Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Sinnvolle Anzeige der VLAN Firewall-Logs.
Entweder bin ich dumm, oder es gibt wirklich keine Möglichkeit, sich die Destination-IP und Port anzeigen zu lassen. Source alleine ist halt eher witzlos, weil üblicherweise die Catch-all Regel greift.
Bekomme aktuell alle zwei Minuten drei Einträge im Log. Sehr unschön, und beim Debuggen von Verbindungsproblemen über VLANs nicht hilfreich.
Großartig, danke!
Gerade noch mal geschaut, jetzt kann ich auch in der neuen UI "22000-22255" eintragen?!?
Bin mir relativ sicher, dass das vorher nicht funktioniert hat ...
Moin zusammen,
ich würde gern eine Firewall-Regel erstellen, in der ich die Ports 21000 bis 21255 von einem VLAN ins andere freigebe.
Leider bin ich dabei gescheitert, in den Regeln eine Range anzugeben, und 256 Ports trage ich ganz sicher nicht einzeln in ein Port Profile ein.
Irgendjemand einen Tip, wie man so etwas möglichst schmerzfrei mit der Unifi Firewall umsetzen kann?
Jupp so in der Art hatte ich das schon versucht..
Muss ich nochmal reinschauen..
Wie schon die Vorposter gesagt haben ... zum einen musst Du evtl. noch den Port von Deiner Fritte auf die UDM weiterleiten, wenn das noch nicht durch "exposed host" passiert ist.
Zum anderen solltest Du Dir überlegen, ob Du diese Anwendung wirklich für alle ins Internet stellen willst.
Am einfachsten geht das wahrscheinlich, wenn Du global in System -> Advanced -> Wireless Connectivity das Wireless Meshing ausschaltet.
Dann sollten sich APs nur noch über Kabel verbinden.
Das ist eine Portweiterleitung, die kannst Du hier einstellen:
Alles anzeigenAuch nach mehreren Tagen derselbe Effekt: Alle Verbindungen, die über die FritzBox direkt gehen, werden sehr erfolgreich von Werbung geblockt. LAN wie WLAN, als DNS-Server ist die IP der FritzBox mitgegeben. IPv6 habe ich in der UDM auch erstmal bei den Netzen abgeschaltet.
Auch in den WLAN Verbindungen über die UDM werden je nach WLAN wie gewünscht die von mir eingetragenen DNS Server angezeigt, wenn ich zwischen den WLANs wechsele.
Trotzdem kommt über alle SSIDs der UDM und scheinbar eben alle Netze weiter Werbung. Wenn ich eine "werbelastige" Seite auf habe, über FritzBox alles super, lasse ich die Seite auf und wechsele in eins der UDM-Netze, Seite aktualisieren, alles voller Werbung. Über ALLE Netze der UDM, nicht nur das, was nicht geblockt werden soll.
Wer hat eine Idee, wo es klemmt?
Wenn ich mich richtig erinnere, hat z.B. der Firefox einen recht aggressiven DNS-Cache eingebaut. Kann also sein, dass Dein Browser sich die URLs der Werbung gemerkt hat und gar nicht mehr AdGuard fragt.
Versuch doch mal, den Browser zwischen zwei Tests zu beenden oder den Rechner neu zu starten.
Habe ein ähnliches Setup bei mir laufen, und es funktioniert tadellos.
Hört sich für mich übermäßig kompliziert an, was Du da machst.
Zuerst einmal verstehe ich nicht, warum Leute die IPs von ihrem Upstream-Netz (Bridge) mit dem Netz von der UDM mischen.
Bei mir habe ich der Fritte eine IP im Bereich 172.16/20 gegeben, dann hat die UDM den ganzen Bereich 192.168/16 für sich und ich kann dort frei Netze einrichten.
Für die VMs auf der UDM ein eigenes Netz einrichten, sagen wir 192.168.10/24 mit VLAN ID 10. Zumindest bei Proxmox kann ich dann für das virtuelle Netzwerkinterface der VM auch die VLAN ID 10 definieren, und schon holt sich die VM per DHCP von der UDM eine passende IP für ihr Netz.
Jetzt noch Firewall Regeln zwischen den Netzen, und Du bist fertig 
oder Dein Client Gerät hat eine IPv6. (Im Mobilfunk DE gibt es die oft aber halt nicht immer)
Der Port der Freigabe muß halt passen. Ich meine 51820 ist default jedenfall nutze ich diese, schoger nutzt in seinem Beispiel 51821
IPv6 und Unifi ... ist ja mit dem neuesten Network Release gekommen, aber da muss ich mich erst einmal einlesen.
