Beiträge von Callahan

Habs . . . Traffic Routes lautet das Stichwort

Damit funktioniert es genau so, wie ich es gerne hätte.

Danke!

Hab mir das gerade mal angesehen, aber ich steh immer noch auf dem Schlauch . . .

Bei Traffic Rules habe ich ja nur Block, Allow und Speed Limit. . . (?)
Und auch in den folgenden Settings könnte ich nirgendwo das VPN auswählen.

Hallo zusammen,

ich habe eine Wireguard Verbindung zu einem kommerziellen VPN-Anbieter erstellt.

Nun möchte ich, daß der Internet-Verkehr mancher Clients über diese VPN-Verbindung geschickt wird. Es handelt sich um einzelne Clients in unterschiedlichen VLANs/Netzen, deswegen bringt mich die "klassische" Lösung, ein separates Netz/VLAN zu erstellen, nicht zum Ziel.

D.h. diese Clients sollen ganz normal in ihrem "Heim"-Netz/-VLAN mit den anderen Geräten kommunizieren können, lediglich der Internet-Traffic soll dann über das VPN geroutet werden.

Man müsste dem Router irgendwie sagen "wenn diese eine IP (oder MAC) ins Internet will, geh über das VPN".
Mir fehlt da irgendwie der Ansatz . . . ist das so überhaupt machbar?

gierig Vielen lieben Dank für Deine Mühe. Ich habe versucht, das nachzuvollziehen, aber ich muss das nochmal machen, wenn ich mehr Zeit habe

Dann bleibt wohl nur die Hoffnung (mal wieder), daß Ubiquiti so eine Suche mal einbaut, kann ja so schwer nicht sein und ist eigentlich eine Basis-Funktionalität

Vielen Dank für Eure Antworten, auch wenn ich eigentlich was anderes lesen wollte

Ist auch auf der Konsole (in meinem Fall Ubuntu) nix zu machen?

Keine Files, auf die man etwas grep-pen könnte?

Hallo zusammen,

ich habe z.B. die IP 192.168.10.5 und möchte wissen, in welchen FW-Regeln und Gruppen diese IP drinsteht ohne daß ich alle Regeln und Gruppen manuell durchforsten muss.

Das müsste doch irgendwie gehen, ich finde da aber nichts . . .

Jemand eine Idee?

Ich hab das jetzt mit dem Service versucht, das hat aber nicht funktioniert (Eintrag wurde nicht gesetzt).

Dann ich habe ich es einfach mal mit einem Eintrag in der Crontab versucht:

@reboot sleep 60 && /usr/bin/wg set wgsrv1 peer <PUBLIC_KEY> allowed-ips 10.0.0.0/16

Damit scheint es zu funktionieren, allerdings musste ich die 60 Sekunden Sleep davorsetzen. Bin aufs nächste Update gespannt, Reboots funktionieren damit.

Mit der Verzögerung würde es wahrschelnlich auch mit der Service-Variante funktionieren. Hab aber im Moment nicht die Zeit, rauszufinden, wie das funktioniert. Wenn ich mal die Muse habe, schau ich mir das nochmal an, bisher belasse ich es bei der Quick&Dirty-Variante

gierig Danke für die Anregungen

Zitat von swag

Bin mir nicht sicher was Du genau freischalten möchtest. Unfi erlaubt doch das anlegen externe Netze um sie z.B. im Switch verwalten zu können.

Diese können ja dann auch in zum für die Firewall und das Routing verwendet werden. Evt steh ich ja auf dem Schlauch aber ist das evt eine Möglichkeit

Es geht um erlaubte Netze innerhalb des Wireguard-Tunnels. Die tauchen in der GUI nirgendwo auf.

Ja, ein (Reboot- und Update-resistentes) Startscript wäre auch ok. Ich bin aber immer noch "erstaunt", daß solche Grundsettings nicht einfach in der GUI konfigurierbar sind.

(Bei handelt es sich bei mir übrigens um UnifiOS 3 auf einer UXG-Pro.)

Hallo zusammen,

da ich jetzt exakt dasselbe Problem habe, würde mich auch interessieren, ob es da (mittlerweile) eine Lösung für gibt.

Zitat von Winterbotom

Kannst du mir sagen wo man die Firewall Logs einsehen kann?

Kommt jetzt ein bisschen drauf an . . . vorher mit meiner USG-Pro konnte man die noch unter /var/log/messages sehen.

Bei meiner UXG-Pro stehen da keine FW-Logs mehr drin. (Liegt möglicherweise am Unifi-OS? Hab hier nur Halbwissen...)

