Posts by schoger

Quote from NeubauUnify

Danke! Das war tatsächlich schon auch eine Überlegung von mir.

Allerdings besteht meine Frau auf ein Festnetztelefon.

Dann muss ich hier wieder eine Lösung bauen. Zeit und Geld sind während dem Hausbau aktuell sehr beschränkt....

Daher tendiere ich stark zur Fritzbox Lösung.

Kein Problem, die Fritzbox Lösung ist auch mein Setup.

Die Probleme von Double-NAT gibt es zwar, sind meiner Meinung nach aber völlig überbewertet. Meine Fritzbox steht auch vor meinem Unifi-Router, und ich kann alles machen.

Ein Tip noch: Um VLANs ohne Einschränkungen nutzen zu können, solltest Du dem Unifi Router zumindest ein /16 Netz geben und die Fritzbox in einen anderen IP-Bereich legen.

Ich habe hier 192.168/16 für Unifi und 172.16.0.1 für die Fritzbox. Klappt super! Auf der Fritzbox einmal eine statische Router legen und evtl. Portforwarding für Wireguard und weitere Dienste definieren, das war's. Anleitung dafür solltest Du hier im Forum finden.

Eins noch: Ich würde schon dringend über einen Unifi Router nachdenken und die Fritz Box entweder über dual-NAT davorstellen oder ganz rauswerfen und statt dessen einfach ein Modem verwenden.

Hintergrund dazu ist, dass die Fritz Box kein VLAN beherrscht, Du also weitere Netze wie IoT oder Gast nur sehr schwer bei Dir zum Laufen bekommen wirst.

Das UCG-U kostet nicht wirklich Geld, und Du hast gleich einen Controller mit dabei und musst Dich nicht mit einem RasPi rumärgern.

Quote from foxcris

Ich kann sie unter Flows auch nicht sehen. Allerdings werden mir noch infos unter Logs->Trggers angezeigt.

Spannend, auch bei Logs->Triggers ist bei mir am 13.3. Schluss. Da habe ich auf ZBF umgestellt.

Werde berichten, wenn ich mehr weiß!

Quote from pingutom

eine Anmerkung in der Dokumentation sagte, es würde mit dem "log-level = debug" zusammenhängen

Magst Du mir einen Link schicken, wo Du das gefunden hast?

Quote from DoPe

Mein UCG zeigt mir auch mit Zonenbasierter Firewall unter Flows die entsprechend blockierten Zugriffe an. Sieht eigentlich aus wie vor der Umstellung.

Darf ich fragen, welche Version der Network App bei Dir läuft?

Ich habe aktuell 9.0.114 im Container, vielleicht ist das ja der Grund.

Hallo Unifi-Networker,

ich habe letztes Wochenende erfolgreich auf die neue Zonenbasierte Firewall umgestellt. Alles fein, Pakete laufen so, wie sie sollen.

Allerdings ist mir jetzt aufgefallen, dass ich unter "Flows" nicht mehr sehen kann, welche Pakete im Netz von der Firewall verworfen worden sind. Das war immer meine Lieblingsort, wenn ich Probleme mit der Firewall debuggen musste.

Weiß jemand, ob man die verworfenen Pakete jetzt irgendwo anders in der UI finden kann? Oder ist das ein Feature, das hoffentlich bald mit einem Update kommt?

Danke und Gruß

Matthias

Meine Shelly Dimmer wollen Port 5683 freigeschaltet haben, damit die Kommunikation zu meinem Home Assistant funktioniert.

Integriere die beiden Dimmer darüber mit HomeKit.

Tip: In der Unifi Network App kannst Du unter Insights -> Flows sehen, welche Pakete in der Firewall hängen geblieben sind. Die Ports der Pakete von den Shellys kannst Du dann in der Firewall freischalten.

ProTip: Wenn es mehrere Ports sind, lege Dir unter Settings->Profiles->Network Objects eine Portliste an. Die kannst Du dann in einer einzigen Firewall Regel erschlagen.

Sinnvolle Anzeige der VLAN Firewall-Logs.

Entweder bin ich dumm, oder es gibt wirklich keine Möglichkeit, sich die Destination-IP und Port anzeigen zu lassen. Source alleine ist halt eher witzlos, weil üblicherweise die Catch-all Regel greift.

Bekomme aktuell alle zwei Minuten drei Einträge im Log. Sehr unschön, und beim Debuggen von Verbindungsproblemen über VLANs nicht hilfreich.

Großartig, danke!

Gerade noch mal geschaut, jetzt kann ich auch in der neuen UI "22000-22255" eintragen?!?

Bin mir relativ sicher, dass das vorher nicht funktioniert hat ...

Moin zusammen,

ich würde gern eine Firewall-Regel erstellen, in der ich die Ports 21000 bis 21255 von einem VLAN ins andere freigebe.

Leider bin ich dabei gescheitert, in den Regeln eine Range anzugeben, und 256 Ports trage ich ganz sicher nicht einzeln in ein Port Profile ein.

Irgendjemand einen Tip, wie man so etwas möglichst schmerzfrei mit der Unifi Firewall umsetzen kann?

Quote from Tobi68

Jupp so in der Art hatte ich das schon versucht..

Muss ich nochmal reinschauen..

Wie schon die Vorposter gesagt haben ... zum einen musst Du evtl. noch den Port von Deiner Fritte auf die UDM weiterleiten, wenn das noch nicht durch "exposed host" passiert ist.

Zum anderen solltest Du Dir überlegen, ob Du diese Anwendung wirklich für alle ins Internet stellen willst.

Am einfachsten geht das wahrscheinlich, wenn Du global in System -> Advanced -> Wireless Connectivity das Wireless Meshing ausschaltet.

