Beiträge von FiberSwitch

Die 2.4.27 war der Release Candidate der jetzt zum Stable release promoted wurde:

https://community.ui.com/releases/UniFi-OS-Dream-Machines-2-4-27/97ae6597-ee40-4e72-8e8f-76d067f84d37#comment/4d900b86-01ec-49fe-b549-e6c7030b3b9f

Wer nicht warten möchte bis das rolling Relase ankommt kann auf den Relase Candidate Channel switchen. Dort wartet die 2.4.27 als RC was unterm Strich die gleiche Version ist wie das Stable Release (soweit mein Verständnis).

Ich habe einen Workaround gefunden:

Ich schließe mein SFP Modul nun nicht an den WAN SFP Port sondern an den Switch SFP Port an.

Dieser Switch SFP Port bekommt ein Port Profil mit den benötigten getaggten VLAN ID's (6 und 7 in meinem Fall).

Dann wird ein beliebig freier Switchport mit dem WAN Port verbunden. Der Switchport erhält dein Port Profil mit dem getaggten Internet Nerzwerk.

Ein beliebiger, anderer Port wird mit dem VoIP Port Profil getaggt. An diesen Port wird die Fritzbox angeschlossen.

Die Fritzbox kann nun ihre eigene Verbindung mit der richtigen VLAN aufbauen, die UDM Pro fürs Internet genau so.

Wichtig ist, dass alle anderen Ports ein Port Profil erhalten in denen das Internet und VoIP Tag nicht enthalten ist (also nicht mehr "All"), sonst könnte es Sicherheitsbedenken geben.

Einziger Nachteil: Die Fritzbox ist so nicht als Client im Netzwerk erreichbar (lässt sich eventuell auch noch lösen aber da habe ich noch nicht weiter drüber nachgedacht da für mich uninteressant).

Wenn ich den Beitrag hier richtig verstehe gibt es aktuell keine Möglichkeit das mit der UDM Pro zu realisieren:

https://community.ui.com/questions/WAN-port-Multiple-tagged-VLANs-for-Internet-and-VoIP/c27ccb0b-bd8c-4de1-8c77-c37b044e7de9

Die UDM Pro stellt die Verbindung her.

Für das "normale" Internet bnötige ich die VLAN ID 7, diese ist in den WAN Einstellungen der UDMP hinterlegt.

Die Telefonie braucht allerdings VLAN ID 6. Ich hatte gehofft, dass die FritzBox das per PVC irgendwie hinbekommt.

Die Stadtwerke hat erstmal nur gesagt, dass ich darauf achten soll, dass die Verbindung mit VLAN 6 aufgebaut wird.

Mehr kam da noch nicht. Wollte aber gleichzeitig auch einen Fehler in meiner Konfiguration ausschließen.

Hi fred05 ,

das Video kenne ich. Daran habe ich mir bei der Einrichtrung gehalten.

Mit der Besonderheit, dass ich keine Zugangsdaten brauche da die UDM Pro an einem Glasfaseranschluss hängt und die Verbindung selber aufbaut (per DHCPv6/v6).

Hab die FB jetzt auch mal spaßeshalber in ein VLAN mit ID 6 gesteckt... gibts allerdings immernoch eine 403.

Anbei mal meine Firtzbox Konfiguration:

Hallo zusammen,

ich versuche aktuell die VoIP/SIP Anmeldung über eine FritzBox laufen zu lassen die als Client an einer UDM Pro hängt.

Die Fritzbox benötigt dafür zwingend das VLAN Tag 5 (Pbit0).

Ich habe in der Fritzbox eingestellt, dass sie für die Telefonie eine eigene Verbindung aufbauen soll mit dem entsprechenden VLAN Tag. Muss ich irgendwie noch dafür sorgen, dass dieses VLAN Tag erhalten bleibt (muss die FritzBox z.B. auch in ein UNIFI Netzwerk mit der VLAN 5?!)?

Aktuell habe ich das Problem, dass die Fritzbox zwar eine Verbindung zum Provider aufbauen kann dieser allerdings den Fehler 403 "Unauthorized IP detected" zurück gibt.

Internet (VLAN 7, über UDM Pro augebaut) und VoIP laufen beiden über den gleichen ISP.

Für Tipps wäre ich dankbar.

Grüße

FiberSwitch

Ich habe zusammen mit dem UI Support das Problem gefunden:

Es gibt zwei Router die mir RA's schicken, einer davon verursacht das Problem.

Habe die Infos an meinen Provider geschickt.

Als Zwischenlösung habe ich die IPv6 des invaliden Routers in der Firewall der UDMP für RA's gesperrt.

Seit dem funktioniert alles wie es soll.

Interessant, dass die Fritzbox keine Probleme damit hat.

Zitat von Tuxtom007

Auf der WAN-Seite ist klar.

Ich meinte die LAN/VLan-Seite bin aber nicht mal mehr sicher, ob mal das einstellen konnte.

Wenn die /60 bekommst und auf LAN /60 einstellst, kannst eben nur ein LAN versorgen mit IPv6, daher muss der Prefix dort größer sein, eben /64 als Default und du kannst mehrer LAN/VLAN einrichten mit IPv6

Die Frage bei dir ist eher ob IPV6 auf der WAN-Seite stabil läuft.