Zumindest mit dem alten Stand war IPv6 eher eine Demo als ein einsetzbares Produkt, vielleicht mag ja jemand mal einen Artikel für's Wiki schreiben
Es reicht sogar bereits eine Port Freigabe des UDP Port aber der exposed Host sollte nicht stören. Wichtig ist das Du eine IP hast die öffentlich erreichbar ist. Kein Provider Nat. IPv4 und oder IPv6. Der Client sollte aber dann schon bereits aus dem Wifi per WG verbinden können. USG Gateway IP. Ist evt ein guter Test u sicher zugehen ob WG Client und Server reichtig funktionieren.
Korrekt, ich musste mir ein richtiges IPv4 holen und kein DS-Lite.
Mit DS Lite geht nur eine Lösung wie Tailscale oder Cloudflare Access (oder selbst gehostet auf einem externen Server mit richtiger IP).
Oja post doch bitte mal, weil Wireguard über die UDM habe ich jetzt noch nicht zum laufen gebracht
Hmm, das ist jetzt wirklich kein Hexenwerk, einfach die Portfreigabe auf der FB aktivieren:
Dabei dran denken, dass WireGuard UDP erfordert und nicht TCP!
Auf UDM-Seite dann den WG-Server aktivieren und einen Client anlegen
Die Konfiguration des Clients sollte damit eigentlich passen, evtl. noch DNS ändern wenn Du einen anderen DNS als die UDM verwendest.
Vielen lieben Dank. Genau so probiere ich es jetzt auch mal. (ich war zwar ähnlich unterwegs)
Du nutzt nicht zufällig die Home Assistant App auf ios?
Na klar, HA ist einer der Gründe, warum ich mein Homelab aufgebaut habe
Aber nur für den internen Zugriff (oder über WG), von außen ist nur WG und Bitwarden erreichbar.
BTW: Ich habe mittlerweile WG auf die UDM umgezogen, weg von der FB. Falls Du Infos für die Konfiguration brauchst, kann ich sie gern hier posten.
Ich habe mal eine Anleitung für mein Setup beschrieben, Du findest es hier:
RE: Wireguard auf Fritzbox. Wie Zugriff aufs Netzwerk
Auch eine FB vor der UDM, mit Dual-NAT wegen der Telefonie, die weiterhin über die FB laufen muss.
Die Regeln für die Firewall und die Static Route brauchst Du nicht, das ist nur für WireGuard relevant.
Vielleicht hilft das ja, den WireGuard-Teil kannst Du sicherlich weglassen. Generell sollte Du aber die FB aus dem 192.168.0.0/24 Netzwerk rausnehmen und lieber einen anderen privaten IP-Bereich wie in der Anleitung beschreiben für die FB verwenden, sonst machst die Netzwerk Config der UDM nur unnötig kompliziert.
Großes Kino, vielen Dank!
Sieht so aus, als würde es funktionieren. Lasse jetzt mal ein paar Log-Meldungen in Loki laufen, schicke ihn dann auf eine andere Node und schaue was passiert.
Hi zusammen,
zugegeben, ein etwas spezielles Problem, aber vielleicht kann ja jemand helfen.
Ich würde gern die Logfiles auf meiner UDM zu meinem Loki-Server schicken, damit ich auch die UDM in meinem Zoo drin habe.
Leider weiß der Promtail Service auf der UDM, über den ich die Logfiles verschicken möchte nicht, auf welcher Maschine in meinem Cluster Loki gerade läuft.
Auf den Maschinen läuft allerdings Consul, der einen DNS Request "loki.service.consul" entsprechend auflösen könnte und die aktuelle IP der Maschine liefert, auf der Loki gerade läuft.
Jetzt die Frage: Hat jemand Erfahrung damit, die DNS Auflösung der UDM so umzubiegen, dass Requests zu ".consul" an ein bestimmte IP weitergeleitet werden?
DNS ist so unglaublich unflexibel auf der UDM, da kann Ubiquiti noch gern mal ein bisschen dran schrauben oder zumindest dokumentieren.
Hi,
ich habe bei mir ziemlich genau das gleiche Setup wie Du, FB 7583 und dahinter eine UDM.
Allerdings habe ich mir das Leben etwas einfacher gemacht, indem ich die FB nicht im 192.168 Netz laufen habe. Macht die Segmentierung bei mehreren VLANs wesentlich einfacher.
Mein Setup sieht folgendermaßen aus
FB:
LAN IP 172.16.1.1/24
Port Forward HTTP/HTTPS/WireGuard -> 172.16.1.20
Heimnetzt->Netzwerk->Netzwerkeinstellungen->Statische Routen: 192.168.0.0/16 -> 172.16.1.20
UDM
WAN IP: 172.16.1.20
LAN IP: 192.168.0.1/16
Firewall: Nichts, aber Port Forward zu meinem Server, auf dem der Reverse Proxy läuft. Scheint automatisch allow-Regeln in der FW zu setzen.
Wichtig ist, dass sich die UDM auf dem WAN Port über DHCP ihre IP-Adresse holt, und auf der FB im DHCP eine feste IP-Adresse für die UDM konfiguriert ist. Ansonsten kann die Static Route nicht funktionieren.
