur an einem Standort!

An dem Standort (Wohnung) wo alles ohne Probleme funktioniert, komme ich auch auf die Website ohne Probleme und ohne am MSS zu drehen müssen.

Beim anderen Standort im Haus mit anderem Provider kommt man nicht auf die Website (ladet unendlich). Da funktioniert es erst, sobald MSS auf 1440 oder niedriger ist.

Und genau dort gibt es auch das Problem mit der SSL Verbindung zum Updaten bei Afraid.org. Das ganze ist sicher kein Bug von Afraid.org

Habe ich es jetzt verständlich erklärt??

Zitat von gierig

MTU set to 1492 for PPPOE Connections (1500 - 8 PPPOE Header).

TCP MSS is 40 bytes less for IP4 connection so typical 1452.

That should work in most cases. Just not if you use special Options in the IP Header

that increase it over the 20 bytes...

Hallo, bei mir laden bestimmte Websites erst ab MSS 1440 und niedriger. Z.B. http://www.glueckspenny.at

Was ist an dieser Seite so besonders?

Wie kann ich denn feststellen, ob ich spezielle Optionen im IP Header nutze?? Ich habe jedenfalls sonst nichts verstellt am USG. Oder meinst du, das müsste mein Provider wissen? Das ist ein kleiner, regionaler FTTH Provider in Österreich.

Zitat von razor

I think this are two independed issues:

1. no IP-update at afraid.org
2. change MTU / MSS to 1440

Nein, die Probleme hängen schon zusammen. Ich habe ein USG in meiner Wohnung und auch ein USG in einem Einfamilienhaus . Beide wählen sich per PPPoE ein.

Bis zum Wechsel von DSL auf FTTH im Einfamilienhaus hat das IP Update bei Afraid.org problemlos funktioniert und in meiner Wohnung funktioniert das Update ja auch weiterhin problemlos.

In der Wohnung musste ich den MSS Wert nicht anpassen, obwohl es auch PPPoE ist.

Im Haus läuft es einfach auf ein SSL connection timeout raus, da vermutlich das USG beim Updaten der IP den gesetzten MSS Wert nicht berücksichtigt.

Kann man dem USG nicht irgendwie beibrigen, den angepassten MSS/MTU Wert auch hier zu berücksichten?

Danke für den Tipp mit dnsomatic, aber das ist keine Lösung für mich.

Ein Workaround für mich wäre folgendes:

Da Afraid.org ja auch das Udaten der IP ohne HTTP/SSL anbietet, könnte man das ja auch mit dem Aufruf dieser URL machen:

http://[USERNAME]:[PASSWORD]@freedns.afraid.org/nic/update?hostname=[DOMAIN]&myip=[IP]

Aber wie bringt man dem USG einen Custom DDNS Update Aufruf bei?

Würde das über config.json funktionieren und wie müsste man das genau schreiben?

Ist jetzt nicht sonderlich sicher, aber wäre mir in dem Fall egal.

Hello,

I have exactly the same problem, like @tanGee described in that thread: https://community.ui.com/quest…5a-4d22-9c30-d38085c6d532

My USG3P connect by PPPoE and needs the MSS clamping value to be set to 1440. Otherwise some websites won't load.

I found out now, that my Dynamic DNS (Afraid) is also not updated and the problem is the same. It's hanging here:

admin@USG:~$ curl -v https://freedns.afraid.org/dynamic/update.phpxxx
* About to connect() to freedns.afraid.org port 443 (#0)
*   Trying 69.42.215.252...
* connected
* Connected to freedns.afraid.org (69.42.215.252) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSL connection timeout
* Closing connection #0
curl: (28) SSL connection timeout

It seems, that the MSS value is not used on that point. How may I get this to work? Will I have to put MTU or MSS value also into config.json ?

I already tried this, but then the USG failed to provision:

{
    "firewall": {
        "options": {
            "mss-clamp": {
                "interface-type": ["all"],
                "mss": "1440"
            }
        }
    },
    "interfaces": {
        "ethernet": {
            "eth0": {
                "mtu": "1480"
            }
        }
    }
}

Can you please help me, to get DDNS working?

Zitat von gierig

Kuckst du hier.... das sollte eigentlich für Fritz!Boxen und alle anderen gelten.

USG | DSL-Modem erreichen (USG-only)

ansonsten freut sich dein AVM auch über Routen damit er weis wie deine Netze hinter der usg zu erreichen sind....

Alles anzeigen

Danke, hätte das genau nach Anleitung gemacht (das 2. Codeschnippsel fürs USG3P verwendet), aber es funktioniert leider nicht.

