Allllso, erstmal gratualtion als stolzer Besitzer einer UDM-SE
Ich selber habe diese auch im Einsatz. Vor der SE hängen 2x Freebox Delta 10G im Bridge Mode. Die Geräte dürften bei dir zulande nicht bekannt sein
Um dir efffektiver zu helfen, benötigen wir noch folgende Informationen:
- Aktuelle FW Version deiner SE
- Bilder von jeweiligen WAN (Port8) Asnchluss
LG
Ben
Beiträge von Slakish
-
-
Guten Tag,
Ich habe mir eine Telekom Prepaid Karte bestellt um diese, falls mein WAN1 Ausfällt als Backup zu nutzen. Also habe ich die SIM in meinen Huawei b535-333 LTE Router gesteckt und dieser Funktioniert auch. Ich kann mich mit dem WLAN des Routers verbinden und ich komme ins Internet.
Also habe ich den Router via LAN mit dem Port 8, WAN2 meiner UDM SE Verbunden. Der Port Blinkt und die UDM zeigt ihn auch Akiv, es besteht allerdings keine Verbindung. Also UDM neugestartet und die Verbindung funktioniert.
Da der LTE Router Bridge Mode unterstützt würde ich den auch gerne nutzen, allerdings sobald ich den Bridge Mode Aktiviere wird an der UDM wieder nur der Aktive Port angezeigt. Auch nach einem Neustart kann keine Verbindung hergestellt werden.
Liegt das an dem Telekom Prepaid Tarif, weil die quasi die IP Weitergabe nicht unterstützt oder bekommt die UDM es nicht hin?
Eventuell hat hier jemand ein ähnliches Setup laufen und hat eine Idee woran es liegen kann.
-
Warum benutzt Du dann nicht einfach gleich das Synology Quickconnect im Browser?!? Dann brauchste keine VPN Software installieren und auch keine Löcher in deine Firewall machen.
Weil Quickconnect unglaublich langsam ist. Mehr als 10 mbit sind nicht drinnen. Wie gesagt ich bin selber nicht zu frieden, aber im Endeffekt läuft es darauf hinaus. Proxy Dienste von Cloudflare usw. möchte ich auch nicht nutzten.
-
Einfach probieren, bräuchtest aber am USW diesen Port und einen gleich schnellen oder schnelleren als Uplink zur UDM und dort ebenfalls 2 SFP+ Ports.
Neues Netzwerk anlegen als VLAN Only, deinen Port 24 die Gruppe VLAN Only zuordnen und an der UDM einen SFP auch VLAN Only zuordnen und von diesem in den WAN SFP+.
Könnte gehen, muss es aber nicht. Kosten nutzen Faktor lassen wir mal dahin gestellt
Also ich habe eine Zeit lang die Konfiguration (allerdings mit RJ45) gefahren und es hat alles funktioniert.
-
Du darfst dort nix, kein VPN(was eh im System eingebaut ist) installieren, aber deine Privaten Apps hast du schon installieren dürfen?
Ich darf nichts installieren aber ich kann die (Web) Apps nutzten.
-
Und wieso machst du es dann nicht mittels split tunnel?
Weil ich auch mit dem Split Tunnel nicht jemanden einen Link Freigeben kann. Zudem nutze ich die Apps auch auf Geräten wo ich nichts installieren darf.
-
Verstehe nicht so ganz, was die Bandbreite damit zu tun hat. Die ist doch wie sie ist und dann spielt es doch keine Rolle, ob Du via VPN zugreifst oder über geöffnete Ports oder übersehe ich hier etwas?
Wenn man keinen Split Tunnel nutzt geht der ganze Traffic über das VPN und belastend die Bandbreite, nicht nur die Daten der Synology Anwendung.
Also ich habe derzeit die Ports Freigegeben und regel das über eine eigene Domain. Glücklich bin ich damit nicht, aber wenn ich Synology Drive als Google Drive alternative nutzen möchte kann das (für mich) nicht über VPN laufen.