Alles anzeigen

Die VLAN's bekommen wie gesagt automatisch ein /64 Netz, das passt mit meinem größeren /60er Netz vom ISP.

Mein Problem ist ja, dass es auf WAN Seite nicht funtkioniert bzw. die UDMP selber nach kurzer Zeit weder per IPv6 raus noch rein kommt.

Gute Idee, wobei ich bezweifle, dass es diese Sicherheitslücke gibt.

Habe testweise das Threat Management komplett deaktiviert. Leider mit dem gleichen Ergebnis.

uboot21

Ich nutze beides.

Ich habe zwei Firewall Regeln hinzufügt um ICMP6 Pings zuzulassen. Das funktioniert auch bis IPv6 stirbt.

@Tuxtom007

Ich bekomme immer eine /60, egal was ich haben möchte. Eine /64 düfte aber nicht funktionieren weil die UDMP jedem VLAN ein /64 Netz zur Verfügung stellt (nicht konfigurierbar).

Aber soweit bin ich noch garnicht weil selbst die /128 von der UDMP ja nach kurzer Zeit nur noch "halb" funtioniert.

Ich habe 5 Netzwerke, aber bei nur einem ist IPv6 aktiviert.

Das Problem scheint aber an der UDMP selber zu liegen... die kommt ja selber nicht per IPv6 raus und ist nicht mehr pingbar nach wenigen Sekunden.

Das verhält sich auch bei einem 64er Prefix identisch.

Ich kann mittlerweile folgendes reproduzieren:

Wenn ich die UDMP reboote oder die Internetverbindung neuaufbaue funktionert IPv6 auf der UDM Pro:

Ich kann von der UDMP per IPv6 rauspingen, die UDMP ist von außen auch pingbar.

Die Clients haben dann auf ipv6-test,com evenfalls eine IPv6 mit 20/20 Punkten.

Nach einiger Zeit (10-30 Sekunden ca.) fällt IPv6 dann aus. Pings (per SSH direkt von der UDMP) gehen nicht mehr raus und kommen auch nicht mehr rein (sind aber wir oben erwähnt im TCP dump noch zu sehen).

Per "ip addr" und "ifconfig" kann ich keine relevante Änderung feststellen.

Unter ifconfig sehe ich unter eth9.7 (Sollte der SFP Port, VLAN 7 sein):

eth9.7    Link encap:Ethernet  HWaddr E0:63:DA:xx:xx:xx
          inet addr:100.64.xx.xxx  Bcast:0.0.0.0  Mask:255.255.240.0
          inet6 addr: fe80::e263:daff:fe5a:f032/64 Scope:Link
          inet6 addr: 2a04:xxxx:xxx:1000::1:xxxx/128 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18558697 errors:0 dropped:95329 overruns:0 frame:0
          TX packets:12963376 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29563026231 (27.5 GiB)  TX bytes:3814474800 (3.5 GiB)

Die IPv6 die dort steht ist zwar von außerhalb nicht pingbar (obwohl in der Firewall freigebeben) aber wenn ich einen TCPdump auf eth9 laufen lasse kann ich die ankommenden ICMP6 echo requests sehen. Sie kommen also an.

Von der SSH Console kann ich aber z.B. keine IPv6 Adresse pingen/tracen. Ein nslookup funktionert aber:

# nslookup ipv6.google.com
Server:         127.0.0.1
Address:        127.0.0.1:53

Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com

Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com
Name:   ipv6.l.google.com
Address: 2a00:1450:4001:812::200e

PING ipv6.google.com (2a00:1450:4001:830::200e): 56 data bytes

--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
#



# traceroute -6 ipv6.google.com
traceroute to ipv6.google.com (2a00:1450:4001:812::200e), 30 hops max, 72 byte packets
 1  dynamicIPv6-2a04-xxx--1.isp.ropa.net (2a04:xxx)  3054.329 ms !H  3050.057 ms !H  3071.862 ms !H

Hallo zusammen,

ich habe einen AON Glasfaseranschluss bei der Stadtwerke Unna.

Wenn ich an meinem ONT die Provider Fritzbox anschließe funktioniert die IPv6 ohne Probleme.

Die Einstellungen in der Fritzbox:

Native IPv4-Anbindung verwenden

DHCPv6 Rapid Commit verwenden

Die automatische IPv6 Präfixlänge ist /60

ipv6-test,com meldet dann:

IPv6: Supported

Type: Native IPv6

SLAAC: No

ICMP: Filtered

Wenn ich das ONT an den WAN Port der UDM Pro anschließe und wie folgt eine Verbindung aufbaue:

VLAN ID: 7

IPv4 Connection: DHCPv4

IPv6 Connection: DHCPv6

Prefix Delegation Size: 60

In meinem Default Netzwerk habe ich folgende Einstellungen:

IPv6 Interface Type: Prefix Delegation

RA: Enabled

RA Prio: High

DHCPv6 Range:Start: ::2

DHCPv6 Range:Stop: ::7d1

DHCPv6/RDNSS DNS Control: Auto

Die IPv4 Verbindung funktioniert ohne Probleme.

ipv6-test,com meldet:

IPv6: Not supported

Kann mir jemand auf die Sprünge helfen?

Danke und Grüße

FiberSwitch