Beiträge von graefe

So, jetzt tatsächlich ein eigenes VLAN für die GO Box aufgemacht. Das VLAN hat kein DHCP, die GO Box-Netzwerkeinstellungen sind statisch, inkl. den entsprechenden Nameserver-IP-Adressen. Scheint jetzt zu funktionieren. Adblock ist eingeschaltet, sogar DoH ist eingeschaltet und „verdächtige Aktivitäten“ einfach auf „automatisch“. Trotzdem läuft alles.

Merkwürdig, warum das eigene VLAN alle Problem zu lösen scheint, obwohl die GO Box im alten Netzwerk auch nicht im Bereich des DHCP-Servers angemeldet war.

Ich habe jetzt bei meiner Go-Box die Netzwerkeinstellungen auf "Statisch" gestellt und die bekannten O2-Nameserver (62.109.121.2 und 62.109.121.1) eingetragen. In der UDM bekommt die GoBox eine feste IP zugewiesen. Die Nameserver-Adressen weiterhin "automatisch" bezogen. Auf jeden Fall muss DNS-Shield (DoH) abgestellt werden. AdBlock darf eingeschaltet bleiben und "Verdächtige Aktivität" auf automatisch bleiben.

Dann eine Anschlussweiterleitung für die VoIP-Ports 5060 und 5061. Ferner habe ich eine Traffic-Regel für die Go-Box erstellt, dass nämlich o.g. Nameserver-IPs immer zugelassen werden (bin nicht sicher, ob das notwendig ist).

Damit läuft es jetzt seit fast 2 Tagen stabil. Endlich...!

Edit: Zu früh gefreut. Jetzt wieder "Anmeldung fehlgeschlagen". Ich kann den SIP-Registrar (sip.alice-voip.de) auch nicht anpingen, weil die Auflösung nicht funktioniert. Wie kann das sein?? Die DNS-Server werden doch vom ISP übernommen! Was macht die UDM denn nur mit meinen DNS-Anfragen!? Aus irgendeinem Grund entscheidet sich die UDM offensichtlich plötzlich, fremde DNS-Server zu verwenden (andere DNS-Server, als vom ISP vorgeschlagen).

jkasten: Jein. Wenn ich das richtig verstehe, wird bei Adblock wieder an den UDM-DNS zurückverwiesen, wenn der Name nicht in der Hostliste des Adblock-DNS ist (Link). Außerdem läßt sich AdBlock ja noch für jedes Netzwerk getrennt einstellen, ließe sich also durch ein VLAN umgehen. Das sollte nicht das große Problem sein.

Das Problem ist vermutlich eher DNS Shield/DoH. Das läßt sich ja leider auch nur global und nicht für einzelne Netzwerke getrennt einstellen. Ich habe versucht, durch Vermeidung von DHCP und statisches Eintragen von Nameservern beim Client (GO Box) dieses Problem zu umgehen. Ohne Erfolg.

Gibts da wirklich keine Möglichkeit, nur diesen speziellen DNS-Traffic vor dem DoH-Server vorbeizuleiten?

Ich verzweifle gerade auch mit diesem System. DShield (DoH) und vielleicht auch AdBlock scheinen die vom ISP zugewiesenen DNS-Adressen außer Funktion zu setzen.

Ich habe auch versucht, die GO Box mit Static Einstellungen vom DHCP zu trennen und DNS-Adressen per Hand einzugeben, in der Hoffnung, dass DoH und AdBlock nicht greifen. Das klappt mal einen Tag (vermutlich durch einen DNS-Cache), dann wieder nicht. Läßt die UDM Nameserver-Anfragen überhaupt durch?

Dass die zugewiesenen Nameserver-Adressen nicht den bekannten Nameservern entsprechen - was soll denn das? Und klappt das denn jetzt auf Dauer, oder werden Nameserver-IPs regelmäßig verändert? Dann würde man ja sein ganzes Internet regelmäßig lahmgelegen.

Eine weitere Idee wäre es, die sip-Registrar-Adressen nicht über ihren Namen, sondern als aufgelöste IP anzugeben. Ich befürchte aber, dass das bald zu Probleme führen würde, wenn die IP-Adressen vom ISP geändert werden.

Static die Nameserver zuweisen hat einen Tag später auch nicht mehr geklappt. Ich nehme an, dass die DNS-Pakete von der UDM geblockt werden. Jetzt habe ich für die beiden O2-Nameserver auch noch eine Traffic-Regel angelegt. Ich hoffe dass es jetzt funktioniert. Mal gucken…

Wie ich bereits geschrieben habe, hatte ich bereits die O2-Nameserver in den Internet-Einstellungen eingetragen - ohne Erfolg.

Ich glaube DoPe meinte, dass auch die Telekom ihre eigenen SIP-Adressen nur mit den eigenen Nameservern auflösen läßt.

Oh weh, die Auflösung hat nur vorübergehend funktioniert, nachdem ich die Nameserver-Einstellungen meines Computers auf die O2-Nameserver umgebogen habe. Nachdem ich wieder auf DHCP und somit UDM zurückgestellt habe, geht die Auflösung wieder nicht. Scheint also nur ein vorübergehendes Cache-Phänomen gewesen zu sein.

Es bleibt dabei: sip.alice-voip.de läßt sich über die UDM nicht auflösen! Hätte mich ja sehr interessiert, warum das so ist.

Wie auch immer: Ich habe das Problem jetzt so gelöst, indem das SIP-Gerät nicht mehr DHCP nutzt, sondern per Static die IP und explizit die O2-Nameserver zugewiesen bekommt.

