Beiträge von uboot21

Das hört sich nach einem vernünftigen Plan an.

Ein Hinweis noch zu den Firewall Regeln.

Bei WAN Out gehört eigentlich keine Regel rein, es sei denn du blockst im nächstem Schritt deinen Internetzugang.

Generell baut die Fritzbox hinter der UDM ja die Verbindung mit dem SIP Server auf.

Heisst in dem Fall gilt die vorgefertigte Regel "allow established/related sessions" für den Verkehr rein. Das heisst der Verbundene SIP Server kann auch dich erreichen von ausserhalb.

Das ist der Grund warum die Fritzbox so eingestellt werden muss den Port immer aktiv zu halten.

Falls die Verbindung mit dem SIP Server zu stande gekommen ist, wird ein vollkommen anderer Zufalls Port für das Gespräch verwendet, damit der SIP Port frei bleibt um ggf weitere Gespräche entgegen zu nehmen.

Eine Firewall Einstellung ist also nicht nötig wenn du nicht unnötig etwas geblockt hast, eine Port Weiterleitung auch nicht, da die Fritzbox die Verbindung aufbaut, nicht umgekehrt.

Wenn alles korrekt eingestellt ist müsste es ja funktionieren.

Falls du bereits in der UDM Pro mit Firewall regeln experimentiert hast, solltest du diese testweise mal komplett ausschalten um Fehler beim Setup auszuschliessen.

Auch die Fritzbox würde ich mal kritisch überprüfen ob alles korrekt weitergeleitet wird, was auch wichtig ist: In der Fritzbox vor der UDM Pro dürfen keine Reste mehr einer anderen VOIP Telefon eingerichtet sein, auch keine alten Firewall regeln oder Port Weiterleitungen der Fritzbox.

Wenn es irgendwie umzusetzen ist würde ich die Fritzbox mal vielleicht in auslieferzustand versetzen und neu einrichten wenn nichts mehr hilft.

Wie bereits erwähnt ist nichts extra zu beachten, Voraussetzung ist allerdings das keine andere Einstellung den Zugang blockt

was ich nicht richtig verstehe, welche gerät baut bei dir die Internet Verbindung über das Modem auf, die udmpro oder die FRITZ!Box.? Du schreibst du hättest 2 Fritz boxen.
Falls du hinter dem Modem eine FRITZ!Box hast und dahinter die udmpro, dann hast du doppeltes NAT und musst in der ersten FRITZ!Box allen Datenverkehr an die udmpro per Exposed Host weiterleiten.

in der Firewall ist nichts einzustellen, so lange du nichts anderweitig geblockt hast

Schau mal ob dir das weiterhilft von mir

https://url.jansen-elten.de/fritz

hallo,

Ich habe deutsche glasfaser, aber mit einer FRITZ!Box hinter der udmpro eingerichtet.

Ports müssen nicht frei gegeben werden, das ist bei SIP auch schwierig, da die Ports erst nach Aufbau der Verbindung ausgehandelt werden. Wichtig, zumindest bei der FRITZ!Box, hier muss man einstellen, dass die FRITZ!Box den Port zum Internet offen hält alle 30sekunden. Sonst kann man nur raus telefonieren, ist aber nicht von außen erreichbar.

Aber die SIP Telefonnummer verbindet sich nach Eingabe des Benutzernamen und Kennwort sofort.

Der Registrar ist dg.voip.dg-w.de

Zitat

Beim UniFi 6 Lite ist die Montageplatte aus Kunststoff, beim UniFi 6 LR aus Metall. Ehrlich gesagt, kann ich mir nicht vorstellen, dass der 6-LR durch die Metall-Montageplatte rückwärts gut funktioniert. Was meint ihr?

Nur mal so zum Vergleich:

Der Nano-HD und der U6-Lite haben einen Durchmesser von 16cm

Der U6-LR hat einen Durchmesser von 22cm und ist wesentlich größer, auch an der Wand!

Haltet mal einen Kuchenteller und normalen Teller nebeneinander an der Wand, das ist ungefähr der Vergleich.

