Beiträge von BoxSon

Moinsn,

ich verzweifle aktuell echt mit Ubiquitu. Ich habe zwei Support-Cases offen. Einer davon ist vor ein paar Tagen an "Tier 2" übergeben worden. Die Anweisungen habe ich ausgeführt, was keine Lösung brachte. Nun soll ich auf einen Early Access - Stand der Firmware gehen.

"UDM Pro to EA v1.12.15 and the version of the UniFi network application to EA v7.1.60"

Ich habe dazu bei UI für meinen Account den Early Access Zugang aktiviert.

Wenn ich nun in meine UDM-Pro gehe und im UI OS Bereich den Update-Bereich öffne, sehe ich nach wie vor nur den Official - Channel für Updates der Firmware. In der Network App allerdings kann ich nun wohl auf Early Access umstellen.

So sieht die Auswahl der Update-Channel aktuell aus für die Firmware (UI OS):

Wenn ich in das offizielle Forum von UI gehe und dort auf EA-Topics umschalte, bekomme ich die Meldung dass ich nicht für EA aktiviert sei

Ich habe meine UDM-Pro neu gebootet

Ich habe meinen Browser Cache geleert

Ich habe es mit einem Ikognito-Browserfenster versucht

Ich habe es mit einem Client versucht, der noch nie das Frontend der UDM Pro genutzt hat

Cache kann ich also ausschließen denke ich.

Ich gehe davon aus, dass ich die Network App nicht akutalisieren sollte, wenn ich die Firmware vorher nicht anheben konnte?

Ich bin ja nun nicht unbedingt unbedarft, was IT und Infrastruktur sowie Support-Organisationen angeht, aber langsam verzweifle ich damit.

Habe ich irgendwas übersehen ?

Zitat von jkasten

Einfach denen ne Mail schreiben, meine Variante gab es damals auch nicht. Mir war das bei dem Preis die Arbeit mit meinem Drucker nicht wert.

hat geklappt Danke für den Tip!

Zitat von jkasten

So war das bei mir mit der USG Pro eingebaut (aktuell läuft ja die UDR bei mir)

DAS schaut gut aus !! Daumen hoch.

Zitat von jkasten

Kann dir das hier sehr empfehlen, hab ich für den flex mini und den 8 Lite: https://www.drei-d-w.de/produc…s/19-unifi/usw-flex-mini/

Könnte man sich sicherlich auch selber aus PETG drucken PLA ist zu weich.

EDIT: du kannst denen auch schreiben und genau sagen was du willst. Also zb dann zwei mal Flex mini.

Alles anzeigen

Das schaut schon echt gut aus. Ich bräuchte das für 2 Switch Flex Mini nebeneinander in einer 19" Ebene. Das scheinen die so nicht vorgesehen zu haben. Aber die Module gibt es ja einzeln wenn ich das richtig sehe? Dann könnte man mit dem 3D Drucker die nötigen Seitenteile drucken (das passt dann auch auf den begrenzten Bauraum des Druckers).

Hallo zusammen,

sicher eine ungewöhnliche Frage, aber hat schon mal jemand Switch Flex Mini in irgendeiner Weise in ein 19" Rack integriert?

Ich habe eine Lokation, in der 2 Stück in einem 19" Verteiler untergebracht sind und die fliegen da lose drin rum.

3D Drucker wäre auch am Start, hab nur noch keine Idee wie ich da was sinnvolles bauen könnte.

Ich habe die UDM (auch auf anraten von Ubiquiti) einmal rebootet. Auch der Support konnte keine Fehler in den definierten Firewall-Regeln sehen auf Anhieb. Ich habe nun den gleichen Test nochmal gemacht und kann weiterhin aus jedem Netzwerkbereich in die anderen hinein pingen und verbinden.

Ich habe nun mal die Support-Files generiert und übersandt. Mal sehen ob Ubiquiti was findet. Jetzt liegt das Thema im Tier 2 Support.

Zitat von Tuxtom007

Im schlimmsten Fall, reboote das Teil mal, ggf. reicht auch ein Restart des Firewall-Prozess, weil der ggf. das Regelwerk nicht neu liest.

Okay, das werde ich mal probieren. Wie kann ich denn einen Prozess neu starten ? Im WebUI habe ich das nicht gefunden. Geht das nur per SSH ?

Zitat von jkasten

Schon mal den Firewall Eintrag im Wiki durchgearbeitet? Damit sollte das klappen.

Ja den habe ich auch schon nach einem löschen der vorhandenen "custom" Regeln durchgearbeitet.

