Ja, der VPN Server ist von mir. Ich habe SSH zugriff auf diesen.
Beiträge von Ben2003
-
-
Ja das ist logisch. Aber woher weiß der von server der z.b Rechenzentrum steht was er mit port 80,443 anfangen soll. Er verwirft die. Mann muss dem server sagen was er damit anstellen soll
Wie und wo kann das umgesetzt werden?
-
Du musst den vpn server sagen an welche interne ip die ports übermitteln soll
Der Webserver hat eine dynamische IP Adresse, die beim Ändern immer über einen dyndns-Service automatisch angepasst wird.
Wenn der Webserver über ein VPN Client aufgerufen wird, kann die Domain nicht aufgelöst werden. Daher hatte ich angenommen, dass es an einer zu restriktiv gesetzten Filter Regel in der "USG3" liegen könnte.
In den Portfreigaben existieren u.a. zwei Freigaben für die Ports 80 und 443. Beide Ports verweisen auf einen Proxy, der anhand des übergebenen Domainnamens entscheidet, zu welchem Webserver der Aufruf weitergeleitet werden soll. Das Verfahren funktioniert soweit fehlerfrei, wenn der Aufruf nicht über VPN erfolgt.
Wenn man für dieses Ziel eine andere Hardware Firewall benötigt, wie z.B. "USG4", hat sich das Thema erledigt.
-
Hallo,
das vorliegende Unifi-Netz ist in verschiedene Subnetze unterteilt.
Standardmäßig ist die Kommunikation zwischen den Subnetzen möglich. Mit Firewall-Regeln wurde die Kommunikation zwischen den Subnetzen bis auf wenige Ausnahmen unterbunden.
Wenn ein Client via WireGuard VPN angemeldet ist, kann dieser nicht über die öffentliche DNS Adresse des Webservers auf diesen zugreifen. Der Domain name kann nicht aufgelöst werden. Ein Zugriff ist nur möglich, wenn sich der Client entweder im gleichen Subnetz befindet, wie der Webserver selbt läuft, oder in einem der Subnetzen, die in den Ausnahmen definiert sind.
Nun stellt sich die Frage, warum kann kein Zugriff auf eigene Webservices durchgeführt werden, wenn der Client via WireGuard im UnifiNetz angemeldet ist?
Zur Info: Das Subnetz von WireGuard ist nur im WireGuard Server bekannt. Ausserhalb von WireGuard gibt es das WireGuard-Subnetz nicht. Im Unifi Controller werden auch keine Clients gelistet, die via WireGuard angemeldet sind. -
bei mir werkelt noch eine 7412 als Telefonanlage
Eine alte FritzBox kann durchaus gut als Telefonanlage eingesetzt werden. Man muss nich nur im Klaren sein, dass der DECT-Standard sich mittlerweile weiterentwickelt hat. In meinem Heimnetz waren auch 7390er FritzBoxen als DECT Repeater im Einsatz. Das ging so lange gut, wie die Frutzbox mit der Telefonanlage ebenfalls nicht aktualisiert wurde. Als die Telefonanlage auf eine aktuellere FritzBox gewechselt wurde, konnten keine 7390 als DECT Repeater eingesetzt werden. Die Verbindung wurde verweigert.
WireGuard wird ebenfalls schon als Virtuelle Maschine in einem UniFi Netz eingesetzt. Der Einsatz von WireGuard hat den Vorteil, dass nun via FritzFon angemeldete Telefone auch von "anderen" Subnetzen bei der Telefonanlage sich anmelden können. Das ist möglich, da der WireGuard Server nicht die IP Adresse des Clients weiter gibt. Eine Option "Aus dem Internet anmelden" ist bei Anmeldungen für FritzFon Telefone nicht gültig. Diese Hürde konnte durch WireGuard genommen werden. -
Ursächlich für die Ausfälle kann an einem weiteren CAT-Kabel gelegen haben, welches ein Wackelkontakt hat.
