Und leider kann man beim Long-range LTE Client nicht wirklich viel einstellen
Ist natürlich ganz toll dokumentiert das Teil 
Sollte aber trotzdem gehen:
Musst nur herausfinden --> wie 
Beiträge von bic
-
-
Ich glaube tazächlich das es an der UDM Seite mit dem LTE liegt da ich da mit der Öffentlichen IP Probleme habe.
Wie das? Ist das nun nur nen Modem oder routet das LTE Teil selbst? Ist letzteres der Fall, wird es schwierig - grundsätzlich lässt sich IPsec VPN zwar auch hinter einem Router konfigurieren, dieser sollte dann aber VPN-Passthrough beherrschen (wie z.B. die Fritzboxen), aber auch dann kann es noch zu Problemchen kommen. Ich glaube aber nicht, dass Dein Long-range LTE Client das überhaupt kann (kann man da am Routing etwas konfigurieren?), es wird daher notwendig sein, diesen in den Bridgemodus zu schalten. Dann sind NAT und der DHCP-Dienst deaktiviert und dafür IPPT (IP Pass-Through) aktiviert. Gehst Du dann damit an den WAN-Port Deiner UDM, sollte da auch die öffentliche IP anstehen - zumindest können
Ob man dann och am Protokoll des WAN-Ports herumschrauben muss , ich kenne die UDM leider nicht.
-
Ok, das Teil hat wohl keinen Webserver
Dafür noch ne Cloud mehr - welcher Wahnsinn, nen automatischer Wasserhahn mit Cloudanbindung! Demnächst werden auch unsere eigenen Lebensfunktionen nur über ne Wolke funktionieren - biste böse, wirste abgeschalten 
Egal, muss Du halt von vorn anfangen, wie, das steht hier!
-
Gibt es Alternativen? was ich auf die UDM`s spielen kann wie zb Wiregurd?
IPsec - Site2Site VPN ist ausgereift, bewährt, schnell und quasi Industriestandard. Die Verbindung von Router auch verschiedener Hersteller ist damit i.d.R. überhaupt kein Problem - Wireguard ist dagegen noch lange nicht zu Ende entwickelt. Willst Du eine stabile, zuverlässige "Standleitung", dann bringe IPsec ans Laufen
Allzuviel Konfiguration ist dazu ja nicht nötig und egal welcher Router auch immer, untergliedert sich diese wie folgt:
1. Allgemeine Angaben:
- IP-Version
- Verbindungstyp (z.B Standort zu Standort)
- Gateway-Typ (z.B. Verbindung herstellen)
2. Verschlüsselung:
- Verschlüsselung-Profil (z.B. IKEv2)
- Authentifizierungsmethode (z.B. verteilter Schlüssel)
3. Gateway-Einstellungen (auf den beteiligten Router spiegelbildlich einrichten):
3.1 Lokales Gateway:
- Lausch-Schnittstelle (z.B. WAN-Port)
- Schnittstellenadresse (öffentliche IP)
- Lokaler ID-TYP (z.B. DNS)
- Lokale ID (z.B. router.hier.net)
- Lokales Subnetz (können auch mehrere sein)
3.2 Enterntes Gateway:
- Gateway-Adresse (entfernte öffentliche IP oder FQDN - auch über DDNS)
- Enternter ID-TYP (z.B. DNS)
- Entfernte ID (z.B. router.dort.net)
- Entferntes Subnetz (siehe vor)
So, oder so ähnlich finden sich die erforderlichen Einträge in jedem Router, wobei die Bezeichnungen etwas abweichen können oder gar auf englisch sind. Wichtig ist hierbei vor allem:
- da das VPN übers Internet läuft, müssen bei den Routern an den Gateway-Ports (i.d.R. der WAN-Port) jeweils die öffentliche IP anliegen (fest oder über DDNS). Hier ist unklar, wie dies bei Deiner Vodafone Box ist, wenn Du schreibst "Beige Mod und Fester IP Adresse" - was ist übrigens der "Beige Mod" ? Richte die Box als Modem/respkive Bridge ein und reiche die öffentliche IP auf den WAN-Port des Router durch. Desgleichen gilt natürlich auch für deinen Long-range LTE Client, falls bei dem überhaupt etwas anderes möglich ist.