Ich überlege tatsächlich mir auf dauer eine 2. Synology für die Öffentliche Erreichbarkeit anzulegen. -
Ohhh, demübernächst möchte ich der Freien Dorfschule Unterlengenhardt einen eigenen Server verpassen (lokale Nextcloud, Dateiablage) - ist nur eine 55-Schüler-Schule. Wäre es möglich, da einen der wegzuschmeißenden Server zu nutzen?
Puhh. Ich bin leider überhaupt nicht in der Lage das zu entscheiden, tut mir leid. Die meisten Server müssen leider auch Auseinander genommen werden, möchte der Kunde so.
-
bei dem Zeug hast du dann wieder das Problem der oft (gerade im Soho bereich) fehlenden PCIE Lanes auf Boards, und somit keine passenden Slots. Leider ist ja heute die Anzahl der PCIe Slots mangelware, wenn ich denke, früher, da hatte jedes Board 4-5 PCI Steckplätze (+AGP für die Grafikkarte), da konnte man noch nachrüsten
der neue Threadripper wär da toll, da sind 3x PCIe x16 Slots(oder 2 stück x16 und 2 Stück x8) + 4x m.2 SSD kein Problem, die hälfte davon PCIe5, wenn da nicht der Preis wäre. 1700€ für ne "Desktop" CPU passt halt nichtDas stimmt leider. ich habe im moment in meinem Desktop zwei Grafikkarten verbaut, sonst hätte die Karte gepasst, der Switch wäre auch da. Ich frage mich auch wenn die Consumer Plattformen mal mehr Lanes bekommen.
-
in meiner arbeit wird sowas leider nie weggeworfen, oder halt nicht zu mir
Wir werfen Tonnenweise funktionierenden Kram weg, ECC RAM DDR4, (Alles unter 16GB kommt weg) Ethernet Karten, komplette Server, klar schon etwas älter aber voll funktionsfähig. Ein wenig was Rette ich dann wenn es geht.
-
2x DELL Intel X540-T2 Dual-Port 10GbE PCIe x8 Converged Network Adapter
Sollte auf der Arbeit weggeschmissen werden, also habe ich Sie gerettet.
-
Ich würde gerne eine HotSpotShield als Client VPN hinzufügen, einen Client habe ich bereits vor einiger Zeit zu laufen gebracht, einfach User & Passwort eingegeben, Konfigurationfile hochgeladen und Fertig. Aber jetzt weigert sich die UDM die Konfiguration anzunehmen.
Connection not established. Please check your credentials, configuration file and check if remote is online. Das ist die Config:
client
dev tun
proto udp
remote universitycalendar.us 8041
verify-x509-name universitycalendar.us name
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
reneg-sec 0
remote-cert-tls server
comp-noadapt
auth-user-pass
auth sha256
cipher AES-128-CBC
verb 3
<cert>
Weiß jemand was hier angepasst werden müsste?
-
Ich glaube es ging eher Darum das man die Verbindung ja einfach Blockieren kann, sich aber schon Nach Kurzer zeit eine sehr lange Liste An Firewall Regeln Ansammelt, durch die man immer wieder Durchscollen muss. Oder?
-
Alles anzeigen
Ich habe mich damals für ein Modell von hier:
https://www.netzwerkschrank24.…/netzwerkschrank-19-zoll/
entschieden. Für die Preise gute Verarbeitung und brauchbar.
Klick dich mal durch die bieten alle möglichen Breiten, Höhen und Tiefen an.