Da hält so eine dünne Blechplatte auch nicht wirklich viel Strahlung ab 😉

Hallo Willy,

ich glaube das du dich gerade verrennst und obwohl die Vorgehensweise die Firewall auf Geräteebene durchzuführen einfacher zu planen ist, wird es Dein Setup nicht nur sehr unübersichtlich machen, es wird später bei Fehlern oder neuen Geräte auch schwer durchzublicken sein, wer was darf und was wo geblockt wurde. Dies ist nur ein Tipp aus erster Reihe.

Erstelle doch die selber Matrix mit deinen Unterschiedlichen VLAN und überlege dann welche Geräte du wo hinein stellen würdest.

Am Ende definierst du Ausnahmen für einzelne Geräte, welche entweder doch etwas dürfen oder etwas auf keinen Fall dürfen.

Es wird nicht umsonst immer gesagt die Struktur flach und einfach zu halten. Gerade wenn man sich noch nicht so gut mit der Firewall und den zahlreichen Regeln auskennt sollte man es so schlicht wie möglich halten.

Zitat

Die Datensicherung meiner MACs erfolgt im Wesentlichen über TimeMachine. Apple lässt es aber leider nicht zu, dass Quelle/Ziel (=MAC/TimeMachine Server od. Time Capsule) in unterschiedlichen VLANs platziert sind.

Das ist so nicht ganz richtig. Ich habe die Synology mit der TimeMachine in einem anderen VLAN als meine beiden Macs, eine Datensicherung ist durchaus möglich. Wichtig ist in der Firewall alle Ports durchzulassen, insbesondere den Bonjour Dienst.

Da mir dies zu viele Ports waren habe ich die Mac´s in einer Gruppe, die Synology (TimeMachine) in eine andere Gruppe gepackt und alle Ports zwischen den beiden Gruppen erlaubt. So funktioniert dann auch AppleTV und HomePod aus einem anderen VLAN heraus.

Ich schaue es mir an, es hat ja nichts direkt mit ubiquiti oder dem Setup direkt zu tun.

Ich denke man könnte einen ganzen Block über IPv6 und der Einrichtung machen, es ist einiges zu beachten und ich habe selber lange suchen müssen um mir alle Informationen zurecht zu legen.

ip4 funktioniert bei deutsche Glasfaser nicht, du siehst deine IPv6 wenn du dich per ssh auf die udm einloggst und ip Addr eingibst. Dort an der Schnittstelle wo dir auch die externe ip4 aus der Controller Ansicht gezeigt wird.

falls du Interesse hast wie du von außen erreichbar bist, schau mal hier nach, ich habe eine kleine Anleitung erstellt. Ansonsten schreib mir.

https://ubiquiti-networks-forum.de/wiki/entry/47-externer-zugriff-über-ipv6/

für mehr Hintergrundwissen zu IPv6 und DG kannst du hier was finden

https://www.ulrichivens.de/index.php/glasfaser/

hallo,

Also mit der Firewall hat das nichts zu tun.

Entweder geht es um DNS Anfragen, diese wurden ja bereits ausgeschlossen, oder es geht um Internet Threat Management.

Falls das aktiviert ist schalte mal von den maximalen 35 Schaltern die du aktivieren kannst das Dshield und das Kompromittiert aus, das enthält auch viele Webseiten die man benötigt.

falls es die 2 noch nicht sind, empfehle ich es komplett auszuschalten und dann langsam jedem einzelnen wieder hinzuzunehmen. Wobei auch hier zählt: udmpro benötigt hier schon mal eine gewisse Zeit bis das auch umgesetzt wurde

Zitat

Freut mich, dass es Personen gibt, die einen ähnlichen Ansatz haben. Leider wird das mit dem NoT-Netzwerk nicht funktionieren, da ich z. B. für die PV Anlage eine aktive Internetverbindung benötige, damit ich am Einspeisemanagement teilnehmen kann und die Wirkleistungsbegrenzung nicht fix auf 70% eingestellt werden musste. Welches Gerät verwendest du denn dann im Management VLAN um auf die Hardware zuzugreifen? Hast du da einen speziellen Client, der sich in dem VLAN befindet um auf die Management-Geräte wie Switch, Router, etc. zugreifen zu können oder wie hast du das gelöst?