- dass die Authentifizierungsmethode (Pre-shared Key oder Zertifikat) auf den beteiligten Router identisch ist - dies scheint ja bei Dir der Fall zu sein
- dass das Verschlüsselung-Profil auf den beteiligten Router identisch ist. Hier gibt es unendlich viele Möglichkeiten und außerdem händelt jeder Routertyp die Handhabung/Konfiguration der Profile unterschiedlich. Hier solltest Du daher noch einmal genau schauen, ob UDM und UDM Pro tatsächlich identische Profile verwenden.
- dass die per VPN zu verbindenden (Sub)Netze jeweils richtig und spiegelbildlich bei den Routern eingetragen sind und das diese auch unterschiedliche Adressbereiche haben, was ja bei Dir der Fall zu sein scheint.
Das war es dann auch schon, denn die Angabe von ID-TYP und ID (lokal und entfernt) ist nicht immer zwingend erforderlich und dient eigentlich nur der Verwaltung. Oft gibt es dann noch "spezielle" Einstellungen, z.b. bzgl. des Verbindungsmodus (normal oder aggresiv), ebenso kann man oft die Authentifikation an externe Dienste (Radius/AD) auslagern oder NAT oder NAT-Traversal verwenden. I.d.R. ist ein daran herumschrauben aber nicht nötig, dies ist dann etwas für Sonderfälle.
Also, lange Rede, kurzer Sinn - ich sehe bei Dir eigentlich nur zwei Fehlerquellen - entweder bekommen Deine Router die öffentliche IP nicht an den WAN-Port, oder sie verwenden unterschiedliche Verschlüsselung-Profile - oder natürlich beides
Vodafone Box
-
Ich vermute, die Steuerung holt sich die Netzwerkdaten, wenn das Handy mit dem IoT Netz verbunden ist.
Eigentlich nicht. Hast du mal versucht, wenn Dein Handy mit dem Regenvogel verbunden ist (ich nehme an mittels einer App) über den Browser des Handys auf Deinen Vogel zuzugreifen?
-
Remote Access
Ist natürlich ein weitreichender Begriff und bezeichnet alle mögliche Arten von Fernzugriff. Aber davon unabhängig, insoweit Deine Kisten beim Aktivieren von Remote Access kein Loch in die Firewall Richtung Internet reißen, ist es völlig ungefährlich. Das die allerdings so etwas machen, kann ich mir kaum vorstellen.
-
Die Eaton 9130 ist schon etwas älter, hat aber eine Netzwerkkarte eingebaut.
Hier findest das Manual der originalen Karte --> viel Spaß damit
-
2Gig wäre schon gut - Glasfaser kommt nächstes Jahr, der AP lastet dann im besten Falle 1G aus, dann müssen aber noch Kameras, Hue Bridge, etc. nebenher ohne Einbußen laufen.
Den AP, welcher 1.000 Mbit/s Ethernet auslastet, möchte ich mal sehen
Deine Farbton-Brücke dürfte eine Datenrate eher im Minus-Bereich fabrizieren und mit den restlichen 999 Mbit/s kannst Du dann ca. 40 Kameras mit 4K-Streaming betreiben - machst Du bestimmt nicht -
Nachdem ich heute mit dem Handy direkt in die Steuerung bin, habe ich folgende Netzwerkeinstellung vorgefunden: 192.168.0.1
Deinem Regenvogel dürfte wohl mal die Versorgungsspannung abhanden gekommen sein. Jedenfalls deutet die 192.168.0.1 darauf hin, dass er sich in den Werkseinstellungen befindet, da sind dann auch bisherigen Wlan-Einstellungen weg. Wie gehts Du "mit dem Handy direkt in die Steuerung", Blauzahn?
