Beiträge von uboot21

Hallo Freigeist,

das sieht doch schon mal gut aus was du alles gemacht hast.

Eigentlich alles richtig, bei mir funktioniert es so. Ich gehe davon aus das deine Synology nicht auch noch eine Firewall aktiviert hat?

Kannst du die Adresse oder IP von ausserhalb anpingen?

Der logfile Speicherort werden hier beschrieben:

https://help.ui.com/hc/en-us/a…iFi-How-to-View-Log-Files

Ich selber nutze die Synology als Protokollspeicher -> Das Modul heisst Protokollcenter und es muss der Empfang der Protokolle aktiviert werden. Im Controller stellst du den syslog server ein das die logs zur Synology hin gespeichert werden.

Bei den Firewall Regeln kannst du übrigens links die Reihenfolge verändern, mit der Maus auf das Kreuz und verschieben (ich weiss nicht ob du damit jetzt ein Problem hattest?)

Grüße

Edit: Ein Nachtrag, zur Kontrolle, im Controller bei Geräte -> USG wird dir die WAN IP, also deine nach aussen sichtbare IP angegeben. Vergleiche diese mal mit der IP in deiner Domain. Nicht das dein DYNDNS die falsche IP drin stehen hat.

Ok,

eins nach dem anderen.

Ausgegraute kannst du nicht löschen, da sie vom system automatisch erstellt wurden.

Das steht auch dabei, es gibt bereits ein port forwarding mit Namen nextcloud. dieses musst du löschen, es kann bei port forwarding immer nur ein port zu einer ip geleitet werden.

Wie bereits erwähnt würde ich von ausserhalb eher nicht mit unterschiedlichen ports arbeiten, wenn du schon eine domain hast, dann erstelle einen reveres proxy mit Hilfe einer subdomain. Bleibe bei einer oder 2 Portweiterleitungen für 80/443 -> jeder sieht sonst von ausserhalb welche ports du in deinem Netzwerk wofür benutzt.

Nicht Erreichbar:

Ich gehe davon aus das deine öffentliche domain auf deine öffentliche IP4 verweist und das dies die WAN IP der USG ist? Falls du vor der USG noch ein Router hast (doppeltes NAT), dann musst du auch dort die Ports weiterleiten an deine USG.

Wie testest du ob die Domain erreichbar ist? es kann sein, das dies innerhalb deine Netzwerkes nicht funktioniert, also mal im Handy WLAN ausschalten und die Seite dort über Mobilfunknetz aufrufen

Ergänzung: Das Logging würde ich ausschalten, soll alles geloggt werden an der Schnittstelle???

Ach ja, ein "Profi" Tipp extra.

Falls dein Domain Hoster bzw dein Vertrag SSL Zertifikate über Lets encrypt unterstützt würde ich diese in der Synology installieren.

Mit dem unten stehende link werden alle anfragen über port 80 automatisch in ein verschlüsselten Aufruf auf Port 443 umgewandelt.

Heisst, du rufst deine Seite mit http:// auf und die Synology macht automatisch ein verschlüsseltes https:// daraus und nutzt die von dir auf der Synology gespeicherten Lets Encrypt Zertifikate.

https://blog.golimb.com/2017/07/14/synology-reverse-proxy/

Hallo,

Du hattest nicht geantwortet ob du ip4 oder ipv6 hast.

Die firewall muss nur bei ipv6 eingerichtet werden.

Bei IP4 erstellst du (alte Einstellungen im Controller) unter -> Routing & Firewall -> Portweiterleitung ein port forwarding.

In deinem fall für port 5000 auf die interne IP der Synology (ich habe die gleiche), der Controller von unifi erstellt die entsprechenden Firewall regeln hierzu selber, das kannst du dann unter WAN eingehend prüfen.

Das reverse proxy hat nichts mit dem proxy server zu tun, bei Synology etwas versteckt befindet es sich in der

-> Systemsteuerung -> Anwendungsportal -> (zweites Register) Reverse Proxy

Nutze die Hilfe der Synology zum einstellen

Ach ja, ich würde generell nur port 80 und 443 weiter leiten auf die Synology. Wenn du auf die Oberfläche der Synology möchtest zu port 5000 mache lieber eine eigene subdomain (zb. Synology.domain.com) und leite diese über reverse proxy auf den localhost der Synology port 5000 um.

Grüße

hallo,

also das sind ja mehrere Dinge gleichzeitig die hier zu deinem Problem führen

- Domain Auflösung zu zieladressen

- Portweiterleitung der usg an ein Gerät innerhalb des Netzwerkes

- Firewall regeln, wobei die standardmäßig innerhalb des Netzwerkes erst einmal nicht geblockt werden. Aber von der WAN Seite natürlich frei sein müssen.