Zu den Unterschieden IoT und NoT.

Beide VLAN können untereinander kommunizieren, sind aber abgetrennt zu den andere VLAN. Die Auftrennung besteht nicht darin Haustechnik von Samrthome zu trennen, sondern "Smart" Geräte zu trennen welche ins Internet dürfen (wie dein PV Anlage) und welche Geräte gar nicht ins Internet sollen (z.b. Webcams, China Sensoren, etc...).

Übrigens: Nur weil du den Geräten verbietest mit dem Rest des Netzwerkes zu kommunizieren heisst es nicht das du nicht von einem anderen VLAN aus doch auf das Gerät zugreifen kannst. Also z.b. nur weil einem Gerät verboten wird mit Internet oder Netzwerk zu "reden" kannst du von deinem Netzwerk/aus dem Internet aus auf dein Gerät zugreifen.

Nur bei ein paar Geräten wirst du ausnahmen einstellen müssen, z.b. SmartSpeaker wie Siri oder Alexa, diese musst du in einer Ausnahmeliste doch Zugriff auf dein Netzwerk geben da du sie sonst nicht "findest".

Zu dem Management VLAN:

Du erstellst bei den Firewall Regeln immer erst die Regeln was erlaubt ist und unter diesen Regeln erstellst du was verboten ist. Das oder Die Geräte die dein Management VLAN verwalten sollen müssen sich nicht im selben VLAN befinden. Ich habe ein MacBook und mein Handy im VLAN "Main" (für alle Geräte) und diese beiden Geräte in einer Gruppe definiert, diese Gruppe darf nun doch mit dem Management VLAN kommunizieren. Erst hinter der Regel verbiete ich allen anderen Geräten dort hin zu kommunizieren.

hallo,

Ich habe es fast identisch. ich habe deine Gebäudetechnik nur NoT genannt (Network of Things im Gegensatz Internet of Things), die Geräte können untereinander kommunizieren, aber nur das IoT darf ins Internet, das NoT darf nur ins eigene VLAN und ins IoT
Ergänzend möchte ich nur erwähnen, im Managment VLAN habe ich nur die Infrastruktur, also Switch, Router, AP, etc. die Geräte wie PC, Tablet, Handy und so habe ich in einem VLAN Main, weil man will ja auch nicht das alle mit einem Rechner Zugriff auf die Infrastruktur haben. (Kinder zb)

wenn du nur von oben nach unten musst reichen auch kürzere.

Ein patchpanel mit 24 Ports geht meist über die ganze Breite, es gibt aber Switches die diese nur auf einer Seite verteilt haben, ich benutze generell 25cm Kabel, das ist ein guter Kompromiss um auch außen stehende noch gut zu erreichen (ist jetzt ein Netgear Switch, soll aber nur zeigen das man auch mal längere braucht)

Was bei der DG zu beachten ist:

Du hast keine öffentliche IP4, nur IPv6, dafür aber einen festen IPv6 Bereich

D.H. du bist von aussen nicht so einfach zu erreichen falls du einen eigenen Server betreiben möchtest oder zugriff auf etwas

im Netzwerk von unterwegs haben möchtest

Es gibt wie bei allem auch tausend Wege zum Glück wie man das umsetzen kann, ich habe viel ausprobiert, kostenloses und Wege die kleines Geld kosten. Am Ende muss jeder für sich entscheiden wie sehr er dies wirklich benötigt und was er genau möchte. Frag einfach wenn du Hilfe brauchst

Die Ausführungen beziehen sich immer dann darauf wenn die Fritz!Box die Verbindung nicht selber aufbaut, sondern diese hinter einen Router sitzt.

