Beiträge von alex

Mach mal ein Tracert auf eine lokale IP Adresse.

Ich habe leider keine USG zur Hand. Aber ich vermute das es alles einzele Regel sein werden:

LAN -> vlan 10 allow

LAN -> vlan 20 allow

...

Das findest Du alles in der firewall Policy

Zitat von franco1990

da lüppt leider gar nix

Bitte mehr Fleisch am Knochen liefern unsere Glaskugeln sind aktuell alle ausgeliehen an die Virologen.

Hallo,

Also das ganze beginnt früher... als beim Wireless.

In der Firewall musst Du definieren, welches vlan auf welche Netze kommt, danach musst Du nur noch die Wireless SSID in das richtige vlan legen.

Zum Beispiel gäste Netzwerk:

Firewall Policy:

Gäste vlan50 -> WAN: allow

SSID: gäste wirless in vlan 50

Zum Beispiel Admin

--

Firewall Policy:

Lan -> vlan 10,20,30,40: allow

SSID: Admin in vlan 1

Hallöchen,

Gerne doch - Schreibe nicht viel, aber denn wenn ich Schreibe sollte der Knochen schon Fleisch bieten können

Zitat von Maddeen

Wobei ein "Client" nach deiner Erklärung aber auch ein andere Switch oder ein AP sein könnte.

Diese Aussage ist korrekt.

Zitat von Maddeen

Denn das bedeutet, dass das bei mir schon mal nie vorkommen wird. Normale Clients (Consumer-Endgeräte wie iPads, iPhones, Smart-Home Geräte usw) haben diese Einstellungsmöglichkeiten gar nicht - jedenfalls ist mir noch nie eines unter die Augen gekommen.

Windows 10 kannst Du zum Beispiel die vlan ID mitgeben.

Ein vlan tagging brauchst Du eigentlich Client Umfeld nur in einem Szenario: Wenn Du VoIP einsetzt und die Telefone in einem anderen vlan sind als der Client mit der Bedingung es hängt alles an einem Kabel (Zb Wanddose -> Kabel -> Telefon -> Kabel -> PC) Ansonsten brauchst Du vlan Tagging im Client bereich nicht.

Wo man es viel braucht ist bei Virtualisierung Lösungen, beim Router/Gateway und Uplinks bei den Switches

Zitat von Maddeen

Ok - das wusste ich z.B. nicht. Ich dachte, dass jedes VLAN automatisch auch seinen eigenen Adressbereich bekommen muss, der natürlich nicht in einem bereits bestehenden Adressbereich liegt.

Da hast Du mich missverstanden - Also weiter ausgeholt ist es möglich das Du die gleiche IP Subnetze in den vlan machst - Aber die haben dann nichts miteinander zu tun, wie auch nicht einmal den gleichen Gateway/Router.

Kurz: Wenn Du von einem in das andere Netzwerk willst und/oder den gleichen Router hast dann musst Du zwingend unterschiedliche Netzwerke haben.

Zitat von Maddeen

Das bedeutet aber auch, dass man (kabelgebundene) Endgeräte nur in ein definiertes VLAN bekommt, wenn man die "untagged" Variante wählt - da ja (wie oben erklärt) die Clients gar keine Möglichkeiten bieten, diese via tagged VLAN anzubinden... korrekt?

Untagged oder eben native Netzwerke sind genau diese, welche Du reinsteckst und ohne das Du was machst bist Du in diesem Netzwerk drin.

Hallo,

Ach schade das es nicht auf Anhieb klappte - bin aber überzeugt das wir die Sky Bude rocken.

Wohlgemerkt ich mache das alles ohne das ich so ein Produkt zu Hause habe zum es testen.

Mach nur einmal icmp auf zum testen. Respektive mach alle Ports kurz auf, auf den Recivier. Das könnte dann aber nicht so bleiben, so wüssten wir gerade direkt ob es an einem Port liegt oder nicht.

was hast Du bei icmp snooping drin ?

ps. Bin gerade das Weekend ein wenig unterwegs - kann gerade nicht so gut helfen

Hallo

Du hast Recht - das steht da. Denke aber nicht das es geht. Aktuell habe ich keine usg mit welchem ich das testen könnte. Auch nicht die cli - da findest aber viel im Internet.
vielleicht könnte das jemand anders mit usg testen.

