Genutzt habe ich bisher nur einen Port - LAN 6. LAN 1 war dann als Beinchen ins DNS VLAN gedacht, den habe ich jetzt aber auch mal raus genommen.
Beiträge von TWIN013
-
-
Alles was nicht im MGMT LAN hängt. Also iPhones, Hue, etc...
Mir ist eben gerade was aufgefallen. Schau Dir mal die (ungenutzten) LAN-Ports der Syno an. Wo könnte das her kommen?
-
Ok, Reboot ist durch, aber leider keine Veränderung. Immer noch diese DHCP Grütze in 169.254.xxx.xxx
-
Gerade dran. Eine Frage unabhängig vom aktuellen Problem: macht es evtl. Sinn die VLANs statt von der UDM SE lieber vom Switch verwalten zu lassen? Oder ist dadurch nichts gewonnen?
-
Erledigt. Hat auf den ersten Blick leider keine Veränderung gebracht, aber ich starte den ganzen Kram mal durch...
-
So meinst Du?
-
Ok da stehe ich jetzt auf dem Schlauch... bedeutet ich muss auf allen Syno Ports unter Allow noch die zusätzlichen Netze aufführen?
-
Die Syno hat insgesamt 6 LAN Ports. Diesen hatte ich auserkoren für das DNS VLAN und die IP manuell konfiguriert. Ein anderer LAN-Port hat dann Zugriff auf das Home VLAN.
-
Schlechtes Beispiel, da ich das VLAN40 komplett vom Rest abschotten wollte. Hier ein anderer Port:
-
Am Switch habe ich manche (glücklicherweise nicht alle) Ports auf die jeweiligen VLAN Profile gesetzt, ja. Ändere ich das Profil weg in LAN... gehts wieder.
Schaut dann zum Beispiel so aus. Lief auch in diesem speziellen Fall seit Monaten problemlos.
-
Ja, sah dann so aus. Habe ich aber auch auf "Auto" zurückgestellt mittlerweile.
-
169.2564.x.x spricht eigentlich fast immer für ein problem mit dem DHCP Server
Du hast auf den Piholes aber die DHCP funktion deaktiviert ?!
Ja, die ist deaktiviert. Die Piholes sind mittlerweile ausgeschaltet - ändert auch nix.
-
Du meinst das hier?
Edit: Sieht allerdings so aus, als würden die Clients keinerlei IP mehr vom DHCP bekommen. In allen Netzen außer dem MGMT LAN.
-
Du meinst kompletten Reset? Neustarts habe ich schon etliche hinter mir...
-
Ok jetzt war ich fast durch und... bin mit meinem Latein am Ende, denn nichts geht mehr.
Geplant war die Einführung eines MGMT LAN bzw die Überführung aller Geräte, die sich bisher dort getummelt haben in ein Home LAN. Die Architektur sah folgendermaßen aus:
192.168.1.0/24 MGMT LAN (UDM SE, USW-Pro-48-PoE, USW-Flex-Mini und einige U6-Lite APs)
192.168.10.0/24 Home (VLAN10)
192.168.20.0/24 IoT (VLAN20)
192.168.30.0/24 Guest (VLAN30)
192.168.40.0/24 E3DC (VLAN40), spezielles VLAN für den Wechselrichter meiner PV-Anlage
192.168.1.50/24 reserviert, derzeit ungenutzt
192.168.100.0/24 DNS (VLAN100)
DNS wird dabei von einem Raspberry Pi (192.168.1.20) bzw. einem darauf laufenden Docker Container mit Pihole (192.168.100.23) zur Verfügung gestellt. Ich nutze zusätzlich noch Unbound (192.168.100.22) in einem MacVLAN (192.168.100.21/29)
Ein identisches Kontrukt läuft auf meiner Synology unter Docker, hierfür habe ich einen neuen LAN-Port (ovs_eth0) manuell auf die 192.168.100.10 eingestellt, darüber wird ein MacVLAN (192.168.100.11/29) betrieben, über das dann Pihole (192.168.100.13) bzw Unbound (192.168.100.12) laufen.
Nachdem ich mit so gut wie allem durch war wollte ich nur noch den "eigentlichen" LAN-Port (ovs_eth5) der Synology vom MGMT-LAN ins Home VLAN umbiegen. Gesagt, getan und... nichts geht mehr. Keines der VLANs hat noch Zugriff zum Internet, selbst mein in der MGMT-Gruppe befindlicher PC scheint nicht einmal eine IP zu erhalten. Lediglich ein manuelles Umstöpseln ins reine (MGMT) LAN 192.168.1.x brachte wieder Zugriff auf Internet und Unifi-Geräte.