Nach dem Einstecken in einem Switch-Port hat die grüne LED zunächst aufgeleuchtet. Jedoch nach etwa 1 Minute hat es keine Verbindung mehr gehabt. Der Port wird dann wieder Offline angezeigt. Das dieser Schaden nicht früher aufgefallen ist, liegt daran, dass ein am Switch angeschlossener AccessPoint unmittelbar nach dem Verbindungsausfall eine drahtlose Verbindung zum nächsten Access Point hergestellt hat und darüber dann die ganze Kommunikation abgelaufen ist.
Beim ausgefallenem CAT-Kabel handelt es sich um ein sehr flaches Kabel, welches man auch unter eine Scheuerleiste bzw. Fußleiste verstecken kann.
Im CAT-Kabel wird mindestens eine Ader defekt sein.
-
Eine Ursache habe ich herausgefunden: Ein CAT-Kabel zu einem Access Point war defekt. Daher hat sich dieser immer via Funk verbunden. Nach dem Austausch des CAT-Kabels hat sich der Access Point wieder korrekt angebunden.
Ob nun das tägliche kurze Offline-gehen von allen Access Point beendet wurde, kann man erst morgen sehen.
-
Auf welcher Hardware welchem System läuft der Controller?
Der Controller läuft auf einem Virtuellem Debian-System.
Das solltest du auf keinen Fall tun.
Vor Unifi hatte ich FritzBox mit vielen Repeatern. Es war noch vor Mesh-Zeiten. Damals war es nach meinen Kenntnissen sogar Pflicht, dass der Repeater die gleichen Kanäle belegt, wie der Basis-Station.
-
Nachtrag:
Es liegt nicht am Mikrowellen-Ofen, da heute wieder kurz nach 19 Uhr alle Access Points offline gegangen sind. Dieses Mal war zu der Zeit niemand im Hause. Von daher muss die Ursache eine andere sein. Merkwürdig ist, dass die Unterbrechung scheinbar immer kurz nach 19 Uhr ist. Kann es am Mesh liegen? Diese Funktion ist bei allen Access Points aktiviert. Es wurde allerdings nicht bewusst festgelegt, welche nun der Master ist.
Die Acces Points sind wie folgt eingestellt:
2,4GHz:
Channel width: 60 HT, Channel: 6
Transmit Power: auto
Enable Minimum RSSI: False
5GHz:
Channel width: VHT40, Channel: 36
Transmit Power: auto
Enable Meshing: True, Configuration: Auto
Alle Access Points funken auf den gleichen Kanälen
Im Ereignis-Protokoll wird kein Ereignis protokolliert.
Auf die Schnelle habe ich keine Einstellung gefunden, wo die Prokollierung eingestellt werden kann, welche Ereignisse protokolliert werden sollen.
-
Beim nächsten Auftreten des Fehlers werde ich Screenshots machen, wobei ich mir nicht vorstellen, kann, dass ein Screenshot mit der Fehlermeldung etwas mehr aussagen kann. - Wie auch immer, wenn es was hilft ...
Die Struktur des Netzes wird aktuell im Unifi-Controller falsch dargestellt. Sobald die richtige Darstellung erkannt wurde, werde ich davon ein Screenshot hier einstellen. -
Nachtrag:
Soeben ist es wieder zu einem "Ausfall" von allen Access Points" gekommen. Dieses Mal wurde beim Verbinden eine Fehlermeldung angezeigt, dass "keine IP-Adresse zugewiesen" werden kann.
Nach kurze Zeit später hat wieder alles funktioniert. Dieses Mal wurde kein Firmware-Update installiert.
Kann es an einer Mikrowellen-Ofen liegen, in dem zwei Zimmer weiter zuvor ein Essen aufgewärmt wurde?
Zwei der Access-Points sind via Funk angebunden. Merkwürdig ist es allerdings, dass auch AccessPoints ausgefallen sind, die via CAT7-Kabel angebunden sind. Im Unifi-Controller wird kein Fehler gemeldet.
