Posts by swag

Ich benutzte auch dyndns für die GatewayIPv6 und soweit gut. Ich habe aber auch noch ein Dual Stack fallback. Connect über WireGuard und der kann auch ipv4 und ipv6 Tunneln.

Soweit gut aber ich hatte schon Mobilfunkzellen ohne ipv6 oder auch im Ausland da klappt es dann nicht. Genauso WLAN Hotspots. Guest WLAN ect die sind oft ipv4 only

Es gibt wohl auch eine Möglichkeit von der Fritzbox direkt auf Netzwerke zuzugreifen. Es gibt hier ein paar threads zum thema das doppeltes nat durch eine statisches routing zu ersetzten. Evt kannst Du dann auf die DNAT Regel verzichten und viellecht greift dann die Regeln korrekt.

Für mich sieht sie korrekt aus aber wenn das Aktivieren den traffic blokiert scheint es ja ein Problem damit zu geben. Kannst Du sehen welche source IPs durchkommen wenn wenn die Regel nicht aktive ist. Evt könnte hier ein versetecktes SNAT diese verändern. Evt z.B. eine lokal IP statt eine deutsche?

Gerade sollche Kopplungsmechanismen die nicht über das Internet gehen finde ich sehr spannend

Spannendes Thema, und ich hab keine Ahnung wie es aktuell bei Unifi mit der Zone Basierten Firewall ist. Aber Port Forwarding (DNAT) verhindert ja oft das bestimmte Regel ausgeführt werden.

(Du hast keine Router wie eine Fritz vor Deinem Unifi Gateway und Du hast Forwarding aktiviert ?)

Was mir einfällt, k.A. Ob es best practices ist, eine Regel für den Antworttraffic. Evt dazu die relevanten Geräte in eine eigene Zone.

Dann diese Zone nach external limitieren. Könnte aber dann aber evt auch Geräte updates Verhindern.

Eigentlich solltest Du die Block Regel gar nicht brauchen da am Schluss eine Block all traffic Regel kommt. (External-internal)

Wenn ich Dich richtig verstehe funktioniert der Zugriff ohne die allow Regel aber dann für alle Länder die nicht im Länderfilter komplett gefiltert wird ?

2025-03-03 17:25:38.738 DEBUG MdnsScanner Added 4 IPs for operational device 645D8D7FFA6E6919-00000000B691F9C3._matter._tcp.local to cache (interface end0): type: udp ip: fd00::a:0:0:0:175 port: 5540 type: udp ip: fd00::a:b06f:7155:ffba:1dd1 port: 5540 type: udp ip: fe80::4cf4:1e27:6a7f:6f16%end0 port: 5540 type: udp ip: 192.168.100.68 port: 5540

sieht mir so aus als wenn der HA auch die IPv4 anmeldet

2025-03-03 17:26:19.905 DEBUG MessageExchange New exchange channel: udp://[fd00::b:bd0e:89f2:a944:329a]:5540 on session insecure/11132387312110261309 protocol: 0 exId: 35192 sess: insecure/11132387312110261309 peerSess: 0 SAT: 4000 SAI: 300 SII: 500 maxTrans: 5 MRP

werden dort dann alle angemeldeten devices automatisch ausgetauscht, (in beide Richtungen) oder muss jedes einzeln freigeschaltet werden?

Prima dann scheint ja auch der mdns transport per ipv6 zu funktionieren.

das war mit google translate

Ja bin ich mir auch nicht sicher ob er englisch kann, aber vielleicht bekommt er es dann passender übersetzt.

Quote from Networker

Salve, questo è un forum di lingua tedesca, purtroppo la maggior parte degli utenti non capirà il suo messaggio.

Il router Unifi deve conoscere tutte le VLAN tra cui deve instradare. È quindi necessario creare tutte queste VLAN.

Il firewall non blocca nulla nella LAN finché non si creano regole di blocco.

Cordiali saluti!

Wenn ich Deine Antwort Rückübersetzte werde ich nicht schlau draus

Aber das ist ein Sprachforum, das den größten Teil der Utensilien ausmacht, die ihre Nachricht nicht verbergen.

Der Unifi-Router muss das gesamte VLAN kennen, damit er installiert werden kann. Es ist notwendig, dieses VLAN zu erstellen.

