UDM DNS auf Auto bzw. generell die Settings bedeutet ja auch, dass die Anfragen alle unverschlüsselt über Port 53 rausgehen, oder?
Und wie ich heute gelernt habe auch dann, wenn man DNS Shield anhat - zumindest die Anfragen der UniFi devices selbst in dem Fall.
Ich nutze den UniFi Adblock seit einigen Monaten
Kann man den mittlerweile irgendwie/wo einstellen, oder ist das immer noch einfach nur eine "Ein-Klick-Funktion" und man weiß gar nicht so recht, was er/wie nutzt?
Alternativ geht ja auch noch DNSCrypt (Shield) mit z.B. dnsforge.de o.ä.
Identity von Unifi... Leichter kann das nicht einrichten. Wäre Wireguard. Schnell und läuft.
https://ui.com/eu/de/identity ... wirklich kein Projekt sondern ein paar Klicks...
Aktuell scheint das One-Click-VPN aber noch das Problem zu haben, dass die Zonen-Firewall nicht greift habe ich gelesen.
Definiere, was genau Du wovor genau schützen willst, dann kann man gemeinsam überlegen, wie man das hinbekommt.
Danke für den Beitrag und die Infos.
Im Grunde ist es so, dass ich ein paar Sachen nun zu Hause hosten möchte und dann entspr. etwas nach Außen freigeben muss.
Dabei ist die Überlegung, dass ich das alles mit einem UniFi System (UDM o.ä.) mache, es doch eher auf einer OPNSense umsetze, oder stupide auf der fritz.box lasse.
Wenn ich das richtig verstehe, ist OPNSense mächtig, aber wenn man IDS/IPS will, kostet es richtig Geld und führt noch zu viel mehr Komplexität.
Bei der fritz.box werden die Dinge "einfach" behandelt - aber da geht dann auch nicht viel außer Port auf oder Port zu.
Und ja, AVM war sehr früh dran mit IPv6, das kann man ihnen bis heute zu Gute halten. Daraus eine besondere Qualität in Bezug auf Sicherheit abzuleiten wäre aber Quatsch.
Danke für die Hilfe und die Erklärungen und den Beitrag... Lässt sich hier ein wenig herauslesen, dass UniFi mit der UDM etc. ein weniger sicherer ist, als wie es AVM aktuell ist? Oder was meinst Du damit?
Was aber hat IPv6 jetzt für Dich mit Sicherheit zu tun?
Ich habe "leider" wenig Ahnung/Durchblick bei IPv6 - weiß nur, dass dadurch (kein NAT usw.) Geräte direkt hinter dem Router erreichbar sind.
Würde das gerne Eingrenzen und auch Firewall-mäßig bei den VLANs (welche bei UniFi) möglich sind einschränken.
Bei AVM geht ja nix mit VLANs - aber IPv6 gibt es da ja schon länger, als wohl bei UniFi.
Ja, selbstverständlich.
Bekommt man denn somit die UDM sicherer konfiguriert, als man es bei einen fritz.box machen kann? Oder hängt da UniFi noch hinterher... Mein letzer Stand war ja der, dass IPv6 jetzt nicht so deren Steckenpferd ist.
Ok - und bekomme ich denn dann die UDM mit aktueller Firmware genauso sicher eingestellt, wie eine fritz.box welche ebenfalls IPv4 und IPv6 nutzt?
Wollte meine fritz.box Glasfaser mit integriertem Modem eigentlich mit einem Telekom Modem und der UDM SE ersetzen in dem Falle.
Gehen tut beides wenn man den Router nicht selber erreichbar braucht..
Ich hätte es gerne so, dass ich IPv6 nutzen kann (sprich Clients in meinem Netz auf Websites kommen welche IPv6 only sind z.B.
Aber intern mag ich überhaupt kein IPv6 haben - wie genau stellt man es dann ein?
Ok - heißt man kann es so einstellen, dass ausgehend IPv6 aktiv ist und intern bzw. alles was reinkommt dann deaktivieren?
Firewallregeln können nicht auf ein Prefix angelegt werden da sie bei einem Wechsel des Prefix nicht aktualisiert werden.
Durch die Zone basierte FW ist das jetzt zonenbasiert möglich, und interne Netzte können auch mit statischen Prefixen konfiguriert werden bei denen das PRoblem nicht auftritt
Danke für das Feedback. Intern brauche ich selbst jetzt nicht groß IPv6 Netze. Will nur, dass ich ausgehend auch IPv6 only Websites/Dienste (ja habe ein paar) erreichen kann.
Kann man es nicht so machen, dass er nur ausgehend dann IPv6 nutzt?
Die OPNSense kann IPv6
Kann UniFi kein IPv6? Dachte, dass das in den Settings mittlerweile drin ist.
Hast Du es denn auch im WAN aus, oder nur im LAN? Wenn es nur im WAN (also auf dem Router an ist) und in den LANs nicht, dann bringt es ja auch nichts, oder?
Heißt Du hast IPv6 ganz aus, oder wie?
Dann gibt es leider aktuell keine Lösung.
Man könnte (wenn man Proxmox o.ä. nutzt) natürlich pro VLAN ein Pi-Hole ausrollen und entspr. als DNS setzen.
Alternativ überlege ich IPv6 einfach nur für die Heimgeräte auszurollen und für IoT bzw. Guest dann eben gar nicht.
Die Frage ist dann nur, wie man mit dem Mgmt. Netz umgeht (da wo alle UniFi Devices drinhängen)?! Eigentlich brauchen die ja dann kein IPv6, oder?
Wie schaut es denn generell mit IPv6 Regeln und VLANs aus. Wenn man neben IPv4 ja auch IPv6 macht, will man doch seine VLANs auch abgesichert haben...
Geht das denn überhaupt aktuell? In Deutschland bekommt man ja in der Regel nur dynamische Prefixe bei privaten Standard-Anbietern...
Einfach die fe80 Adresse vom Pihole da eintragen, die ändert sich nicht.
Geht die denn auch über VLANs hinweg oder ist die dann nur in dem VLAN erreichbar wo der Pi Hole sitzt?
Hi Zusammen,
sollte man das mit IPv6 dann zum Laufen bekommen, wie genau macht man denn dann die Firewall Regeln für die VLANs? Bei IPv4 ist das alles noch soweit klar und verständlich - aber bei IPv6? Anleitungen dazu findet man auch wenig im Netz.
Nope, geht damit ganz simpel
Ja - danke. Habe es auch gerade gefunden.
Nur was ich vorhatte klappt damit nicht, wie ich es will. Wollte auf WAN2 einen Freifunk-Offloader hängen > gehen tut das soweit alles, jedoch habe ich dann wieder NAT an den Clients dahinter. Das wollte ich eigentlich damit vermeiden.
Mit einer OPNsense o.ä. geht das nämlich.
Hi Zusammen,
das Dual-WAN Feature der UDM SE ist ja eigentlich dafür gedacht Failover oder Load-Balancing zu nutzen.
Ich selbst würde es aber gerne anders nutzen und zwar habe ich 2 unterschiedliche Internet-Zugänge (WAN1/WAN2) und ich mag damit gerne einem Netzwerk (VLAN 10) nur WAN1 und einem anderen Netzwerk (VLAN 20) nur WAN2 zur Verfügung stellen.
Falls das Internet an WAN oder WAN2 ausfällt soll aber auch kein Failover o.ä. stattfinden sondern dann die jeweiligen VLANs einfach kein Netz haben.
Kann man das nicht mit den Traffic Routes regeln, oder ist das eher "unschön"?
Hi,
zu meinem Setup.
Ich nutze einen Offloader mit einmal WAN und einmal LAN Buche. Entsprechend macht er es genau so. Er hängt am WAN und bekommt dort Netz und schüttet hinten am LAN das Freifunk-Clientnetz raus.
Das ist dann auf einem Port an der UDM in einem entspr. VLAN (Freifunk WAN nenne ich es mal in dem Falle).
Das "Freifunk WAN" stellt dann quasi für ein VLAN das Netz zur Verfügung und wird entspr. auf SSID geroutet usw.
Habe ebenfalls keine freifunkenden Nachbarn.
Ich weiß, das Mesh-Netz ist ungefährlich, jedoch schüttet es bei mir die Client List zu und entsprechend ist die UDM-SE verdammt langsam (unbenutzbar) wenn man mit der UniFi Client-Liste arbeiten will/muss bzw. auch die Traffic-Routes sind nahezu unbrauchbar (er lädt im Hintergrund da ja immer die Clients damit man Routen kann usw.).
Könnte Ubiquiti besser machen - aber wahrscheinlich haben die selten so ein belastetes Netz, dass es oben auf der Prio-Liste ist bei denen.
Meine Idee war/ist jetzt:
Fragen die dabei noch offen sind:
Andere Variante (nicht so elegant - aber sollte ja auch gehen):
Hoffe, es war jetzt was verständlicher.
Mit dem ER-X sollte das ja auch umsetzbar sein, oder?