Dann sollten sich APs nur noch über Kabel verbinden.

Das ist eine Portweiterleitung, die kannst Du hier einstellen:

Quote from sidewinder

Auch nach mehreren Tagen derselbe Effekt: Alle Verbindungen, die über die FritzBox direkt gehen, werden sehr erfolgreich von Werbung geblockt. LAN wie WLAN, als DNS-Server ist die IP der FritzBox mitgegeben. IPv6 habe ich in der UDM auch erstmal bei den Netzen abgeschaltet.

Auch in den WLAN Verbindungen über die UDM werden je nach WLAN wie gewünscht die von mir eingetragenen DNS Server angezeigt, wenn ich zwischen den WLANs wechsele.

Trotzdem kommt über alle SSIDs der UDM und scheinbar eben alle Netze weiter Werbung. Wenn ich eine "werbelastige" Seite auf habe, über FritzBox alles super, lasse ich die Seite auf und wechsele in eins der UDM-Netze, Seite aktualisieren, alles voller Werbung. Über ALLE Netze der UDM, nicht nur das, was nicht geblockt werden soll.

Wer hat eine Idee, wo es klemmt?

Wenn ich mich richtig erinnere, hat z.B. der Firefox einen recht aggressiven DNS-Cache eingebaut. Kann also sein, dass Dein Browser sich die URLs der Werbung gemerkt hat und gar nicht mehr AdGuard fragt.

Versuch doch mal, den Browser zwischen zwei Tests zu beenden oder den Rechner neu zu starten.

Habe ein ähnliches Setup bei mir laufen, und es funktioniert tadellos.

Hört sich für mich übermäßig kompliziert an, was Du da machst.

Zuerst einmal verstehe ich nicht, warum Leute die IPs von ihrem Upstream-Netz (Bridge) mit dem Netz von der UDM mischen.

Bei mir habe ich der Fritte eine IP im Bereich 172.16/20 gegeben, dann hat die UDM den ganzen Bereich 192.168/16 für sich und ich kann dort frei Netze einrichten.

Für die VMs auf der UDM ein eigenes Netz einrichten, sagen wir 192.168.10/24 mit VLAN ID 10. Zumindest bei Proxmox kann ich dann für das virtuelle Netzwerkinterface der VM auch die VLAN ID 10 definieren, und schon holt sich die VM per DHCP von der UDM eine passende IP für ihr Netz.

Jetzt noch Firewall Regeln zwischen den Netzen, und Du bist fertig

Quote from swag

oder Dein Client Gerät hat eine IPv6. (Im Mobilfunk DE gibt es die oft aber halt nicht immer)

Der Port der Freigabe muß halt passen. Ich meine 51820 ist default jedenfall nutze ich diese, schoger nutzt in seinem Beispiel 51821

IPv6 und Unifi ... ist ja mit dem neuesten Network Release gekommen, aber da muss ich mich erst einmal einlesen.

Zumindest mit dem alten Stand war IPv6 eher eine Demo als ein einsetzbares Produkt, vielleicht mag ja jemand mal einen Artikel für's Wiki schreiben

Quote from swag

Es reicht sogar bereits eine Port Freigabe des UDP Port aber der exposed Host sollte nicht stören. Wichtig ist das Du eine IP hast die öffentlich erreichbar ist. Kein Provider Nat. IPv4 und oder IPv6. Der Client sollte aber dann schon bereits aus dem Wifi per WG verbinden können. USG Gateway IP. Ist evt ein guter Test u sicher zugehen ob WG Client und Server reichtig funktionieren.

Korrekt, ich musste mir ein richtiges IPv4 holen und kein DS-Lite.

Mit DS Lite geht nur eine Lösung wie Tailscale oder Cloudflare Access (oder selbst gehostet auf einem externen Server mit richtiger IP).

Quote from tomg1970

Oja post doch bitte mal, weil Wireguard über die UDM habe ich jetzt noch nicht zum laufen gebracht

Hmm, das ist jetzt wirklich kein Hexenwerk, einfach die Portfreigabe auf der FB aktivieren:

Dabei dran denken, dass WireGuard UDP erfordert und nicht TCP!

Auf UDM-Seite dann den WG-Server aktivieren und einen Client anlegen

Die Konfiguration des Clients sollte damit eigentlich passen, evtl. noch DNS ändern wenn Du einen anderen DNS als die UDM verwendest.

Quote from tomg1970

Vielen lieben Dank. Genau so probiere ich es jetzt auch mal. (ich war zwar ähnlich unterwegs)

Du nutzt nicht zufällig die Home Assistant App auf ios?

Na klar, HA ist einer der Gründe, warum ich mein Homelab aufgebaut habe

Aber nur für den internen Zugriff (oder über WG), von außen ist nur WG und Bitwarden erreichbar.

BTW: Ich habe mittlerweile WG auf die UDM umgezogen, weg von der FB. Falls Du Infos für die Konfiguration brauchst, kann ich sie gern hier posten.

Ich habe mal eine Anleitung für mein Setup beschrieben, Du findest es hier:
RE: Wireguard auf Fritzbox. Wie Zugriff aufs Netzwerk

Auch eine FB vor der UDM, mit Dual-NAT wegen der Telefonie, die weiterhin über die FB laufen muss.

Die Regeln für die Firewall und die Static Route brauchst Du nicht, das ist nur für WireGuard relevant.

Vielleicht hilft das ja, den WireGuard-Teil kannst Du sicherlich weglassen. Generell sollte Du aber die FB aus dem 192.168.0.0/24 Netzwerk rausnehmen und lieber einen anderen privaten IP-Bereich wie in der Anleitung beschreiben für die FB verwenden, sonst machst die Netzwerk Config der UDM nur unnötig kompliziert.