Beiträge von kaetho

Zitat von mguenther

... Mene Fritz wäre über einen DynDNS Dienst erreichbar....

Das ist die Grundvoraussetzung, passt also.

Dann richtest du auf der Fritte den Port, an dem die UDMpro mit ihrem WAN-Port verbunden ist, als exposed host ein -> alle Anfragen aus dem internet werden so direkt an die UDMpro weitergeleitet.

Im UDMpro-Netz richtest du nun eine Portweiterleitung auf das Gerät ein, das den Wireguardserver bereitstellt; eigentlich da halt ganz klassisch nach diversen Anleitungen im Netz. Ich habe mich an dieses Video gehalten.

Zitat von bic

Routerkaskaden sind für VPN immer ungünstig, daher schmeiß die Fritte raus und nimm z.B. ein Vigor als Modem Brauchst du die Fritte dann noch für VoIP, dann hängst du diese einfach als Client an die UDM.

Es gibt Situationen, da geht es nicht anders als mit einer Routerkaskade . Und VPN bringt man auch mit einer solchen problemlos stabil zum laufen, halt einfach nicht unbedingt mit Wireguard auf der UDMpro.

Ich bin auch einer, der am üben ist damit. Ich hab's mit Wireguard auf der UDMpro noch nicht hingekriegt. Mit Wireguard auf einem Raspi4 im UDMpro-Netz hinter einer Routerkaskade aber schon, das geht problemlos und stabil.

Zitat von taxman

… sag mal hast Du das jetzt zum Laufen bekommen?

Nach dem nun 3.0.20 raus ist, wollte ich WG auf meiner UDMpro auch umsetzen, das scheint aber wirklich nur zu funktionieren, wenn die UDMpro nach einem Modem am Netz hängt und von dort die „externe“ IP bekommt. Eine Funktion per Exposed Host nach einer FB scheint nicht zu laufen. Oder? ...

Ich würde diese Frage jetzt mal mit "ja, ist so" beantworten. Solange man auf der UDMpro nur eine IP statt eine domain angeben kann, geht das nur, wenn die UDMpro am WAN-Port die öffentliche IP erhält und nicht die des vorgeschalteten Routers.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Default mässig haben ja alle Mesh aktiv. Sollte der AP das nicht selber schnallen? Ich deaktiviere Mal gleich die Mesh Funktion

Hat das was gebracht, das Deaktivieren der Mesh-Funktion?

Klar sollte das das System selber "schnallen". Kann es vermutlich auch, wenn durchgehend Unifi-Geräte zum Einsatz kommen.

Ich habe übrigens genau wegen diesem Thema das Meshing komplett deaktiviert und alle WLAN-APs mit Netzwerkkabel ans System gehängt. Hatte eine zeitlang auch einen Mischbetrieb mit Unifi (Switches) / NON-Unifi (AP's und kleinere Switches) in Betrieb und sehr häufig Probleme im Netz gehabt, weil die APs nicht sauber konfigurierbar waren.

Der Switch alleine macht ja keinen Loop, wenn du den mit genau einem Netzwerkkabel an die UDM SE anschliesst. Erst die APs die du anschliesst, verursachen Probleme? Hast du die APs im Meshbetrieb und gleichzeitig mit Netzwerkkabel im Netz eingebunden? Was passiert, wenn du das Meshing ausschaltest?

Zitat von Muggel74

Hallo zusammen,

Bin UniFi Neuling und dies ist mein erster Post. Hoffe, ihr könnt mir helfen …

Hier mein Problem:

An meiner UDM SE hängt ein 24 Port Pro Switch. Alles ist im Rack im Keller verkabelt und installiert. Von dort aus wird das LAN Signal an einen UniFi Flex (via POE) verteilt.

Der Flex speist wiederum einen UAP AC Pro.

Leider zeigt die Topologie aber ein anderes Bild. Eigentlich müsste der Flex an dem 24 Pro Poe Switch hängen.

Könnt ihr mir diesen Infos schon einen Tipp geben?

Danke vorab für eure Hilfe

Alles anzeigen

Spannend. Ich hatte übers WoE genau dasselbe Problem "lösen" müssen. Einer meiner USW-Flex mit einem UAP-AC-pro dran wollte nichts mehr von der UDMpro wissen, an dem der USW-Flex eigentlich hängt.

Das Darstellungsproblem habe ich seit Monaten immer wieder gehabt und habe es über die ganze Migration der UDMpro von der 1er auf die 3er Firmware mitgezogen, ohne Besserung. Schlussendlich half nur noch ein Abmelden des APs aus dem Netzwerk, anschliessendes Resetten und neu einbinden. Seither stimmt die Anzeige wieder.

ok, dann ist der Ausdruck "DMZ", wie ihn Swisscom auf ihren Internetboxen benennen unglücklich gewählt. Da würde demfall "Exposed Host" auch besser passen.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Kann man sich mit Exposed Host nicht das Genick brechen? Schon traurig, dass AVM noch nicht mal DMZ implementiert! Naja, die FritzBox habe ich bis jetzt immer vermieden. Gesicheiter wäre ein Router zu kaufen, den man in Bridge Mode versetzen kann. ...

