Beiträge von graefe

Zitat von gierig

Weil das Dreckiges Setup ist. Das wird zwar gerne oft und viel empfohlen auch von SIP Anbietern

ist aber im Grunde nur ein Aufreißen eines Loches, da ohne weitere Firewall dann jeder zugriff auf

den Port hat aus der ganzen Welt. Alle Provider kommen mittlerweile gut klar mit Endkunden hinter

NAT / GNAT. Die Hochwohlgeborneren die nur Ihre Endgeräte zulassen wollen und nur da SIP geht

Weil direkt am Netz hängt mag es noch geben aber die Sterben auch langsam aus.

LyriC  gierig

Die GO-Box läuft erst richtig zuverlässig, seitdem ich das Port-Forward explizit herausgenommen habe. Ich schätze dass die Sicherheitsfunktionen der UDM die Ports oder bestimmte Server in der Vergangenheit geschlossen haben, wenn verdächtige Zugriffe über den Port festgestellt worden sind. Das führte dazu, dass die Go-Box-Kommunikation mit dem SIP-Server gestört wurde.

Tja, Go Box und Unifi ist so eine Sache… Warum hast Du denn explizit kein Port-Forward von 5060 und 5061 UDP auf die Go Box?

Ich habe für die Go Box ein eigenes VLAN aufgebaut und die Go Box statisch auf eine IP angemeldet. Als DNS-Server in der UDM immer automatisch bzw. bei der Go Box die IPs, die der Telko anbietet.Bei mir läuft es relativ gut - aber nicht perfekt. Mit DNS-Shield und Ad-Blocking und „Eindringschjtz“ macht die UDM eben auch viele Sachen, die niemand so ganz durchschaut. Die Probleme lassen sich leider nicht reproduzieren, sie treten einfach alle paar Wochen mal auf. Wenn meine Frau nicht hauptsächlich mit Handy telefonieren würde, gäbe es hier auch Ärger.

Zitat von apfelmeister

1. In der Unifi GUI unter "VPN>VPN Server" einen WireGuard Server anlegen. Private/Public werden automatisch generiert, IP Address ist die feste IPv4 WAN IP (es kann aber auch die interne Transit-IP sein wenn der davor geschaltete Router das Port weiter leitet, dann kann die tatsächliche WAN Adresse auch eine dynamische sein)

Ich verstehe die Formulierung nicht bzw. hier scheinen mir Schritte übersprungen worden zu sein. Wenn keine feste IPv4 existiert, "es kann aber auch die interne Transit-IP sein" - also die 10.12.13.1 eintragen? Dafür muss ich zunächst auf manuelle IP-Eingabe umschalten. Und wenn ich die Transit-IP (10.12.13.1 und Port 1099) eingebe, erscheint eine Fehlermeldung: "IP-Adresse muss einem lokalen Netzwerk oder WAN zugewiesen werden".

Was tun? Wie geht diese "Zuweisung"? "wenn der davor geschaltete Router das Port weiter leitet" - was ist damit gemeint? Port-Forwarding bei der UDM erstellen?? Und was soll dort eingetragen werden? Port 1099 soll auf 10.12.13.1 geforwardet werden? Bitte um Klarstellung! Vielen Dank!

So, jetzt tatsächlich ein eigenes VLAN für die GO Box aufgemacht. Das VLAN hat kein DHCP, die GO Box-Netzwerkeinstellungen sind statisch, inkl. den entsprechenden Nameserver-IP-Adressen. Scheint jetzt zu funktionieren. Adblock ist eingeschaltet, sogar DoH ist eingeschaltet und „verdächtige Aktivitäten“ einfach auf „automatisch“. Trotzdem läuft alles.

Merkwürdig, warum das eigene VLAN alle Problem zu lösen scheint, obwohl die GO Box im alten Netzwerk auch nicht im Bereich des DHCP-Servers angemeldet war.