Liefererung war bei mir damals, wie Branchenüblich "Gehsteigkante", entweder jemand ist dann dann für den weiteren Transport auf den endgültigen Aufstellungsort behilflich oder du sprichst mit dem Fahrer und ich habe damals mit ihm gemeinsam den Schrank zum Aufstellungsort gebracht, gegen "Gebühr" natürlich. Mein Modell war fix fertig auf kleiner (KEINE EUROPALETTE!) Palette verschraubt mit PVC und Kantschutz usw dich verpackt und konnte so problemlos transportiert werden. Ab einer gewissen Grösse bekommst du aber "Einzelpakete" wo du dann selber zusammenschrauben kannst.
Am Besten bei der Bestellung abklären.
Meiner hier steht jetzt sein fast 3 Jahren und alles perfekt damit. Habe mich für die Glastürvariante entschieden.
600x800x1400.
Ebenfalls dort bestellt, kann ich so bestätigen. Gefällt mir sehr.
-
Alles anzeigen
Ich habe grade die berühmte Augenbraunen von Leonard Nimoy in seine Rolle als Spock vor meinen Augen...
Ein paar Lose Gedanken zum Nachdenken / Diskutieren.
(Achtung Triggerwarnung, enthält wenig Sarkasmus is aber negativ dem Vorhaben gegenüber eingestellt)
Firmware updates basieren auf einem Loopback image das ausgetauscht wird. ab FW 2.x bleiben dinge wie /etc und /data
natürlich bestehen. Aber die Fertigen Pakete machen sich im System Breit. Das ist dann alles weg auch jedem Upgrade.
es handelt sich zwar beim unterbau zwar ein (minimal) Debian, aber sämtlicher wichtiger kram wird vom Unifi Aufsatz
Kontrolliert und ggf. periodisch neu ausgerollt. Da die passenden hooks in form von Logfiles oder Firewall Logs zu
finden die dann den Bouncer Triggern könnte sagen wir mal spannend werden.
Sehe ich das richtig das nicht alle plugins / Bouncer für aarch64 (ARM) bereitstehen ?
Also selber (Cross)Kompilieren auf einem anderen System oder willst du etwa die ganze dev chain auch
auf deinem Border Router installieren ?
Was genau willst du schützen ? In der Default Configuration ist maximal das Webinterface (remote access)
zu erreichen. Schon das wird Lustig die hooks zu finden bei falschen Login versuchen.
Das gleiche für die VPN Server. Teilweise laufen die Log Streams direkt in ein socket
auf den schon der Unifi Dienst sitzt und horcht.
Sperren dann maximal über den Firewall Bouncer. Den da was in die Notes Server einzubauen wird wohl quasi
unmöglich sein. Das gleichen für die VPN server deren Config Neugeschireben wird sobald da ein furz querhängt
oder zu kräftig im Web frontend auf den Button drückst...(Passwort ändern für User X, zack config wird ausgerollt)
Die Firewall könnte man sogar an Unifi vorbei konfigurieren was dann auch nicht angefasst wird
(also nen trigger in der Input chain auf eine eigne chain). Da ist aber nicht gesagt das nicht beim nächsten Update
iptables rausfliegt und direkt nftables genutzt wird (ist nicht mit zu rechnen, man weis es aber nicht)
Okay dann scheint mir das tatsächlich sehr schwierig. Danke. Dann werde ich den Umweg über eine OPNSense oder Ubuntu Server machen.
-
Guten Tag,
Auf meinem VServer habe ich Crowdsec, quasi ein verbessertes Fail2Ban installiert. Das Tool erkennt nicht nur selber Angriffe und blockiert diese, es erhält diese IPs auch von anderen Teilnehmern im Crowdsec Netzwerk, so werden Angreifer schon vor dem Angriff blockiert. Am liebsten würde ich Crowdsec auf meiner UDM Pro SE installieren da Unifi solche Funktionen wie Aktualisierte Blocklists ja nicht unterstützt. *Es werden 2 Unterstützt, ich würde aber gerne den Community Schutz von Crowdsec einsetzten. Ich habe nur quellen gefunden die von Problemen berichten das nach der Installation u.a. das Webinterface nicht mehr erreichbar war. Das würde ich gerne vermeiden. Hat jemand eine idee wie das funktionieren könnte?
