Beiträge von stone1978

Zitat von ente-b

OpenVPN ist nicht IPSec !!! Mit automatisch meinte ich, das der Controller die VPN-Verbindung automatisch einrichtet, das hat nämlich bei mir damals auch nicht funktioniert. Ich werde mal 2 anonymisierte Screenshots erstellen, damit sollte es dann aber mit OpenVPN wenigstens funktionieren. Da ich keine feste IP auf beiden Seiten benutze, mache ich mir das DynDNS von Synology zu nutze, MyFritz.net wäre bei Einsatz von Fritzboxen auf beiden Seiten aber auch realisierbar. OpenVPN benötigt nur einen Port (normalerweise 1194).

Genau wie du schreibst das ist sehr wichtig.

OPENVPN = OPENVPN
IPSEC = IPSEC
Nicht kreuzen.

Adrian
Deshalb bitte schick bitte den Screenshot mit den erweiterten Einstellungen.
Bei der Verschlüsselung muss auch alles gleich sein.
AES128 arbeitet nicht mit AES256
AES128 ist übrigens nicht mehr zu empfehlen.

lg Stone

Zitat von ente-b

also ich hab User-VPN und Site2Site-VPN (USG<--->USG4PRO) am laufen ... aber nix mit automatisch

Allerdings nutze ich dazu die OpenVPN-Variante.

Das ist jene Variante die gehen sollte. Gerade wenn man "Geräteklassen" mischt habe ich gelesen dass es mit OPENVPN am wenigsten Probleme gibt.
IP-Sec macht eventuell Probleme. Da habe ich selbst schon viel "Lehrgeld" bezahlt

Zitat von Adrian Buchmeier

Hi Stone

Leider habe ich erst jetzt wieder den Clasic Mode gefunden musst neu ein Hacken deaktivieren. Aber sende dir nochmals das PIC.

Das mit den Netzten das könnte es sein. Die Remote Netzte sind natürlich vorhanden. Ich war der Meinung das ich das exakte Ziel Netz angeben muss.

Die Modems sind reine Modems sprich keine Firewall beim Swisscom Modem heisst es Passthroug.Es ist auch kein DHCP nix mehr Funktionsfähig.

Die IPS sind FIX auch keine Firewall mehr dazwischen. Vom Moden auf den WAN und dan LAN auf Switch.

Servus
Ok ich arbeite auch lieber im Classic Mode.
Danke habe ich bekommen aber es fehlt im Screenshot der aufgeklappte "erweiterte Mode" wo die IPSEC Einstellungen zu finden sind.
Bitte pass die Netze mal an.
Und neben IPSEC sollte es nicht gehen probiere mal OPENVPN.
Beim testen ist alles erlaubt du musst versuchen Dinge auszuschließen. Dokumentiere das auch in einem Protokoll File von dir. Leg dir ein Word an und schreib dort einfach rein was du alles schon probiert hast damit jemand der dich unterstützt anhand dessen schon weiß was man ausschließen kann. Du hast ja schon Stunden investiert da zählen jetzt Details.

Troubleshooting Infos bist du durch ?

lg Stone

Und lies dir die Beschreibung gut durch
https://help.ui.com/hc/en-us/a…igure-Site-to-Site-VPNs#4

Vor allem aber das Troubleshooting das hat mir schon sehr oft geholfen.
https://help.ui.com/hc/en-us/articles/360002668854

Ein Sprung via SSD auf die Konsole und das mit den Befehlen gegenchecken ist oft entscheidend.

lg Stone

Servus

Wäre natürlich von Vorteil gewesen wenn beide Screenshots im Classic MODE erstellt worden wären.

Die Schlüssel und Security Einstellungen sind auf beiden Seiten gleich? Das sehe ich am Screenshot 2 nicht.

Die Netze hast sauber getauscht das passt.
Beides FIXE IP Adressen?

Ist dazwischen noch wo ein Router oder Firewall?
Sind die Modems reine Modems oder so ein Router-Modem? Die haben nämlich oft auch FW funktionien.