Wo genau liegt der Unterschied zwischen DMZ und Exposed Host? Bis jetzt bin ich davon ausgegangen, dass das dasselbe ist, einfach etwas anders beschrieben?

Wireguard auf der UDMpro habe ich gleich wieder geknickt, da kann ich ja nur eine IP statt eine domain angeben? DDNS macht bei mir mein Router vor der UDMpro, die UDMpro ist in der DMZ. Wireguard macht dann ein Raspi hinter der UDMpro...

Jetzt ist die UDM-Fraktion mit 3.0.19 gar vor der UDM-SE mit der 3.0.18?

Bin grad am aufspielen der 3.0.19 auf meine UDMpro. Hoffentlich gibts beim nach Hause kommen keinen Shitsorm

Kurz nachgeschaut, was auf meiner UDMpro drauf ist. Da kommt das!

... wer hat sich schon getraut?

Port Mal grün, mal weg? Hat STP angesprochen und den Port zugemacht? Wäre logisch, wenn du wie beschrieben deinen Raspi "mit wlan per Netzwerkkabel" angeschlossen hast, ohne das WLAN zu deaktivieren.

Hoi Konstantin,

Ich habe hinter meiner UDMpro einen Raspberry pi mit Wiregruard drauf. So komme ich von aussen in mein Heimnetz. Das sieht bei mir so aus:

Internet -> Providerrouter (Internetbox3 von Swisscom, macht auch ddns, weil ich keine fixe IP habe) -> DMZ ("exposed host", so gehen alle Portanfragen von aussen direkt an die UDMpro weiter) -> UDMpro (mit eingerichteter Portweiterleitung auf den Raspberry pi für Wireguard) -> Raspberry pi mit Wireguard.

Ich habe meine UDMpro seit Sommer 2020. Damals war es mit VPN und UDMpro für mich noch unmöglich, was Brauchbares hinzukriegen. Deshalb habe ich damals den Weg über den Raspi gemacht. Funktioniert heute noch.

Die neue 2er Firmware für die UDM/UDMpro bietet mittlerweile ja einen eigenen VPN Server an, damit habe ich mich aber noch nicht auseinandergesetzt.

... dafür ohne Neukauf von Hardware realisierbar

Zitat von kstergi

Zudem: ich wollte eigentlich auf der UDM terminieren; also hinter der Firewall. Ist das möglich?

Eigentlich schon. Versuch von der Logik mal über folgendes Setup nachzudenken:

• Fritzbox macht Verbindung ins Internet
• UDM an die Fritzbox in die DMZ -> Exposed Host heisst das glaubs bei der Fritte -> alles was an Portanfragen aus dem Internet reinkommt und nicht schon auf der Fritte "abgefangen" wird, geht direkt an die UDM weiter
• DynDNS macht die Fritzbox
• Wireguard muss hinter (oder später mal auf) der UDM laufen -> kann oft auf einem NAS eingerichtet werden -> kann dein NAS sowas? Sonst z.B. ein Raspi mit Wireguard drauf hinter der UDM in Betrieb nehmen

So läuft das bei mir. Mit doppeltem NAT. Stört aber nicht.

Dieses Update von 2.4.23 auf 2.4.27 verlief auch bei mir nun dev. stressfreier als von der 1.12.33 auf die 2.4.23.

Genau ein angekündigter Reboot, danach das Update, alles innert ca. 10 min. Etwas "Risk and Fun" musste aber sein, habe das Update via Handyapp auf dem Heimweg im Zug angestossen ...

wolewo

du hast die UDMpro gegen eine UDM SE getauscht?

Ich bin mir nicht sicher, aber das Thema ist auch mit der SE noch nicht durch. Die Kondig mit dem VLAN und dem 2. LAN-Kabel von der IB zur UDM funktioniert aber zum Glück nach wie vor stabil. Stören tut es ja nicht

Bin gespannt, wie es dann aussieht mit Swisscom-TV, wenn meine UDMpro auch auf UnifiOs 3.irgenwas ist.Vielleicht geht es ja bis dann...

Ok, dann passt das schon. Die dritte Regel, die er im Video ab 18:07 erstellt. blockiert alles, was versucht über die Netze hinweg zu plaudern. Aber sie blockiert nur neuen Traffic. Alter, bestehenden Traffic wird zugelassen, das macht er mit der Regel 1, die er ab 13:40 erstellt. Dass du nun aus deinem Default-Netz ins IoT-Netz zugreifen kannst, das macht die 2. Regel, die er ab 16:54 erstellt.

