Beiträge von razor

Zitat von wora

OK, dann wird das vorerst wohl nicht klappen.
Die Fritzbox, über die ich den UCK angemeldet hatte, kann ich nicht konfigurieren, denn die gehört unserem Vermieter. Dort ist aber ein Bereich für DHCP konfiguriert. Wir nutzen ein Hausinternes WLAN für den Internetzugang, also kein Kabel...

Von pppoe und Modem habe ich null Ahnung.

Obwohl, ich hätte noch ein altes Creatix 14.4 Modem, das ich in den 90ern für meinen internetzugang benutzt hatte... aber ich befürchte, dass es damit nicht gehen wird ... schon aus Mangel an seriellen Schnittstellen

Ich mach das jetzt einfach so: ich habe noch einen kleinen TP-Link Mini-Router, der DHCP zur Verfügung stellen kann. Den kombiniere ich einfach mit meinen anderen Ubiquiti Geräten. Das habe ich heute Nachmittag ausprobiert, das funktioniert.

Trotzdem vielen Dank für die tollen Ideen und Anregungen hier !!

Alles anzeigen

Also:

Wenn die Fritz!Box NICHT auch den Adress-Raum 192.168.1.0/24 via DHCP verteilt, dann kannst Du das USG mit dem WAN-Interface daran anschließen und dann auch online gehen.

Das USG kommt im LAN mit 192.168.1.1/24 hoch und verteilt im Netzwerk "LAN" dann auch IP-Adressen für alle Geräte. Du solltest Dich dann mit dem PC am besten via Kabel an das neue LAN ("hinter" dem USG) anschließen und dann auch Zugriff auf den Controller bekommen - am besten mit Chrome oder FireFox. Dann kannst Du Dein neues LAN ändern, z.B. den Adress-Raum. Nach der Provisionierung werden dann neue Adressen für alle Geräte verteilt und Du solltest wieder auf den Controller zugreifen können.

Das mit dem TP-Link-Router sollte nicht die endgültige Lösung sein.

Zitat von Gatzi

etwas älter, sollte aber noch funktionieren:

Spoiler anzeigen

Youtube

Der hat leider beide Sites in einem Controller. Habe ich schon gesehen.

Dennoch danke.

------------------------------

Nachdem wir mittlerweile mehrfach die EInstellungen kontrolliert haben, konnten wir feststellen, dass meine Gegenseite nicht alle nötigen LANs in der VPN-Konfiguration aufgenommen hatte - Layer-8-Problem. Wenn wir nun jeweils unsere externe IP - natürlich NICHT den DynDNS - verwenden, um die Verbindung aufzubauen, funktioniert es im Rahmen der Möglichkeiten hervorragend.

Jetzt werden wir noch das neue Problem lösen, dann haben wird endlich die Funktionalität wieder wie mit den Fritz!Boxen nach wenigen Minuten.

So, nachdem nun auf beiden Seiten ein Vigor 165 vor dem USG hängt haben wir versucht eine VPN-Verbindung herzustellen. Leider noch immer ohne Erfolg.

Ich bin zu keiner funktionierenden Anleitung gekommen, die sich mit dem Thema bis zur bestehenden Verbindung beschäftigt. Es kann doch nicht sein, dass ich der erste bin, der eine VPN-Verbindung herstellen möchte oder der Probleme damit hat, die nicht zu lösen sind.

Ich verstehe nicht, dass es nirgends eine Anleitung von A-Z gibt. Wenn es nicht so schwer sein kann, warum bekomme ich das nicht hin? Ich bezeichne mich durchaus als Technik-Affin und habe mir hier schon einen ganz schönen Zoo hingestellt, und jetzt scheitere ich an so einer doofen VPN-Verbindung?

Gibt es hier jemanden, der eine Site-to-Site-Verbindung erfolgreich konfiguriert und hergestellt hat? Ich komme nicht weiter.