Hallo,

ich muss zur Nutzung von SIP mit O2 den Servernamen sip.alice.de auflösen. Dafür muss ich zwingend die Nameserver von O2 benutzen. Ein Ping funktioniert bei mir einfach nicht.

Ich habe die Internet/WAN-Einstellungen für DNS-Server von automatisch geändert und zwei bekannte Nameserver von O2 eingetragen (62.109.121.2 und 62.109.121.1). Der DNS-Filter (Inhaltsblocker) der UDM ist deaktiviert. Ping geht immer noch nicht.

Ich würde jetzt gerne wissen, was da bei der Namenauflösung wirklich passiert und welche Nameserver meine UDM wirklich benutzt. Wie kann ich das herausbekommen (ohne direkt Wireshark einsetzen zu müssen)?

Danke für Tipps!

Ich glaube mein aktiviertes DNS-Shield (DoH) ist der Schuldige. Schon dämlich Einstellung von O2, die Nutzung der eigenen Nameserver als Voraussetzung für VoIP zu machen.

Zitat

Added support hostname support for IPsev Site-to-Site VPNs.

Heißt das, dass man endlich IPsec mit DynDNS-Hostnames benutzen kann??

Edit: Offensichtlich ja! Krass, dass ich das noch erleben darf…

PS: Version ist jetzt Release

Zitat

Reserved the 192.168.1.20 DHCP lease which is used as the UniFi devices fallback address.

Warum haben die ausgerechnet so eine „Normalo-IP“ als Fallback ausgewählt?! Bei mir hängt da das NAS, das als Backup-Ziel für viele Anwendungen dient. Das wird Arbeit, das alles umzustellen…

Wireguard mit Teleport und WiFiMan-App gab’s ja schon mit der 1.x. Neu bei 3.x ist ja gerade, dass man die WiFiMan-App nicht mehr braucht, sondern man die „offizielle“ Wireguard-App benutzen kann (und somit auch mit Intel-Macs). Aber irgendein Client muss natürlich vorhanden sein. Unter iOS integriert sich ja sowohl WiFiMan als auch die Wireguard-App recht schön im System.

Zitat von Loomis

Jo… läuft zumindest Client auf UDM. Ärgere mich gerade mit Site to site ab.

Bei Site-to-Site wird bei mir nur OpenVPN und IPSec angeboten, aber kein Wireguard. Und immer noch keine DynDNS-Unterstützung…

In der UDM läßt sich für Clients mit echter statischer IP (außerhalb des DHCP-Bereichs) „fixed IP“ anklicken. Was ergibt das für einen Sinn?

Achso, Du meinst auf Client-site. Ja, das kann ich ausschließen.

Ich habe allerdings sowohl beim Client eine statische IP eingetragen als auch in den UDM-Einstellungen für den Client „fixed IP“ ausgewählt (wofür diese Einstellung gut ist, obwohl die genutzte IP gar nicht vom DHCP-Server genutzt wird, ist mir auch schleierhaft).

Die UDM verhindert doch eine doppelte feste Vergabe einer IP. Oder wie meinst Du das?

Letztendlich gleicht mein Problem diesem hier - bei mir eben bei einem Gerät mit fester IP. Wenn ich das Gerät anpinge, dann erscheint es in der Liste. Und der Port der UDM ist auch aktiv.

...und jetzt ist es wieder aus der Anzeige verschwunden! Merkwürdig!

So, seit dem UDM-Update auf 2.5 wird das Device auch in der UDM angezeigt. War also wohl eher ein Bug als ein Konfigurationsproblem.

Zitat von jkasten

Niemals innerhalb des DHCP Bereichs feste IPs vergeben! Ansonsten sollte das Gerät aber ganz normal unter Devices auftauchen.

Das Gerät hat eine manuelle IP außerhalb des DHCP-Bereichs und funktioniert auch soweit - aber es erscheint einfach nicht unter Devices.

Meine Meinung: Der Ubiquiti-Kram ergibt nur dann wirklich Sinn, wenn sowohl Router als auch Access-Points von Ubiquiti kommen. Eine FB mit Amplifi-Produkten mischen mag funktionieren, bleibt aber FB-Qualität.

Hallo,

nach tagelangem (!) Versuchen habe ich es endlich geschafft, ein Site-to-site-VPN per IPSec zwischen einem lokalen IPServer hinter der UDM Pro (Standort A) und einer entfernten Fritz!Box (Standort B) herzustellen. An der UMD habe ich bisher nur ein Port-Forwarding von Port 500 und 4500 auf das VPN-Gateway eingestellt (und damit wurden automatisch zwei entsprechende Firewall-Regeln erstellt).

Aktuelle Situation: Vom VPN-Gateway (aber nicht von den anderen Geräte am Standort A) kann man alle Geräte am Standort B pingen. Und alle Geräte am Standort B können das VPN-Gateway am Standort A anpingen (aber nicht die anderen Geräte am Standort A). Das Routing des Traffics vom / zum VPN-Gateway am Standort A scheint also noch zu haken.

Meine Frage (als Anfänger): Ich vermute das Problem liegt bei den Routing-Einstellungen der UDM (könnte natürlich auch am VPN-Gateway selber liegen). Muss man da eine Routing-Regel erstellen? Ist das Port-Forwarding von 500 und 4500 überhaupt richtig oder genügt eine Firewall-Regel für die beiden Ports?

Danke