Beiträge von luxlicht

Hallo,

Ja ich bekomme sogar jede Menge angezeigt, hier dann die "Default" rules vom WAN:

Chain UBIOS_WAN_IN_USER (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* 00000001095216663481 */
DROP       all  --  anywhere             anywhere             ctstate INVALID /* 00000001095216663482 */
LOG        all  --  anywhere             anywhere             LOG level warning
DROP       all  --  anywhere             anywhere             /* 00000001097364144127 */

Chain UBIOS_WAN_LOCAL_USER (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             /* 00000001095216662480 */
RETURN     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* 00000001095216663481 */
DROP       all  --  anywhere             anywhere             ctstate INVALID /* 00000001095216663482 */
LOG        all  --  anywhere             anywhere             LOG level warning
DROP       all  --  anywhere             anywhere             /* 00000001097364144127 */

Chain UBIOS_WAN_OUT_USER (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             /* 00000001097364144127 */

Nun stellt sich die Frage ob ich eventuell selbst ein Prefix hinzufügen kann/soll. Siehst du denn dein "Prefix" für IPS im Log vor den entsprechenden Messages?

Über den Controller (Legacy GUI) kann ich bei mir leider nichts ansehen da "Edit" ausgegraut ist ;-). Muss dann wohl über SSH ran.
Da es ja dort eine "Drop" Regel gibt würde ich gerne wissen ob diese greift und mir eventuell Probleme verursacht.

Werde mir das mit den iptables mal ansehen, vielen Dank!

Hier auch mal etwas was ich bei meiner Suche gefunden habe und was vielleicht für den einen oder anderen interessant ist (das ist NICHT von mir):

Zitat

⚠️ WARNING: The commands below run mongodb with full admin rights on the settings database, so be super careful not to change anything

It looks like the UDM settings are stored in this "ace" database, with the underlying MongoDB files stored in /data/unifi/data/db I think. This can be explored as follows.

• SSH into UDM as root
• Launch Unifi OS shell: unifi-os shell. (den Teil brauchte ich nicht, ging auf der UDM-SE nicht)
• Launch mongo database client: mongo 127.0.0.1:27117
• Switch to "ace" database: use ace
• List collections in database: db.getCollectionNames()
• List firewall rules: db.firewallrule.find().pretty()
• List firewall port/address groups: db.firewallgroup.find().pretty()
• List network configurations: db.networkconf.find().pretty()

Zitat von razor

Wenn dafür keine Regel besteht, dann wirst Du nix sehen. Bei den automatischen Regeln gibt es kein Log. Ich habe bei mir aber folgendes gefunden:

Code

Chain IPSLOGNDROP (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning prefix "IPS BLOCK: "
DROP       all  --  anywhere             anywhere

Interessant ist dass bei deinem LOG hinten ein prefix steht, das heisst für mich dass alles Messages welche diesen Eintrag betreffen mit IPS BLOCK prefixed werden und damit im Log zu finden sind. Bei mir steht überall nur "LOG level warning", sonst nix.

Ich möchte zumindest einsehen können was genau in den Regeln definiert ist Der nächste Schritt ist halt dass ich irgendwo in einer Logdatei klar sehen möchte was "dropped" oder "accepted" wurde und durch welche Regel. Das /var/log/messages scheint mir ja der Wahnsinn da was zu finden.

Wenn man herausfinden möchte ob zum Beipiel IPTV nicht funktionniert weil irgendwas gedropped wird wäre es hilfreich sich Firewall logs ansehen zu können in denen klar steht was durch welche Regel gelaufen ist (indem man Logging ein- bzw ausschaltet pro Regel).

Wenn man sich die neuen GUI so ansieht wird's nicht einfacher Dinge zu finden aber mir wäre auch ein Weg über SSH gut, wenn es denn jemand gibt der da weiter weiss

hmm, niemand da der sich damit auskennt? Debugging scheint mit den Unifi Geräten nicht so einfach ?

