Hallo Jungs,
kann ich eigentlich den UAP 7 Pro trotz fehlendem 2.5gbit-Port an der DM SE laufen lassen an den Poe+-Ports oder verlangt der UAP zwingend die 2.5gbit?
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenHallo Jungs,
kann ich eigentlich den UAP 7 Pro trotz fehlendem 2.5gbit-Port an der DM SE laufen lassen an den Poe+-Ports oder verlangt der UAP zwingend die 2.5gbit?
Hallo DoPe,
Danke schonmal für die Info. Ich habs dann gestern nach Tag 3 mit dieser Odyssee tatsächlich noch hinbekommen.
Ich hab allerdings direkt die DM jetzt mit dem Edge hinter der Fritzbox verbunden und die Bridge rausgelassen.
Außerdem nicht wie im Video mit dem WG-Client sondern mit dem WG-Server der die Client-Infos ja generiert.
Bzgl. Video: der Edge hängt einfach an nem Switch mit der FB zusammen. Ich Depp hab das Video aber nicht ganz bis zum Ende geschaut und dort wird dann das mit den statischen Routen erklärt und den Gateways auf beiden Seiten erklärt. Bis dahin hatte ich einen funktionierenden Tunnel aber sonst nix. Die Bedienung auf DM-Seite ist ziemlich hackelig. Man muß da ziemlich genau der Anleitung folgen mit
1: Client anlegen
2: IP-Gruppe anlegen
3: in der Firewall die Gruppe für Internet In freigeben
4: Statische Routen anlegen
Wenn man davon irgendwas verhaut, kann man alles Rückwärts wieder löschen und neu anlegen weil man beim Client die IP-Range vom anderen Netzwerk ja anhacken muß und die sonst schon in Verwendung ist.
Das ganze sollte mit dem Bridgeserver aber genauso funktionieren wie du das oben auch schreibst.
Hallöchen an alle,
Ich bin hier am Verzweifeln.
Ich hab hier einen zentralen Linux-Server in nem Rechenzentrum auf dem Wireguard läuft. Wireguard-IP-Bereich ist 10.5.5.x. der Server hat die 10.5.5.1.
Ich verbinde jetzt eine Dreammachine als Client mit dem Server. Die DM hat Intern 192.168.0.1/24 und kriegt 10.5.5.3
Außerdem hab ich eine Aussenstelle mit Fritzbox und einem Edgerouter dahinter. Die FB hat 192.168.1.1/24 und der Edgerouter bekommt per DHCP 192.168.1.22 und hat Wireguard mit 10.5.5.5 am laufen.
Wenn alle verbunden sind, kann ich die Wireguard-IP von allen aus anpingen bzw auch die Dienste verbinden die auf den Geräten laufen (Edgerouter-WebIF und vom LinuxServer das WireguardWebIF funktionieren). In der DM hab ich Policybased routing für einen Rechner freigeschalten von dem aus ich die Verbindung teste.
Ich würde jetzt allerdings gerne von 192.168.0.1 auf die 192.168.1.1 zugreifen und umgekehrt auch.
Bei den Clients steht überall allowed ips auf 0.0.0.0/24 aber ich geh mal davon aus das man auf der DM und speziell auf dem Edgerouter hinter der Fritzbox irgendwo noch NAT für diese Adressbereiche einstellen muß bzw. noch irgendwas anderes von dem ich keine Ahnung hab und wo ich bisher im Netz auch noch nix gelesen habe.
Ich hatte bei yt von diesem Video https://www.youtube.com/watch?v=JBYILNJK9zY&t=849s die Inspiration weil der Edgerouter noch hier rum lag.
Leider kann die Fritzbox kein Wireguard und hängt auf Firmware 7.38 rum.
Kann mir da jemand helfen?
Danke schonmal im vorraus!
Heute bin ich mal dazugekommen da genauer zu schauen: Port 8080 soll auf IP 192.168.178.189 weitergeleitet werden.