EDIT: Es klappt jetzt einwandfrei, danke! Anscheinend hat das Provisionieren nicht geklappt, nach einem Reboot passt es aber

Vielen, vielen Dank!

Darf ich fragen, aus welchem Grund du dafür das kleinst mögliche Netz machst? (192.168.178.2/30)

Sicherheitsaspekte?

Zitat von bic

Wow, ist das mal wieder einfach Aber was ist denn mit dem Wlan der Fritte, das läuft doch weiter (bzw. kann ma es weiter laufen lassen), damit kommt man doch auf die Kiste drauf, oder etwa nicht?

Ja über WLAN ginge es, aber das will ich echt nicht nur aus dem Grund weiterlaufen lassen (Störquelle, Stromverbrauch, Sicherheit, etc.). Außerdem wäre es auch extrem umständlich, wenn man sich da jedes mal extra mit einem andere WLAN verbinden muss. Da muss eine saubere Lösung her, damit das ohne Probleme aus dem LAN erreichbar ist

Hallo,

ich habe auf meiner Fritzbox 7583 PPPoE Passthrough aktiviert, damit mein USG3P die PPPoE Einwahl machen kann und das funktioniert auch perfekt.

Ab und zu möcht ich aber trotzdem mal was im Web Interface der Fritzbox unter 192.168.178.1 nachsehen. Diese Seite erreiche ich aber leider mit meinen Clients nicht. Was genau muss ich denn einstellen, damit diese IP auch aus meinem LAN erreichbar wird?

Technisch muss das sehr wohl möglich sein, denn wenn ich einen alten Asus Router mit Default Settings dranhänge und diesen auch die PPPoE Einwahl machen lasse, dann komme ich mit den Clients ohne Probleme auf 192.168.178.1.

Wie krieg ich das auf dem USG auch hin?

Hallo, bei mir hat das perfekt an 2 verschiedenen Standorten auf 2 unterschiedlichen UniFi USG3P funktioniert.

An einem Standort hab ich jetzt DSL G.fast mit 500/100 bekommen und muss als "Modem" leider eine Fritzbox 7583 verwenden. Ich habe auf der Fritzbox PPPoE Passthrough aktiviert und das USG kann die PPPoE Einwahl erfolgreich machen. Leider funktioniert aber das Aufwecken von extern nicht mehr.

Hat jemand eine Idee warum?

Ein Portforward oder Firewall Setting auf der Fritze kann ja eigentlich nicht notwendig sein, da per PPPoE Passthrough ja alles 1:1 an das USG durchgeschleift wird. Zumindest funktionieren sämtliche anderen Port Forwards, welche nur auf dem USG eingerichtet sind auch ohne weiteres zutun.

Wäre für ein paar Tipps sehr dankbar!

Server antwortet nicht auf ping.

Dein Befehl funktioniert leider nicht auf dem USG:

Auch bin ich nicht über PPPoE eingewählt, sondern befindet sich vor meinem USG ein 5G Router im Bridge Mode, der die WAN IP per DHCP vergibt.

Hallo,

ich habe diese Anleitung gefunden um unter Windows den korrekten MTU Wert zu ermitteln:

Ping Test to determine Optimal MTU Size on Router

At NETGEAR we turn ideas into innovative networking products that connect people, power businesses & advance the way we live. Easy to use. Powerful. Smart.

kb.netgear.com

Da mein USG jedoch die Internetverbindugn aufbaut, muss ich vermutlich dort den korrekten MTU Wert ermitteln und dann noch 40 abziehen um den Wert für MSS Clamping zu erhalten, korrekt?

Könnte mir bitte jemand sagen, mit welchem Befehl ich das direkt am USG per SSH rausfinden kann was max. möglich ist?

Der Hintergedanke ist, dass ich zu manchen Servern nur einen Upload von 0,5 Mbit/s erreiche, obwohl ich überall anders hin 50 Mbit/s Upload konstant habe und diese Server auch deutlich größer angebunden wären. Oder hilft MTU nur für den Download?

Zitat von amaskus

Hast du mal versucht die Mail über die neue GUI einzurichten ?

Kann bei Unifi schon mal sein, dass es unterschiedlich funktioniert

Das war ein guter Tipp, hat aber leider auch nichts geholfen.

Zitat von darkman242

Ja, ist jetzt eine UDM-Pro-SE, hatte aber vorher eine USG mit Controller in einer Debian-VM. Habe das Backup von dort übernommen, lief alles ohne jegliche Änderung.

Hat sich evtl. mit dem Abdrehen von 1.0 und 1.1 bei web.de überschnitten.

Zitat von darkman242

Ich habe bei mir web.de eingerichtet und das funktioniert mit nachfolgenden Einstellungen.

