Beiträge von razor

Fokus bitte DoPe , Networker & swag .

Zitat von stefu1987

Unter Firewall habe ich mal zum testen das eingetragen, aber das klappt nicht so richtig.

Wo ist mein Überlegungsfehler?

Hallo stefu1987 ,

Du hast nichts verboten - jedenfalls nicht lt. Screenshot. Bei UniFi ist die Kommunikation zwischen den VLANs im Standard erlaubt.

Oder was wolltest Du mit den angezeigten Regeln erreichen? Vielleicht liege ich auch falsch.

Bedenke, dass jeglicher Traffic zwischen den VLANs über das Gateway geroutet werden muss. Damit hat das GW dann u.U. ganz schön 'was zu tun. Ich habe deswegen mein NAS (habe genug LAN-Ports) in mehrere VLANs (2 nativ als AccessPort + 1 als TrunkPort) verteilt, da ich das bei mir als Flaschenhals identifiziert habe.

Zitat von SaschaQ

Hat jemand eine Idee warum die IP nicht aktualisiert wird?

Hallo SaschaQ ,

hast Du das Thema bei Dir lösen können? Kam ja nix mehr von Dir seit der Eröffnung.

Zitat von Emircan

Schönen Guten Tag ich habe es geschafft dass es Funktoniert! Aber Ich hatte alles die Neuste Version

Na Glückwunsch!

Jetzt musst Du lediglich daran denken, dass die UniFi-Geräte nur von einem Controller gleichzeitig verwaltet werden können. Du musst nun quasi vom alten auf den neuen Controller umziehen.

Hallo Emircan und willkommen an Board!

Zitat von Emircan

Das Bild sieht mir sehr nach einer Windows-Maschine aus. Würdest Du uns bitte mehr Informationen dazu geben wie auch die Controller-Version, welche installiert werden soll?

Danke Dir.

It all started here:

Thema

Hargassner Internet-Gateway wird blockiert

Liebe Community.

Wir haben seit kurzem eine tolle neue Heizungsanlage der FA Hargassner.
Sie hängt über ein Internet-Gateway im Netz und kann (im besten Fall) online Informationen weitergeben und ggf. gezündet oder verstellt werden.

Anordnung bei mir ist
Kessel -> Gateway -> Switch -> USG -> Modem
Jeder mit fester IP; keine VLANs

Problem:
Das Gateway wird meines Erachtens vom USG kaltgestellt. Nach ca. einer Stunde, die es normal läuft und von außen erreichbar ist, wird die Verbindung dauerhaft…

Kleopatra

20. August 2023

But the last reply was on 2023, dec. 5th --> moved to that new article. And it's in english, now.

Hallo Ingolf ,

kannst Du denn noch via Web-UI darauf zugreifen oder auch nicht?

Zitat von columbo1979

aber ich müsste doch für jedes VLAN ein WLAN machen oder habe ich einen Gedankenfehler? Am liebsten möchte ich, dass alles über ein WLAN reingeht und dann aufgrund der IP oder ähnliches einem VLAN zugewiesen wird... so dass ich nicht zig WLANs benötige... WLAN Gerät 1 soll in VLAN 10 und WLAN Gerät 2 in VLAN 20 und WLAN Gerät 3 wieder in VLAN 1 etc... also etwas wie "Private vorab freigegebene Schlüssel" - nur dies geht nicht mit WPA3 und 6 GHz

ja, die Firewall Regeln mache ich nachdem alle ihr richtiges VLAN haben

Dazu haben wir etwas im wiki stehen:

Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten

Radius-Server mit MAC-Authentication an den Switchen einrichten

VLAN Zuweisung und WLAN Registrierung über Zertifikate bzw. Nutzername mit NPS RADIUS Windows Server

Ob das mit WPA3 und / oder 6GHz geht oder nicht kann ich nicht sagen. Ich hätte jetzt erstmal nicht erwartet, dass das Band (2,4/5/6GHz) darüber befindet, ob ein VLAN zugewiesen werden kann oder nicht. Da stecke ich aber nicht genug in der Materie. #NoAhnung

Zitat von columbo1979

... das Ticket zu dem ganzen wird gerade bei Unifi bearbeitet... die haben ein Screenshot und das Support File... mal schauen, was die sagen.... komisch ist ja auch, dass lokal angeblich min. 2 Geräte diese externe Adresse genutzt haben sollen...

Was für einen Screenshot hast Du denn zur Verfügung gestellt? Den :

Zitat von columbo1979

Falls NEIN: Welchen denn?

Zitat von columbo1979

sorry, meine auch VLAN 10, 20 etc... so habe ich es auch schon angelegt...