Folgenden Output bekomme ich mit iptables:
# iptables -L -n | grep 8080
RETURN tcp -- 0.0.0.0/0 192.168.178.189 tcp dpt:8080 /* 00000000006049644146 */
RETURN tcp -- 192.168.178.189 0.0.0.0/0 tcp spt:8080 /* 00000000006049644146 */
LOG tcp -- 0.0.0.0/0 192.168.178.189 tcp dpt:8080 ctstate NEW limit: avg 50/sec burst 100 LOG flags 0 level 4 prefix "[WAN_IN-RET-3019] "
RETURN tcp -- 0.0.0.0/0 192.168.178.189 tcp dpt:8080 ctstate NEW /* 00000000004294970315 */
Wenn ich jetzt mal mitlogge und das aus der messages rausziehe kommt auf dem Port bei einem Verbindungsversuch das hier raus:
Feb 8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359078] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb 8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359159] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb 8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611195] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb 8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611277] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Das schaut eigentlich völlig unspektakulär aus oder sieht da jemand ein Problem? Verbindung wird aber nicht hergestellt :-/
razor Ja kann ich nachvollziehen. Wenn man da nicht die Ruhe weg hat kriegt man mit den Fritzboxen die Krise. Die zeigen leider keine sinnvollen Fehlermeldungen an. Wenn ich da was am Laufen habe geb ich Bescheid. Ich hab da auch die letzten Monate mit einer Kombination aus Edgerouter<->Fritzbox und jetzt mit DM<->Fritzbox rumgebastelt und auch der Chef einer befreundeten IT-Firma hat das Handtuch geworfen.
Im ganzen Internet gibts zwar einige Configs aber oft laufen die Unterhaltungen dann ins leere.
Mit den oben genannten Einstellungen bekomme ich jetzt bei mir Zuverlässig ein VPN was auch funktioniert.
Ja das hab ich natürlich alles geprüft. Die VMs können alle ins Internet. Die Forwardings hab ich mit Logging versehen und da sehe ich sogar das er bei einer Anfrage von Aussen auch die richtige interne IP zum Forwarden zeigt aber passieren tut leider nix. Andere Forwardings auf Native Geräte funktionieren, VLANs gibts nicht. Ich habe testhalber mal von der DM auf einen Raspberry und hier mit iptables auf den ESX forwarded und das funktioniert auch. Die DM ist auch der DHCP-Server, der ESXi hat eine statische IP.
Hallo thomas, bin da momentan dran ein script zu schreiben was das ganze auch dyndns-tauglich macht und was dann regemässig läuft und die config anpasst. Mal schauen ob das funktioniert und dann könnte ich das hier mit posten. Müsste aber noch schauen obs cron auf der DM gibt oder irgendwas greifbar ist, was beim boot gestartet wird.
Also es laufen ja Portforwardings z.B. auf einen Raspberry der mit im Netz hängt und hier funktioniert das problemlos also kann ich auch ausschließen das es an den Einstellungen in der GUI der DM liegt.
Mit RDP meine ich Windows. Das ist schon klar. Es geht auch darum (abseits aller Sicherheitsaspekte) das man den RDP-Port der VM von Außen erreichen kann. Es geht aber auch z.B. darum die Webseite einer Zoneminder-Installation (Kameraüberwachung) unter Linux von Außen erreichbar zu machen. Diese Forwardings gehen alle nicht und haben als einziges gemeinsam, dass sie auf dem ESXi laufen - also virtualisiert sind. Sobald ich ein Natives Gerät wähle funktioniert es. Ich suche also eher eine Möglichkeit das ganze zu debuggen, auf der DM schauen zu können was die bei dem Forwarding genau macht, als so basics wie man das einstellt. Intern im Netz mit den Netzinternen IPs funktioniert das alles völlig unauffällig. Mir scheint da nur irgendwas mit dem NAT nicht zu passen.
Hallöchen, wieder mal Problemchen
Ein Kumpel hat sich eine DM Pro zugelegt für seine recht umfangreiches Haus-Installation. Jetzt hab ich ihm einen ESXi aufgeschwatzt weil er verschiedene Dienste laufen hat und das eigentlich sonst bei mir ganz praktisch läuft. Der ESXi läuft, die VMs laufen, aber es ist unmöglich einen Port z.B. auf RDP oder irgendetwas anderes was auf dem ESXi läuft von Außen zu forwarden.