Jetzt habe ich angefangen indem ich die Synology wieder auf die ursprünglichen Einstellungen zurückgesetzt habe - kein Erfolg.
Dann angefangen nacheinder alle Firewall-Regeln in der UDM SE zu deaktivieren - ohne Erfolg. Übrig sind nur noch die Regeln mit einer Accept Action, also solche, die eigentlich keine Einschränkungen verursachen können.
DNS Server in den VLANS von den beiden Pihole auf Auto umgestellt - auch keine Verbesserung.
Was kann ich noch machen? Der Kopf macht gerade dicht und die Familie brüllt nach Internet, der Tag ist gerettet.
Jegliche Ideen werden dankend angenommen!
Ergänzung: ich habe festgestellt, dass teilweise trotz gefixter IP z.B. mein iPhone in einem Netz 169.254.XXX.XXX landet - je nach Einloggen mal in der .90.12, .108.246., 242.85 - das sind keine von mir verteilten Netze.
-
Macht es denn Sinn diese Ports stattdessen unter Source anzugeben? Oder braucht es dann eine weitere Regel, um alle anderen Ports zu verwerfen?
-
Also auf Deinem Screenshot siehts nach bug aus. Du hast bei Source und Destination die gleiche Einstellung aber bei Destination fehlt das Feld für den Port. Sollte ja genauso ein Feld für IP- und ein Feld für Portgruppe da sein wie eben bei Source.
Dann schiebe ich es mal auf die Controller Beta (7.4.145). Ein Downgrade des Controllers ist aber wahrscheinlich nicht ohne Restore möglich, nehme ich an. Dann heißt es warten auf eine neue Version. Danke!
-
Hallo!
Mir ist beim Erstellen der Regel "allow local DNS" aufgefallen, dass unter Destination nicht nur eine IPv4 Adress Group "09 | DNS Server" angegeben wird, sondern auch die Port Group "09 |DNS Ports", was ja auch Sinn macht. Nur gibt mir der Network Controller 7.4.145 keine Möglichkeit diese zu hinterlegen... handelt es sich hierbei evtl. um einen Bug, oder ist jemandem bekannt, wie ich die Port Group einblenden kann? Ein Screenshot findet sich anbei. Vielen Dank schon mal!
Ich schiebe mal gleich noch eine Frage hinterher, davon ausgehend, dass hier kein unmittelbarer Zusammenhang mit dem obigen Problem besteht:
Sobald ich die Regel "block all communication between all VLANs" aktiviere, hat mein "Management-PC" (befindet sich im Home-LAN, ist aber in der Regel "allow admin devices to MGMT LAN" bzw. der Gruppe Admin Devices enthalten) keinen Zugriff mehr auf das DNS VLAN - sehr wohl aber auf das MGMT LAN (kein VLAN). Ich finde keinen Denkfehler in der Abfolge der Regeln, von daher stelle ich mir die Frage, ob dieses Verhalten so gewollt ist, oder wo genau sich mein Problem befindet...
Auch hier schon mal vielen Dank für eure Unterstützung. Sollten Informationen fehlen, so liefere ich diese natürlich sehr gerne nach.
Kleine Korrektur: ich bekomme bei aktivierter Regel sehr wohl Zugriff auf den DNS 192.168.100.23 (Pi-Hole), nicht aber auf die 192.168.100.20 (Raspberry). Daher vermute ich es hängt daran, dass der Raspberry nicht in der Gruppe DNS Server enthalten ist und ich mir die Frage gerade selbst beantwortet habe. Man lernt dazu.
-
Ich wusste es ist ganz einfach. Dieser Makel wird mir auf ewig anhängen.
Danke!
-
Hi!
Ich fürchte ich muss mich als zu doof für die Forensoftware outen... wie bekomme ich denn hier ein Bild eingefügt? Wenn ich oben in der Leiste auf "Bild" klicke, werden Quelle und Link verlangt - sprich muss ich mir einen Server suchen, auf dem ich die Bilder zuerst hochlade? Ein einfaches Copy & Paste tut es jedenfalls nicht. Schande über mich.
