Beiträge von maxim.webster

USW-Flex +1

USW-Flex-Mini +2

UAP-Flex-HD +1

Zitat von uboot21

Also mit wechselnden Prefix macht IPv6 auch nicht wirklich Sinn,

Also, vielleicht ist das ja auch nicht der Fall, ich hab ehrlich gesagt noch nie drauf geachtet, ob das Präfix sich seitens Vodafone ändert. Ich hab eben keinen Vertrag mit statischen IPs.

Mit den Gruppen werde ich wohl auch machen, aber doof, das UniFi da keinen einfacheren Weg über symbolische Netzwerk-Namen erlaubt.

Die Unterschiede sind größer. Sie beginnen mit der Verwendung von Unicast-Adresse bei IPv6 und (mittelfristig) wechselndem Präfix und enden bei unterschiedlichen Masken im UniFi Network Controller.

Beispiel LAN/DMZ:

• LAN: 192.168.30.0/24, 2a02:xxxx:1468:bfe0::/64
• DMZ: 192.168.40.0/24, 2a02:xxxx:1468:bfe1::/65

Auf IPv4 Ebene ist die Sache recht einfach und entspricht den Firewall-Regeln von EJ:

LAN In:

1. accept from network LAN to network DMZ
2. reject from private IPv4 addresses to private IPv4 addresses

LAN Local:

1. reject from network DMZ to 192.168.30.1

Bei IPv6 hab ich im UI keine Möglichkeit ein Netzwerk als Source oder Destination zu wählen, ich kann nur IPv6 Address Groups wählen. Für den Aufbau solcher Gruppen verwende ich die aktuellen IPv6 Adressen der Netze, welche ihr Präfix (/59) aber via DHCPv6 von meinem ISP erhalten. Ändert sich das Präfix, sind alle Address Groups hinfällig - und damit auch die Firewall-Regeln.

Und (aktuell) kann ich auch keinen Einfluß auf die Subnet-ID eines Netzes nehmen, es wird einfach hochgezählt (bfe0, bfe1 bis bfff max.)

Moin,

gibt es sowas wie die UniFi Allgemein | Firewall-Regeln by EJ auch für IPv6? Ich hab IPv6 aktiviert und über diesen Weg sind meine non-DMZ Netzwerke wieder aus der DMZ erreichbar. Mindestens das würde ich gerne abstellen.

Gruß

Maxim

Zitat von thghh

Habt ihr eine Idee wie ich einen LAN Rechner begrenzen kann?

Das Microsoft Surface ist doch ein Laptop / Tablet (wenn's nicht das Surface Studio ist). Vielleicht dem Kind einfach den LAN-Adapter wegnehmen, dann greift wieder das WLAN Profil?

Ich finde, es spricht jetzt auch wenig gegen eine LAN-Dose und einen Managed Desktop Switch (Flex, Flex Mini) in der "TV-Bank". Zumal die meisten Fernseher und Media Player immer noch mit 100MBit/s Anschlüssen kommen. Find ich besser als 2-8 fette CAT.7 Kabel zu spannen.

Aber jeder Jeck ist anders ...

Zitat von thghh

Der Client ist per LAN angeschlossen.

Und darum hat es keine Auswirkung. Nur wireless clients.

Zitat

UniFi Network allows you to set bandwidth limits for specific client devices or for a WiFi network, limiting all clients that connect to it.

UniFi - How to Set Traffic Bandwidth Limits

UniFi Network allows you to set bandwidth limits for specific client devices or for a WiFi network, limiting all clients that connect to it. Limits are set per…

help.ui.com

Zitat von thghh

Oder wie kann man einem LAN Rechner eine Bandbreite zuweisen?

Nur WLAN und auch nur für jeden Client im WLAN, nicht für alle Clients des WLANs gesamt.

Also: Mit 50 down, 50 up bekommt jeder Client dieses im WLAN diese Limits gesetzt, 20 Clients können also das Gigabit-WLAN an seine Grenze bringen.