Ich kann völlig Problemlos z.B. SSH oder auch die Weboberfläche vom ESXi selbst forwarden aber sobald ich eine IP nehme, die auf dem ESXi läuft, geht nix. Lustigerweise läuft das ganze aber Netzintern völlig problemlos. Hier kann ich alle Services erreichen. Hat jemand einen Tip woran das liegen kann? Ich kann auch auf der Console das syslog mitlaufen lassen und sehe auch meinen Verbindungsversuch aber passieren tut trotzdem nix.
Grüsse, Jan
Hallo razor, das kann ich nachliefern. Soweit ich weiß kann die DM ja kein Wireguard bzw. hab ich das nirgends gesehen und die Fritz kanns ja auch erst ab 07.50.
Also um das ganze zu komplettieren:
Fritzbox 5490 mit Fritz!OS 07.29
Dream Machine Pro 1.12.33
Das ganze ist ein IPSec-Tunnel über die Site2Site-Verbindung.
Anbei noch die Fritzbox-Config auf Nachfrage eines Forumsusers. Das in eine Textdatei kopieren und diese übers Webinterface einlesen.
Was ich bisher feststellen konnte war allerdings das der Tunnel bei der Zwangstrennung und Vergabe einer neuen IP neu eingerichtet werden muß was ziemlich lästig ist weil die DM leider keine DNS-Einträge mag.
vpncfg {
connections
{
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "NAME DER VPN-Verbindung";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = Dreammachine-IP;
remote_virtualip = 0.0.0.0;
remotehostname = "Dreammachine Hostname";
keepalive_ip = 0.0.0.0;
localid
{
fqdn = "XXXXXXXXX.myfritz.net";
}
remoteid
{
fqdn = "Dreammachine Hostname";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "VERYSICHERERKEY";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid
{
ipnet
{
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid
{
ipnet
{
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Alles anzeigen
Ich antworte mir mal selbst nachdem das jetzt stabil läuft:
auf der Dream Machine hab ich die config der VPN-Verbindung anpassen müssen da die Weboberfläche das nicht hergibt.
Ich habe folgendes angepasst:
Die Fritzbox hat folgende Änderungen bekommen:
remoteip = Externe IP der DM
remotehostname = dyndns der DM
localid
fqdn= "myfritz-Adresse)
remoteid
fqdn= "dyndns der DM"
phase1ss = "all/all/all";
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
Rest ist so wie in den zahlreichen Beispielen im Netz oder wie es dieser Fritzbox VPN Konfigurator ausspuckt. Wichtig ist wohl das fqdn und nicht ipaddr verwendet wird.
Damit baut er jetzt einen Stabilen Tunnel auf.
Hallöchen,
ich bin schon wieder am Verzweifeln mit diesem VPN-Gedöns bei der Fritzbox.
Auf der DM-Seite hab ich folgendes eingestellt:
Key Exchange Version: IKEv1
Encryption: AES-256
Hash: SHA1
IKE DH Group: 2
ESP DH Group: 5
PFS Enabled
Route-Based VPN Enabled
Route Distance 30
Und die Remote-IP von wo die Anfrage kommt und die IP-Adress-Range 192.168.1.0/24 die im Fritzbox-Netz verwendet wird.
Bei der Fritzbox hab ich jetzt einfach mal Verbindung zu Firmennetzwerk gewählt und das wars.Das Ergebniss mit swanctl kommt dann so daher:
received stroke: initiate 'f3cb_bd22_7417_916f'
10[IKE] initiating Main Mode IKE_SA f3cb_bd22_7417_916f[18] to 37.247.77.135
10[ENC] generating ID_PROT request 0 [ SA V V V V V ]
10[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (180 bytes)
09[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (232 bytes)
09[ENC] parsed ID_PROT response 0 [ SA N((24576)) V V V V V V ]
09[IKE] received XAuth vendor ID
09[IKE] received DPD vendor ID
09[IKE] received NAT-T (RFC 3947) vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
09[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
09[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
09[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (244 bytes)
12[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (228 bytes)
12[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
12[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
12[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (108 bytes)
13[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (76 bytes)
13[ENC] parsed ID_PROT response 0 [ ID HASH ]
13[IKE] IDir '37.247.77.135' does not match to '37.247.77.135'
13[IKE] deleting IKE_SA f3cb_bd22_7417_916f[18] between 46.243.110.103[46.243.110.103]...37.247.77.135[%any]
13[IKE] sending DELETE for IKE_SA f3cb_bd22_7417_916f[18]
13[ENC] generating INFORMATIONAL_V1 request 2778249710 [ HASH D ]
13[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (92 bytes)
Alles anzeigen
Auffällig ist hier:
IDir '37.247.77.135' does not match to '37.247.77.135'
Die ID Key-ID kann ich aber im Site2Site-Dialog der DM gar nirgends eingeben glaub ich jedenfalls. Kann mir jemand sagen wo da genau der Fehler liegt?