Hallo,

Ich brauche sie weil ich ein Support Ticket aufhabe und man mir gesagt hat "erstmal updaten auf den RC 7.0.22" ;-). Das habe ich gemacht nun sagt man mir "Danke, gebe dann jetzt an Level2 Support weiter". Leute, guter Support sieht anders aus. Jetzt darf ich die SUpport und Log files hochladen und weiss nicht ob da Usernamen und Passwörter drin stehen....grmpfl.

Zitat von Naichbindas

luxlicht Danke für den Tipp tut bei mir aber nix zur Sache ändern.

dh du hast es ausprobiert ? Also in der Cloud angemeldet, account settings, dort den Usernamen geändert und gespeichert. Und dann ausgeloggt und mit dem neuen Namen wieder eingeloggt, alles eingestellt (EA, remote Access usw) ? Also kein neuer Account, nur den Benutzernamen ändern.

Zitat von Loomis

Welches IPTV wird denn verwendet? MagentaTV?

Nein. Keins aus Deutschland PostTV, ein Angebot der hiesigen Post (Luxemburg).

Update: habe für mein "Owner" Account einfach mal den Benutzernamen geändert. Ausgeloggt, eingeloggt - und zack, ich habe nun eine komplette Auswahlliste für den Release Channel. Ich ging davon aus dass eine Änderung am Account beim Speichern im Background jede Menge an Prozessen durchläuft und dies eventuell den Knoten löst. Scheint funktionniert zu haben, mal sehen ob ich jetzt auch updaten kann....

Update: habe für mein "Owner" Account einfach mal den Benutzernamen geändert. Ausgeloggt, eingeloggt - und zack, ich habe nun eine komplette Auswahlliste für den Release Channel. Ich ging davon aus dass eine Änderung am Account beim Speichern im Background jede Menge an Prozessen durchläuft und dies eventuell den Knoten löst. Scheint funktionniert zu haben, mal sehen ob ich jetzt auch updaten kann....

ja, wie im anderen Thread geschrieben, alles gemacht, neuste Firmware, nichts. Und ich logge mich mit dem Cloud User in der cloud an. Geht einfach nicht. Das ist mal wieder etwas nach dem Motto wieso einfach wenn's auch kompliziert geht.

Hallo,

Da ich mit meinem IPTV Debugging nicht weiter komme möchte ich mich nun mal der Firewall widmen um sicher zu gehen dass nich hier was klemmt
sprich blockiert zwischen mir und meinem IPTV Provider.

Ich möchte demnach

• (a) die Einstellungen der automatisch angelegten Firewallregeln einsehen und eigentlich möchte ich diese auch ändern bzw löschen können wenn mir danach ist und
• (b) brauchbare Firewall logs einsehen können.

Somit in der Zusammenfassung meine Fragen (UDM-SE):

• Wie oder wo kann ich die automatisch angelegten Firewall Regeln einsehen / ändern / löschen ?
• Wo und wie kann ich brauchbare Logs der Firewall einsehen / analysieren mit dem Ziel eventuell geblockte multicast Anfragen zu erkennen?

Hallo,
habe das gleiche Problem. Alles befolgt wie hier beschrieben. EA ist aktiviert, Remote Access ist an und extra in die neue GUI um auch dort die hier gezeigt Konfiguration zu aktivieren. Nichts. Die Auswahlliste zeigt nur "Official". Konsole neu gestartet. Nichts. Toll wenn der Support sagt dass man auf die 7.0.20er gehen soll, dies aber nicht klappt. Habe das dort gemeldet, aber es scheint nur einen Supportmitarbeiter zu geben und der arbeitet auch nur an einem Tag in der Woche

Update: nachdem ich herausgefunden habe dass meine DSL Leitung auf multi-vc konfiguriert war, habe ich diese beim Provider auf mono-vc umkonfigurieren lassen, somit kommt alles über ein einziges VLAN. Damit kann die Problematik multipler VLANs schonmal ausgeschlossen werden.