Hier das Setup:

• jeweils Internetzugang von der Telekom mit dynamischer (öffentlicher) IPv4-Aresse (dynDNS vorhanden)
• jeweils Vigor 165
• jeweils Controller vorhanden (offline)
• 1x USG ohne weitere VLANs, 1x USG‑PRO‑4 mit diversen VLANs
• Software überall aktuell

Mir würde ja schon eine Verbindung via "Manual IPsec" reichen, aber selbst das geht nicht.

Zitat von Gatzi

Du musst halt im USG auch alles weiterleiten bzw. freischalten. Da gibt es gute Videos bei YouTube.

Gatzi

Diese "guten Videos" würde ich gern sehen. Ich habe keins gefunden.

Das HIER funktioniert nicht oder "hört zu früh auf".

Vielen Dank für eure Hilfe.

Zitat von michiszb

Moin, ich habe eine bestehende VPN Verbindung zwischen zwei Fritzboxen. Nun möchte ich hinter der einen Fritzbox ein USG setzen. Was passiert dann mit meinem VPN geht das durch den USG, oder muss ich da was einstellen?

Hi,

das ist eine spannende Frage.

Ich meine, wenn das USG NICHT die Einwahl übernimmt und dann eine IP-Adresse hinter der gegnerischen FB auflösen soll, dass dann die FB vor dem USG die VPN-Verbindung aufbauen könnte und dann die entsprechenden Pakete durch das VPN in das andere LAN leiten sollte.

Das schöne ist, dass Du das testen kannst ohne alles zu zerlegen.

Wenn allerdings die Verbindung von der Seite OHNE USG initiiert wird denke ich nicht, dass Du ohne Anpassungen an der Firewall durch das USG auf das LAN / die LANs hinter dem USG kommen wirst.

In dem Fall wirst Du wahrscheinlich nicht um den Austausch der FB vor dem USG gegen ein Modem, z.B. Vigor 165, umhinkommen (siehe auch HIER).

Zitat von Gatzi

Du musst halt im USG auch alles weiterleiten bzw. freischalten. Da gibt es gute Videos bei YouTube.

Hi,

meinst Du hier das mit dem PING oder USG hinter FritzBox? Stehe auf dem Schlauch.

Viele Grüße

Zitat von Gatzi

Es liegt an der Gegenstelle mit der FB und den USG. Hast du schonmal was vom doppelten NAT gehört?

Ja, habe ich von gelesen. Ich habe aber auch immer wieder gelesen, dass es nur richtig zu konfigurieren wäre, sodass das kein Problem darstellt. Und hier kommt dann die Frage: "Wie um Himmeklswillen muss das konfiguriert werden?"

Wenn es tatsächlich in diesem Kontext (VPN) das Problem ist, dann ist das doof - aber mit einem reinen Modem lösbar.

Danke und Gruß in die Runde.

UPDATE:

Ich habe im GitHub unter https://github.com/razorworks/unifi-controller-backup meine bisherigen Versuche veröffentlicht.

Viel Spaß beim Benutzen.

Liebe Gemeinde,

nachdem ich die letzten Wochen hier weniger aktiv war komme ich nun doch mit meiner Frage zurück. Es geht - wie im Titel schon zu lesen ist - um das Thema VPN:

Ich möchte gern mit der Gegenstelle (USG hinter FritzBox, exposed ja/nein, UDP 500, 1701 + 4500 FWD auf USG) von meinem USG‑PRO‑4 (hinter Vigor 165 mit PPPoE) eine IPSec-Verbindung herstellen. Das klappt aber nicht.

Um dieses Szenario nutzen zu können haben wir unsere WAN-IP-Adressen jeweils bei der Erstellung des Netzwerkes eingetragen und auch die entsprechenden LANs (VLAN-ID 1)i n den Remote-Subnetzen eingetragen.

Wenn nun einer von uns beiden eine IP im entfernten Subnetz anping passiert NIX.

