Beiträge von ragman1976

Zitat von DoPe

Das Problem scheint mir zu sein das der PBS seine Pakete zum Syno bringt ( die Regel aus 1. Bild), dann aber die Antwortpakete von der Syno durch die "Block inter VLAN routing" Regel blockiert werden.

Darf die Adressgroup DS218+ auch mit der Adress Group PBS Extern kommunizieren? Da würde related / established reichen wenn die DS218+ von sich aus keine Verbindung zu PBS aufbauen soll. Dafür brauchst Du eine entsprechende Regel die das erlaubt VOR der "Block inter VLAN routing" Regel.

Das habe ich auch schon ausprobiert und zwar mit der Regel....siehe Anhang "Allow NFS DS218 to PBSextern.png"

Ports ANY - ANY

auch in der Version Ports NFS

und Advanced auf AUTO.

Es ist immer das gleiche Spiel...sobal ich die Regel "Block inter VLAN routing aktiviere ist der mount nicht mehr möglich.

Hallo,

ich nutze eine Syno (192.168.5.13, VLAN 5) als Fileserver für meine Daten und Backups. In einem anderen VLAN betriebe ich einen ProxmoxBackupServer (192.168.50.80, VLAN50) um meine VMs/lxc meiner PVE zu sichern. Für die Verbindung mache ich einen NFS mount zwischen beiden Geräten. Es funktioniert alles so lange bis ich die Firewallregel "Block inter VLAN routing" (siehe Anhang) aktiviere.

Meine Firewall Regeln findet ihr im Anhang. Wie gesagt funktioniert die NFS Verbindung zw. PBS und DS218 solange die Firewallregel "Block inter VLAN routing" nicht aktiv ist. Sobald ich diese aber aktiviere funktioniert der mount nicht mehr.

fstab-Eintrag auf dem PBS:

192.168.5.13:/volume1/BackupProxmox/PBS_extern /mnt/datastore/DS218_PBS_extern/ nfs nfsvers=4

Port-Groupe NFS (NFS Version4):

2049

Besten Dank vorab!

Gruß

Zitat von Lightrider87

Kurze Verständnisfrage. Die Dienste sollen weiterhin über das Internet verfügbar sein und nicht nur durch das VPN?

Ja, die Dienste sollten von überall intern und extern erreichbar sein.

Hi,

mit Einträgen im DNS könnte ich die interne Erreichbarkeit sicherstellen, hätte aber weiterhin von extern ohne VPN ins Heimnetz keinen Zugriff.

Die sauberste Lösung wäre den Mini PC tatsächlich in ein eigenes VLAN zu hängen. Aber....MiniPC...Proxmox...Docker VM...alle Firewall-Regeln umstellen, Routing, Portweiterleitungen...vor sowas habe ich Angst

Die VPN Verbindung drosselt auch die Geschwindigkeit des Zugangs erheblich, von 500 Mbps auf ca. 100 -150 Mbps. Mal sehen was ich daraus mache. Wahrscheinlich werde ich nur das IoT /Kamera und Gäste Netzwerk durch das VPN leiten.

Zitat von Lightrider87

Wäre das Ziel nicht eher dein DNS so anzupassen, dass der Traffic sauber über das VPN geschickt wird? Dann bräuchtest du den Weg über das Internet nicht mehr.

Klingt gut...wenn du mir noch verrätst wie ich das hinbekomme wäre das super

Zitat von DoPe

Leitest Du wirklich den ganzen Verkehr über den VPN Tunnel?

Zu 99,9% ja. Ich habe in den Routing Einstellungen alle Netze ausgewählt, damit sollte der ganze Traffic über die VPN Verbindung gehen.

Sobald ich das Netz, in dem sich die DockerVM (Treafik-Reverse Proxy aus der Routing über das VPN nehme, sinnd die Dienste wieder erreichbar. Somit passt das zu deiner Erklärung

Gibt es eine Möglichkeit nur einzelne IP-Adressen, in meinem Fall, die der DockerVM, aus dem Routing zu nehmen. In den Routing Einstellungen kann ich zwar "Alle Clients" auswählen, aber dann nicht wieder einzelne entfernen ?

Hallo,

ich habe auf einem Mini PC eine UbuntuVM für Docker am laufen. Unter Docker laufen ein paar Dienste (Bitwarden PW Manager, Bookstack etc.) die via Traefik Reverse Proxy unter öffentlichen Internetadressen (Netcup. Cludflare DNS) erreichbar sind. Soweit alles gut, funktioniert alles einwandfrei.

Als Router verwende ich eine UDP-PRO (Glasfaseranschluss Telekom), VPN Anbieter Proton VPN. Es besteht die Möglichkeit die UDM als OpenVPN Client zu einem ProtonVPN Server einzurichten und mit entsprechender Routing Regel somit den ganzen Verkehr über die VPN Verbindung zu leiten. Sobald ich die VPN Verbindung und das Routing aktiviere, sind meine Dienste über die Internetadresse nicht mehr erreichbar.

Hat jemand einen Tipp an was das liegen könnte?

Gruß und Danke.

Problem gefunden:

Ohh was eine komisch Geschichte...