-
Da hast du einiges aufgeführt, und ein PoE Adapter für einen Pi darf natürlich auch nicht fehlen, die sind echt klasse
.Ich liege bei ca. 4,8 kWh pro Tag, aber das ist halt Hobby, sage ich immer
.Stimmt den habe ich vergessen. Und ja stimmt, leider ist das auch ne 200W Heizung...
-
Nachdem ich hier die spannenden Berichte über die jeweiligen Heimnetzwerke Lesen durfte mache ich auch mal mit:
Ubiquiti / Unifi Geräte:
- UDM Pro SE
- USW-Pro-24-PoE
- USW-Flex-XG
- USW-Flex-Mini
- UAP-AC-Pro
- U6-Lite
- UTP-Touch (Phone Touch für Unifi Talk)
Non Unifi:
- Synology RS1221+ (2 x 12TB im SHR1, 2 x 4TB im SHR1)
- Unraid Server (Ryzen 5 2600, 32GB RAM)
- 2 x Lenovo ThinkCentre Mini ( Intel i5 6500, 8 / 16 GB RAM)
- Raspberry Pi (Pihole)
- RIPE Probe
- Insgesammt gute 60 Clients
Und natürlich die PCs und andere WLAN Clients.
Verbaut sind die Komponenten in einem 22HE großen und 1m Tiefen Rack von Serverschrank24.de
(Ja die Verkabelung ist noch nicht entgültig)
Die UDM Pro SE und der USW-Pro-24-PoE sind via DAC mit 10Gbit verbunden, mit einem SFP+ zu RJ45 Adapter von fs.com ist der USW-Flex-XG eine Etage höher Angebunden.
Statistiken
Ich muss zugeben ich liebe die Traffic Statistiken der UDM und auch die Internen der Switche, ich gucke da mehrmals Täglich rein um zu sehen wie es aussieht. Im Jahr 2021 sind durchschnittlich 231,2 GB / Monat über den Deutschen Internet Anschluss übertragen worden, 2022 waren es schon 274GB Pro Monat. Diesen Monat liege ich bei 7.56 TB also "etwas" über dem Durchschnitt.
Über den 1000 / 50 Kabel Anschluss (Bridge Mode) von Vodafone läuft auch etwas an Traffic (August bis August)
Spannender wird es beim USW-Pro-24-PoE bei dem ich in dem (Durch späteren Kauf) verkürztem Zeitraum an der 100TB kratze. Ich hätte echt nicht gedacht das ein paar Daten hin und her schieben, dort ein Backup hier ein Backup, direkt in solche Traffic bereiche hebt.
Der Stromverbrauch liegt derzeit bei ca. 5kwh pro Tag, dank Photovoltaik aushaltbar aber nicht Optimal. Wahrscheinlich wird der Unraid Server auf Ryzen Basis bald einem Proxmox Cluster auf Intel Nuc, bzw. MiniPCs weichen und dann mit neuer Grafikkarte sein Leben als Remote Gaming PC via Parsec fristen dürfen.
Das Netzwerk & Server
Wie bereits erwähnt laufen derzeit die Synology RS1221+, der Ryzen / Unraid Server, die 2 Mini PCs und der Raspberry PI als "Server" im Netzwerk.
Synology RS1221+ (4GB RAM)
Angebunden via 2GB Link Aggregation.