Außerdem meine Ich mich daran erinnern zu können, dass es irgendwo im Dashboard etwas zum Thema VPN geben sollte, ein Icon ähnlich der "Internet Capacity" o.ä. oder liege ich da falsch?

Software suche ich nochmal raus, falls das die Ursache ist.

Vielleicht können wir ja schon die Fragen bzgl. der GUI klären.

Alle Anleitungen, welche ich im Netz finden konnte, haben nichts gebracht.

Mit 2 FritzBoxen gab es keine Probleme was den Verbindungsaufbau betrifft - allerdings war der Speed unterirdisch...

Danke euch und bis bald.

Zitat von iTweek

Kommt darauf an ob das Endgerät v-tags kann dann würde schon langen aber kenne kaum geräte das können. Aber so 100% sicher bin ich mir da nicht. Habe es immer per port gemacht

zur Info: fast alle Intel-NICs können mit VLAN-Tags umgehen. Ich habe das bisher gesehen, wenn der Intel-Treiber installiert ist (Windows). Dann kannst das entsprechend konfigurieren. Allerdings müsste die NIC dann an einem unmanaged Switch angeschlossen werden, der wiederum alle nötigen VLANs via TRUNK bekommt. Das ist natürlich relativ unsicher, denn wenn die VLAN-ID und die Netzwerkkonfiguration geändert wird, dann hängt der Client auf einmal im falschen (V)LAN.

Viele Grüße.

Lösung:

Wenn man alles richtig konfiguriert, dann funktioniert es auch - erstaunlicherweise.

Ich hatte im ESX leider vergessen die Netzwerke (Portgruppe) auf den richtigen virtuellen Switch zuzuordnen.

Kaum macht man's richtig funktioniert's auch schon.

Kann geschlossen werden.

Hallo,

ich möchte gern einige VLANs an LAN2 binden, um sie von meinem restlichen LAN zu trennen.

Dabei gibt es ein paar Probleme:

1) Wenn ich am Controller in den NETZWERKEN das entsprechende VLAN von LAN1 auf LAN2 umstelle erhalte ich per DHCP keine IP-Adresse mehr auf den angeschlossenen Clients. Auf LAN1 umgestellt: alles wieder da. Auch eine statische Konnfiguration hilft nicht.

2) Da 1) noch nicht gelöst ist kann ich auch nicht via PuTTY o.ä. auf eine an LAN2 angeschlossene Maschine zugreifen.

Habt ihr eine Idee, was ich noch machen kann? Im Netz der Netze habe ich bisher keine Lösung oder Beträge von vor 4 Jahren gefunden.

Software: 4.4.44.5213871

Bin schon in der Warteschlange zum Chat.

Danke und einen schönen Abend euch.

Hallo iTweek ,

ich kann mich leider nicht daran erinnern, warum ich hier keine Antwort mehr auf Deine Frage gegeben habe. Asche auf mein Haupt.

Ich kann mich heute natürlich nicht mehr daran erinnern, was ich alles wie oft umgestellt habe, aber da ich jetzt alles wie von mir gewünscht verkabelt habe und es funktiopniert kann der Fred hier geschlossen werden.

Wahrscheinlich war es - wie ich es bisher nur von Windows kannte - ein Reboot des USG.

Danke und einen schönen Abend in die Runde.

Hallo locke-87,

lt. RFC sollten "undefinierte" Portfreigaben erst ab Port 1024 stattfinden.

Jetzt aber zu Deinem Problem: Eine Portweiterleitung hat den Vorteil, dass ein "beliebiger" Port (z.B. 10443 extern am USG) auf einen andern beliebigen Port ans Zielsystem (z.B. 443 an der Cam) weitergeleitet werden kann. Da Du aber schriebst, dass Du von außen über Deinen Port (1010) nicht ans Ziel kommst: Kannst Du mal 443 (ext) --> 1010 (Cam2) weiterleiten und berichten?

Zum Thema Protokoll: Was hast Du bei 443 --> 443 ausgewählt?

Ich bin gespannt.

Grüße aus dem Home-Office.