In dem Fall muss die Fritz!Box den SIP Port immer offen halten, wenn das nicht passiert wird der Port geschlossen und du bist nicht von ausserhalb erreichbar

Ergänzung: Meine Umstellung hat fast ein Jahr gedauert. In der Zeit hab ich das Internet bereits super schnell über DG genutzt und das Telefon einfach an dem DSL Anschluss der 1&1 Fritz!Box gelassen.

Ja, bei deutscher Glasfaser läuft eh alles über IPv6, also keine Portweiterleitung oder sonst was nötig.

Ich habe die Fritz!Box in einem eigenem VLAN hinter der UDMPro gesetzt.

Die SIP Daten musst du nach Freischaltung bei der DG erfragen (Ich weiss nicht ob du noch 1&1 hast, das Telefon läuft ja über 1&1 weiter bis der Anschluss dort abgelaufen ist, erst danach läuft es bei der DG los -> aber es laufen auch beide Anschlüsse parallel sehr gut nebeneinander in der Übergangszeit).

Die Fritz!Box stellst du ein mit Internetverbindung "Anschluss über externes Modem oder Router" an Port1.

Wichtig ist lediglich eine Einstellung unter -> Eigene Rufnummer -> Anschlusseinstellung -> unten Telefonverbindung einblenden/erweitern -> Portweiterleitung des Internet-Routers für Telefonie aktiv halten "30sek"

Ohne diese Einstellung kannst du zwar telefonieren, bist aber selber nicht immer erreichbar.

hallo, ich habe auch deutsche Glasfaser.

Die udm pro wird mit dem wan Port einfach in den ONT gesteckt (kleiner schwarzer medienwandler der Glasfaser in rj45 wandelt)

Das Genexis Router benötigst du nicht, du musst lediglich den ONT in den Bridge Modus schalten lassen (Nutzung Kundeneigener Router)

In der udmpro brauchst du keine Zugangsdaten, bei ip4 stellst du auf dhcp und bei ipv6 stellst du Präfix Delegation auf 56

grüsse

Hallo Freigeist,

sehr gut gemacht.

Ein kleiner Hinweis noch zum Reverse Proxy als Tipp.

Du musst nicht unbedingt Port 80 domain auf Port 80 intern umleiten und dann Port 443 domain auf Port 443 intern, du kannst auch immer domain Port 80 und Port 443 auf intern 80 umleiten. Nach aussen (also im Browser des Besuchers) bleibt immer das Https sichtbar, auch wenn intern ein anderer Port angesprochen wird. Dadurch brauchst du das Zertifikat auch nur auf der Synology installieren.

Empfehlenswert ist nur der Link von mir oben, dieser wandelt ein Aufruf auf Port 80 innerhalb der Synology immer auf Port 443 um.

Dadurch kannst du von aussen aufrufen was du möchtest, die Synology wandelt es immer in eine gesicherte Verbindung um. Die Verbindung von der Synology zum eigenen Server muss nicht mehr verschlüsselt sein, da ein aussenstehender die Verbindung nie zu sehen bekommt.

Grüße

ein Nachtrag nochmal der dir zeigen soll, das du bei der Firewall auf dem Holzweg bist. Auch zur Veranschaulichung wie man Firewall regeln verstehen muss.

Alle Port Anfragen aus dem Internet werden bei dir NICHT gefiltert!

Sie landen halt lediglich auf deiner USG und werden auch nicht entsprechend weiter geleitet.

So sieht zb meine ip4 wan eingehend regeln aus

ich erlaube oben den Zugang auf meine Telefonzentrale. Aber nur die Ports und ip die SIP benötigt, diese kannst du ignorieren, ohne Port Weiterleitung ist sie nicht wirksam, sie wird nicht benötigt bei mir.

Unten blocke ich sämtliche Anfragen aller Ports für ip4, also hier blockt der Controller alles ab. Nichts kommt von außen in mein Netz bzw auf meinen Router herein.
Da ich IPv6 benutze sehen dort die regeln natürlich etwas anders aus, hier empfiehlt sich auch zwingend alles zu blocken

Grüße