-
Es wird wohl ein Firmware-Update gewesen sein.
In den Einstellungen ist ein automatisches Firmwareupdate aktiv.
In den Ereignissen ist allerdings kein Update-Eintrag zu finden.
-
Hallo,
vor wenigen Minuten waren ausnahmslos alle Access Points für wenige Sekunden getrennt und offline.
Ich habe es nur mitbekommen, da der "FireTV Stick" die WLAN-Netzverbindung verloren hat. Gleichzeitig ist es auch allen weitere WLAN Geräten passiert.
Hat jemand eine Idee, woran es gelegen haben könnte?
Es ist schon aussergewöhnlich, dass die Störung bei allen Access Points gleichzeitig aufgetreten ist.
-
Hallo,
sorry für das verspätete Feedback.
Zwiischenzeitlich hat die Telefonie funktioniert. Es funktioniert allerdings nur über IPV4, obwohl am WAN-Anschluss eine IPV6 Adresse ausgewiesen wird. Im ganzen Netz funktioniert kein Ping mit IPV6.
Mit IPv4 funktionieren die Pings fehlerfrei.
Am WAN der USG3 ist eine FritzBox als Modem angeschlossen. Die FritzBox läuft als Bridge-Modus.
Eine DHCPV6 ist nicht aktiviert worden. Muss diese erst aktiviert werden?
Zur Info: Ich habe keine Test-Netzumgebung, in der ich verschiedene Szenarien durchtesten kann. Es wird alles im produktiven Netz ausgeführt. Von daher kann ich nur Änderungen vornehmen, von denen ich weiß welche Auswirkungen diese haben werden.
-
Hallo,
über mein Internet-Provider werden künftig auch Telefonate abgewickelt.
In der Anleitung steht, dass die Anmeldung der SIP-Anschlüsse ausschließlich über das IPV6 Protokoll abgewickelt werden kann. Die Anleitung ist für eine FritzBox vorgesehen, die gleichzeitig der Router ist.
In meinem Fall ist die FritzBox für die Telefone ein Client im Netz - diese bekommt bislang nur eine IPV4-Adresse.
Der WAN-Anscluss bekommt bereits eine öffentliche IPV6 Adresse.
Kann mir jemand erläutern, welche Anpassungen nötig sind, damit die Clients im Netz auch eine IPV6 Adresse zugeteilt bekommen? Muss dafür ein DHCP-V6 eingerichtet werden?
Kann mir jemand weiterhelfen?
-
Vielen Dank für die ausführlichen Informationen. Der Tip mit den Kanthölzern ist gold wert.
Kann man denn bei der HDD eine beliebige SATA Platte einsetzen, oder werden nur bestimmte Modelle angenommen?
Wenn ich mir die Shopping Angebote ansehe, werden manche Modelle bereits ab 340 Euro und andere ab etwa 420 Euro angeboten.
-
Hallo,
ja, natürllich es werden auch einige VLANs eingesetzt.
Vielen Dank für die Info.
Kann man bei der UDM Pro ( https://eu.store.ui.com/products/udm-pro ) auf die Oberseite direkt weitere Geräte (z.B. NAS-Server, Modem) drauf stellen, oder muss da noch ein Mindestabstand eingehalten werden
-
Hallo,
nachdem der Internet-Zugang auf 10G-Bandbreite umgestellt wurde, ist mir aufgefallen, dass die Auslastung der USG3P auf 100% Auslastung steigt, sobald zwei Downloads mit je. 10MB/s laufen.
Sobald die Downloads beendet wurden, sinkt die Auslastung wieder auf etwa 3-5 %, was normal ist.
Kann man da noch ein den Configurationen etwas anpassen, oder sollte eine andere USG eingesetzt werden?
Bei normalen Downloads mit durchnittlich 6 MB/s steigt die Auslastung auf 10-50 %.