Wichtig ist auch das die NETZE die du definiert hast auf der Gegenseite nicht bestehen sonst geht das nicht
Also die Remote Subnetze darf es auf keinen der Seiten geben das verursacht Probleme.

Vielleicht definierst einfach nur zum Testen die VPNs als CLASS B Netz.
zB 172.22.221.0/24 (FIRMA) und 172.22.222.0/24 (HOME)

Sollten Firewalls wo laufen bitte diese nur zum Testen abdrehen damit du das ausschließen kannst.
Die UNFI legt aber alle Regeln bei der Definitiv selbst an das macht die Software.

lg Stone

Servus
Danke das habe ich mir eh schon gedacht aber ich wollte das auch in einem deutschen Forum dokumentieren.

Ja danke habe ich schon. (ENG-Forum)
Zusätzlich auch ein Supportticket. Habe gesehen sie haben mir gerade zurück geschrieben.

Ich werde mit dem Support das gemeinsam durchgehen wenn was produktives raus kommt werde ich euch informieren.
Die erste Antwort schaut jedenfalls danach aus als würden sie sich das zumindest seitens der Analyse anschauen.

Am Freitag wenn ich wieder im Büro bin nehme ich mir 30 Minuten um das alles genau zu dokumentieren.
Dann hoffe ich einen Schritt weiter zu kommen.

Was ich komisch finde ist die Frage nach dem Controller denn die UDM Pro verwendet ja einen INPLACE Controller.
Oder kann man die auch mit einem separaten Controller betreiben. Davon wurde mir vor dem Kauf nämlich abgeraten das wollte ich so machen denn dann hätte ic keinen Neukonfigurationsaufwand gehabt.

lg Stone

Schick mal deine Konfiguration in Form von Screenshots bitte

lg

Ich habe heute direkt den UNIFI Support angeschrieben und eine Feedback Beschwerde abgegeben.
https://help.ui.com/hc/en-us/requests/new
In Form eines Tickets

Ich ersuche jeden der ähnliche Beschwerden hat sich 5 Minuten zu nehmen und das gleiche zu tun. Ich denke anders wird man den Zustand nicht ändern können. Allerdings ist das aus meiner Sicht bevormundend und unseriös. Ich kann ja nicht einen Setupprozess abwürgen indem ich Internet und ein ONLINE KONTO zur Voraussetzung mache.

Gleiches ist dass sie für DUAL WAN LoadBalancing werben und jetzt kann die UDM PRO nur einen Failover.
Genau das Feature hat mich zur Kaufentscheidung bewogen und jetzt geht genau das nicht.

Dein Fall zeigt ein gutes Beispiel in der Realität. Ich denke so wird es einigen gehen die sich einfach nur vorbereiten wollen.

lg Stone

Ich finde das so schade
Unifi bringt sich da nur unnötig mit nicht zu ENDE gedachten Umsetzungen um die Lorbeeren guter Arbeit.

Ich bin froh dass dort wo ich umgestellt habe ich nicht zwigend 2 aktive WAN Leitungen brauche.

Aber ich brauche dort bald ein gutes VPN

Hast du schon mal das OPEN-VPN probiert ?
https://help.ui.com/hc/en-us/a…igure-Site-to-Site-VPNs#4

lg Stone

Schön langsam bin ich mir nicht mehr sicher ob die DREAM MACHINE den Namen verdient hat.

https://help.ui.com/hc/en-us/a…nfigure-Site-to-Site-VPNs

Da steht = The Auto IPsec VPN is feature not supported on the UDM models.

Also alle Modelle die nicht "DREAM" sind können mehr als DREAM

Ich glaube heute ist ein guter Tag um ein sehr langes Mail an UNIFI zu schreiben.

Denn das ist auch ein Thema Side-to-Side VPN das bei mir eine Anforderung ist.

Ich bin inzwischen so froh dass ich nur 1x UDM-PRO bis jetzt zum Testen gekauft habe.

lg Stone

Das ist ehrlich gesagt der nächste Punkt den ich "negativ" empfinde.