Die Firewall blockiert nicht das LAN, da sie nicht blockiert werden kann.

Herzlicher Gruß!

I would likely not connect the MPLS to a gateway port as this none standard but rather to an local port with a network definition "external network" matching that vlan and the ip range an adding a manual route. However MPLS would know a route for return traffic (extra hop) or you would need nat.

If you want to follow the path of using a gateway port you can try internet - fallback which could work if there are only devices like printers and already comes with nat. However if printer arn't configured by ip but rather mDNS (i.e. Bonjour) it would not forward these requests

not sure if you only want to connect to the mpls itself or networks behind gateways. Second case you might need to setup iBGP

# Topics

- routes

- firewall rules

- nat

- iBGP

- gateway

- mDNS

Das finde ich auch super.

Ich bin bei Dir und sehe folgende Themen.

# IPv6:

##Ziel

Verteilung unterschiedlicher unicast IPc6 Adressen entsprechen der zugeteilten Prefixe einzelner Netzte und kommonikation zwischen Geräten der Netzte.

ggf erreichbarkeit ins Internet aus einem reinen ipv6 Netz

## Varianten:

- Entwerder Public Prefix (Bevorzugt oder Local FD..)

- Kommunkikation innerhalb einer Unifi Zone

- Kommunkikation zwischen zwei Unifi Zones

hier hatte ich den Eindruck das Du das für local bereits hinbekommen hast.

## Test:_ Pink zwischen zwei Geräten

## offene Punkte

Unifi sollte sich ein öffentlichen z.B./ 62 prefix abholen.

=====

# IPv6 DNS

## Ziel

IPv6 DNS Service sollten bereitstehen. Klarheit über die Konfiguration.

(Ist optional da DNS Server die über IPv4 erreichbar sind liefern auch ipv6 AAAA record. Bei einen Netzwerk mit ipv4 und ipv6 eigentlich nicht beides benötigt wird, Kann aber verwirrung stiften)

## Varianten

- öffentliches DNS für ip Connects die ins Internet gehen.

- locale Namen für local angemeldete Server.

- IPv6 DNS Server.

## Test

dig -t aaaa +short google.de @resolver1.opendns.com

2a00:1450:4016:809::2003

====

# mDNS - Multicast über IPv6

übergreifenden Multicast und Multicast DNS (mDNS) Datenkomunikation zwischen IPv6 Netzten

(Ist unabhängig zur grundlegenden unicast IPv6 kommunikation und keine spezielle Eigenschaft von IPv6)

(Ist Teil der ZeroConfig Methodik und für IOT relevant )

## Varianten

- Unifi mCast Datentransfer

- mDNS Reflektor wie Avahi

- UDP Port 5353

## Tools

- Windows

- Get-NetUDPEndpoint -LocalPort 5353

- Linux

- mdns-scan

- MacOS

- dns-sd. z.B. (dns-sd -B _services._dns-sd._udp)<br>

## Test mDNS records von Comissioners sollten findbar sein.

8119342D78A87D8A-23802BDBA1A2B688._matter._tcp.local

Beispiel für ipv4

dns-sd -Z _matter._tcp | grep local

E7A94582A8A591DF-000000000001B669._matter._tcp SRV 0 0 34576 BC5936453B250000.local. ; Replace with unicast FQDN of target host

F9AEE81E8AE61A3D-00000000EC94E491._matter._tcp SRV 0 0 5540 FCB4673555E0.local. ; Replace with unicast FQDN of target host

3B5F4C0C96FD6249-00000000499FAAB9._matter._tcp SRV 0 0 5540 FCB4673555E0.local. ; Replace with unicast FQDN of target host

9CBE73C2338D741D-0197AB2FF8805871._matter._tcp SRV 0 0 5541 E72C2444E89A.local. ; Replace with unicast FQDN of target host

9CBE73C2338D741D-01BACB2C6C106A81._matter._tcp SRV 0 0 5541 FE94E04DCAE8.local. ; Replace with unicast FQDN of target host

D1F6E82F69683DFB-01BBF25BD588EC31._matter._tcp SRV 0 0 5541 31DA6221AAC6.local. ; Replace with unicast FQDN of target host

3B5F4C0C96FD6249-00000000F70C7105._matter._tcp SRV 0 0 5540 FCB467368E44.local. ; Replace with unicast FQDN of target host

F9AEE81E8AE61A3D-00000000971C8B76._matter._tcp SRV 0 0 5540 FCB467368E44.local. ; Replace with unicast FQDN of target host

mein HA Server (ich benutzte HA nur aus interesse)

ping BC5936453B250000.local.