Wenn allerdings noch paralell einige Streams und Telefonie geführt werden, schaut es schon wieder anderes aus, hier kann die Auslastung durchaus schon auf etwa 70 % ansteigen.
Zur Info: Die USG4 kann wegen eines fehlenden 19" Racks nicht eingesetzt werden.
-
Habe heute erst gesehen, dass selbst in Synology Diskstation auch ein Wins-Server integriert ist. Dieser ist unter dem Protokoll-Namen "smb" benannt und standardmäßig deaktiviert.
Nach dieser Webseite kann man mit dem folgendem Consolen-Befehl (?) einen WIN Server in einer DHCP eintragen:
Codeset service dhcp-server shared-network-name [LAN-NAME] subnet [SUBNET/24] wins-server [IP-WINS SERVER]Mal schauen, ob das was bringt und vor alem, wie lange diese Einstellung erhalten bleibt.
Die weiterführenden Links auf der Webseite auf das wiki.ubnt.com sind leider schon veraltet und können nicht mehr verwendet werden.
Nachtrag:
Auf dieser Webseite steht, wie z.B. ein Wins-Server eingetragen werden kann.
Ich bin verantwortlich für eine privat aufgebaute Infrastruktur an drei Standorten. Diese wurden mal mit Einsatz von FritzBoxen und VPN miteinander vernetzt. Aktuell ist kein VPN mehr aktiv, da bei mir die FritzBox ausgedient hat. Nun ist nur noch eine Unifi-USG mit einem Modem im Einsatz.
Worauf ich hinaus will, ist folgendes:
Als die drei Standorte vernetzt waren, konnte man nur mit IP-Adressen auf den entfernten Standort zugreifen. Das war für viele Teilnehmer nicht vermittelbar, die nix mit technischen Details zu tun haben wollten. Es war auch noch nicht mal so, dass bei Windows-Systemen in der Netzwerkumgebung die Systeme an den anderen Standorten nicht aufgelistet wurden, die gerade online waren. So war das VPN-Netz zwar da, aber so richtig genutzt hat es keinem. Viele haben sogar weiterhin via USB-Stick die Dateien untereinander ausgetauscht, weil eben die IP-Adresse es anderen unbekannt war. Dadurch waren von vielen Dokumenten mehrere Versionen im Einsatz, wo zum Schluss niemand mehr genau sagen konnte, welches nun der letzte Stand ist.
Mittlerweile wurde ein Nextcloud auf einem System installiert, die über eine öffentliche Domain-Namen erreichbar ist. Mal sehen, ob das ausreicht, um wenigstens gemeinsame Dateien besser untereinander austauschen zu können.
Viele Teilnehmer haben als System Windows in verschiedenen Varianten im Einsatz. Manche haben Android Tablets oder Macintosh.
Wenn in den DHCP die Erweiterte Optionen der Code 44 gesetzt werden sollen, wird folgende Meldung angezeigt:
This code is already in use. Please use a different value
44 steht für "WINS Server".
Die Option 44 wurde mit einem "set dhcp-server shared-network-name ..." bereits gesetzt worden. Die gesetzte Option wird in der Web-Oberfläche nicht angezeigt.
Weiß jemand, wie die Option "44" entfernt werden kann?
-
Wie viele Geräte hast Du denn
Es geht mir ums Prinzip. Wenn man einmal eine Lösung gefunden hat, bei der die DNS Weiterleitung funktioniert, kann diese Lösung bei großen wie auch bei kleinen Netzen angewandt werden.
Wird ja auch in großen Netzen so gemacht.
Das ist mir bekannt. Nur kenne ich es bislang nur von Windows Domains. Hier wird es u.a. mit einem Wins-Server geregelt. Solche Dienste sind in Windows Servern enthalten und brauchen nur installiert und eingerichtet werden.
Ich habe mir vorgestellt, dass es auch ein Pendant für Linux-Server geben muss. Scheinbar gibt es entsprechende Lösungen nur als bezahlte Pakete.