Die Bevormundung des Endusers Internet für das Setup verwenden zu müssen.

Jemand der sich eine Unifi mit SDN kauft ist kein DAU somit kann er wohl entscheiden ob er Internet haben möchte oder nicht fürs Basis Setup

lg Stone

Ich versteh das überhaupt nicht. Ich meine die Hardware ist super weil der ARM Prozessor viel leistungsfähiger ist als bei der Vorgänger Generation.

Und dann machen sie daraus so eine Umsetzung nicht FISCH und nicht FLEISCH

Zudem fehlt mir ja sowieso auch das WAF Feature. Eine Firewall sollte das inzwischen können

Kein aktiv / aktiv
Beschreibung passt nicht

Ein Load balancer ist immer aktiv / aktiv
Kein WAF nur NAT
Bei USG PRO ist zwar aktive aktiv möglich aber keine Trennung auf Dienste

zB
100% HTTPS auf wan2
80% SMTP auf wan2 (rest geht automatisch auf WAN1)
100% HTTP auf wan1
100% l2tp auf wan1
100% FTP auf wan1
Usw usw

Integrierte Reverse Proxy Funktion

Kennt jemand ein Entwicklerforum also wo UNIFI Entwickler dabei sein ich würde das gerne dort deponieren damit das Produkt entsprechend weiterentwickelt wird. Das kann man alles via Software lösen.

lg Stone

Zitat von tomtim

Ich habe ein USG4Pro ...

Hier ... Ich gehe auf die Einstellung vom Netzwerk .. Ich habe eine VDSL 100 und eine DSL50.. deshalb habe ich nur failover an.

Ja genau gleich wie bei mir mit der USG 4 PRO gehts

Mit der UDM PRO offensichtlich nicht.

https://store.ui.com/collectio…witching/products/udm-pro

Das Setting findest du nur wenn du 2 WAN Netzwerke konfiguriert hast.
Genau genommen gibts dann dann nur im WAN2 Netzwerk (bei WAN1 ist der Punkt nicht)

Im Anhang ein Bild von einen Konfiguration wo ich noch eine USG 4 PRO einsetze. Da kannst auswählen
- Failover
- gewichtetes Loadbalancing

Das kann die UDM PRO offensichtlich nicht da kannst nur einen Failover machen.

Somit hast auch nur mehr 1 IP Adresse aktiv und nicht 2 was seitens vom Portforwarding interessant war.

--------

Jedenfalls glaube ich das ist wirklich so. Nur das würde ich ehrlich gesagt Unifi übel nehmen.

Habt ihr eine Idee an wen ich mich da wenden kann bzw. in welchem Forum könnte man mit Unifi Entwickler Kontakt aufnehmen?

lg Stone

Servus
Dein Cloudkey?
Bei der UDM-PRO ?

Betreibst du die UDM-PRO mit einem CloudKey ?
Oder hast du eine USG 4 PRO ?

Genau die Settings sind nur beim 2 WAN Port zu definieren. Bei der USG 4 PRO kann man zwischen Failover und Loadbalancing auswählen.
Bei der UDM PRO entgegen der Beschreibung nur Failover?
Dabei steht in den Notes das nur die normale UDM kein Loadbalancing kann.

Kann jemand der eine UDM-PRO hat das bitte mal testen und kurz rückmelden. Eventuell habe ich bei der Konfiguration etwas übersehen wobei man da nichts extra einstellen kann.

Danke lg Stone

Hallo

Habe die UDM PRO in Betrieb genommen mit 2 WAN Ports.

Allerdings funktioniert nur AKTIV / PASSIV also kein echter Loadbalancer

https://help.ui.com/hc/en-us/a…ation-and-Troubleshooting

Es steht hier nur das das BASIC UDM Modell Loadbalancing nicht unterstützt.

Aber auch die UDM PRO kann keinen Loadbalancer nur Failover

Vor allem die Interpretation von UNIFI ist lustig.