Lg Alex

Hallo Renegade,

Traffic Shapping hat aktuell die USG nicht integriert - respektive nicht im GUI - Dies kann man bei Unifi aktuell nur auf den AP machen:

https://help.ui.com/hc/en-us/a…-Traffic-Bandwidth-Limits

Bei der USG solltest Du mit der CLI und traffic-policy das Problem lösen.

LG Alex

Hallo Zusammen,

Mein Vorredner hat absolut recht - Ich möchte dies nur noch ein wenig Ausführen.

Die Einstellung musst Du hier vornehmen:

Das Problem ist, das Du die USG adoptiert hast und danach wurde die Konfig drauf geschrieben, diese wurde vom Controller übernommen und in der LAN Setting war halt die 192.168.1.1 drin.. Also das alles abändern auf Dein Netzwerk und dann wird es klappen. Bedenke bitte wenn Du das machst Das Du in dem moment Duplicate IP generierst mit der Fritzbox - Die muss also dann weg Oder Du verwendest eine andere Adresse als die .1 oder so.

LG Alex

Hallo,

Ich habe nicht alles gelesen, aber ich denke ich kann Dir das Problem lösen.

Kannst Du folgendes bauen

Von aussen auf die IP des Reciver eine Firewall Policy wie auch Nat mit den Ports 5320,5340 und 5360 - Dann sollte es klappen mit Deinem Reciver.

LG Alex

Hallo,

Im Grundsatz ein guter Post, aber als unteranderem CCIE muss ich in einigen Punkten Wiedersprechen, da es nicht wirklich der Tatsachen Entspricht. Beginnen wir von vorne:

Für was gibt es eigentlich VLAN

Ganz Früher (Vor vlan) musste man für jedes Netzwerk, welches man betreibt eine eigene Switch Infrastruktur betreiben. Zum Beispiel ein Switch für Interne Clients und Server und Ein Switch für Gast Wireless.

Mit vlan hat man also die Möglichkeit ein Virtueller Switch zu betreiben und dies über Switches (egal welcher Hersteller / vlan funktion muss vorhanden sein) hinweg - Solange eine Layer 2 Verbindung vorhanden ist.

Kurz: Jedes VLAN ist ein virtueller Switch (Virtual local area network)

Zitat von Maddeen

TAGGED VLANs sind "softwarebasiert". Sprich die Pakete (also den Inhalt den man von A nach B transferieren möchte) die ein Client im Netzwerk verschickt bekomme beim Weg über den Switch zusätzliche Informationen.

Die Erkennung welcher Client welches "Tag" bekommt, basiert dabei auf der MAC-Adresse. Somit kann man z.b. über einen physikalischen Port, mehrere VLANs betreiben.

Dies basiert nicht auf MAC Adressen - Das was Du erklärst auf MAC Basis ist etwas anders - erklär ich später vielleicht noch. Wenn man ein Client hat, welche man zb manuel im Client eingibt er soll auf vlan 100 sein, dann wird jedes Paket, welches den Client verlässt den vlan Header ID 100 hinzugefügt. Im folgenden Bild als 802.1Q Header markiert.

Wo wird Tagged vor allem gebraucht

- Uplinks zwischen des Switches

- Uplinks auf Access Points, welche mehrere SSID aussenden

- Uplinks auf HyperV oder ESX Farmen, welche Server in verschiedenen Netzwerk betreiben

- VoiP Telefone

- Liste nicht abschliessend

Kurz gesagt: Wenn ein Switch ein Tagged Vlan hat erfordert es immer ein Eingriff auf dem Client, dass er in dieses vlan kommt

Zitat von Maddeen

UNTAGGED VLANS sind "hardwarebasiert". Hier wird ein physikalischer Port fest einem VLAN zugeordnet.

Der Vorteil dabei ist, dass egal welches Gerät den Port nutzt, es automatisch dem hinterlegten VLAN zugeordnet wird. z.B. gut für Hotels oder so, wo die Ports für die Gäste frei zugänglich sind, aber man natürlich nicht möchte, dass ein Gast sich in ein andere VLAN "einwählen" kann.

Hardware basiert ist heute eigentlich nichts mehr, aber ja ich weiss was Du meinst und stimme diesem mal grundsätzlich zu. Das sich ein Gast nicht auf ein anderes vlan einklicken kann, setzt dies aber voraus das der Switch Port, dieses VLAN auch nicht kennt, respektive ein Forbidden drauf hat. Wenn ZB die Unifi Standard Einstellung mit "ALL" daher kommt, kann der geübte User auf jedes VLAN theoretisch switchen mit seinem Client.