Zitat von columbo1979

aber ich habe zum Beispiel Smart Home Produkte, welche per WLAN und welche per LAN eingebunden wird. Soll alles in gleiche VLAN. Muss ich nun für jedes VLAN auch ein WLAN erzeugen oder wie kann ich einem WLAN Gerät sagen, dass es ins VLAN 10 oder VLAN 20 soll? Bei LAN kann ich ja einfach dem PORT einem VLAN zuweisen...

Bei der Erzeugung eines WLANs kannst Du diesem ein VLAN mitgeben. Damit hängen dann z.B. die Geräte im Smart-WLAN im entsprechenden VLAN ünd können so auch benutzt werden. Du brauchst nicht für jedes WLAN ein neues / eigenes VLAN erzeugen, wenn die Geräte miteinander kommunizieren können sollen. Ein VLAN soll ja Geräte voneinander trennen - was natürlich auch gewollte sein kann.

Aber Obacht: Ohne Firewall-Regeln hast Du aber keine erhöhte Sicherheit geschaffen - außer für die Gäste.

Und: ich würde mir bei den WLANs hauptnetz gast und hauptnetz smart das hauptnetz jeweils sparen - vor allem, wenn es nicht stimmt.

Hallo columbo1979 ,

wenn Du das schon angehen möchtest, dann solltest Du im ersten VLAN nur den UniFi-Zoo bereiben und gar keine Clients - weder per Kabel noch per WLAN. Ich würde also ein Hauptnetz erzeugen und dann da alle lieben Geräte sammeln und das dann auf ein WLAN legen.

Dann solltest Du keine einstelligen VLAN-IDs (<9) verwenden. Ich kann zwar nicht erklären warum, aber IDs <10 haben mir schon viel Ärger gebracht. Und es gibt > 4.000 weitere IDs, die fehlerfrei funktionieren, also warum die ersten 9 verwenden? VLAN-IDs haben ja fachlich nichts mit IP-Adressen zu tun und falls Du eine Verbindung zwischen IP-Adresse und VLAN herstellen können möchtest, dann ist es eben 10 anstatt 1 oder ähnliches.

Ich vermute, dass das WLAN "hauptnetz gast" auf das (noch zu änderne VLAN) 3 zeigen soll und "hauptnetz smart" auf V-ID 4 - auch zu ändern.

Oder was hast Du Dir mit den WLAN-Namen gedacht?

Zitat von columbo1979

vielleicht doch der Fehler über den Docker AdGuard?

Gibt es ein offizielles AdGuard-Docker-Image und benutzt Du dieses oder gibt es keins? Lt. https://adguard.com/de/contacts.html sitzen die auf Zypern und sollten deswegen erstmal nix mit der IP zu tun haben - meiner Meinung nach. Jedenfalls sollte die IP keine Verbindung zu Dir aufbauen wollen. Es könnte natürlich eine Quelle für irgendwelche Ad-Listen sein, die AdGuard erreichen können muss / sollte. Dafür kenne ich aber dieses System nicht genug. Ich bin mit pi-hole unterwegs.

Ich habe das Thema mal verschoben, da

• die Quelle schon > 3 JAHRE alt ist
• es sich hier um 'ne UDM handelt und kein USG

Quelle:

Thema

Erreichbarkeit von Komponenten über VLANs hinweg nicht möglich

Hallo, ich habe ein UNIFI Netzwerk eingerichtet in STandardkonfiguration, also ohne besondere und spezielle Sonderkonfigurationen. Ich würde gerne etwas tiefer in die Materia einsteigen und habe mir deshalb bereits einen Onlinekurs „Netzwerktechnik“ zugelegt.

Meine Konfiguration:
- USG PRO mit Fritzbox-Cable über WAN1 ins Internet
- LAN 192.168.0.0/24 Gateway 192.168.0.9 (LAN1 Schnittstelle)
- VLAN 20 (192.168.20.0/24) für die Telefonie VOP
- im VLAN 20 die Telefonanlage (192.168.20.240 statisch)
-…

limaalpha

18. Januar 2020

Hast Du eine config.gateway.json im Einsatz? Das könnte auch das Problem sein oder hattest Du dazu schon etwas geschrieben? Haben oben nichts gefunden.

Zitat von jkasten

Was zur Hölle? Das Konstrukt macht ja so gar keinen Sinn!

Das habe ich auch sofort gedacht... :o

Hallo Detlef59 und willkommen bei uns.

Schönes Projekt.

Nach meiner Erfahrung wollen die APs über ein Access-Netz (untagged) verwaltet werden und können dann VLANs (tagged) aussenden. Dazu müssen diese Netze aber alle an den APs ankommen. Wenn Du auf der Strecke zwischen UDM und AP unmanaged Switche hast, dann geht Dir meines Wissens nach das VLAN-Tag flöten - und damit alles, was Du damit erreichen wolltest.