Ich habe jetzt bei meiner Go-Box die Netzwerkeinstellungen auf "Statisch" gestellt und die bekannten O2-Nameserver (62.109.121.2 und 62.109.121.1) eingetragen. In der UDM bekommt die GoBox eine feste IP zugewiesen. Die Nameserver-Adressen weiterhin "automatisch" bezogen. Auf jeden Fall muss DNS-Shield (DoH) abgestellt werden. AdBlock darf eingeschaltet bleiben und "Verdächtige Aktivität" auf automatisch bleiben.

Dann eine Anschlussweiterleitung für die VoIP-Ports 5060 und 5061. Ferner habe ich eine Traffic-Regel für die Go-Box erstellt, dass nämlich o.g. Nameserver-IPs immer zugelassen werden (bin nicht sicher, ob das notwendig ist).

Damit läuft es jetzt seit fast 2 Tagen stabil. Endlich...!

Edit: Zu früh gefreut. Jetzt wieder "Anmeldung fehlgeschlagen". Ich kann den SIP-Registrar (sip.alice-voip.de) auch nicht anpingen, weil die Auflösung nicht funktioniert. Wie kann das sein?? Die DNS-Server werden doch vom ISP übernommen! Was macht die UDM denn nur mit meinen DNS-Anfragen!? Aus irgendeinem Grund entscheidet sich die UDM offensichtlich plötzlich, fremde DNS-Server zu verwenden (andere DNS-Server, als vom ISP vorgeschlagen).

jkasten: Jein. Wenn ich das richtig verstehe, wird bei Adblock wieder an den UDM-DNS zurückverwiesen, wenn der Name nicht in der Hostliste des Adblock-DNS ist (Link). Außerdem läßt sich AdBlock ja noch für jedes Netzwerk getrennt einstellen, ließe sich also durch ein VLAN umgehen. Das sollte nicht das große Problem sein.

Das Problem ist vermutlich eher DNS Shield/DoH. Das läßt sich ja leider auch nur global und nicht für einzelne Netzwerke getrennt einstellen. Ich habe versucht, durch Vermeidung von DHCP und statisches Eintragen von Nameservern beim Client (GO Box) dieses Problem zu umgehen. Ohne Erfolg.

Gibts da wirklich keine Möglichkeit, nur diesen speziellen DNS-Traffic vor dem DoH-Server vorbeizuleiten?

Ich verzweifle gerade auch mit diesem System. DShield (DoH) und vielleicht auch AdBlock scheinen die vom ISP zugewiesenen DNS-Adressen außer Funktion zu setzen.

Ich habe auch versucht, die GO Box mit Static Einstellungen vom DHCP zu trennen und DNS-Adressen per Hand einzugeben, in der Hoffnung, dass DoH und AdBlock nicht greifen. Das klappt mal einen Tag (vermutlich durch einen DNS-Cache), dann wieder nicht. Läßt die UDM Nameserver-Anfragen überhaupt durch?

Dass die zugewiesenen Nameserver-Adressen nicht den bekannten Nameservern entsprechen - was soll denn das? Und klappt das denn jetzt auf Dauer, oder werden Nameserver-IPs regelmäßig verändert? Dann würde man ja sein ganzes Internet regelmäßig lahmgelegen.

Eine weitere Idee wäre es, die sip-Registrar-Adressen nicht über ihren Namen, sondern als aufgelöste IP anzugeben. Ich befürchte aber, dass das bald zu Probleme führen würde, wenn die IP-Adressen vom ISP geändert werden.

Static die Nameserver zuweisen hat einen Tag später auch nicht mehr geklappt. Ich nehme an, dass die DNS-Pakete von der UDM geblockt werden. Jetzt habe ich für die beiden O2-Nameserver auch noch eine Traffic-Regel angelegt. Ich hoffe dass es jetzt funktioniert. Mal gucken…

Wie ich bereits geschrieben habe, hatte ich bereits die O2-Nameserver in den Internet-Einstellungen eingetragen - ohne Erfolg.

Ich glaube DoPe meinte, dass auch die Telekom ihre eigenen SIP-Adressen nur mit den eigenen Nameservern auflösen läßt.

Oh weh, die Auflösung hat nur vorübergehend funktioniert, nachdem ich die Nameserver-Einstellungen meines Computers auf die O2-Nameserver umgebogen habe. Nachdem ich wieder auf DHCP und somit UDM zurückgestellt habe, geht die Auflösung wieder nicht. Scheint also nur ein vorübergehendes Cache-Phänomen gewesen zu sein.