Zitat

UNTAGGED VLANS kann ich direkt am jeweiligen Port setzen. Sprich ich gehe auf die Konfig der jeweiligen Komponente (UDM / USW / AP usw) wähle im Reiter "Ports", wähle dann den jeweiligen physischen Port aus und setze unter "Switch Port Profile" das VLAN, welches ich dem Port fest zuweisen will. (siehe Screenshot = Beispiel_config_untagged.png)

Das ist auch die Variante, die ich für meinen Server und MacMini (Home_VLAN) und meine PS4, meine ATVs und meine SkyQ Receiver (IoT_VLAN) gewählt habe.

Hier kann ich neben einer 1:1 Zuweisung zu einem bestehenden Netzwerk auch noch ALL / DISABLED auswählen. (siehe Screenshot Switch_Profiles)

Hier wäre schon die nächste Frage - nämlich was bewirkt "Disabled"? Läuft der Port dann als "freier Radikaler" ohne eine Verbindung zu einem Netzwerk oder wird der Port tatsächlich "physisch" disabled - also abgeschaltet?

Zu den o.a. default Einstellungen kann man sich aber auch VLAN-Gruppen bauen. Das geht über sog. "Switch-Profiles" (siehe SW_Profile_config)

Hier kann man dann (sofern ich das richtig verstanden habe) mehre Netzwerke zu einer Gruppen zusammensetzen, sodass das man einem Port nicht nur 1:1 zu einem Netzwerk sondern 1:n Netzwerken verbinden kann.

Hier wäre die Frage nach dem Unterschied/Sinn zwischen Native Network und Tagged Network.

Wo wäre der Unterschied, wenn ich als native Network = Home_LAN nehme und dann bei tagged Network das Häckchen bei IoT_LAN setze im Vergleich zu native Network = IoT_LAN und tagged Network = Home_LAN nehmen?

Alles anzeigen

Disabled - ist ein Port Shutdown - Da kannst Du einstecken was Du willst, da kommt nichts mehr hoch, es blinkt also nichts mehr

All - Die unschöne standard Einstellung von Unifi. Mit dieser Einstellung hast Du alle VLANs auf diesem Port. Diese Einstellung kannst Du in der Regel auf Uplinks zwischen den Switches brauchen.

Native Network - Ist das gleiche wie Untagged. Es ist das Netzwerk, welches ohne Konfigruation am Client aktiv ist. Es gibt dann noch zum weitere Führen die PVID.

Ich baue zum Beispiel wenn ich ein VMware Server ein ESX Profil, welches nur die vlan drauf hat, welche er benötigt... Meistens zum Beispiel braucht er das Gäste vlan ja nicht, weil ich da drin ja auch keine Server betreibe.

Bei den Client Switches stelle ich alle Ports auf ein Client Profil um, bis auf den Uplink, welcher von mir aus ein "ALL" hat oder ein eigens Uplink Profil...

Als Beispiel ein Access Point Profil:

Das Management des AP ist im vlan 1 und das Gäste Wireless im 996. Somit is native vlan 1 und tagged 996.

Zitat

Kommen wir jetzt zu den TAGGED VLANs.

Hier verstehe ich ehrlich gesagt schon gar nicht, wo ich das einstellen muss/kann oder ich befürchte eine doppelte Konfiguration.

Denn das einzige, was ich gefunden habe, wo man noch etwas mit VLANs machen kann, ist am Client selber. Wenn ich nämlich (und das habe ich für alle meine Geräte) eine feste DHCP Konfiguration setze.

Ich kann ich nämlich (warum auch immer) nicht bei VLAN = ALL setzen - sondern wenn ich eine feste IP vergeben will, muss ich auch zwangsläufig, ein VLAN definieren. (siehe Skyq_config)

Sollte also das die Lösung für TAGGED VLAN sein, frage ich mich, wie es sich in diesem Fall verhält, da ich den Port ja schon untagged habe.

Und die nächste Frage ist (wann man auch in meinem Sky-Problempost lesen kann) warum - wenn das die tagged VLAN lösung ist, ich meine SKY Receiver nicht in das korrekte VLAN damit bekomme.

Ich muss quasi immer den port fest zuweisen - wenn ich das nicht mache und das nur hier in der client-config mache, kommen die Geräte immer ins Mgmt-VLAN...

Alles anzeigen

Pro vlan wird ein eigener DHCP Server betrieben durch die USG. Damit er weiss in welchem Range er die Reservierung machen muss, musst Du das vlan eingeben. Ja man könnte es auch an die bereits vergebene IP Adresse binden, aber so kannst Du ein Client ins neue Netz migrieren ohne das Du ihn verlierst.