Du musst also sicherstellen, dass am AP alle benötigten Infos ankommen - so wie sie der AP braucht.

Was ich mir als Szenario vorstellen könnte - allerdings etwas umständlich:

Du erzeugst einen TRUNK-Port an der UDM (LAN-seitig), in dem alle auf den APs benötigeten VLANs von der pfSense ankommen. Dann musst Du in der UniFi-Welt diese VLANs (die IDs natürlich - und bitte >9) auch erzeugen und als Third-Party-Network kennzeichnen, damit es praktisch von außen (via pfSense) verwaltet werden kann.

Wenn Du nun einen AP an die UDM anschließt und die richtigen VLANs ankommen und Du im Controller auch WLANs mit den VLANs verbunden hast, welche auf dem AP ausgestraht werden sollen, dann könnte es wie erwartet funktionieren.

Welchen Software-Stand hat die UDM?

Und der Controller?

Und der / die APs?

Bitte genau benennen und den Controller nur mit der aktuellen und NICHT mit dem Lagacy-Dashboard konfigurieren - und schon gar nicht hin- und herschalten: das bringt mit Sicherheit Probleme mit sich.

Kannst ja gern ein paar Bilder der Config posten.

Falls es am Netzwerk für's Modem liegen sollte kann ich Dir wärmstens den folgenden wiki-Beitrag empfehlen:

USG | DSL-Modem erreichen (USG-only) - ubiquiti - Deutsches Fan Forum

Zitat von Gaukler

Also bei mir sieht es so aus:

Da kann ich nichts einstellen.

Das sieht ja noch nach der alten Oberfläche aus, welche Du bei der UDM-Pro (und neuer) nicht mehr verwenden solltest. Du solltest auf die neue umschalten und auch nicht mehr hin- und herwechseln und womöglich auch noch Einstellungen in der einen und der anderen Ansicht ändern - das geht schief.

In den Controller einloggen und dann unter Settings --> User Interface den Schalter "New User Interface" in der Sektion Display aktivieren. Dann am besten am Controller neu anmelden und es noch einmal versuchen.

Zitat von hYtas

Ich kann nur die Diagnose starten wo er nichts findet oder abbrechen.

Ob Du da hinklickst oder in China fällt der sprichwörtliche Sack Reis um, macht meiner Erfahrung nach keinen Unterschied. Dieses Hilfe hätte sich MS auch einfach sparen können.

Zitat von hYtas

Habe wohl was gefunden. Scheint am NetBIOS zu liegen, werde ich mal ausprobieren.

Zum Thema NetBIOS und Win11 hatte ich auch etwas gelesen, bringe es aber nicht mehr zusammen.

Du könntest sonst noch bei der Authentifizierung 10.10.1.199\BENUTZER (nutze ich meinst) oder BENUTZER@10.10.1.199 versuchen, damit ganz klar ist, gegen welches Verzeichnis Du Dich authentifizieren möchtest. Hat mir auch schon das eine oder andere Mal geholfen - vielleicht auch hier.

Ich bin gespannt, wie das hier ausgeht...

Zitat von Gaukler

Hallo

vielen Dank für eure Antworten.

Wo schaltet man die erweiterten Ansicht ein?

Da:

Zitat von Naichbindas

Beim Erstellen gehst du dann da drauf:

Und dann gibt es noch das:

Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum

Firewall-Regeln by Naichbindas - ubiquiti - Deutsches Fan Forum

Hallo Osssse und wilkommen an Board!

Ja, es muss eine Firewall-Regel geben, welche PING über den WAN-Port des UCG-Ultra akzeptiert und dann an das entsprechende Endgerät weiterleitet (Routing, was bei VLAN-Konfiguration entsprechend automatisch eingestellt wird). Es kann aber donnoch nicht reichen einen Client in der UniFi-Welt zu erreichen, denn dieser Client könnte das auch noch verhindern.

Wenn Dein Setup so oder so vorsieht alles in die UniFi-Welt zu bringen, dann könntest Du auch einfach das AVM-LAN als weiteres VLAN mit einer ID >9 in der UniFi-Welt erzeugen und dann alles einfach erstmal so umstecken und -stellen - nebst WLAN sogar, wenn verfügbar.

Ja, dafür musst Du allerdings das AVM-LAN (= UniFi-WAN) ändern, damit Du weiterhin ins Internet kommst.

Oder Du schaltest das Routing (hier: NAT) in Deinem UCG-Ultra aus, dann hast Du wieder andere Optionen. Das wäre allerdings nicht meine erste Option, sondern eher die letzte.