Im Auge habe ich eine Unifi CGF (Cloud Gateway Fiber) zusammen mit einem SFP Modul ( https://www.fs.com/de/products/185594.html ) für eine 10G Leitung.
Das wird die FritzBox im Laufe der nächsten Zeit ablösen.
Posts by Ben2003
-
-
Es geht um folgendes:
Wenn von einem Client im Ethernet eine Domain-Adresse aufgerufen wird, der im eigenen Ethernet läuft, wird im Response Proxy eine Client-IP-Adresse protokolliert, die mit der öffentlichen IP-Adresse des eigenen Internet-Anschlusses übereinstimmt.
Zwischenzeitlich wurde herausgefunden, dass die Ursache im doppeltem NAT liegt.
Das Doppelte NAT kann nicht entfernt werden, weil als Router eine FritzBox 5530 Fiber eingesetzt wird, in der kein Bridge Modus aktiviert werden kann. In der FritzBox wurde bereits ein Exposed Host für die "Unifi UDM" eingerichtet.
Langfristig wird es darauf hinauslaufen, dass die FritzBox gegen eine "unifi ucg fiber" ausgetauscht wird. Dann existiert auch nur noch ein NAT.
-
Vielen Dank für die klare Info.
-
Hallo Zusammen,
zur Info:
Client: Im gleichen Ethernet, wie der Webserver auch.
Wenn der Client auf eine Domain zugreift, die auf dem eigenen Webserver gehostet wird, wird im nginx-Service eines Response Proxys eine öffentliche IP-Adresse registriert.
In der UDM-Pro soll sich ein Response Proxy befinden. Kann mir jemand mitteilen, wie der Response Proxy aktiviert und eingerichtet werden kann?
Es soll im Header einer Webseite ein "X-Forwarded-For" Angabe gesetzt werden. Diese Angabe wird vom nginx Webserver ausgewertet.
Weiß jemand, wie im Response Proxy von Unifi eingerichtet werden muss?
-
Hallo,
vielen Dank. Ich habe die Einstellung gefunden, Ein SSH-Zugang hat problemlos geklappt. -
Hallo gierig,
vielen Dank für die Infos.
Auch mit dem User root oder ubnt und dem Passwort, welches unter System, Erweitert unter Geräteauthentifizierung vergeben wurde, schlägt eine Anmeldung via ssh fehl.
-
Hallo,
Im UDM Pro ist der SSH-Authentifizierung für Geräte aktiviert.
Wenn der SSH-Befehl abgeschickt wird, kommt immer die Meldung "Access denied", nachdem das Passwort eingegeben wurde.
Codessh User@192.168.1.1Kann mir jemand mitteilen, wo mein Denkfehler ist?
-
Nur zur Info: Eine UDM Pro sollte nicht bei einem 10G Glasfaser-Anschluss eingesetzt werden, da die UDMPro dann ein Bandbreitenproblem bekommt. Dies tritt erst Recht dann auf, wenn zusätzlich weitere Funktionen wie z.B. IDS aktiviert werden. Die eingesetzte CPU kommt dann an ihre Leistungsgrenzen. Diese Info wurde mir aufgrund einer Anfrage nach einem geeigneten SFP+ Modul bei meinem Internet Provider gegeben.
Alterna
Jaa, das ist nix neues. 10gbit bekommst Du aktuell mit keinem der üblichen Verdächtigen hin. Da muss man schon richtig tief in die Tasche greifen und ins oberste Regal greifen.
Das stimmt so nicht ganz. Es werden schon Gebiete mit 10G Glasfaser-Anschlüssen realisiert. Je nachdem welchen Tarif man wählt, bekommt man dennoch "nur" 250mbit/s geliefert. Aber technisch sind an diesen Glasfaser-Anschlüssen immer 10gbit/s vorhanden.