Also ein Loadbalancer ist immer AKTIV / AKTIV

Die verwenden den Begriff Loadbalancer und meinen Failover. Das wäre aber Blöd denn AKTIV / AKTIV war die Hauptkaufentscheidung für die UDM Pro für mich.

Ich hoffe ihr könnt mir dazu HIlfe geben

Danke lg Stone

There are two possible configuration options:

• Failover The primary WAN interface is used for all outgoing traffic. The secondary (failover) WAN interface is only used if the primary connection fails.
• Weighted LB Both WAN interfaces are used simultaneously for outgoing traffic. The weight ratio determines how much traffic is sent over each WAN interface based on the configured percentage. The default percentage is 50/50, meaning that each WAN interface handles 50% of the traffic.

NOTE: When using Weighted LB, the traffic will still failover to the other WAN interface in case there is an interruption. The UDM-Pro currently only supports the Failover load balancing mode.

Either option uses the same mechanism to determine if the WAN interface is available and can be used to forward traffic. By default, the UDM/USG will send a ping (ICMPv4) request to ping.ubnt.com sourced from each individual WAN interface. If this ping fails, the UDM/USG determines that there is either an issue with the connection to the ISP modem/router or there is an issue further upstream in the ISP network. In this case, the UDM/USG will stop using the WAN interface to forward traffic.

https://help.ui.com/hc/en-us/a…ation-and-Troubleshooting

NOTES & REQUIREMENTS:

• Applicable to the latest firmware on the UDM-Pro and USG models.
• The UniFi Dream Machine (UDM) base model only has a single WAN uplink port and does not support WAN Load Balancing.

NOTE: When using Weighted LB, the traffic will still failover to the other WAN interface in case there is an interruption. The UDM-Pro currently only supports the Failover load balancing mode.

Also das ist jetzt schön langsam wirklich nervig ..... jetzt steht in der Beschreibung die UDM kann kein Load-Balancing
Die UDM-PRO kann das schon allerdings nur den "Failover Load Balancing Mode"
Das ist ja kein LoadBalancing Mode sondern erst wieder nur ein Failover oder wie ist das zu verstehen?
Entweder bin ich im Loadbalancing Mode oder im Failover Mode.

Was soll dann ein Failover Load Balancing Mode sein.

Wie würdet ihr das interpretieren oder kann das jemand der 2 Leitungen mit der UDM PRO in der Praxis hat testen ?

Danke lg Stone

https://help.ui.com/hc/en-us/a…ation-and-Troubleshooting
OK hier steht aber das die UDM PRO doch WAN Load Balancing beherrscht.
Nur die UDM BASE kann das nicht.

Also doch kein K.O. Kriterum

Die UDM PRO kann DUAL WAN Loadbalancing
Die UDM (non PRO) nicht das war aber eh klar.

Da hat sich Chris offensichtlich verlesen.

lg Stone

Hallo

Hab mir jetzt das lange Video von Chris zur UDM-PRO angeschaut.

Übrigens mein lieblings Unifi Youtuber

Leider bin ich da auf ein absolutes K.O. Kriterium der UDM-PRO gestoßen mit dem ich so nicht gerechnet habe.

Ich brauche unbedingt 2 aktive WAN Leitungen sprich LoadBalancer Modus.
Die UDM-PRO kann allerdings nur nur WAN Failover sprich aktiv / passiv oder passiv / aktiv aber nicht aktiv / aktiv.

Somit kann ich die UDM-PRO nicht verwenden.

https://www.reddit.com/r/Ubiqu…tpz/udm_pro_and_dual_wan/

https://help.ui.com/hc/en-us/a…ation-and-Troubleshooting

Das ist jetzt wirklich blöd somit muss ich die Bestellung stornieren.

Das blöde ist jetzt dass ich keine passende Lösung habe denn die USG 4 PRO kann kein DUAL VPN.
Eventuell geht da was mit der Modifikation der config.json

lg Stone

Ok danke für den Erfahrungswert

lg Stone