Das ist vermutlich auf einer UDM Pro und kein selbst installierter Controller, oder?

Da dürfte TLS 1.2 unterstützt werden, da web.de auch kein 1.0 mehr akzeptiert.

Zitat von jkasten

Grade mal gecheckt, hast recht wird noch akzeptiert. Allerdings von GMX auch..

Nein, es wird von GMX eben nicht mehr akzeptiert: https://hilfe.gmx.net/pop-imap/imap/imap-serverdaten.html

Bitte hör auf, einfach irgendwelche Unwahrheiten hier zu verbreiten. Das ist nun die zweite mal in dem Thread und das hilft sicher keinem!

Zitat von jkasten

Wo hast du denn gefunden das Unifi nur TLS 1.0 unterstützt?

In ein paar Beiträgen im offiziellen UniFi Forum. Sind zwar schon 2 bis 4 Jahre alt, aber eine Lösung konnte man im Verlauf nirgends finden. Deshalb wäre ich so neugierig, wie du feststellen kannst, dass bei dir TLS 1.2 verwendet wird.

Zitat von jkasten

Kann man Problemlos testen und All-Inkl unterstützt schon seit Jahren nur noch TLS 1.2

Es geht nicht darum ob 1.2 von All Inkl unterstützt wird oder nicht, sondern ob 1.0 noch akzeptiert wird! Denn das wird mit ziemlicher Sicherheit der Fall sein und deshalb funktioniert es bei dir im Controller. Zum Einsatz kommt dann aber eben 1.0 und nicht 1.2! Verstehst du?

Anbieter die nur mehr ab 1.2 erlauben sind zB Office 365 und GMX.

Zitat von jkasten

Nein, schon seit 20 Jahren nicht mehr. Nutze All-Inkl und Gmail. Die auch beide TLS 1.2 mindestens verlangen und es geht. Wo hast du denn gefunden das Unifi nur TLS 1.0 unterstützt?

Gmail läuften jedenfalls mit TLS 1.0: https://support.google.com/a/answer/9795993?hl=de

All-Inkl kenn ich nicht, aber unterstützen vermutlich auch noch TLS 1.0: https://www.techgrube.de/news-…wordpress-hosting-im-test

Wie merkst du denn, dass bei dir TLS 1.2 verwendet wird??

Angeben der Absender Adresse hat leider auch nichts geändert. Verwendest du auch GMX?

Zitat von bic

Versuchs doch mal unverschlüsselt und mit den Ports 25 oder 465.

Hab's mit 25, 465 und 587 jeweils mit und ohne TLS probiert, leider klappt nichts.

Grund dürfte sein, dass der Controller nur das unsichere TLS 1.0 beherrscht und GMX aber mindestens TLS 1.2 verlangt

Hallo,

ich habe den UniFi Controller (eigentlich UniFi Network Application 7.1.65.0) unter Debian laufen und soweit keine Probleme.

Jetzt wollt ich den GMX Mailserver für Benachrichtigungen konfigurieren, das klappt aber leider einfach nicht. Obwohl ich aus etlichen anderen Scripts und Benachrichtigungs-Tools mit den exakt gleichen Daten laufend problemlos Mails verschicken kann.

Hier die Einstellungen und der Fehler:

Hallo,

dank PortForwarding kann ich ja auf meine Geräte von extern mit xxx.dyndns.com:9999 zugreifen.

Ich hab mal gehört, dass es eine Einstellung gibt, dass man das gewünschte Geräte auch aus dem LAN mit der DynDNS Adresse erreichen kann. Dazu muss der Router aber NAT Loopback oder Traversal können. Weiß leider nicht genau wie das heißt.

Wisst ihr, was ich meine und kann man das am USG 3P aktivieren? Wenn ja, wo genau stellt man das ein?

Zitat von usr-adm

Radius wird für Dein VPN doch gar nicht benötigt?! Einfach deaktivieren.

Wie kommst du überhaupt da drauf??

Zitat von razor

Ich habe kurz meine Freundin nach unifi usg radius secret suchen lassen und schon war die Antwort gefunden:

Das hab ich auch gefunden, ich versteh es aber leider trotzdem nicht. Wo oder in welchem Fall müsste ich denn dann ebenfalls dieses Secret 123 eintragen? Was wäre da ein Beispiel mit meinem VPN?

Zitat von usr-adm

Radius wird für Dein VPN doch gar nicht benötigt?! Einfach deaktivieren.

Doch, wird benötigt, sonst kann man beim Erstellen des VPN Netzes nicht Radius default auswählen. Da kommt dann genau die Meldung, dass er aktiviert werden muss.