Beiträge von flo222

Also bei mir ist im USG 3P DPI dauerhaft aktiv, und die Auslastung des USG liegt eigentlich nahezu immer bei 0-1%, das dürfte gar nichts ausmachen. Was definitiv an der Auslastung zerrt, ist IDS/IPS und aktiviertes IPv6 (zumindest bei der Telekom). Die Smart Queues hab ich selbst noch nicht aktiviert, da diese nicht mit DPI kombinierbar sind. Aber diese sollen wohl auch ziemlich limitieren. Grundsätzlich kann man das USG 3P aber sehr gut an einem 250er Anschluss betreiben und diesen voll nutzen. Einbrüche oder hohe Latenzen habe ich hier gar nicht zu verzeichnen.

Sollte aber ein Nachfolger des 3P kommen, dann würde ich da wohl zuschlagen, bei einer UDM Pro hingegen aktuell nicht. Wenn man in den Foren so mitliest, dann gibt es nach wie vor Einschränkungen in der Controller-Software (bzw. ist ja nicht die „richtige“ Controller-Software). Außerdem würde ich von all den verbauten Geräten in der All-in-one UDM nur das Modem brauchen, den Rest würde ich nutzlos erwerben. Nen Cloud Key hab ich, nen Switch hab ich auch, wofür also für etwas zahlen was ich nicht mal nutzen würde.

Meine Hoffnung ist, dass es für das kleine USG einen Nachfolger geben wird. Man liest in diversen Foren immer wieder Mutmaßungen darüber, aber UniFi kommuniziert sowas ja im Regelfall erst wenn es soweit ist. In Deiner Situation würde ich erst mal schauen, ob Du das USG stabil bekommst, eigentlich sollte das genug Reserven bieten. Wenn ein Wechsel ansteht würde ich eher zum 4P greifen, da im Falle eines neuen USG dann über das nachgedacht werden kann. Aber ist wie gesagt meine persönliche Meinung, da ich mehr von Einzelgeräten als All-in-one-Geräten halte.

Laut deren Seite stellen Sie Dir einen Glasfaserwandler (vermutlich das ONT) bereit. Das verbindest Du dann direkt mit Deinem USG.

https://www.northern-access.de…-glasfaser-hausanschluss/

Ich hab bei mir FTTH der Telekom am Laufen, und diese stellt Dir ein ONT, das ist quasi das Glasfasermodem. Dieses hat einen LAN-Ausgang, und davon gehst Du in den WAN-Eingang des USG. Das Draytek Vigor wird bei nem Glasfaser-Setup gar nicht benötigt. Was für ein Anbieter ist bei Dir denn an Bord?

Hast Du den Controller noch von damals installiert, oder jetzt erst wieder neu installiert? Wenn letzteres dann wirst Du auf jeden Fall resetten müssen, da der AP fix mit dem (damaligen) Controller verbunden ist. Hier ist der Reset erklärt: https://dl.ubnt.com/qsg/UAP-AC-PRO/UAP-AC-PRO_DE.html

Zitat von Darki

Es werden im Dasboard nur die WLAN Geräte angezeigt aber keine via LAN verbundene und die jeweiligen Unifi

Mit Mouse-over erhältst Du detailliertere Informationen, sowohl zu WLAN- als auch zu LAN-Geräten.

Du kannst die FritzBox ja nicht in den reinen Modembetrieb bringen, das ist meines Wissens maximal bei den Kabelmodellen möglich, alle (V)DSL-Varianten lassen dies schon seit geraumer Zeit nicht mehr zu. Du kannst in der FritzBox das USG auf Exposed Host stellen, und dann den Rest (DHCP) über das USG laufen lassen. Ist aber aus meiner Sicht nicht die komfortabelste Variante, und zieht doppeltes NAT nach sich. Hier würde es sich anbieten, auf ein reines Modem vor dem USG zu setzen. Da Du leider nichts über deine Anschlussart geschrieben hast, ist es schwer was genaues zu empfehlen. Im (V)DSL Bereich wäre hier beispielsweise ein Vigor-Modem so etwas das gut mit dem USG zusammenspielt. Die FritzBox kannst Du dann im reinen DECT-Betrieb laufen lassen, und als Basis für die Telefone bereitstellen. Schau mal auf YouTube nach iDomix, der hat einige Videos genau zu diesem Setup.