Die Ubuntu VM nutze ich für meine Docker Container. Ein Container (Wallabag) kreiert ein (Docker) Netzwerk 192.168.16.0/20. Das "überlappt" sich mit dem IP-Bereich eines VLANs (192.168.16.0/24). Solange der Container Netzwerk aktiv ist kann ich das entfernte Netzwerk (FritzBox) 192.168.20.1 via VPN nicht pingen:

PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
From 192.168.16.1 icmp_seq=1 Destination Host Unreachable

Sobald ich den Container stoppe und das Netzwerk lösche kann ich das Gateway kann ich die FritzBox via Ping erreichen:

PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
64 bytes from 192.168.20.1: icmp_seq=1 ttl=62 time=17.4 ms
64 bytes from 192.168.20.1: icmp_seq=2 ttl=62 time=17.3 ms
64 bytes from 192.168.20.1: icmp_seq=3 ttl=62 time=17.9 ms
64 bytes from 192.168.20.1: icmp_seq=4 ttl=62 time=18.0 ms

Hallo,



ich verbinde meine Netzwerke über eine VPN Verbindung.



Standort 1 FritzBox 192.168.20.1

RaspberryPi mit Wireguard



Standort 2 UDM Pro 192.168.10.1 Management LAN 192.168.10.0/24 (div. VLANs, u.a. 192.168.16.0/24)

Proxmox lxc mit Wiregard



Das Problem ist folgendes:



Ich bekomme mit jedem Client aus Standort 2 eine PING auf die Fritzbox. Nur ein Client, Proxmox VM Ubuntu 23.04 DockerHost 192.168.10.81) bekommt keine PING auf die Fritzbox. Die Fehlermeldung lautet:



PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.

From 192.168.16.1 icmp_seq=1 Destination Host Unreachable



Das "komische" ist, dass die angegeben IP, die IP des Gateways eines VLANs ist. Es sieht zumindest so aus, dass warum auch immer über das Gateway des VLANs geroutet wird. Dieses VLAN ist tatsächlich über eine Firewallregel blockiert.



Ich kann mir da keinen Reim drauf machen, da ich kein Routing für die besagte VM eingerichtet habe.



Jemand Rat wie ich das nachvollziehen kann?



Zur Veranschaulichung der Netzwerkstruktur/Problems...siehe Anhang.



Danke vorab

Update:

Problem gelöst!

Das Erkennen des Flex Mini geht weiterhin nur wie unten beschrieben.

Das Zuweisen einer neuen IP Adresse/Subnetz funktioniert, wenn als DNS-Server die IP des Controllers, sprich 192.168.1.1 eingetragen wird!

Hallo Kurt-oe1kyw,

erstmal besten Dank für deine ausführliche Antwort!

Mein Problem beginnt aber schon damit, dass der Flex Mini vom Controller (UDM-Pro) vom "managed" Unifi LAN (default) 192.168.1.0/24 nicht erkannt wird. Der Mini wird nur erkannt wenn:

-ich ein 192.168.1.0/24 Netz "händisch" anlege

-das Port-Profile des der Ports der UDM-Pro an den ich den Mini anschließe auf das händisch erstellt 192.168.1.0/24 Netz eingestellt ist (ALL oder ein Port Profile in dem das händisch erstellte 192.168.1.0/24 enthalten ist funktioniert nicht)

-der Mini aus dem Recovery Mode hochgefahren wird

Bin da wohl nicht alleine, ich habe den von mir beschriebenen "workaround" wie man den Mini zumindest mal wieder adaptieren kann im Unifi Forum gefunden:

https://community.ui.com/questions/USW-Flex-Mini-adoption-issues/aaa4ea86-7d62-406d-9698-e8d11091cc49#answer/da4b7e3f-97f9-44b9-9c35-3c3ce522e6df

Leider hänge ich dann weiterhin an dem Pkt wie ich dem Mini eine IP eines anderen Netzes zuordnen kann z.B. 192.168.10.0/24 in dem sich alle meine anderen Unifi Devices befinden.

Sobald ich den MIni an einen Port hänge, der nicht auf das händisch erstellt 192.168.1.0/24 Netz eingestellt ist, sondern auf All oder ein selbst erstelltes Port-Profile, welches das händisch erstellte 192.168.1.0/24 Netz beinhaltet geht das Ding offline und ist nicht mehr anzusprechen. Auch das Zurückstellen des Ports auf das händisch erstellt 192.168.1.0/24 Netz erweckt ihn nicht mehr zum Leben.

Ganz kurios ist, dass der Mini in der Mini in der Device Übersicht als offline dargestellt wird, aber an dem Port, an dem er hängt (in dem Fall an einem 16-Port Switch) angezeigt wird, siehe Anhang. So kann ich den Mini aber halt leider nicht konfigurieren.

Hi,

ich habe folgendes Problem.

Ich habe einen Flex Mini, an dem ich die IP Adresse, bzw. das Netzwerk (VLAN) nicht ändern kann.

Damit der Flex Mini überhaupt von der UDM-Pro erkannt wird, muss ich ein 192.168.1.0/24 Netz anlegen und den Port an der UDM entsprechend taggen . Danach muss ich den Mini anschließen und einen Reset durchführen (LED blinkt abwechselnd weiß/blau). Danach wird der Flex Mini erkannt und ich kann ihn adoptieren. Die Erkennung funktioniert nicht, wenn der Port an der UDM-PRO auf ALL oder ein Port-Profile eingestellt ist, indem das 192.168.1.0/24 beinhaltet ist.

Soweit so gut der Mini ist erstmal im 192.168.1.0/24 und adaptiert...da möchte ihn aber nicht haben.

Sobald ich den Port an der UDM-Pro ändere oder dem MINI über Static-IP eine andere IP/Netz zuweise, geht dieser "Offline" und wird von der UDM-Pro nicht mehr erkannt. Auch nicht mehr, wenn ich den Port an der UDM-Pro wieder auf das 192.168.1.0/24 zurückstelle.

Habe jetzt schon den ganzen Tag alles hoch und runter probiert inkl. Firmware downgrade des Minis etc.

So langsam gehen mir die Ideen aus..jemand Rat?

Gruß und Danke vorab