Die UXG-Pro kann die FW-Logs meines (Halb-)Wissens nach nur noch per Syslog ausgeben. Deswegen habe ich dafür einen Syslog-Server aufgesetzt. Damit geht es dann ganz gut, zumal mal da ganz gut filtern kann. Ich fand es immer schon ziemlich schwach von Ubiquiti, daß man die Logs nicht einfach in der Gui vom Controller sehen kann.

Vielleicht kennt ja jemand noch eine andere Möglichkeit . . .

Zitat von Osiris

Die IP-Adresse muss in 'Allowed Authorization Access' eingetragen werden und zusätzlich eben die Gast-Firewallregeln. Davon habe ich hier noch nix gelesen. Was habt ihr da eingetragen?

Bei "Allowed Authorization Access" hab ich schon so ziemlich eingetragen, auch ganze Netze . . . aber wie schon gesagt, gefühlt keine Veränderung.

Mit der Firewall hab ich anfangs auch rumprobiert, aber da der DNS-Server ja unter bestimmten Umständen erreicht wird und in den FW-Logs keinerlei geblockte Verbindungen auftauchen, kann es das eigentlich nicht sein. In sämtlichen Tutorials wird die FW auch nicht angefasst, geht alles über die beiden hier so oft zitierten Settings.

Hatte auch schon das IPS und Geo-Blocking in Verdacht, aber das war es auch nicht.

Damit es läuft, hab ich jetzt erstmal die Cloudflare-DNS Server eingetragen und hoffe noch auf die göttliche Eingebung

Ich versuche gerade, die Landing Page ans Fliegen zu bekommen, aber ich habe hier scheinbar dasselbe Problem, wie mit dem DNS-Server.

Die Landing Page scheint ja auf dem Unifi-Controler zu liegen, bei mir im Management-Netz 192.168.10.0/24. Da wird dann eine URL mit Port 8880 aufgerufen, die nicht erreicht wird. Die Auflösung über meinen DNS funktioniert in diesem Stadium allerdings.

Was ich bei diesen Authorization Access Feldern eintrage (oder auch nicht), scheint irgendwie gar keine Auswirkung auf irgendwas zu haben.

Entweder ist das Ding verbugt oder ich habe irgendeinen Designfehler

thghh Verhält sich das bei Dir auch so?

Neue Erkenntnis:

Schalte ich das Portal ein (mit Password Authentication), passiert Folgendes:
- ich bekomme keine Internetverbindung (per WLAN)

- es öffnet sich der Browser, um das Portal anzuzeigen, aber die Seite wird nicht erreicht

- DNS geht!!! (nützt nur nichts, da ich ja keine Internetverbindung habe...)

Getestet mit folgenden Settings:

Ich bin verwirrt . . .

Zitat von thghh

Warum trägst du bei einer IP noch /32 ein?

Weil ich das in irgendeinem Beispiel so gesehen habe. Aber es geht auch ohne /32 nicht, hab eigentlich alle Varianten durch.

Das ist lediglich der letzte Versuchsstand gewesen.

Zitat von gierig

Nimm die 192.168.0.0/16 doch einfach mal raus für ein test...

bin mir fast sicher das Du/Ihr dann deinen/euren DNS erreichst....

Das ist das Offensichtliche, dachte ich auch . . . funktioniert aber auch nicht. Hab da schon alle Netze rausgeschmissen und es geht dennoch nicht.

Wäre auch irgendwie doof, weil ja dann alles offen wäre. Den Zustand, alles außer einer IP zu sperren, wäre ja dann fast unmöglich.

Übrigens heißt das bei mir nicht mehr "Post" und "Pre" Authorization:

Ich gehe mal davon aus, daß es lediglich umbenannt wurde . . . (?)

Die unteren Netze (Restricted Authorization Access) waren per default drin.

Hallo zusammen,

da ich genau dasselbe Problem habe und bei der Recherche auf diesen Thread gestoßen bin, hoffe ich, daß es ok ist, wenn ich mich anhänge anstatt dasselbe Thema nochmal zu öffnen.
Meine Rahmen-Paramater:
- DNS steht in meinem lokalen Netz (192.168.20.0/24)

- Gast-Netz (192.168.90.0/24) erreicht DNS nicht

- Gast-Netz ist ohne jeglichen Schnickschnack, nur ein einfaches WLAN-Passwort, kein Portal usw.

Die o.g. Einstellungen (und viele andere) habe ich schon durchprobiert.

Zwei Anmerkungen:

1) Ich bin vor ca. 3 Wochen von der USG Pro 4 auf die UXG-Pro gewechselt. Mit der USG hat es noch funktioniert.
2) Es taucht in keinem Log irgendwas auf, daß irgendetwas geblockt wird (auch nicht im Log, daß ich per Syslog abgreife)

Ich habe das Internet jetzt zweimal komplett durchgelesen und komme nicht weiter . . .