Den Controller selbst kannst Du auf Deinem Macbook laufen lassen, diesen brauchst Du ja nur, wenn Du was ändern willst. Lediglich bei so Sachen wie DPI, Captive Portal für Gäste, etc. muss er dauerhaft in Betrieb sein. Dann empfiehlt es sich, den Controller auf ein 24/7-Gerät zu bringen. Das KANN der Cloud Key von UniFi sein, kann aber auch ein NAS oder ein Pi sein. Der CK ist halt out of the Box schon dafür eingerichtet und deswegen sehr komfortabel direkt verwendbar. Aber beachte, dass Du den momentan aktiven Controller dann auf das neue Gerät umziehen musst, damit Dein AP auf dem neuen Controller erkannt wird. Einfach nur auf einem zweiten Gerät installieren ist da nicht, dann kennt er den AP nicht, da dieser momentan fest mit dem Controller auf dem Macbook verknüpft ist. Ist aber auch kein Hexenwerk, hab ich auch schon gemacht, auch da findest Du bei iDomix ein Tutorial.

Zitat von amaskus

Moin Flo,

ich bin bei meinem Vorhaben auf die UDM Pro gekommen, da der Durchsatz des USG mit IDS/IPS doch sehr gering ist wenn ne 1Gbit Leitung vorhanden ist.

Wenn das Thema IDS/IPS bei Dir Prio hat, dann bist Du mit der UDM Pro sicherlich besser bedient, das ist definitiv nicht die Stärke des USG. Da bricht Dir dieses auf 85 MBit ein, d.h von deinem Gigabit bleibt kaum was übrig. Da ich bei mir aber aktuell „nur“ 250 MBit anliegen habe, und ich IDS/IPS derzeit nicht nutze, bin ich mit meinem USG bestens bedient, und mache mir erst Gedanken über den Austausch, wenn es für das USG einen Nachfolger gibt.

Ich habe ein ähnliches Setup wie Du es Dir vorstellst beim mir seit Ende 2018 am Laufen, damals sind wir in unseren Neubau eingezogen. Allerdings habe ich nen Glasfaseranschluss, weshalb ich mir über ein Modem keine Gedanken machen musste. Bei nem VDSL-Anschluss bist Du vor dem USG oder der UDM auf ein Modem angewiesen. Hier würde ich tendenziell auf ein Vigor zurückgreifen. Nachteil der FritzBox ist, dass Du diese nicht in einen reinen Modembetrieb bringen kannst. Ein Vigor hingegen schon, dann kannst Du Dein USG oder Deine UDM per PPPoE über das Vigor Modem laufen lassen.

Bei dem von Dir geplanten Setup würde ich definitiv auf ein USG/UDM setzen, ebenso wie auf UniFi-Switches. Erleichtert die Arbeit beim Anlegen und Administrieren von VLANs deutlich. Ich hab aktuell bei mir vier VLANs (Management, IoT, Gäste, Minecraft des Juniors) am Laufen, und wenn man sich mal eingearbeitet hat, dann läuft es wirklich rund. Gleiches mit VPN & Co. Man muss sich bei UniFi zwar mit beschäftigen, aber es bietet schon auch maßig an Möglichkeiten, habe es bisher nicht bereut. Und das WLAN im Haus ist seitdem super stabil, kein Gejammer von der Family mehr, alle sind zufrieden.

Zu Deinen Eingangsanforderungen:

• Ausleuchtung des Hauses --> denke da werden zwei APs reichen —> sollte im Normalfall reichen, vor allem wenn die APs zentral an der Decke platziert sind. Bei uns sind je ein AP im EG und OG zentral in der Mitte des Hauses, und damit decken wir das Haus und das ganze Grundstück ab. Sobald man auf der Treppe ist, roamt es wunderbar zum nächsten AP.
• VLAN, damit ich die IoT Geräte (Alexa, Shelly, iobroker, Wandtablet) separieren kann von meinen anderen Geräten (TV, Laptop, PC, Tablet, Handy, Synology Nas) und dem Gast-Wlan —> funktioniert, allerdings sind (zumindest beim USG) die VLANs erst einmal durchläßig, d.h. zur Isolation müssen die Firewall-Regeln angepasst werden. Allerdings muss man bei vielen IoT-Geräten auch schauen, inwieweit diese isoliert werden können, da sonst viele komfortable Funktionen unter Umständen nicht mehr in der gewohnten Form zur Verfügung stehen.
• VPN, damit ich auch von außerhalb auf den iobroker und die Nas zugreifen kann (hoffe ich kann auf zwei verschiedene VLANs zugreifen über einen VPN) —> funktioniert mit dem USG hervorragend, allerdings würde ich dann auch auf ein entsprechendes vorgeschaltetes Modem achten, damit Du hier nicht noch mehr Einrichtungsaufwand mit den beteiligten Komponenten hast.