Den hier meinst Du oder? UniFi Allgemein | Firewall-Regeln by EJ

Kann es vlt. irgendwie an der Reihenfolge liegen? (nicht, dass ich das nicht schon versucht hätte )

Und die "Blockiere den Verkehr zwischen den einzelnen Netzwerken" Regel ist folgendermaßen definiert:

Die Port/IP Group ist so definiert:

Hallo zusammen,

ich habe mich nun tagelang durch das Thema Firewall gewühlt und komme nicht weiter. Ich habe folgenden Aufbau:

• UDM-Pro direkt an einem Fiber-Wandler als Router angebunden (WAN1)
• 3 x Accesspoints von UI mit diversen Clients dran
• 1 x Switch Mini

Ich habe mein Netzwerk in insgesamt 6 Netze aufgeteilt:

• DEFAULT - 192.168.1.0/24
• VOIP - 192.168.2.0/24
• IOT - 192.168.3.0/24
• KIDSLAN - 192.168.4.0/24
• HOMEOFFICE - 192.168.5.0/24
• SERVER - 192.168.6.0/24

Bis auf das HOMEOFFICE und das KIDSLAN Network haben alle anderen kein Content-Filtering aktiviert. Alle Networks haben jeweils eine eigene und eindeutige VLAN-ID zugewiesen.

Mein Ziel ist es von Anfang an gewesen, die Netze weitestgehend gegeneinander zu verriegeln, so dass Clients aus einem Netz nicht Client eines anderen Netzes "sehen" geschweige denn sich dorthin verbinden können.

Ich habe nun eine Grundregel in die Firewall eingetragen, von der ich ausgehe, dass sie die Kommunikation aus dem Netz IOT in das Netz DEFAULT unterbinden sollte:

Name: Block IoT to Default

Type: LAN IN

Action: Drop

IPv4 Protocol: All

Source

Source Type: Network

Network: IoT

Network Type: IPv4 Subnet

Destination

Destination Type: Network

Network: Default

Network Type: IPv4 Subnet

Wenn ich die Firewall-Regel speichere, dann landet sie in der Liste der Firewallregeln im Bereich LAN IN an zweiter Stelle hinter "allow established/related Sessions". Damit gehe ich davon aus, dass keine Regel davor den Verkehr zulassen dürfte. (Gehe ich richtig davon aus, dass die Regeln vom kleinsten Rule-Index zum größten evaluiert werden?)

Wenn ich nun von einem Raspberry, der gesichert im IoT-Netz hängt (IP-Adresse geprüft) ein Gerät aus dem Default-Netzwerk anpinge, ist das leider erfolgreich. Wenn ich dann noch vom Raspberry im IoT-Netzwerk eine ssh-Verbindung zu einem Gerät im Default-Netzwerk aufbau klappt auch das leider.

Habe ich vlt. ein komplett falsches Verständnis wie die Firewall arbeitet? Muss man eventuell an irgendeiner Stelle noch was aktivieren / einschalten?

Ich habe die Regeln auch schon mal alle komplett gelöscht und mich an dem hier im Forum verlinkten HowTo orientiert. Gleiches Ergebnis, die Regeln scheinen nicht zu greifen.

Ich hatte mir extra so eine einfache Regel für den Anfang rausgesucht, um zu sehen ob das alles funktioniert.

Ja ich habe die Regeln eingebunden wie in dem Artikel beschrieben. Dennoch kann ich aus jedem vorhandenen Netzwerk jedes andere Host in einem anderen Netzwerk anpingen und auch per ssh auf z.B. Linux-Maschinen in einem anderen Netzwerk verbinden.

Die Port/IP-Gruppe für die Drop-Regel ist folgendermaßen definiert:

Ja, das Thema mit den Firewallregeln ist eines, dass mich gerade bisschen fordert. Ich dachte in meinem jugendlichen Leichtsinn, dass eine simple Firewall-Regel

• LAN in
• Before predefined rules
• Action Drop
• Protocols All
• Source IPv4 Adress Group (alle privaten IP-Adressbereiche)
• Port-Group ANY
• Destination Type Network
• Network <<Name des zu schützenden Netzwerks>>
• Network-Type IPv4 Subnet

den gesamten Verkehr aus allen anderen Networks in das zu schützende Netzwerk unterbinden würde. Das funktioniert aber nicht. Ich kann weiterhin aus allen anderen Netzwerken per SSH auf ein Ziel im zu schützenden Netzwerk zugreifen.

Hallo,

ich habe folgende Herausforderung:

• Ich habe in spezielles Netzwerk an der UDM Pro, in dem zwei Server hängen
• Ich möchte nun einen speziellen VPN-Zugang einrichten, der ausschließlich in dieses Netz kommt (besser noch nur auf diese beiden Server) und sonst nirgendwo hin.

Kann mir jemand vlt. als UDM Neuling einen TIp geben wie ich das korrekt und zuverlässig einrichte?

Ich habe in meiner Fritzbox (Network "VOIP", IP-Range 192.168.2.1/24, VLAN eine statische Route eingetragen auf:

IPv4 Netzwerk 192.168.1.1

Subnetzmaske 255.255.255.0

Gateway 192.168.2.1 (UDM Pro, Gateway des Network VOIP)

Routet die Fritzbox damit nicht den gesamten Verkehr für 192.16.1.1/24 (Default Network) über das dort eingetragene Gateway ?

Interessantes neues Symptom:

Die FritzFon APP bringt nun nach Eingabe der Anmeldedaten einen Fehler 606: "Es ist ein unerwarteter Fehler beim Abrufen der Fritz!Box-Daten aufgetreten: (606) - Action not authorized.