Guten Abend,

am vergangen Wochenende war es nun endlich so weit: die AVM-Produkte wurden so weit wie gewünscht durch DrayTek-Modem Vigor 165 und den UniFi-Zoo aus den folgenden Produkten abgelöst:

• UniFi Security Gateway 4P (USG‑PRO‑4)
• UniFi Switch 24 POE-250W (US‑24‑250W) mit UniFi-CloudKey (UC‑CK) und UniFi AP-AC-Pro (UAP‑AC‑PRO)
• UniFi Switch 8 (US‑8)

Mit der WLAN-Performance bin ich auf meinen gut 65qm sehr zu frieden. Mit meinen mobilen Geräten habe ich nun überall hervorragenden Empfang. Dies liegt sicher nicht auch zuletzt daran, dass ich den AP sehr zentral an die Decke bringen konnte.

Am 24-Port Switch hängt jetzt in einem eigenen VLAN meine 7950 für die DECT-Telefonie und die beiden DECT-Steckdosen.

Mittlerweile habe ich auch neben dem Standard-LAN und -WAN 15 VLANs für meine diversen Einsätze konfiguriert:

• storage: 3 * NAS (Synology mit genügend Spindeln 😎😊 als Datengrab und via Channel am ESXi-Server, 2 alte für Backups)
• multimedia: AV-Receiver, FHEM @ ESXi, Kodi @ RasPi
• console: SkyQ-Receiver, BD-Player, TV, XBox 360
• server: NextCloud und weitere Web-Dienste
• pc: alle fixen Clients
• monitoring: ELK-Cluster, Check_MK
• *hidden*: für meine dienstlichen Geräte (Laptop, iPhone)
• mgmt: leider überflüssig, da ich das USG hier nicht einbringen kann
• dmz-dns: lokale DNS-Server, pi-hole - was für ein geiles Projekt
• dmz-vpn: openVPN-/ WireGuard-Server - noch im Aufbau
• dmz-proxy: zentraler Proxy zur eingehenden TLS-Terminierung
• ca: lokaler CA-Server auf Basis von openSSL
• avm: für die AVM Fritz!Box zur DECT-Telefonie
• offline Guest
• wlan-private: meine privaten mobile Geräte (Telefone, Tablets)

Haltet mich gern für verrückt - ich find's aber spannend 😎😁. Vielleicht baue ich einige auch wieder zurück, abwarten.

Fragen sind gern willkommen.

Guten Abend in die Runde,

ich habe mir neben afraid auch einen Namen bei der Securepoint GmbH registriert und hätte gern unter beiden Namen meine aktuelle IP-Adresse hinterlegt.

Das Update bei Afraid funktioniert, das bei spDNS nicht. Ich habe alle Einstellungen, wie ich sie Im Internet gefunden habe, vorgenommen, es klappt aber nicht.

Wenn ich auf der Console des USG den Befehl show dns dynamic status ausführe erhlate ich folgende Ausgabe:

interface    : pppoe0
ip address   : MEINE ÖFFENTLICHE IP-ADRESSE
host-name    : HIERKOENNTEIHREWERBUNGSTEHEN.ignorelist.com
last update  : Mon Mar 16 21:09:44 2020
update-status: good

interface    : pppoe0
ip address   :
host-name    : HIERKOENNTEIHREWERBUNGSTEHEN.spdns.org
last update  : Thu Jan  1 01:00:00 1970
update-status: noconnect

Was mich schon mal wundert ist, dass meine öffentliche Adresse im zweiten Eintrag nicht aufgeführt ist.

Welche dynDNS-Anbieter nutzt ihr denn so? Hat jemand zwei Anbieter konfiguriert und könnte den o.g. Befehl bei sich ausführen?