"Logisch ist es mir noch nicht, weil das IOT-Netz kein Zugriff in die anderen Netze hat, das Default-Netz jedoch kann ins IOT-Netz zugreifen. Entweder es funktioniert weil die Steuerzentrale (AppleTV) eine Verbindung ins IOT Netz aufgebaut hat und es läuft darüber ..."

Mit der Regel 2 lässt du genau das ja zu, und mit der Regel 1 lässt du zu, dass die angesprochenen Geräte aus dem IoT dann auch aus dem IoT-Netz ins Default-Netz antworten dürfen. Erst, wenn die IoT-Geräte von sich aus, also ohne vorangegangene Aufforderung aus dem Default-Netz ins Defaultnetz quatschen möchten, unterbindet das die Regel 3.

Hast du selbst Firewallregeln angelegt? Die UDMpro ist ohne selbst angelegte Firewallregeln doch so konfiguriert, dass du von jedem in jedes Netz kommst, da wird nicht geblockt.

Das Update auf 2.4.26 wurde auch gestern noch zurückgezogen.

Nein, da wird HomeKit nicht erwähnt. Ich kenne HomeKit nicht, aber grundsätzlich spielt das doch eigentlich keine Rolle?

Ich habe meinen Raspi mit Homeassistant drauf im IoT-Netz. Von meinem Handy oder auch PC, beide im Defaultnetz, kann ich darauf zugreifen und Geräte steuern, die im IoT-Netz liegen. Und der Raspi kann dann auch mit dem Handy oder PC kommunizieren, wenn er dazu aus dem Defaultnetz aufgefordert wird. Nur von sich aus kann er nicht ins Defaultnetz "plaudern".

Die drei Regeln, die angelegt werden, machen ja eigentlich nichts anderes, als sicherstellen, dass

a) der ganze Verkehr, der im Netz und über die verschiedenen lokalen Netze hinweg schon existiert, "hin und her, kreuz und quer", wird weiterhin zugelassen (Allow Estabished/Related)

b) der Verkehr, der aus dem Defaultnetz aus initiiert wird, wird in alle lokalen Netzte zugelassen, und Antworten darauf aus allen lokalen Netzen (auch dem IoT-Netz) wird nicht unterbunden (Allow LAN to Local Networks, da macht er ja noch extra eine Gruppe mit allen lokalen Netzwerken drin), und

c) die einzelnen lokalen Netze dürfen untereinander grundsätzlich nie miteinander kommunizieren.

Wird jetzt eine neue Anfrage aus dem Defaultnetz gestartet, die ins IoT geht, geht diese Anfrage zuerst an der Regel a) vorbei, die greift aber nicht, weil ja noch kein Datenaustausch existiert. Darum geht die Anfrage weiter zu b) und wird nun da behandelt und ausgeführt, weil es eine Anfrage aus dem Defaultnetz ist und die Regel sagt, dass sowas gemacht werden darf. Gibt das IoT-gerät nun darauf Antwort, geht diese wieder durch a) und wird zugelassen, weil es nun schon einen bestehenden Datenverkehr dazu gibt, und alle weitere Kommunikation, die darauf aufbaut, geht nie über a) hinaus, bis die Kommunikation fertig ist.

c) kommt nur zur Anwendung, wenn ein z.B. ein IoT-Gerät von sich aus versucht, in ein anderes Netz zu kommen. Dann wird zuerst wieder a) geprüft und verworfen, weil ja noch nichts aufgebaut ist, dann kommt b) dran, auch diese wird abgelehnt, weil der Aufruf nicht aus dem Defaultnetz kommt, dann gehts halt weiter zu c) und die sagt, "nö, keine Kommunikation über verschiedene lokale Netze hinweg" und die Anfrage ist geblockt.

a) und b) ist gewollt, weil von mir ausgelöst, und nur c) wollen wir ja nicht, und das greift dann ja auch.

Nach dieser Logik kann Apple-TV ins IoT, solange du mit Apple-TV "nur" aus dem Internet streamen willst, und nicht versuchst, Daten von einem lokalen NAS zu streamen, das nicht im IoT-Netz liegt. Auch Sonos können da rein, die dürfen eh nicht von sich aus woanders als aus dem IoT-Netz oder Internet was streamen, das wird ja eigentlich immer über ein Gerät (z.B. Handy) initiiert, das dann im Defaultnetz liegt. Auch der drucker könnte so ins IoT-Netz, ein Druck wird ja auch wieder von einem PC oder Handy aus gestartet, das im Defaultnetz liegt.

Mit dieser Logik macht das schon Sinn mit dem IoT-Netz. Oder verstehe ich was falsch?