-
Hier sind meine Firewallregeln, da kann ich in dieser Hinsicht nichts erkennen:
Ich auch nicht, das ist Unifi in einfacher Sprache, die verstehe ich nicht - was bitte ist "Internet Local"?
deshalb hab ich dort den Remote Access trotzdem aktiviert. Inwieweit stellt dies eigentlich jetzt ein Eingangstor für den Rest dar?
Überhaupt keines. Stell es Dir mal so vor - durch den VPN-Tunnel hast Du Dein (entferntes) locales Netzwerk bis zum VPN-Clienten (worauf auch immer der läuft) quasi "verlängert". Einziger Angriffspunkt und mögliches Einfallstor ist daher dieser Tunnel. Allerdings ist der derart abgesichert, dass vielleicht die NSA ihn erfolgreich mit großerm Aufwand angreifen könnte, aber sonst niemand und die NSA wird kaum an Dir Interesse haben
Mach doch mal den Heise Netzwerkcheck, dann siehst Du ja, wie es um Dein Netzwerk steht.
-
Hmm, bei uns starten die ohne Problem nach Stromausfall.
Ok, ich hab noch nicht ins Bios geguckt, geht ja nun aber einfach, denn der VGA-Port ist ja auch vorn
-
Ich höre zum ersten Mal dass man zusätzlich noch FW Regeln anlegen muss.
Jaja, es gibt immer ein erstes mal
An sonst - jede halbwegs anständige Firewall blockt per se erst einmal jeden am WAN-Port eingehenden Traffic, bis man dies ändert und bestimmten Datenverkehr expliziet erlaubt - das gilt auch für VPN.
Nun ist ea aber Gott sei Dank so, dass endanwenderfreundliche Firewalls beim Einrichten eines VPNs üblicherweise die erforderlichen Firewallregeln gleich mit setzten, so dass z.B. Du davon überhaupt nichts mitbekommst - vorhanden sind die Regeln dennoch. Bei "richtigen" Firewalls sind solche Automatismen erst gar nicht vorhanden. bzw. umgehbar, denn man könnte ja bzgl. der Firewallregeln ganz andere Intensionen haben, als die Firewall selbst - man ist da also flexibler.
Was ich nun alledings nicht verstehe - wenn Du schon per VPN auf Dein gesamtes Netzwerk -ausgenommen der Kisten, bei denen der Remote Access gesperrt ist- zugreifen kannst, warum gibst Du diesen da nicht einfach frei?
-
Das wäre sonst eine Alternative. Es gibt übrigends auch Rackmounts dafür.
Ja kenne ich und hatte auch überlegt. Sieht ja hübsch aus (und ist nicht so ganz preiswert) hat aber bei einem wandhängenden Rack einen nicht wettzumachenden Nachteil - man kommt nicht an das Mini-Netztasterchen ran, jedenfalls ich mit meinen Wurtsfingern bekomme das bündig mit dem Gehäuse sitzende Teilchen nicht einmal ertastet und die SG startet nach Netzausfall nicht von allein
An sonst - LetsEncrypt mit der XG geht, allerdings etwas sehr umständlich: klick! ich habe es noch nicht probiert, da bisher kein Bedarf und der ganze Zertifikatskram bei mir ohnehin das kalte Grauen auslöst
-
Ein VPN Nutzer gilt aber doch als lokaler Nutze,
Sicher, aber auf was dieser dann zugreifen kann, muss man schon beim Einrichten des VPN (welches eigentlich?), bzw. in den FW-Regeln festlegen, sonst wird das nix.
-
Die xg ist Hardware mäßig beschränkt was die Lizenz angeht, die SG von den IP Adressen, das solltest du bedenken.