Ob USG oder UDM oder UDM Pro: ich persönlich bin mit dem USG noch an keine Grenzen gestoßen. Mich stört an UDM/UDM Pro etwas, dass es eigentlich wieder All-in-One-Geräte sind. Genau das hat mich damals zu UniFi gebracht, da ich hier für jeden Anwendungsfall das passende spezialisierte Gerät gefunden habe. Wenn mal eines kaputt geht, oder ausgetauscht werden soll, dann kann das restliche Setup trotzdem unverändert weiterlaufen. Bei so ner UDM Pro kann man halt mal nicht einfach den Cloud Key austauschen. Aber ist wie gesagt auch Geschmacksache, ich persönlich bevorzuge den Weg mit den Einzelgeräten.

Folgende Fragen solltest Du Dir noch stellen:

• Wie bezieht ihr zukünftig TV? Ist ggf. MagentaTV der Telekom ein Thema?
• Wie ist das Festnetz bei euch geplant? Hier kann ggf. eine IP-basierte DECT Basis wie die Gigaset GO-Box eine Alternative sein, die man an jedem beliebigen LAN-Anschluss platzieren kann.

Mit dem Update der iOS-App bekomme ich das Dashboard aus meinem Webcontroller nun gar nicht mehr zu Gesicht. Übersehe ich was oder ist das ersatzlos verschwunden, und nur noch die (rudimentäre) Standardseite verfügbar?

Waipu.tv ist kein Broadcast nach IPMGv3 Standard. Nach diesem Format sendet meines Wissens nach nur MagentaTV der Telekom wenn es über die eigenen Media Receiver läuft (nicht über die App). Dann müssen die Switche IPMGv3 Snooping unterstützen. Alles was so über das Thema IPTV über das Internet läuft sollte problemlos funktionieren.

Ich hab noch hin und her gespielt, und mittlerweile läuft es. Alle Geräte die per SSH auf den Pi zugreifen dürfen (2x PC, 1x iPad) sind mit festen IPs ausgestattet und in einer Gruppe in den Firewall-Regeln gebündelt. Diese kommen nun auf den Pi, und erhalten auch Antwort. Der Pi kann aber nur antworten, nicht von sich aus mit den PCs kommunizieren. Pings vom Pi zum PC landen im Timeout. Also genauso wie gewünscht.

Zitat von Tuxtom007

Auch ein Problem mit Apple-Geräte waren VoIP-Verbindungen per WLan zur Telefonanlage im selben Netz, immer wieder Abbrüche, Störugen im Gespräch. Problem konnte nur durch Austausch der iPhones zu Samsung Geräte beseitigt werden.

[...]

Preis-/Leistungsmässig ist Unifi da schon top, wer besseres haben will muss auch bei den Kosten deutlich drauf legen. Bei meinem jetzigen AG haben wir alles über WLan, da hängt dann auch alle 10m ein AP an der Decke, wir nutzen Cisco, aber das ist eine ganz andere (Preis-)Liga.

Wir haben Zuhause eigentlich nur Apple Geräte. Mit den Geräten der Kinder und meinen Arbeitsgeräten haben wir hier Zuhaue fünf iPads und sechs iPhones am Laufen, und ab und an noch Gast-Geräte. Und keines macht Probleme, alle roamen perfekt vom EG zum OG und zurück, und such munter zwischen. 2,4 und 5 GHz hin und her, mit der (eingestellten) Präferenz für das 5 GHz Netz.

Preis-Leistung ist definitiv top bei UniFi. Cisco hat bestimmt, seine Berechtigung im professionellen Umfeld, haben wir in der Firma auch. Aber für den ambitionierten Consumer gibt es aus meiner Sicht derzeit nichts besseres (und bezahlbares) als UniFi. Und für mich ist es nach wie vor auch ein Hobby, das Netzwerk immer wieder weiter anzupassen und zu optimieren, macht einfach nur Spaß. Finde es nach wie vor lustig, wenn Kollegen und Freunde Häuser bauen, aber dann den Anschluss für eine FritzBox einplanen. Und drei Woche später dann überall Repeater aufstellen. Ich gelte bei denen zwar aus deren Sicht mittlerweile als Netzwerker (was ich wahrlich nicht bin, da fehlt mir viele zu viel Wissen), aber scheinbar glaubt man in Deutschland immer noch, dass eine FritzBox irgendwo im Haus alles richtet. Dabei ist mit ein bißchen Einarbeitung was vernünftiges wirklich bezahlbar zu bekommen.

Bei welchem Provider bist Du? Bei der Telekom? Hast Du IPv6 aktiviert? Das hat mein USG damals immer bei um die 50% Auslastung gehalten, egal ob irgendwas gemacht wurde oder nicht. Ansonsten würde ich mir überlegen, beim USG-3P noch IPS zu aktivieren, das reglementiert Dich auf 85 MBit. DPI ist unkritisch, hab ich bei mir immer aktiviert, und mein USG ist trotzdem im Normalfall bei 0% Auslastung.