Hier auch keine unmittelbar feststellbaren Probleme. Update wurde per App signalisiert und war in unter 3 Minuten aufgespielt.

Danke. Und kann ich in der UDM Pro irgendwo die WAN IPv6 Adresse einsehen?

Vielen Dank. Der Wiki-Artikel geht nur auf IPv4 ein, liegt die IPv6 Adresse an der Bridge, an der Box oder an beiden? Ich hatte den Eindruck, dass der IPv6 Setup in der FB mein Heimnetz durcheinandergebracht hat, als plötzlich die Fritzbox den DNS gestellt hat (via IPv6).

Und während ich schrieb, tüftelte ich auch und ich glaube die richtigen Einstellungen gefunden zu haben:

"Router Advertisement im LAN aktiv" aus

"DHCPv6-Server in der FRITZ!Box deaktivieren" an

"Das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren" an

DNS ist jetzt wieder auf dem PiHole im LAN (Adresse kommt vom DHCP Server der UDM), Routing IPv4 zeigt auf UDM.

Moin zusammen,

gerade den Discord-Channel zugespammt, jetzt auch hier: Ich hab seit gestern eine FB 6660 Cable von Vodafone im Bridge Modus vor der UDM Pro. Die Bridge liegt am LAN Port 2 der FB an. Der Teil funktioniert super.

Nur- ich will die Management-Oberfläche der FB gerne im LAN erreichbar machen, damit ich nicht immer mit Laptop & Co in den Keller laufen muss, um einen Werbeanrufer zu sperren. Darum habe ich den LAN Port 1 der FB mit einem LAN-Port der UDM Pro verbunden. Dadurch kam es direkt zu Problemen, weil die FB natürlich als Router auftritt und via DHCP Clients mit IP-Adressen aus 192.168.178.x bestückt hat, den DNS auf sich selbst gesetzt hat und den Standard-Gateway für sich reklamiert.

Gleichzeitig kann man die Fritzbox aber nicht als IP-Client einrichten, denn dann wird die Bridge abgeschaltet.

Also habe ich unter Heimnetz -> Netwerk -> Netzwerk-Einstellungen: IPv4 Einstellungen eine statische IPv4 aus meinem LAN eingestellt und DHCP deaktiviert (s. 1. Bild). Aber offenbar reicht das nicht, weil auch IPv6 aktiv ist, bevorzugt wird und immer noch alles durch die Fritzbox LAN 1 geht.

ipconfig auf einem Windows Client im LAN liefert:

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: localdomain
   IPv6-Adresse. . . . . . . . . . . : 2a02:908:1468:7fe0:c191:a870:b907:cfd5
   Temporäre IPv6-Adresse. . . . . . : 2a02:908:1468:7fe0:e4ad:2080:f610:1b39
   Verbindungslokale IPv6-Adresse  . : fe80::c191:a870:b907:cfd5%10
   IPv4-Adresse  . . . . . . . . . . : 192.168.30.138
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::1eed:6fff:fe58:42e4%10
                                       192.168.30.1

nslookup bestätigt die Fritzbox als DNS

Standardserver:  fritz.box
Address:  fd00::1eed:6fff:fe58:42e4

Und das Routing via IPv6 geht über die Fritzbox und via IPv4 funktioniert es gar nicht:

tracert -6 www.google.de

Routenverfolgung zu www.google.de [2a00:1450:4001:80e::2003]
über maximal 30 Hops:

  1     1 ms     1 ms     1 ms  fritz.box [2a02:908:1468:7fe0:1eed:6fff:fe58:42e4]
  2    10 ms     8 ms     8 ms  2a02:908:1400:6::1
  3     8 ms     9 ms     7 ms  2a02:908:0:10e::1
  4    19 ms    14 ms    17 ms  de-fra04d-rc1-lo0-0.v6.aorta.net [2001:730:2d00::5474:8015]

tracert -4 www.google.de

Routenverfolgung zu www.google.de [172.217.16.131]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  Dream-Machine-Pro.fritz.box [192.168.30.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     9 ms     8 ms    10 ms  de-kre01-cr06-eth-6-0-1060.kre.unity-media.net [81.210.132.50]
  4     *        *        *     Zeitüberschreitung der Anforderung.