Hardware
- 2 x 12TB Seagate Exos
- 2 x 4TB Seagate IronWolf
Software
- Synology Active Backup for Business
- Synology Photos
- Synology Drive
- Synology Office
- Synology Hyper Backup
- Synology Calendar
- Synology Contracts
- Synology MailPlus Server + Client
- WebDAV Server
- Container Manager mit Paperless-ngx
- Tailscale
Die Synology stellt den Zentralen Speicher im Netzwerk zur Verfügung, für meine Fotos (Synology Photos), Synology Drive und Backup mit Synology Active Backup for Business: 6 Windows Clients, davon 2 Remote und 2 Linux Server (Remote). Derzeit werden die Daten Stündlich auf eine Hetzner Storage Box gesichert, allerdings sorgt die Stündliche Sicherung für Hohe Auslastung des Volumes, deswegen werde ich diese demnächst auf die Nacht verschieben und nur einzelne kleinere Daten weiter Sichern. Ich hoste derzeit zum Testen mit Synology MailPlus auch meinen eigenen Mail Server was bis jetzt auch wirklich sehr angenehm funktioniert. Verschickt werden die Mails allerdings über ein Mail Relay, damit ich mich nicht selber um ständige Sperren des Mailservers kümmern darf. In Naher Zukunft werden noch zwei IronWolf SSDs ihren Weg in die Synology finden als Speicher für die installierten Apps. Denn diese sind im Moment noch so langsam das es nicht wirklich Spaß macht damit zu Arbeiten. Aufgrund einer unangenehmen Begegnung mit der Polizei möchte ich keine Öffentlichen Clouds mehr nutzten. (Nein nix Illegales, aber wenn die Falschen Menschen vor dem Eifelturm in deinem Urlaubsfoto zu sehen sind kann es anscheinend schon stress geben)
Die Sicherungen mit Synology Active Backup for Business machen richtig Spaß, einfach Eingerichtet, man kann die Sicherungen über einen eigenen Browser durchsuchen und so auch einfach einzelne Dateien oder Ordner wiederherstellen. Auch die Dedubliezierung ist ein wirklich praktisches Feature.
Unraid Server
Hardware
- AMD Ryzen 5 2600 Six-Core @ 3400 MHz
- 32GB DDR4 3200 RAM
- Nvidia Quadro P400 (Plex Transcoding)
- 1TB Cache
- 4TB IronWolf Pro.
Software
- Apache Guacamole
- Diverse Game Server
- Plex
Dort lagen früher meine Daten, mir gefällt das Parity System von Unraid aber nicht so wirklich, einfach weil es keinen Geschwindigkeitsvorteil bringt. Zudem ist er sehr unzuverlässig geworden und verabschiedet sich gerne mal. Derzeit laufen dort nur noch Plex und Apache Guacamole.
Levovo ThinkCentre Mini
Einer läuft als Sprung-Client für Guacamole und einer soll bald als zusätzliche Firewall für die Apps der Synology dienen.
Geplant
- CyberPower Office USV 1000VA
- Umbau des Unraid Servers in entsprechendes Rack Gehäuse.
- Rackmount für die Lenovo ThinkCentre
- Proxmox Cluster als ablösung für den Unraid Server.
- 10Gbit Networking für die Synology und eine RAM erweiterung
-
Achso, nee der soll auf dem Dachboden stehen und dort als Failover "verrotten"
Muss man sonst irgendwas beachten bei der Einrichtung? Am Anfang den den APN usw. einrichten und am ende in den Bridge mode stellen? Oder kommt man nach dem Bridge mode noch auf den Router drauf?
Danke für die info!
APN musste ich tatsächlich nicht eingeben. Ich meine es gibt einen Bridge Port und über die anderen kommt man noch aufs Webinterface. Ich habe den zurzeit verliehen, bzw bekomme den bald zurück dann kann ich gerne noch mal schauen.,
-
Hey Slakish wie meinst du das mit Bridge Mode und dem reset? Hab mir das den B535-333 auch bestellt und würde ihn gern im Bridge mode laufen lassen.
Man stellt den Bridge Mode ein, dann Startet der neu. Also wenn man man den Bridge Mode Aus / Ein schaltet werden die Einstellungen zurückgesetzt. Also eher nix um den auch spontan mit in den Urlaub zu nehmen.