Weitere Details zur Config:

- Vigor 165 (4.0.5_STD) vor USG, PPPoE-Einwahl zur Telekom via USG

- CLOUD KEY CONTROLLER: 5.12.35-12979-1

- CLOUD KEY FIRMWARE: UCK.mtk7623.v1.1.6.c289a3c.191031.0856

- USG-Version: 4.4.44.5213871

Noch ein Tipp: mit dem Befehl update dns dynamic interface pppoe0 auf dem USG kann ein Update forciert werden.

Danke euch und einen schönen Abend.

Hallo michiszb,

ich würde über den CK ein Backup erstellen, dann eine Änderung z.B. an den VLANs vornehmen und dann das Backup wiederherstellen und schauen, ob das neue VLAN / geänderte VLAN wieder weg ist / zurück geändert wurde.

Da Du das USG im CK adoptieren musst, solltest Du das alte "vergessen" und dann das neue adoptieren.

Dann sollten alle Einstellungen wieder da sein. Beim Wechsel vom "kleinen" auf das "große" USG habe ich bisher immer gelesen, das die Einstellungen einfach übernommen wurden und das neue Gerät (nach der IP-Anpassung) direkt den Betrieb aufnehmen konnte.

Viel Erfolg dennoch.

Zitat von Applehorsti

Ah , OK, wenn die offen ist ---> schlechte Karten wenn die Clients nicht imstande sind direkt eine IP anzusprechen....:-(

https://en.wikipedia.org/wiki/Multicast_routing

könnte eventuell funktionieren, wobei ich nicht weiss ob Unifi Unicast kann....

Hi, habe verstanden worum es geht. Werde das für die UniFi-Geräte im Auge behalten. Danke Dir Applehorsti .

Zitat von Gatzi

man muss es ja auch nicht verbieten, sondern erlauben!

Wenn Du VLANs im CK anlegst, dann dürfen die im Standard miteinander sprechen - es wird nix unterbunden.

Zitat von Applehorsti

Schwierig wenn die tatsächlich nur mittels Broadcast die Geräte finden (scheisse Programmiert) kannst Du nicht vieleicht innerhalb der APPS die IP der Endgeräte einstellen ?

Alternativ könntest Du mal versuchen das Vlan in dem Deine Reciver sind für das VLAN der mobilien Geräte (Ipad, Phone) zu öffnen.

Hey Applehorsti,

ich kann leider in beiden Apps keine IP-Adresse konfigurieren.

Ich verstehe Deine Alternative nicht. Ich habe die Kommunikation zwischen den VLANs noch nicht verboten - jeder darf noch mit jedem sprechen.

Gute Nacht. zzZZ zzZZ zzZZ

Guten Abend in die Runde,

ich habe von Sky den Q-Receiver und von Denon einen AV-Receiver im Einsatz. Für beide Geräte gibt es mobile Apps. Meine mobilen Endgeräte sind in einem anderen VLAN (107) als beide o.g. Receiver.

Hier nun das Problem:

Ich kann mich mit der Sky-App weder von meinem iPad noch von meinem Android-Telefon zum Receiever verbinden. Ich nehme an, dass die App einen Broadcast macht, um den Receiver zu "finden" und sich dann zu verbinden. Da aber 2 VLANs (102/103 + 107) involviert sind werden die sich nicht finden. Ich habe testhalber ein WLAN ins ins "Sky (102)"-/"Denon (103)"-VLAN gehangen und siehe da: es geht sofort.

Wie bringe ich nun die mobilen Apps dazu ihre "Gegenspieler" zu finden?

Ich bin für Vorschläge offen, möchte aber ungern alle Geräte in ein VLAN packen - hoffnungsvoll.

Moin N0head ,

pro Profil kannst Du 4 WLANs (SSIDs) mit je einem eigenen VLAN ausstrahlen. Wenn Du 2,4 und 5GHz von einander trennst (Suffix), dann sind es sogar 8.

Der CK ist für das eingebaute Gastnetz unumgänglich, das USG ist dann die logische Konsequenz, da es vieles vereinfacht, aber nicht nötig.

Bei der DreamMachine schließe ich mich den Meinungen mangels eigener Erfahrung an.