Du vermischt nun zwei Sachen das eine ist DHCP und das andere ist vlan. DIe Port Einstellung welches vlan machst Du immer noch auf dem Switch

Nachtag: Um auf die MAC Adresse noch zu kommen betreffend VLAN. Es gibt proprietäre Lösungen, bei welchem Du zb die MAC Range definierst von den Yealinks Telefon und sobald die daherkommt wird der Switch Port umkonfiguriert. Das macht der Switch in einem Makro dann selber. Die Basis Konfiguration sieht dann in etwa so aus:

Die Definition der Hersteller oder der Geräte:

und hier dann das Makro

So ich hoffe ich konnte hier Licht ins Dunkle bringen.

LG Alex

Hallo,

Also PPTP ist ein totes Protokoll, da es als unsicher gilt - dies nur einmal vorab..

Wenn ich Dein Setup richtig verstehe hast Du die externe IP Adresse auf Deiner USG - Ist das korrekt? DIe Frage welche sich hier gerade eröffnet ist wieso macht nicht die USG das VPN ?

Klingt aber ein wenig danach das Du das NAT nicht eingerichtet hast.

LG Alex

Also,

Ich versuche dies nochmals anders zu erklären:

- Du machst das NAS ins vlan 60

- Machst ein Share am Besten NFS, sonst musst ISCSI nehmen, auf dem NAS mit dem Namen "VM"

- Proxmox ins vlan 60 machen

- Proxmox ADD Storage, das NAS NFS hinzufügen.

Nun hast Du ein Proxmox Server, welcher die VM DISK auf dem NFS des NAS abgelegt..

Jetzt kannst Du eine VM erstellen auf dem Proxmox und diese in jedes vlan machen. So funktioniert es..

Hallo,

Ich glaube wir reden an einander vorbei. Wenn Du in der VM " MotionEye" Daten brauchst und nicht willst das die über die Firewall gehen, dann musst Du wie oben erklärt vorgehen. Das heisst im proxmox erstellst Du eine Virtuelle Disk, welche auf dem NAS im vlan 60 liegt.

Hallo Alex1984,

Ich bin nicht ganz sicher ob ich Dich richtig verstehe. Deshalb fasse ich das Setup einfach mal Zusammen

NAS: untagged ID 60

Proxmox Host: untagged ID 60

So funktioniert der Proxmox Host und Du kannst das NAs einbinden, so das es den Speicher für die VMS frei gibt. Zum Beispiel sieht denn das so aus:

Nun musst Du natürlich noch weitere Netzwerke bauen im Proxmox:

In welchem denn die VMS Ihre Netzwerk Adapter bekommen:

Zusammenfassung:

- Jede VM macht Traffic in Ihrem VLAN und sobald Sie diese verlässt braucht Sie ein Router. In Deinem Fall die USG.

- Jede VM läuft auf dem Proxmox, welcher die Daten über vlan 60 vom NAS bezieht.

Konnte ich Deine Frage Beantworten ?

LG Alex

Wende Dich an Dein Hersteller vom Receiver. So wie es aussieht möchte dieser ein Login, wenn Du nicht aus dem gleichen Netzwerk kommst.

LG Alex

Entferne :8443 von Deiner Controller URL, dann solltest Du auf etwa die Seite kommen:

Dort auf Manage Dream Maschine -> Einloggen -> Settings -> Hardware und dort solltest Du dann "Reboot" sehen.

Zum Beispiel hier:

Also,

Dann würde ich einmal wie folgt vorgehen:

Sicherstellen das DYNDNS Name die richtige IP Adresse auflöst.

Danach mal Den Kollegen Fragen was er für eine Ip kriegt, wenn er Deine DYNDNS Name pingt

Ping vom AP aus...

AP mal neustarten

Sicherstellen auf was Die AP connection auf DYNDNS oder auf IP.

LG Alex

Ein Fall für die Glaskugel....

... Wo steht der Contoller ?

... Wo steht die Site ?

... Was meint zb ein AP vond er Site, hat er dei Inform Adresse noch..

... Kannst den Controller erreichen ?

... und und und und

Sorry, das ist ein reines Ratespiel... Wenn es vorher ging und jetzt auf einmal nicht, würde ich den Fehler an der Site schauen, welche den fehler hatte. Andere Externe IP Adresse vom Controller.. etc...