Viel Glück!
schoger hm, eigentlich müsste es auch ohne die Firewall Regel bei Internet Local gehen, oder mache ich da gerade ein Denkfehler?
Dachte ich auch, aber ich hatte auf Internet Local immer noch Pakete die nicht durchgekommen sind.
Erst als ich die sowohl auf Internet In als auch Local erlaubt habe kam etwas durch.
Ich hoffe mal dass ich kein ersthaftes Loch in meine Firewall gerissen habe.
Moin zusammen,
sehr spannend dass ich hier über diesen Thread stolpere wo ich Fritz + Wireguard + UDM gerade zum Laufen bekommen habe. Ich schildere mal meine Config, vielleicht hilft es ja jemandem
Leider kann ich die Fritz nicht im Bridge-Mode laufen lassen, da mein Provider das verbietet. Dual NAT ist sicherlich immer etwas hässlich aber so kann ich weiterhin über die FB telefonieren (SIP) und alle anderen Dienste gehen direkt an die UDM.
Fritz:
- IP: 172.16.1.1 (192.168.0.0/16 ist mein internes Netz und 10.0.0.0/8 hat das ganze Docker-Gedöns. 172.16.0.0/12 war recht schmerzfrei)
- Exposed Host: 172.16.1.100 <- WAN Interface von meiner UDM
. WireGuard Client: 172.16.1.251 (Hat die FB so vergeben)
. Static Route: 192.168.0.0/16 -> 172.16.1.100
UDM:
- WAN IP: 172.16.1.100 (über DHCP von der FB, fest eingestellt)
- Firewall:
-- Internet In: Source 172.16.1.251, Dest 192.168.0.0/16 Allow
-- Internet Local: Source 172.16.1.251, Dest 192.168.0.0/16 Allow
Client:
- Evtl. noch DNS in der wg.config auf den internen DNS ändern damit auch Rechner im Netz korrekt aufgelöst werden können.
Viel Spaß
Markieren das was Zieren möchtest und dann wird dir ein Knopf angeboten mit abspeichern für später oder als Zitat einfügen.
Danke!
Da währen wir beim 101 Routing Grundwissen
in Kurz: die Fritzbix kenn nur ihr eigens netz und nich die VLAn dahinter.Du must also sagen (über statische Routen) netz 10.0.0.0/24 ist erreichbar
über die 192.168.1.178.2 (die UDM Addresse).
Ah ok, das macht Sinn.
Gut, wenn's nicht mehr ist als die eine Route von der UDM zur Fritzbox sollte das machbar sein. Das ist ja nur eine Konfiguration in der UDM und ich muss nicht jeden Rechner im Netz anfassen.
Alles anzeigenzumindestens mit Dual NAT habe ich Erfahrung. das Thema wird heißer gegessen als es ist.
Hatte vorher einen CISCO + USG (auf der ich allerdings NAT Deaktiviert hatte)
beim Umzug auf die PRO-SE hatte ich ne ganze weile noch den CISCO als Internet Router.
Mir ist nichts aufgefallen was nicht ging (telefon, Ps5 Onlinedaddeln, normaler Alltag, Video calls
über zoom und Teams.)
Einziger Nachteil.
Portweiterleitungen sind doof da sie zweimal angelegt werde müssen. Was bei
DS-Lite eh wegfällt.
Allerdings das (p)NAT auf der UDM-se kann man relativ einfach ausschalten und reboot sicher
abspeichern. Was ich dann auch gemacht habe da ich die einzelnen IP auf dem Cisco sehen wollte.
Nachteil hier sehe ich aber dann bei „billigen“ Internetrouter. Die wollen mitunter nicht andere
IP Range durchlassen die da ankommen sonder nur den Bereich auf den sie konfiguriert sind.
Manuel Rückrouten müssen Anglegt werden für die Vlans. u.s.w.
Da ist halt mehr Handarbeit und etwas Grundlagenwissen über Routing gefragt aber
auch keine Raketen Wissenschaft (sag ich mal ganz naive)
Erst einmal noch eine dumme Frage: Gibt es im Forum die Möglichkeit die Zitate aufzubrechen? Ich würde gern die einzelnen Absätze beantworten.
Portweiterleitung sollte doch eigentlich kein Problem sein, wenn man die FB als Exposed Host konfiguriert, oder?
Weiterleitungen wären dann ja nur an der UDM zu konfigurieren.
Und was müsste ich bei VLANs konfigurieren? Ich hätte jetzt erwartet dass die VLANs nur intern sind und die UDM exklusiv mit der FB kommuniziert. Evtl. über ein eigenes VLAN.
Aber ich muss gestehen, dass ich mit VLANs noch nichts gemacht habe.
zur Zeit sind 72 Mitglieder (davon 1 unsichtbar) und 406 Gäste online - Rekord: 129 Benutzer ()