Es gibt für IPv6 in der Box auch diverse Einstellungen, aber ich habe echt keine Ahnung von IPv6 und würde es intern am liebsten ausschalten. Kann mir jemand die korrekten Einstellungen nennen? Alternativ bleibt mir nur das LAN-Kabel zwischen FB und UDM zu trennen und die FB UI über den myfritz-Dienst oder ähnliches zugänglich zu machen.

Gruß

Christoph

IPv4 Fritzbox

IPv6 Fritzbox

Moin,

ich habe mein Netzwerk neu mit UniFI Geräten (u.a. UDM Pro) aufgestellt und dabei auch eine DMZ eingerichtet. Genau hier habe ich jetzt ein Problem:

Ein DMZ Rechner (IP 192.168.31.110) ist mittels Port-Freigabe auf Port 80 & 443 aus dem Internet erreichbar. Dort laufen unter anderem zwei Web-Services in Docker-Containern:

• Wordpress CMS (http://www.example.com)
• Matomo Analytics (http://stats.example.com)

Das CMS ist mittels Plugin mit Matomo verbunden, bedeutet im Rahmen des Requests auf das CMS wird eine serverseitige Verbindung zu Matomo versucht. Das scheitert aber, es kommt keine Verbindung zustande. Prüfen kann ich das, indem ich mich auf den Wordpress Container aufschalte (docker exec) und "curl -Ivvv https://stats.example.com" ausführe. Es erscheint:

*   Trying 95.222.62.xxx:443...

Die Namensauflösung funktioniert, 95.222.62.xxx:443 ist meine WAN IP. Aber Verbindung kommt nicht zustande.

Wenn ich die IPs für http://www.example.com und stats.example.com im Container auf 192.168.31.110 setze (via /etc/hosts), dann funktioniert die Verbindung.

*   Trying 192.168.31.110:443...
* Connected to stats.example.com (192.168.31.110) port 443 (#0)

Vermutlich ein fehlerhaftes Routing oder Firewall, wo kann ich suchen bzw. welche weiteren Informationen kann ich bereitstellen?

Mal eine vielleicht blöde Frage: Die UniFi Geräte kommen alle nur mit einem Quickstart-Manual und eine Online-Hilfe in der UI der Geräte gibt es auch nicht. Wo findet man denn weiterführende Informationen zu den Einstellungen und Möglichkeiten, z.B. einer UDM Pro? Also z.B. mehr Hilfestellung zu Optionen wie ...

Zitat

Multicast DNS

Enables the mDNS reflector service on UniFi Security Gateways

UDM Pro

USW-16-PoE

USW Flex Mini (3er Pack)

alle direkt bei Ubiquiti, waren aus den Niederlanden in unter 12h bei mir.

Moin,

ich hab noch eine 2TB HDD hier rumfliegen, kann ich die auch ohne aktiviertes Protect in der UDM Pro sinnvoll nutzen?

Also, kann die UDM darauf Protokolle aufzeichnen, oder „Dinge“ auslagern oder die sogar als NAS/SAN freigeben?

Zitat von Tuxtom007

Für mich ist die Miet-FB derzeit die beste Lösung in Sachen Telefonie, weil das ohne große Krampf funktioniert.

Gut, danke für das Feedback. Die 6591 gibt es allerdings nicht mehr bei VF, aktuell wird die 6660 vergeben. Und - du hast echten Dual Stack oder DS-Lite?

Zitat von maxim.webster

So kann ich aktuell nur analoge Telefone an den Fon-Ausgang der Station anschließen. Gleichzeitig soll das Endgerät im Bridge Modus betrieben werden

Wobei das ja völlig egal ist, ob Bridge oder nicht. Die VF Station hat nur analoge Telefonie und klingt immer wie aus den 80ern.

Zweifel hab ich auch, darum suche ich ja Wissen. Die VF Station lässt problemlos und ganz offiziell in den Bridge Modus bringen.