Die Homedition ist beschränkt auf 4 Kerne und 6 GB Ram und natürlich 0-Support, das war es dann auch schon - alles andere funktioniert uneingeschränkt. Naja, anfangs war ich enttäuscht über den erzielbaren VPN-Durchsatz, mehr als 120 Mbit/s waren nicht drin, da die Home-Software Hardwareverschlüsselung (z.B. AES-NI) nicht unterstützte. Nach dem letzten OS-Update ist dies jedoch vorbei, z.Z. bekomme ich über den VPN-Tunnel meine z.Z. noch einseitig auf 300 Mbit/s begrenzte Internetbandbreite (die Gegenstelle hat schon 600) bis zum Anschlag und noch ein Stück darüber hinaus (41 MB/s) ausgereizt, hier mal das nächtliche Zuwachsbackup:
Ich nehme an, naja hoffe, dass wenn ich auf beiden Seiten dann 600 Mbit/s habe, auch diese ausgereizt werden. Dann kann ich die Dauer eines Vollbackups von 24h auf 5h reduzieren, das ist dann schon brauchbar. Seit nun das Bandbreitenproblem beim VPN gelöst ist, bin ich sehr zufrieden mit der Sophos, auch wenn die GUI sehr viel Geduld erfordert. Achso - Hardware, ich verwende die SG 135 rev.2, welche ich quasi rückwärts ins Rack eingebaut habe:
wofür man aber leider die Rackohren umbohren muss.
-
Ja, genau an dieser Thematik der Telefonieeinbindung scheiterts bei mir, da ich, wie ich schon schrieb, nicht viel darüber weis.
Dann ließ mal hier nach, da ist die ganze Choose ab Punkt 2.3 erklärt - ein schönes Erklärbildchen ist auch dabei
Wie ich schon schrieb, kommt es an sonst darauf an, mit welcher Kiste Du ins Internet gehst (nicht das Modem, sondern der Firewallrouter), daher, welche "Komfort"-Funktionen diese für VoIP eingebaut hat. So eierlegende Wollmilchsaurouter mit eingebauter Telefonie wie div. Fritten oder auch die BeIp+ von Funkwerk erledigen das fast von allein, aber auch div. (Enterprise)Router ohne Telefonie können da ganz komfortabel sein. Die Sophos XG fragt z.B. einmal bei der Ersteinrichtung danach, ob VoIP genutzt werden soll, setzt man da ein Häkchen, braucht man sich nie wieder darum kümmern und VOIP funktioniert wie von Zauberhand. Aber auch mit jedem halbwegs anständigen Firewallrouter sollte sich VoIP problemlos einrichten lassen, wenn man die benötigten Ports freischaltet/weiterleitet (--> Google), wobei es aber manchmal Probleme bereiten kann, dass die Roter die Eigenart haben, offene Ports zu schließen, wenn keine Traffic mehr drüber geht. Passiert dies bei den SIP-Ports, ist man dann von außen nicht mehr erreichbar - aber auch dafür gibt es Lösungen.Was Du dann in Deinem LAN als Endgerät verwendest, ist eigentlich egal. Sind es einzelne VoIP-Telefone, dann ist jedes einzelne mit der passenden SIP-Adresse am SIP-Server des Diensteanbieters anzumelden/registrieren (wie --> siehe Angaben des Anbieters), benutzt Du eine TK-Anlage (oder die o.a. DECT-Basisstation), erfolgt das kpl. in dieser. Die IP-Telefone sind dann an der TK-Anlage zu registrieren.
Also - werde Dir erst einmal schlüssig, mit welcher Kiste Du ins Internet willst, dann kann man weiter sehen. Es gibt aber für den Home-Bereich sicher besser geeignte Geräte, als dein EdgeRouter.
für mein Verstandniss---> routen zwischen vlans heist z.b. ein PC kann innerhalb 2er vlans mit anderen kommunizieren?
Jo. Ein Vlan ist wie jedes LAN mit einem eigenen Adressbereich eine eigene Broadcast-Domain. Ein Datenaustauch über die Grenzen einer solchen Domain hinaus, ist per se nicht möglich. Will man dies dann aber ermöglichen, muss zwischen den Domains geroutet werden. Diese Aufgabe übernimmt i.d.R. eine Routerkiste oder so etwas ähnliches. Da es allerdings wünschenswert ist, das nicht der gesamte Traffic geroutet wird, sollte die Kiste den Datenverkehr auch noch filtern können, so, wie eine Firewall. Wenn dein EdgeRouter das kann, ist es ja gut.
doch die können Vlan, die laufen ja seit 2 Jahren so.