Sieht so aus, als ob die Fritzbox keine Anmeldung aus einem IP-Adressbereich zulässt, die nicht ihr eigener ist.

Der User den ich verwende hat "Anmeldung aus dem Internet zulassen" aktiviert.

Das ist echt schade, denn eigentlich funktioniert das ja ganz gut mit der App. Dann denke ich mal, dass ich es bei den DECT-Telefonen belasse und die Apps beerdige.

Danke für den Hinweis. Vlt. tut sich ja noch was bei AVM.

Grüße

Boxson

Ich habe aktuell folgendes Szenario:

• UDM als Router direkt am Glasfaser-Übergabepunkt (Medienwandler)
• eigenes Network "VOIP" in der UDM in der die FritzBox als IP Client hängt
• Fritzbox stellt VoIP Telefonie über DECT bereit und funktioniert auch ein- und ausgehend

Nun habe ich in zwei weiteren Networks noch Clients (Smartphones), die sich über die FritzFon-App mit der Fritzbox verbinden sollen um als Endgerät telefonieren zu können.

Das bekomme ich noch nicht ans Laufen. Die Netze sind aktuell noch nicht durch Firewallregeln abgeschottet, das will ich dann machen wenn die Funktion an sich gegeben ist.

Die FritzBox - Weboberfläche ist aus den beiden anderen Networks heraus im Browser aufrufbar.

Die FritzFon-App auf den Smartphones in den beiden anderen Networks findet die FritzBox nicht automatisch (weil sie wohl nach "fritz.box" sucht), ich kann sie aber über die manuelle IP-Adresseingabe angeben in der App.

Danach versucht die App dann unendlich lang sich bei der Fritzbox anzumelden.

Gibts da auch noch einen Trick? Die Fritzbox müsste doch eigentlich als IP Client sämtlichen Verkehr an die UDM Pro routen, die dann ihrerseits an die Smartphones routet?

Portbeschränkungen gibt es meines Wissens nach keine, da die Firewall aktuell noch keine Regel für die Beschränkung der involvierten Netze hat.

Oh Wunder auf einmal gehts. Keine Ahnung warum, denn geändert habe ich nichts mehr weiter. Dann kann ich mich jetzt mit dem abschotten der Netzwerke beschäftigen! Danke für die Hilfe !

Das funktioniert schon. Das muss eigentlich auch funktionieren, da ich ja aus dem Office-LAN auch auf die Weboberfläche des Druckers komme.

Aber die Windows-Clients finden den Drucker nach wie vor nicht (auch nicht per direkt-Eingabe der IP-Adresse)

Zitat von stulpinger

BoxSon: Vollkommen korrekt !

Meine Antwort war auf Tuxtom007 bezogen

Wie sieht Deine Office-LAN-Konfig aus ?

Hier ein Screenshot der Definition den Office-LAN

Zitat von stulpinger

Firewall-Regeln lt EJ (Wiki)

"

Ohne einschränkende Firewall-Regeln kommunizieren die in unserem Netzwerk angelegten Subnetze untereinander.

USER die sich z.B. im LAN Gäste befinden, können auf die anderen Subnetze zugreifen und die dort eingebuchten Geräte ausfindig machen und im schlechtesten aller Fälle angreifen.

Diese Kommunikation zwischen allen Subnetzen wollen wir unterbinden.

usw...

"

Oder versteh ich was falsch ?

Alles anzeigen

Ja die will ich dann auch unterbinden. Den Schritt der Abschottung der Netze gegeneinander bin ich nur noch nicht gegangen, da ich bereits ohne die Abschottung durch Firewall-Regeln aus dem Office-LAN den Drucker im Default-LAN nicht nutzen kann. Die Einführung weiterer Firewall-Regeln würde ja die Problemanalyse aktuell weiter verkomplizieren. Das bisherige LAN-Setup bestand aus einer Fritzbox, in der alle Geräte in einem Netzwerk hingen. Daher habe ich aktuell keine höhere Gefährdung ohne die zusätzlichen Firewallregeln, wissentlich, dass ich die noch eintragen und auch testen muss.

Zitat von stulpinger

"Firwallregeln habe ich bisher noch keine manuell eingezogen, es existieren nur die durch die UDM erzeugten Regeln"

Dann ist bei Deinen Netzwerk-Einstellungen was daneben gegangen, da ohne Firewall-Regeln bei Unifi grundsätzlich ALLES erlaubt ist, d.h. Deine 4 Netze sind quasi untereinander erreichbar, was nicht im Sinne des Erfinders ist

Ja deswegen wundert es mich ja, dass ich den Drucker im Default LAN nicht im Office-LAN nutzen kann.

Ich wollte erstmal die ganzen Clients in die einzelnen Netze einsortieren und die VLAN-Einstellungen alle über die (teilweise älteren) Switche hinweg ans Laufen bekommen. Wenn das alles funktioniert hätte ich die Firewall-Regeln eingezogen zur Abschottung der Netze. Ich muss das alles im laufenden Betrieb machen (Home Office -> da arbeiten 2 durchgehend )