Ich selber mache alles mit IPv6, dort bedarf es keinem port forwarding, sondern hier kommt die Firewall zum Einsatz.
Falls du ip4 nutzt musst du den Port (zb 80) auf deinen Server mit Port forwarding weiterleiten.

Was nun machen wenn man mehrere Server hat, aber nur eine öffentliche ip4?
die Lösung lautet Reverse proxy Server, diesen richtest du einmal in deinem Netzwerk ein, sehr einfach geht dies zb mit einer Synology, aber auch andere Server natürlich.

Was passiert nun wenn du mehrere Domain oder Subdominan hast? Du leitest alle Anfragen an deine ip weiter des Reverse Proxy Server, zb a.123.de und b.123.de –> der Reverse Proxy schaut nun, ok, kommt die Anfrage von a.123.de dann leite ich auf den internen Server zb 192.168.10.100 um, kommt die Anfrage von b.123.de dann leite ich intern auf zb 192.168.11.110 um

ich hoffe zumindest ein paar Begriffe aufgenommen zu haben womit du weiter zum Ziel kommst, unten drunter habe ich noch was rein kopiert was mir beim einrichten der Firewall immer hilft mich zurechtzufinden, es kommt nicht von mir, aber hilft der Übersicht.

Grüße

UniFi Security Gateway Firewall

Was bedeuten die Firewall Regeln genau?

WAN ist das Internet oder externe Netzwerk

LAN ist irgendein internes Netzwerk, ausser Gast

GUEST internes Netzwerk, welches als Gast definiert wurde

LOCAL Netzwerkverkehr auf die Firewall selbst

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.

hallo,

Die AP und evtl. weitere Switches gehören eigentlich immer an einem Port der mit All markiert ist.

Bei den AP vergibst du dann unterschiedliche WLAN die du dann einem VLAN zuordnest (in deinem Fall bekommt das WLAN dann die VLAN nr des DHCP Bereiches.

Genauso weitere verbundene Switches, damit sie auch wirklich alles weiter geben.

Eine Zuordnung der netzwerke findet dann an den einzelnen Ports statt, d.h die Ports in denen du was einstecken möchtest bekommen nicht das All, sondern die VLAN nr des dhcp Netzwerkes. Sie sind dann automatisch beim einstecken mit diesem verbunden. Wenn du einen anderen Port mit einem anderen Bereich nutzen möchtest, musst du diesem dann das VLAN dieses Bereiches zuordnen. Zb Port 1-3 auf all für Switch und AP, Port 4-7 für Dhcp und Port 8 für Spielwiese.

Gleiches gilt für unterschiedliche WLAN, zb eines für Bereich dhcp, eines für Spielwiese und evtl. Gast noch

Wenn du etwas in den Port All steckst muss es auch in der Lage sein VLAN zu verwalten, sonst bist du automatisch immer im VLAN 1 verbunden

hallo,

was meinst du mit Modem, bei der deutschen Glasfaser reicht der HÜP, also medienkonverter, zumindest bei meiner UDM pro. Dazu musst du den Anschluss in den Bridge Modus schalten lassen (Vertragsänderung über Rechnungsstelle zur Nutzung eines eigenen Modems), nach 1-2 Tagen wird das frei geschaltet.
wichtig bei der Einstellung der udm, ich denke auch der USG, ist die Angabe des IPv6 Präfixes 56 (zumindest bei mir). Bei der DG bekommst du einen festen IPv6 Range zugewiesen, die ip4 ist nur intern und nicht von außerhalb der dg zu erreichen (IPv6 lite).
ich musste dann noch einmal anrufen weil immer noch keine ip vergeben wurde, das liegt daran das dg die Firmware des HÜP updaten muss, das dauert schon mal, das war dann aber mit einem Techniker am Ende in 10 Minuten geklärt. Einfach mal dort anrufen und sagen was du hast und die helfen schon.

Zum telefonieren nutze ich übrigens eine alte FRITZ!Box hinter dem Anschluss.das Modem von der dg musste ich dann zurück schicken

ich habe seit ein paar Wochen ein udm pro und 2 nano hd im Einsatz. es werden 45 wlan Geräte, davon ein Dutzend Apple, angesteuert. ich habe keine Standard Einstellungen verändert. Bisher gab es keine Abbrüche und keine Geschwindigkeitseinbussen. Wenn sich ein AP kurz ausklinkt kommt es zu den beschriebenen ‚Kennwort falsch’ Fehlern, ich habe festgestellt das eine schlechte Verkabelung bei POE zu vermehrten Abbrüchen Des AP führt. Nach kurzer Umstellung Auf den poe injektor hatte sich das bestätigt. Ich bin noch nicht sicher ob die Kabel oder das Patch Panel evtl. verantwortlich dafür ist. Aber das finde ich noch heraus