Dann sind es aber keine Netgear 105, sondern irgendwelche mit einem "plus" oder "smart" oder "T" in der Typenbezeichnung. Die reinen 105 sind unmanaged.
Also habe ich (unwissend wie ich bin) einen Teil per Bündelung (30er,40er,50er und 60er) auf dieEth4 und den rest einzeln verteilt.
-
SO sieht das doch besser aus, oder?
Ooooha, was soll das werden, ein Leerbeispiel für den Spruch "warum einfach, wenn es auch kompliziert geht?"
Ich weiß ja, dass es in der Unifi-Welt zum gutem Ton gehört, für beinah jeden Client ein eigenes Vlan aufzuspannen, wobei dies bei Soho-Netzen so gut wie nie bis gar nicht erforderlich ist, vor allem dann nicht, wenn am Ende alles aus einer einzigen Quelle, nämlich dem Internetanschluß des Providers gespeist wird. Aber jedem Tierchen sein Pläsierchen An sonst:
- wozu zwei Router hintereinander?
- und wozu die beiden mittels 7 Strippen miteinander verbinden? Vlan wurde ja gerade dazu erfunden, so etwas nicht nötig zu machen. Man nimmt eine Strippe und tagged alle Vlans drauf.
- und können die EdgeRouter überhaupt zwischen dern Vlans routen und dies regelbasiert? Dies wird ja spätestens erforderlich, wenn Du z.B. aus Verweltungsgründen ab zentraler Stelle in die vielen Vlans rein musst.
- Du weißt schon, dass Deine Netgear 105 zumindest n.m.E. nicht Vlan-fähig sind?
- VoiP im Lan ist eigentlich ganz einfach, die Kunst besteht lediglich darin, der der TK-Anlage oder den einzelnen VoIP-Telefonen vorgeschalteten Kiste beizubringen, den VoIP-Traffic an die TK-Anlage/Telefone durchzureichen. Manche solcher Kisten bieten bequemer Weise gleich eine VoIP-passthrough-Funktion, anderen muss man dies erst mühsam beibringen. An sonst ist es eigentlich ziemlich Wurscht, ob Du im LAN eine TK-Analge, einzelne VoIP-Einzeltelefone oder gar nur Softphones verwendest (das Gigaset N510 IP Pro ist übrigens keine TK-Anlage, sondern eine VoIP-gespeiset DECT-Basisstation mit den hierfür üblichen Funktionen).
Ich schlage vor, dass Du das Ganze erst einmal (stark) vereinfachst, den Sinn der EdgeRouter überdenkst (siehe auch mal hier!) und Dir überlegst, was Du eigentlich mit den Telefonen willst, daher, ob Du überhaupt TK-Anlagen Funktionen benötigts. Wichtig wäre auch, überhaupt erst einmal zu entscheiden, mit welcher Kiste Du an den ONT der Telekom heran willst, es sind genügend Geräte auf dem Markt die PPPOE sprechen und die auch Deine (vielen) Vlans managen können. im Moment erscheint mir das alles als ziemlich unausgeroren
-
Das schaffen aber nur richtige Firewalls
Ja, das ist ne Sophos XG Appliance, von der Leistung her eher mittelprächtig (aber 1.000 Mbit/s VPN). Was die an Filtern und deren Konfigurationsmöglichkeiten mitbringt, kann man nur noch als extrem bezeichnen (hier werden n.m.E. Opnsense und Konsorten deutlich übertroffen, vor allem auch, was die Aktualität betrifft). Allerdings gibt es sinnvoll zusammengestellte Richtlinien, aus denen man sich bedienen und welche man auch anpassen kann.
-
Dann sollte wenigsten ne Meldung kommen "vom Inhaltsfilter geblockt".
So?:
Bei welcher Website das jetzt auftaucht, sage ich lieber nicht
-
Kennt jemand ein Tool was dafür in Frage kommt?
Das hier! Etwas altertümlich, aber cool
Die "gemalten" Symbole sind konfigurierbar und können mit der tatsächlichen Hardware über IP/URL verknüpft werden. Aussehen kann das Ganze dann so:
