Hast Du es denn auch im WAN aus, oder nur im LAN? Wenn es nur im WAN (also auf dem Router an ist) und in den LANs nicht, dann bringt es ja auch nichts, oder?
Beiträge von opensec
-
-
Heißt Du hast IPv6 ganz aus, oder wie?
-
Dann gibt es leider aktuell keine Lösung.
Man könnte (wenn man Proxmox o.ä. nutzt) natürlich pro VLAN ein Pi-Hole ausrollen und entspr. als DNS setzen.
Alternativ überlege ich IPv6 einfach nur für die Heimgeräte auszurollen und für IoT bzw. Guest dann eben gar nicht.
Die Frage ist dann nur, wie man mit dem Mgmt. Netz umgeht (da wo alle UniFi Devices drinhängen)?! Eigentlich brauchen die ja dann kein IPv6, oder?
-
Wie schaut es denn generell mit IPv6 Regeln und VLANs aus. Wenn man neben IPv4 ja auch IPv6 macht, will man doch seine VLANs auch abgesichert haben...
Geht das denn überhaupt aktuell? In Deutschland bekommt man ja in der Regel nur dynamische Prefixe bei privaten Standard-Anbietern...
-
Einfach die fe80 Adresse vom Pihole da eintragen, die ändert sich nicht.
Geht die denn auch über VLANs hinweg oder ist die dann nur in dem VLAN erreichbar wo der Pi Hole sitzt?
-
Hi Zusammen,
sollte man das mit IPv6 dann zum Laufen bekommen, wie genau macht man denn dann die Firewall Regeln für die VLANs? Bei IPv4 ist das alles noch soweit klar und verständlich - aber bei IPv6? Anleitungen dazu findet man auch wenig im Netz.
-
Nope, geht damit ganz simpel
Ja - danke. Habe es auch gerade gefunden.
Nur was ich vorhatte klappt damit nicht, wie ich es will. Wollte auf WAN2 einen Freifunk-Offloader hängen > gehen tut das soweit alles, jedoch habe ich dann wieder NAT an den Clients dahinter. Das wollte ich eigentlich damit vermeiden.
Mit einer OPNsense o.ä. geht das nämlich.
-
Hi Zusammen,
das Dual-WAN Feature der UDM SE ist ja eigentlich dafür gedacht Failover oder Load-Balancing zu nutzen.
Ich selbst würde es aber gerne anders nutzen und zwar habe ich 2 unterschiedliche Internet-Zugänge (WAN1/WAN2) und ich mag damit gerne einem Netzwerk (VLAN 10) nur WAN1 und einem anderen Netzwerk (VLAN 20) nur WAN2 zur Verfügung stellen.
Falls das Internet an WAN oder WAN2 ausfällt soll aber auch kein Failover o.ä. stattfinden sondern dann die jeweiligen VLANs einfach kein Netz haben.
Kann man das nicht mit den Traffic Routes regeln, oder ist das eher "unschön"?
-
Hi,
zu meinem Setup.
Ich nutze einen Offloader mit einmal WAN und einmal LAN Buche. Entsprechend macht er es genau so. Er hängt am WAN und bekommt dort Netz und schüttet hinten am LAN das Freifunk-Clientnetz raus.
Das ist dann auf einem Port an der UDM in einem entspr. VLAN (Freifunk WAN nenne ich es mal in dem Falle).
Das "Freifunk WAN" stellt dann quasi für ein VLAN das Netz zur Verfügung und wird entspr. auf SSID geroutet usw.
Habe ebenfalls keine freifunkenden Nachbarn.
Ich weiß, das Mesh-Netz ist ungefährlich, jedoch schüttet es bei mir die Client List zu und entsprechend ist die UDM-SE verdammt langsam (unbenutzbar) wenn man mit der UniFi Client-Liste arbeiten will/muss bzw. auch die Traffic-Routes sind nahezu unbrauchbar (er lädt im Hintergrund da ja immer die Clients damit man Routen kann usw.).
Könnte Ubiquiti besser machen - aber wahrscheinlich haben die selten so ein belastetes Netz, dass es oben auf der Prio-Liste ist bei denen.
Meine Idee war/ist jetzt:
- am WAN Port des Offloaders ihm ein Netz zur Verfügung zu stellen z.B. VLAN10: Freifunk-WAN
- den LAN Port des Offloaders wiederum dann an den WAN2 der UDM-SE hängen
- eine Route machen, dass das VLAN20: Freifunk-Netz dann entsprechend nur über den WAN2 ins Internet gehen kann.
- dann wäre doch die Freifunk-Mesh Liste verschwunden alles wäre gut
Fragen die dabei noch offen sind:
- was passiert mit den Clients wen WAN2 mal offline ist
- was passiert, wenn WAN1 mal offline ist
Andere Variante (nicht so elegant - aber sollte ja auch gehen):
- ich verzichte ganz auf den Offloader und mache es via Freifunk-Wireguard-VPN und baue den direkt in den Wireguard-Client-Settings in der UDM ein und mache dann ein entspr. Routing
Hoffe, es war jetzt was verständlicher.
Mit dem ER-X sollte das ja auch umsetzbar sein, oder?
-
Das ist eine coole Idee!
Hi,
Hast Du mal die Idee ausprobiert indem man den Offloader an den WAN2 hängt und dann eine entspr. Traffic-Rule macht? Das wäre ja eigentlich die Lösung (sofern man auch irgendwie einstellen kann, dass es bei Ausfall des Offloaders an WAN2 kein Fallback der User ins WAN1 gibt.