Auch ist nun klar warum es am WLAN geht und am LAN nicht: die IPTV Box erkennt ob sie am WLAN oder LAN hängt und nutzt im WLAN Unicast und im LAN Multicast. Das bestätigt sich dadurch dass man im LAN Aufnahmen abspielen kann und diese funktionnieren (Aufnahme abspielen = Unicast).

Langsam komme ich weiter, aber zur Zeit geht's im LAN immer noch nicht.

So, also gestern habe ich dann schweren Herzens Remote Access temporär wieder eingeschaltet. Early Access steht auch auf aktiviert. Leider ohne Erfolg, denn ausser "official" lässt sich nichts einstellen. Die Auswahlliste des Updatechannels beinhaltet nur "Official". Ist also nix mit Update.

Und der Support ist ja grausam bei Unifi, seit 1 Woche habe ich dort ein Ticket auf, bislang 1 Antwort und die ist "erstmal auf 7.0.20 updaten", wo mittlerweile ja bereits 7.0.22 da ist als RC.

Mein Account zeigt allerdings "Early Access aktiviert" an, aber an gleicher Stelle sollte auch was von Beta stehen oder?

Zitat von lycra

Du musst bei account.ui.com dich für Beta freischalten.

Dann musst du remote zugriff bei deiner UDM SE einstellen, dann klappt es auch

die Befürchtung hatte ich also dass Remote Zugriff an sein muss. Beta ist freigeschaltet. Es erschliesst sich aber mal wieder nicht wieso
dafür remote access notwendig ist, denn meine Console kann ja ohne weiteres anfragen ob ein Update da ist. Da stellt man sich dann doch die
Frage was denn da alles so "remote" abgefragt wird. Da der Support mir heute wegen meines IPTV Problems zur Version7.x geraten hat (was auch sonst, ist halt die Standardantwort "bitte erst updaten") muss ich wohl oder über updaten per SSH oder kurz und sehr ungern den remote access für Unifi (für wen sonst) freischalten

gerade festgestellt dass bei mir die Einstelloption für den Release Channel komplett fehlt. Weiss jemand warum? RC oder nicht, ich habe somit überhaupt keine Möglichkeit auszuwählen...

UDM-SE
Unifi OS 2.3.14

Network Application 6.5.55

ok, habe das mal durchgelesen, du hast also dann doch nicht nur Einstellungen gemacht sondern die ganzen Packages auch installiert. Letzteres mache ich ungern, aber wenn Unifi es nicht gebacken bekommt dass diese einfach Teil des Systems sind (was ist daran so schwer?)....

Zitat von WW83

Verstehe ich nicht. Du hast doch schon eine höhere Version als die mindestens voraus gesetzt wird. Und da du die Einstellungen (multicast) hast, wie du mit dem vorherigen Post beschrieben hast, erfüllst die Firmware doch die Voraussetzungen.

Der Ersteller spricht meines Wissens nach kein Deutsch. Somit auch nicht hier im Forum

Edit: Um Missverständnisse zu vermeiden. Die Mindestversion lautet 2.3.7. Das Plus steht für höhere Versionen

ups, da Stand ich wohl auf dem berühmten Schlauch....man sollte nicht x Dinge // machen

Aha,

• dort steht UniFi Dream Machine Pro SE: You need Early Access firmware 2.3.7+ for multicast routing support.

ich habe 2.3.11 und bekam gerade 2.3.14 vorgeschlagen, da bin ich aber noch weit von 2.3.7+ entfernt !?! Demnach besteht (a) Hoffnung aber (b)
muss ich mal sehen wie ich an die Firmware komme ? Ist der Ersteller dieser Dokumentation auch hier im Forum ?

Hast du nur die FW Einstellungen geändert oder auch den ganzen Teil mit der JSON Datei erstellt ?