Es bleibt dabei: sip.alice-voip.de läßt sich über die UDM nicht auflösen! Hätte mich ja sehr interessiert, warum das so ist.

Wie auch immer: Ich habe das Problem jetzt so gelöst, indem das SIP-Gerät nicht mehr DHCP nutzt, sondern per Static die IP und explizit die O2-Nameserver zugewiesen bekommt.

Hallo,

ich muss zur Nutzung von SIP mit O2 den Servernamen sip.alice.de auflösen. Dafür muss ich zwingend die Nameserver von O2 benutzen. Ein Ping funktioniert bei mir einfach nicht.

Ich habe die Internet/WAN-Einstellungen für DNS-Server von automatisch geändert und zwei bekannte Nameserver von O2 eingetragen (62.109.121.2 und 62.109.121.1). Der DNS-Filter (Inhaltsblocker) der UDM ist deaktiviert. Ping geht immer noch nicht.

Ich würde jetzt gerne wissen, was da bei der Namenauflösung wirklich passiert und welche Nameserver meine UDM wirklich benutzt. Wie kann ich das herausbekommen (ohne direkt Wireshark einsetzen zu müssen)?

Danke für Tipps!

Ich glaube mein aktiviertes DNS-Shield (DoH) ist der Schuldige. Schon dämlich Einstellung von O2, die Nutzung der eigenen Nameserver als Voraussetzung für VoIP zu machen.

Zitat

Added support hostname support for IPsev Site-to-Site VPNs.

Heißt das, dass man endlich IPsec mit DynDNS-Hostnames benutzen kann??

Edit: Offensichtlich ja! Krass, dass ich das noch erleben darf…

PS: Version ist jetzt Release

Zitat

Reserved the 192.168.1.20 DHCP lease which is used as the UniFi devices fallback address.

Warum haben die ausgerechnet so eine „Normalo-IP“ als Fallback ausgewählt?! Bei mir hängt da das NAS, das als Backup-Ziel für viele Anwendungen dient. Das wird Arbeit, das alles umzustellen…

Wireguard mit Teleport und WiFiMan-App gab’s ja schon mit der 1.x. Neu bei 3.x ist ja gerade, dass man die WiFiMan-App nicht mehr braucht, sondern man die „offizielle“ Wireguard-App benutzen kann (und somit auch mit Intel-Macs). Aber irgendein Client muss natürlich vorhanden sein. Unter iOS integriert sich ja sowohl WiFiMan als auch die Wireguard-App recht schön im System.

Zitat von Loomis

Jo… läuft zumindest Client auf UDM. Ärgere mich gerade mit Site to site ab.

Bei Site-to-Site wird bei mir nur OpenVPN und IPSec angeboten, aber kein Wireguard. Und immer noch keine DynDNS-Unterstützung…

In der UDM läßt sich für Clients mit echter statischer IP (außerhalb des DHCP-Bereichs) „fixed IP“ anklicken. Was ergibt das für einen Sinn?

Achso, Du meinst auf Client-site. Ja, das kann ich ausschließen.

Ich habe allerdings sowohl beim Client eine statische IP eingetragen als auch in den UDM-Einstellungen für den Client „fixed IP“ ausgewählt (wofür diese Einstellung gut ist, obwohl die genutzte IP gar nicht vom DHCP-Server genutzt wird, ist mir auch schleierhaft).

Die UDM verhindert doch eine doppelte feste Vergabe einer IP. Oder wie meinst Du das?

Letztendlich gleicht mein Problem diesem hier - bei mir eben bei einem Gerät mit fester IP. Wenn ich das Gerät anpinge, dann erscheint es in der Liste. Und der Port der UDM ist auch aktiv.

...und jetzt ist es wieder aus der Anzeige verschwunden! Merkwürdig!

So, seit dem UDM-Update auf 2.5 wird das Device auch in der UDM angezeigt. War also wohl eher ein Bug als ein Konfigurationsproblem.