Aber ansonsten wäre das doch eigentlich die einfache/gute Lösung ohne weiter 3rd Party Geräte und zusätzlich NAT o.ä. dadurch noch integrieren zu müssen.
Weitere Alternative wäre dann evtl. auch noch einfach ein Wireguard VPN einbinden und entspr. dann auf das VLAN routen - dann würde der Offloader ganz wegfallen.
-
Die Problematik habe ich im Wiki auch bereits thematisiert und dort auch Lösungsansätze (unten bei "Gibt es denn noch Optimierungsmöglichkeiten?") skizziert. Der einzige (mir bekannte) Ansatz allerdings, der wirklich hilft, ist der von HammF: eine NAT dazwischen bauen. Dann hat man nur einen einzigen zusätzlichen Client im Netz, hinter dem alle anderen Freifunk-Clients "versteckt" sind. Dazu habe ich mich aber noch nicht durchringen können ...
Hi. Stimmt sorry - den Wiki Eintrag habe ich vergessen und bei der Suche auch irgendwie nicht gefunden.
Ich mache da weiter.
-
also bei mir läuft ein pIhole seit über 6 monaten ohne probleme
Hast Du den dann quasi separat als einziges Device im entspr. VLAN drin und bei allen anderen VLANs in den Network-Settings dann auf die IP das Pi Hole verwiesen? Und an der UDM (se) dann selbst andere DNS integriert, damit die Systemeigenen Anfragen direkt raus an einen Resolver gehen?
-
Nur wenn er die IP der UDM als upstream angibt. sobald er einen public DNS (zB 1.1.1.1 oder 8.8.8.8) oder unbound verwendet nicht
Nachteile wäre denn glaube ich aber nur, dass wenn der AGH/PiHole ausfällt die UDM quasi auch nix mehr auflöst, da kein DNS.
Von daher ist glaube ich das mit dem sep. VLAN für DNS ne gute Idee denke ich.
-
DNS ein eigenes VLAN
Danke Dir. Das ist natürlich auch eine gute Idee. Denn ansonsten würde man ja den anderen VLANs quasi sein Mgmt. LAN leaken, wenn der DNS im Mgmt. LAN wäre.... Das wollte ich versuchen zu vermeiden.
Oder kann man das noch irgendwie anders schützen, dass quasi der DNS die UDM SE selbst ist und dort in der UDM SE dann die Umleitung auf die IP des PiHole/AGH gemacht wird?
-
3.: Guest, das aber nur ein Auffangbecken für das wirkliche Gastnetz ist Freifunk (s.u.). Die einzigen Geräte hier sind der Freifunk-Offloader und eine Atlas-Probe
Hi.
Eine Frage bzgl. Umsetzung des Freifunk Netzes im VLAN (mit einem Offloader) usw.
Im Grunde mache ich das genauso. Was mich jedoch tierisch nervt ist, dass die UniFi Client List dann mit den div. An- und Abmeldungen des Freifunk-Meshs bzw. den Clients zu tun hat und die Übersicht mehr als leidet.
Damit habe ich mich zwar ein wenig abgefunden, aber was seid schon geraumer Zeit dabei nervt (ist wohl auch der Grund), dass die UDM SE in der Client List bei mir dauernd einfriert bzw. hängt und nicht nutzbar ist.
Ich vermute, dass das an dem Freifunk-Mesh liegt.
Hast Du auch die Probleme?
-
Hi Zusammen,
ich habe eine Frage bzgl. eines Proxmox Server, welchen ich in mein Setup integrieren will.
Setup ist:
- UDM SE mit Switchen und APs
- Mgmt. LAN (Native) wo die SE mit UniFi devices drin hängt (VLAN1)
- div. weitere VLANs
Ziel ist:
- Proxmox server für div. Dinge
- Pi Hole bzw. AdGuard Home als DNS AdBlock im System
Frage:
- packe ich den Proxmox denn auch in das Mgmt. LAN rein?
- Pi Hole/AdGuard Home dann auch im Mgmt. LAN und dort definieren, dass er auch über die anderen VLANs gehen soll?
Freue mich über eure Mithilfe. Proxmox habe ich bisher in meinem "non" VLAN Netz unter der Fritz.Box betrieben. Unter UniFi will ich das natürlich jetzt alles anders umsetzen und frage mich, wie da der beste Ansatz ist.
Grüße
-
WATT? Solange dauert das jetzt noch!
Der Telekom Mitarbeiter an der "Ausbau-Hotline" hat uns gefragt, ob wir wissen wofür das "G" bei Glasfaser stehen würde....: G wie Geduld. 😱
-
Stand Heute ist kein Glasfaser buchbar - ab Anfang 2024 wohl.
So schaut es bei uns auch aus. Anfang 2022 bestellt... Es war mal kurz buchbar - habe dann auch gebucht. Jedoch kam dann schnell Ernüchterung. Termin wurde abgesagt wegen Systemumstellung von FTTH 1.7 auf das neue System. Daher nirgends buchbar hier.
-
Ob es bei 8.x besser geworden ist????
Habe es mal probiert und deshalb nachgefragt. Bei mir ist bei IPv6 nix dabei an Blocking.
-
Hi Zusammen,
auch wenn etwas Zeit verstrichen ist... Der UniFi Ad Block, welcher integriert ist, kann es sein, dass der bei aktiviertem IPv6 in der UDM SE dann nichts blockt und quasi nur bei IPv4 funktioniert?