Hallo meddie,

ich selbst hab die Voucher nicht aktiv geschaltet, sondern nur das Captive Portal hinter einem Passwort für die SSID. Aber hast Du in den Netzwerkeinstellungen das Fast Roaming aktiviert?

Grüße

Flo

Hast du das Gäste-WLAN bei deiner normalen SSID aktiviert? Normalerweise ist das dafür gedacht, ein eigenes Gäste-WLAN aufzuspannen. Das würde ich mal andenken, dann hat sich das andere Thema von alleine erledigt.

Also mittlerweile lassen sich die Daten ja auf Endgeräte-Ebene grafisch im Controller auswerten. Hier mal als Beispiel die letzten 24 Stunden meiner FireTV Box und meiner Switch:

D.h. wenn Du hier die Logs nach dem Traffic auswertest dann sollte das eigentlich klappen. Würde halt mal austesten, wie die Muster in Standby und im Betrieb ausschauen, und auf dieser Basis die Grenzwerte setzen. Die Switch war beispielsweise gar nicht im Betrieb, das war reiner Standby. Aber da wirst Du wahrscheinlich feinjustieren müssen bis es passt. Updates im Hintergrund können Dir natürlich das Ergebnis verfälschen.

Also normalerweise sind die VLANs ja durchlässig, zumindest im USG. Haben die das in der UDM anders gelöst? Im USG muss man die VLANs erst einmal isolieren, sonst kommunizieren sie munter miteinander, mit Ausnahme des Gäste-Netzes, das ist von Haus aus isoliert.

https://help.ui.com/hc/en-us/a…Disable-InterVLAN-Routing

Hallo zusammen,

mein Junior wollte unbedingt seinen eigenen Minecraft-Server, also hat er sich einen Raspberry Pi gekauft, und ich hab ihm heute den Minecraft-Server drauf gepackt, funktioniert auch problemlos.

Damit er auch mit seinen Kumpels zocken kann, habe ich den Raspberry noch von außen mittels Portweiterleitung und DynDNS erreichbar gemacht, auch das funktioniert perfekt.

Allerdings ist damit natürlich auch erst einmal ein potentielles Einfallstor im Netzwerk, d.h. ich hab ein eigenes VLAN angelegt, in dem einzig der Raspberry hängt. Dieses VLAN ist auf einen definierten Port im Switch getagged. Ich hatte vorher schon VLANs, aber diese waren untereinander durchlässig. Das neue VLAN habe ich deswegen mit mehreren Regeln nach folgendem Muster in Richtung der anderen VLANs geblockt:

Damit ist nun zumindest das VLAN 30 (der Minecraft-Server) geblockt, und von dort kann nicht auf die anderen VLANs (10, 20, 77) zugegriffen werden. Die o.g. Regel gibt es insgesamt drei Mal.

Jetzt muss ich allerdings ja vom PC (im VLAN 77) per PuTTY von Zeit zu Zeit auf den Raspberry zugreifen können. Deswegen habe ich über den oberen Regeln noch folgende Regel eingeführt, mit der ich nun mittels SSH auf den Raspberry zugreifen kann:

Nun allerdings meine Bedenken: die letzte Regel sagt ja, dass das Minecraft-VLAN auf meinen PC zugreifen darf. Allerdings heißt das ja auch, dass es darauf zugreifen kann, wann immer ich den PC anhabe. Damit habe ich ja wieder ein potentielles Einfallstor. Ich würde aber gerne die umgekehrte Variante, nämlich dass ich das Recht habe, vom PC aus in das VLAN 30 zu dürfen, und ich dann auch eine Antwort bekomme. Aber das VLAN per se soll erst einmal nicht auf meinen PC kommen, sofern kein Aufruf von diesem erfolgt. Ein einfacher Tausch von Quelle und Ziel in der o.g. Regel führt aber nicht zum gewünschten Erfolg.

Hat jemand ne Idee, wo ich den Gedankenfehler habe?

VG

Flo

Mein DNS ist einmal mein Pi-Hole und als Fallback einer von DNS.watch.

Die DNS-Server von DieselSt sind von Google, die sollten eigentlich schon gehen.

Sehr seltsam, eigentlich sollten die Einstellungen passen. Das einzige was bei mir anders ist, ist das T und das O bei @T-Online.de groß geschrieben. Aber würde mich wundern, wenn das bei der Telekom Case sensitive ist. So schaut es bei mir aus: