Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Ein Killswitch bietet Unifi glaub nicht! Bzw hab ich diese Funktion auch noch nicht gefunden.
Also ich hatte jetzt schon den Fall, dass bei Ausfall der Verbindung zum VPN dann an dem Client kein Internet mehr ging.
Theoretisch sollte das auch normal sein, sobald es eben eine Route gibt, die den Verkehr ausschließlich zum VPN leitet.
Alles anzeigenHallo,
also ich habe ebenfalls nach dem Wiki Tutorial mein Netzwerk und Firewall 2.0 aufgebaut. Hab in allen meinen Netzwerken, auch das Managment LAN mittels DHCP die Adresse des PiHole als DNS Server (hab zwei piHoles redudant im Betrieb) eingetragen, selbst im WAN. Bei den Switchen auch die nochmals manuell eingetragen.
Dementsprechend mussten dann ja auch alles Netze per Firewall zugriff auf den DNS Server haben. Da ich alle Fremdanfragen an Externe DNS Server per Firewall Regel unterbunden habe, musste natürlich noch eine Extra Regel für die DNS Server her, die Explizit die Anfragen für Externe DNS Server erlaubt.
Das ganze funktioniert bei mir seit Monaten prima.
Funktioniert in diesem Setup das Traffic Filtering? Ich habe gelesen, dass das nur funktioniert wenn in den einzelnen Netzen die UDM den DNS macht. Und dann müsste der pihole am Ende platziert werden --> WAN.
Aber irgendwie scheint das auch nicht zu gehen.
Guten Morgen zusammen,
ich muss den Beitrag nochmals hoch holen, da ich noch ein paar Fragen in die Runde werfen würde, bevor ich mir so nen Mini-Router anschaffe.
Könnt Ihr mich bitte kurz mal abholen welche Vorteile die Variante 2 dennoch bringt zu meiner derzeitigen Umsetzung:
Im Moment habe ich es so umgesetzt, dass bei VPN Client drei VPNs zu unterschiedlichen Aufpunkten angelegt sind.
Unter Traffic Routes sage ich, dass bestimmte Geräte nur über diese VPNs ins Internet dürfen.
Da gibt es logischerweise auch drei EInträge, falls einer der Aufpunkte mal nicht erreichbar ist.
Theoretisch habe ich so doch Ausfallsicherheit geschaffen, oder nicht?
Aufgrund der Traffic-Rules sollten die Geräte beim Wegfall aller drei Endpunkte dann eigentlich gar nicht mehr ins Internet kommen, oder?
Eine Idee hätte ich noch; Für diese Geräte WAN1 blocken, aber da habe ich keine sinnvolle Einstellung gefunden.
Und gibt es eine Einstellung wo ich mich informieren lassen könnte, dass eine Verbindung weggebrochen ist?
Jetzt werd ich verrückt.
ich hab die UDM nochmals komplett zurückgesetzt und dachte, komm ich probier es nochmals mit der Sicherung einspielen.
Plötzlich sind alle Daten da und die UDM Funktionen auch. Muss ich jetzt nicht verstehen, oder?
Jetzt wäre der Plan, dass ich die neue mit Port 1 in das bestehende Netz hänge und dann am alten Controller mit "inform" sag: Meldet Euch an dem neuen Controller.
Was ist denn bei den Switches alles konfiguriert ? Port Profile,… ?
Sonst neuen Controller (UDM SE) ins netz, und die Switches neu adopten. Wenn es mehrere gleiche Switches sind, kannst du die Einstellungen von einem Switch auch kopieren auf die anderen.
Müsste es nicht sogar gehen, dass ich am bestehenden Controller die IP des neuen Controller mitteile und die Devices dort dann neu melden? Sonst müsste man ja jeden Switch reseten und wieder neu einbinden?
Die UDM mal neugestartet?
Jap, ändert nichts an den Settings.
Dasn bisschen Hakiri aber nun ja;
- Beide Kontroller auf selbe SW Version bringen
- Backup vom Virtuellen Controller machen
- Backup vom Virtuellen Controller in die UDM-SE einspielen
- Hoffen, dass alle Einstellungen so übernommen wurden wie gewünscht wurde
Du meinst mit Backup das Network-Backup unter: System - Backups ?
Das habe ich gemacht und dann unter der Application "Network" auf der UDM eingespielt. Jetzt wird es eben komisch :).
ich habe jetzt genau die Einstellungen wie se auf dem virtuellen Controller waren/sind, allerdings fehlen mir alle Gatewayfunktionen die eine UDM eigentlich mitbringen würde. Die Punkte sind alle "ausgegraut" und unter UniFI Devices wird die UDM auch gar nicht angezeigt.
Wie krieg ich jetzt die zusätzlichen Funktionen aktiviert?
Naja, mehre AP's sind doch noch überschaubar und es handelt sich ja um 1 Default Netzwerk. Was spricht dagegen flux die UDM-SE neu einzurichten?
Den Gedanken hatte ich auch schon, ich würde aber gerne die Config der bestehenden 8 Port Switche (ca. 10 Stück) übernehmen.
APs sind es nach derzeitigen Infos 8-10, das WLAN Netz wird auch über ein Third-Party auf eine virtuelle Firewall geführt.
Das soll im zweiten Schritt dann nach und nach zurück gebaut werden auf die UDM.
Gibts denn keine gescheite Möglichkeit um die Config eines virtuellen Controllers einfach 1:1 auf ne UDM zu übernehmen?
Hallo zusammen,
ich bin gefragt worden ob ich bei einem Umzug von einer Unifi-Umgebung unterstützen kann und würde gerne in die Runde fragen was Ihr empfehlen würdet.
Es geht um eine Umgebung mit einigen kleinen 8Port Switchen und mehreren AccessPoints, verwaltet von einem virtuellen Controller über das "Default" Netzwerk und als Third-Party Verbindung eingerichtet.
Bedeutet, der Controller macht eigentlich nur das Management der Unifi Geräte und alles andere passiert an einem anderen Gerät.
Ich habe schon einmal eine Sicherung von der APP "Network" gemacht und diese auf der UDM SE eingespielt. Allerdings zeigt er mir dann nur die Funktionen an, die ich auf dem virtuellen Controller hatte, keine Gateway-Funktionen die die UDM SE ja mitbringen würde.
Gibt es da eine Möglichkeit das#s so umzustellen, dass mit der Config auch die anderen Optionen freigeschaltet werden?
Oder gibt es einen anderen "besseren" Weg um den virtuellen Controller gegen die UDM SE zu tauschen um nicht alle Geräte neu einrichten zu müssen?
Alles anzeigenOK, schön, dass es nun funktioniert. Aber was hast du genau alles auf „Auto“ gesetzt?
„Multicast Enhancements“ hast du deaktiviert… Auch spannend… 🤔
Verstehe ich nicht… 🤪😂
Hattest du dich mit dem Bonjour Browser auseinandergesetzt? Hatte ich weiter oben eingebracht:
Gruß Hoppel
Ich hab innerhalb der WLAN Settings die "Advanced Configuration" auf Auto gesetzt.
Darunter ist dann "Multicast Enhancements" auch auf deaktiviert --> Kannst Du nochmals erklären was das genau machen soll?
Bonjour hab ich noch nicht angeschaut, ich hab jetzt erst Mal geschaut dass es mit den Windows-Geräten läuft und geh dann nach und nach zu den anderen über.
Schön, dass es jetzt geht. Ich hätte ggf. auch den Drucker über die IP selbst und nicht den DNS Namen eingerichtet. Damit Scannen kannst, musst du eigentlich die Firewall Regel schreiben, dass der Drucker auch auf den PC zugreifen kann. Und hier scheiden sich die Geister - MEINER MEINUNG NACH: Ich finde es immer einfacher, den Drucker im Netz der PC's zu lassen, gerade in kleineren Umgebungen und wenn dann auch noch gescannt wird.
Mit den separaten Netzen hat man oft mehr Mühe beim Einrichten wie Nutzen, im Nachhinein.
Geb ich dir definitiv recht :). Aber ich sehe es auch als "Lernkurve". So kann man auch mal etwas probieren und dabei lernen.
Hi,
ich kann ihn pingen und per IP-Adresse auch erreichen. Aber über DNS geht es irgendwie nicht und somit wird er auch nicht automatisch gefunden.
EDIT: Jetzt funktioniert es 
Ich habe in den WLAN-Netzen nochmals alle auf "Auto" gesetzt und drucken funktioniert.
WiFi Settings (Multicast Management):
Ich steh aber vor der nächsten Herausforderung: Scannen
Wie kann ich jetzt freigeben dass der Drucker zu "einem" Rechner scannen kann.
Bisher hat der Drucker den Rechner immer direkt gefunden, jetzt tut er das eben nicht mehr weil er in einem anderen Netz steht.
EDIT2: Ich habe es jetzt über einen SMB-Fileshare gelöst. So funktioniert es
Im nächsten Step dann die Firewallregeln setzen: A,B --> IoT : Allow ; IoT --> A, B : Deny
Alles anzeigenAchso, du hast also zwischen den Netzen keine Firewall? Wofür dann die Trennung?
Global Network Settings:
- „Multicast DNS“ habe ich in nur bei folgenden Netzen/VLANs aktiviert: Main, IoT und NoT (im Main-VLAN befinden sich meine iPhones, Macs und Co)
- „IGMP Snooping“ habe ich bei all meinen (7) Netzen/VLANs aktiviert
WiFi Settings (Multicast Management):
- „Multicast Enhancement“ nur beim Wifi an dem sich meine iPhones, Macs und Co authentifizieren aktiviert
- Hi „Multicast and Broadcast Control“ grundsätzlich deaktiviert
Evtl. musst du „Multicast Enhancement“ auch bei dem Wifi aktivieren, wo sich dein Drucker authentifiziert.
Wenn ich es richtig verstehe, würde man die Kommunikation mit „Multicast und Broadcast Control“ einschränken bzw. nur für bestimmte Geräte zulassen. Wenn man es also deaktiviert, gibt es keine Beschränkungen.
Gruß Hoppel
Hallo Hoppel,
so habe ich die Settings gesetzt.
Bei der Firewall sollten doch alle Corporate-Netze untereinander kommunizieren können bis man eine Kommunikation verbietet, oder?
Kannst du den Drucker testweise per Ethernet verbinden?
Ich hatte damals mit AirPrint über Wifi Probleme. Ethernet ging sofort. Kann sein, dass diese Probleme mittlerweile gelöst sind. Wenn es per Ethernet läuft, kannst du ja immer noch auf Wifi umbauen.
Ich habe es auf Ethernet gelassen.
Muss ich schauen, an dem Standort ist eigentlich keine Dose verfügbar.
Was genau muss ich dann noch alles einstellen? Reicht es Multicast DNS zu aktivieren und die drei Netze (IoT und VLAN AB,B) auszuwählen? Oder muss IGMP Snooping auch mit den drei Netzen aktiviert sein?
Firewall-Regeln sollte ja erst Mal kein Problem sein, ich habe alle drei Netze als Corporate angelegt. Und die sollten ja ohne extra Regeln miteinander sprechen können, oder?
Ich drucke per AirPrint. Der Drucker wird am iPhone automatisch gefunden.
Um was für einen Drucker und welche Endgeräte (iOS oder Android) geht es denn bei dir?
Ist der Drucker per Ethernet oder per Wifi angebunden? Hat der Drucker eine RJ45/Ethernet Schnittstelle?
Hi,
Endgeräte sind überwiegend iOS und Drucker ist per WLAN verbunden.
Drucker ist ein Xerox
Alles anzeigenWichtig ist natürlich in diesem Zusammenhang deine Firewall… Ich hatte meine Mal nach diesem Wiki Beitrag überarbeitet:
UniFi Allgemein | Firewall-Regeln____old!!!! by EJ
Es gibt aber anscheinend mittlerweile einen neuen Beitrag:
Unifi Allgemein | Firewalling 2.0 by defcon
Muss ich mir bei Gelegenheit auch mal durchlesen.
Wie dem auch sei… Ich kann aus meinem Hauptnetzwerk inkl. WLAN per mDNS bspw. vom iPhone aus drucken. Mein Drucker hängt per Ethernet im IoT VLAN.
Gruß Hoppel
Danke dir, werde ich mir mal anschauen.
Kannst Du Drucken indem Du den Drucker am Handy direkt siehst oder musst Du ihn per IP-Adresse ansprechen?
Hallo interessierter,
du musst uns aber schon etwas zur Hardware und zum Aufbau des Netzes sagen. So wird es ja nur ein Rätselraten!!!
Router? Switche? AP's? Drucker? Zugriff auf Drucker per Handy oder Laptop/PC? Unifi Controller? Usw.
Sorry, dachte die Infos in den Tags reichen.
Also zum Einsatz kommt eine UDM-Pro mit Unifi Switch. Daran hängen dann Unifi APs.
Drucker wird per WLAN in das IoT-Netz eingebunden und Zugriff soll vorrangig von Handy/Tablet stattfinden.
Hallo zusammen,
ich habe derzeit ein Problem und kann es irgendwie nicht richtig lösen.
Ich habe 3 Netze (A,B,IoT) und möchte dass ein Drucker im IoT-Netz aus dem Netz A und B sichtbar ist und zugegriffen werden kann.
Ich habe etwas von MulticastDNS gelesen, aber irgendwie will das allein mit dem Aktivieren der Einstellung noch nicht.
Hoffe Ihr könnt mir da etwas auf die Sprünge helfen
zur Zeit sind 60 Mitglieder (davon 1 unsichtbar) und 299 Gäste online - Rekord: 129 Benutzer ()