-
Nur zur Info: Eine UDM Pro sollte nicht bei einem 10G Glasfaser-Anschluss eingesetzt werden, da die UDMPro dann ein Bandbreitenproblem bekommt. Dies tritt erst Recht dann auf, wenn zusätzlich weitere Funktionen wie z.B. IDS aktiviert werden. Die eingesetzte CPU kommt dann an ihre Leistungsgrenzen. Diese Info wurde mir aufgrund einer Anfrage nach einem geeigneten SFP+ Modul bei meinem Internet Provider gegeben.
-
Hallo,
das Anliegen hat sich geklärt.
In der vorgeschalteten FritzBox wurden einige Routen angelegt. Nun funktioniert der Zugriff wieder wie gewohnt.
Es ist nicht einfach mit einem doppeltem NAT.
In der UDM war ebenfalls eine kleine Anpassung nötig gewesen. Genaueres kann ich nicht mitteilen, da alles von einem beauftragten IT-Experten durchgeführt wurde.
Langfristig soll die FritzBox ganz entfernt werden, und die Glasfaser direkt mit der UDM verbunden werden.
-
Also: „Etwas“ lauscht auf Deiner WAN-IP
Derzeit ist keine UDM vom Internet aus erreichbar. Daher kann es nur die Fritzbox selbst sein. Wenn über die IP V6 Adresse im Browser zugegriffen wird, dann wird die Anmeldemaske der FritzBox angezeigt, und nicht der freigegebene Webserver.
-
Mit IP V6 habe ich bislang nur einzelne Tests im lokalen LAN durchgeführt.
In Unifi habe ich noch kein IPV6 aktiviert. Daher kommen auch logischerweise keine IPV6 Adressen an.
Nach den bisherigen Erkenntnissen führt kein Weg an IPV6 vorbei.
-
Nun habe ich wahrsheinlich eine Ursache gefunden.
Beim Internet Provider wird zu 90% DS Lite eingesetzt.
Die Webseite https://whatsmyip.com/ kann keine IPv4 Adresse herausfinden, sondern nur eine IPV6-Adresse.
Bei DS Lite Anschlüssen können keine Webserver betrieben werden.
Kann das möglich sein?
-
Kannst du den Server mal direkt an fritze hängen um zu testen obs daran scheitert?
Nachdem eine CAT7-Kabel vom Erdgeschoss bis in den 1. OG zum Webserver gelegt wurde, ist dieser nun direkt an der Fritte dran:
Beim Anzeigen wird diese Testseite angezeigt.
In der Fritte musste dazu nun der Exposed Host entfernt werden:
Dennoch scheitert auf der Zugriff auf diese Testseite. 🤣🤣🤣🤣🤣😪😪😪😪🥺🥺🥺🥺😭😭😭😭😭
Die FritzBox kann ich nicht auf Werkseinstellungen zurücksetzen, da darauf ein Telefon-Anschluss läuft.
Was ich machen könnte, ist ein Backup anzulegen, danach die Fritte auf Werkseinstellungen zurücksetzen und schließlich das backup wieder einspielen.
-
Was zeigt die AVM Box für eine IP an ?
Wie man sehen kann, ist die IP Adresse 217.195.149.154
Gibt es denn nun einen Grund warum Du die Ports verbiegst?
Welche Ports meinst Du denn? Wenn Du die Ports 8081 und 8443 meinst, diese verweisen nur auf einen Test-Webserver, der eine simple statische Webseite anzeigt. Sobald irgendwann wieder alles laufen wird, werden die Ports wieder auf 80 und 443 umgestellt. Von Außen sollten die Webseiten nachwievor über 80 und 443 erreichbar sein. Bei den Ports 8081 und 8443 handelt es sich um interne Ports.
Vielleicht möchtest Du ja auch die eine oder andere Frage der Leute hier beantworten und evtl. mal die top geheime Konfiguration etwas offener legen.
Was soll ich denn noch offenlegen? Es wurden doch schon die Screenshots mit allen relevanten Angaben offengelegt. Soll ich noch einen Super-Admin mit Passwort hier einstellen, damit jeder unbemerkt in mein Netzwerk sich anmelden kann?