Hallo usr-adm,
Evt hab ich irgendwo ein Grundsätzliches Problem.
Ich hab bei Networks 2 erstellt.
Einmal das mit der IP 192.168.0.0/24 und das Externe mit der 192.168.1.0/24.
Hier muß ich aber schon eine VLAN-ID eingeben und wenn er auf AUTO eingestellt ist setzt er hier eine 2 ein.
Ich hab quasi gar kein Default Netzwerk bzw. hab ich das damals sicher ersetzt mit dem welches lokal läuft.
Also ich hab gestern nochmal probiert das normale Netzwerk von der Hauptstelle an den AP in der Nebenstelle weiter zu geben und das funktioniert insofern das der AP in der Nebenstelle dann den lokalen DHCP-Server weitergibt.
Es liegt also sehr warscheinlich daran das ich beim Anlegen eines neuen Netzwerkes zwingend eine VLAN eingeben muß außer beim ersten WLAN und wir hier und im VPN eben keine VLANs haben. Kann man das irgendwie umgehen?
Hallöchen,
ich hab da mal wieder ein Problem.
Ich habe 2 Standorte an denen jeweils Unifi-APs verbaut sind. Ich hab diese 2 Standorte per Site2Site-VPN verbunden.
Auf der Hauptseite sind 4 UAP verbaut die mit dem Controller verbunden sind und funktionieren.
Auf der Nebenseite ist ein UAP verbaut den ich per Layer-3-adoption auch in den Controller befördert habe.
Dieser liefert beim Verbinden allerdings keine IP-Adresse aus.
Die Fritzbox auf der Nebenstelle hat den eigenen DHCP-Server aktiviert und sollte eigentlich irgendwas im Rahmen von 192.168.1.xx servieren.
Die Hauptseite hat den DHCP-Server mit 192.168.0.xx am Laufen.
Ich würde ungern den DHCP-Server übers VPN laufen lassen da ich bedenken wegen der Stabilität der Leitung habe und die 2 Firmen schön arbeiten sollen und nicht auf den Provider angewiesen sein sollen.
Wie kriege ich den UAP auf der Nebenstelle dazu das er beim Verbinden die 192.168.1.xx an die Clients weitergibt?
Danke schonmal, Grüsse, Jan
Hallo und danke für die Aufnahme hier im Forum.
Ich hab zuhause bereits seit Jahren Unifi-Equipment und in der Firma konnte ich nach und nach auch vieles installieren. Allerdings ist die Installation hier in den letzten Jahren so vor sich hin gewachsen und es wäre Zeit das ganze zu überarbeiten.
Ich habe hier eine ziemlich große Halle (200m) wo auf der einen Seite der Serverraum mit dem Internetanschluß ist und auf der anderen eine datenintensive Abteilung. Momentan ist das über mehrere Switches verschachtelt miteinander vernetzt mit den üblichen 1Gbit. Ich würde hier gerne auf 10GBit upgraden und das ganze gleich direkt mit Fiber verkabeln. Auf der HP sehe ich aber das nur die 25GBit-SFP+-Module Fiber unterstützen. Sind diese Abwärtskompatibel?
Könnte man einen Switch Pro 48 PoE mit einem Switch Pro 24 über LWL mit 10Gbit Linkspeed verbinden?
Grüsse, Jan
zur Zeit sind 63 Mitglieder (davon 4 unsichtbar) und 429 Gäste online - Rekord: 129 Benutzer ()