-
Ist das deine externe IP:217.195.149.110
Ja, das ist meine derzeitige externe IP-Adresse.
Von Seitens des Internet Providers gibt es keine Filter, Blockaden o.ä.
Die Fehlerursache muss sich demnach irgendwo im Unif-UDM befinden.
-
1. Domain
Die Domain ist cloud.clh-***.de. #Ich hoffe, dass ich nun keine Welle von vielen Hack-Eindringversuchen & Co. bekomme. Daher wurde es bisher vermieden, die Domain zu veröffentlichen. Nun gut.#
Von den dyndns-Domains wird die IP-Adresse mit einem Bash-Script regelmäßig abgeglichen. Das Script wird via CronJob aufgerufen.
2. Prüfe in Deine Firewall das keine 443/80 Regel hinterlegt hast. (Raus löschen)
3. Prüfe ob Portweiterleitung auf dein Richtige server im Netzwerk Zeigt.
Es sind keine eigenen Firewall-Regeln vorhanden.
Die Test-Webseite ist lokal aufrufbar:
Die https-Webseite ist ebenso lokal erreichbar:
4. Falls eine Fritzbox/Sonstige Box vor dein Unifi Gateway ist das die expendet Host (Portweiterleitung) auf deine Unifi Gateway ist.
Die UDM ist in der FritzBox als Exposed Host freigegeben worden.
5. Prüfe dein Webserver (apache2/nginx) das er anfragen animmt von extern mit deine Domain annimt (ist er überhaupt erreichbar im local netzwerk?)
Derzeit ist eine einfache html-Webseite auf die Portweiterleitung geschaltet worden.
Die Test-Webseite ist lokal aufrufbar:
Die https-Webseite ist ebenso lokal erreichbar:
-
Wenn Du jetzt noch immer nicht kapiert hast das aus dem Internet auch aus dem Internet getestet werden muss, dann tuts mir echt leid.
Ich habe schon eine VPN-Verbindung, über die alle Anfragen umgeleitet werden. So kann ein Zugriff aus dem Internet gezielt generiert werden.
-
Hallo,
ein tracedump-Befehl auf der UDM ergab, dass durchaus Anfragen aus dem Internet eintrudeln:
18:01:25.751641 IP 192.168.178.26.60576 > [Meine öffentliche IP].443: Flags [S], seq 357986521, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
18:01:27.759282 IP 192.168.178.26.60576 > [Meine öffentliche IP].443: Flags [S], seq 357986521, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
18:01:31.762857 IP 192.168.178.26.60576 > [Meine öffentliche IP].443: Flags [S], seq 357986521, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Diese Anfragen kommen an, wenn eine meiner Domains ausgerufen wird. Als Ergebnis kommt dann allerdings ERR_CONNECTION_TIMED_OUT zurück.
Demnach existiert keine Filterung seitens des Internet-Providers.
Eine Analyse im Wireshark ergab, dass Anfragen mit einem RST-Paket abgelehnt werden.
Kann mir jemand mitteilen, wo die WAN-Firewall zu finden ist? Es kann sein, dass hier alle eingehenden Pakete nicht an das LAN weitergeleitet werden.
-
Nun wurde alles nochmals auf Werkseinstellung zurück gesetzt.
Und siehe da, die Consolen-Einstellungen sind verfügbar.
Nun muss natürlich alles wieder neu eingerichtet werden. Im Backup sind anscheinend einige falsche Einstellungen enthalten.
Beim neu Einrichten ist mir aufgefallen, dass die LED-Anzeigen-Einstellungen nur in der Legacy-UI vorhanden sind.
Auch nach der kompletten Neuinstallation des Netzwerkes gehen auch keine Anfragen aus dem Internet im UDM ein.
Clients bekommen Fehlermeldungen wie ERR_ADDRESS_UNREACHABLE
Da werde ich morgen gleich zu nächsten Service-Kundendienst des Providers fahren, und die um Stellungnahme bitten.