PING bc5936453b250000.local (192.168.38.74): 56 data bytes

64 bytes from 192.168.38.74: icmp_seq=0 ttl=64 time=2,606 ms

ping6 BC5936453B250000.local.

PING bc5936453b250000.local (fe80::21c9:c974:a27e:9854%en0): 56 data bytes

(default nicht erreichbar)

mein Tasmota Powerwwitch mit Matter

ping FCB4673555E0.local

PING fcb4673555e0.local (192.168.14.76): 56 data bytes

64 bytes from 192.168.14.76: icmp_seq=0 ttl=254 time=76,761 ms

Internet 3.0 ?

Cloud Gateway Fiber ?? Diese ist ja neu und es gibt ja auch einen thread dazu was die kann bzw nicht. Hab ihn aber nicht ganz verfolgt

VLAN ist nicht wirklich ausgeschlossen aber auch nicht eingeschlossen.

Ein IP Netzwerk nutzt einen IP Bereich sagen wir mal 192.168.1.0/24 (192.168.1.1 - 192.168.1.255) für IPv4 und Ipv6 ist ähnlich.

In einem VLan ist dann auch ein gateway 192.168.1.1. Und viel IP unicast Datenpakete aus dem IP Bereich.

Aber in einem Netzwerk werden auch andere Pakete verschickt. Z.B. Pakete von anderen Protokollen wie IP und IP Multicast Pakete (224.0.0.0 bis 239.255.255.255)

Die Unicast Pakete haben eine eindeutige IP und werden einfach zugestellt oder dem Gateway zugeordnet was sie dann zustellt.

ZeroConfig und damit viele IOT Themen wollen keine Konfiguration der IP sondern das sich Geräte finden. Das geht aber nicht über die unicats.

Ein router kann solchen datenverkehr nicht geziehlt zustellen. Niemand weiss ja wo der hin soll.

Den speziellen Gegensatz den ich bei Dir sehe ist nicht vlan an sich sondern getrennte netzte aber shared IOT. Also Geräte dürfen sich über Netzte hinweg kennenlernen aber bis auf Ausnahmen nicht erreichen. (Ist zwar möglich aber herausvordernd) Sicherheitstechnisch sind dann getrennte Netzte nicht wirklich getrennt und erhöht die LAst bzw kann zu Perfomanceproblemen führen. (Ich denke das passiert auch häufig ohne das die Anwender eine Ahnung haben woher das kommt.

P.S. ich habe meine Antwort aus dem anderen Thread gelöscht da wir hier ja auch gesprchen haben um dort eine losgelöste Diskussiondort zu fördern.

P.P.S. einen knackpunk bei der rein internen IPv6 Nutzun sehe ich beom DNS da keine AAAA records abgefragt werden dürfen da sonst nicht erreichbare IPv6 Adressen zurückkommen. ( Jedenfalls meine ich sie sind nicht erreichbar bzw nur über IPv4 tunnel möglich )

Wie wäre es in dem Netzwerk eine statisches prefix zu verwenden fc… fd…. die können dann aus anderen ipv6 subnetzen erreicht werden. Dann kann dem ad guard eine statische ipv6 Adresse zugewiesen werden.

Ich nutze auch die Harmony APP mit dem Harmony Hub und Denon AVR. Beim Denon habe ich aber glaube ich die IP eingetragen. Wo ich beim Harmony früher Probleme hatte war mit der Reichweite und das bei schlechter Verbindung der Hub in der APP nicht korrekt erkannt wurde.

Ich denke Du benötigst die mDNS Weiterleitung. (Unterhalb der Netzwerke auf der Einstellungseite Netzwerke)

Wenn ich es richtig sehe hat dir Fibre hat „nur“ 3GB Speicher. Könnte der knapp werden?

Einstellung -> Profile -> Ethernet Profille

DNS Probleme könnten auch eine Ursache sein das manche Geräte URLs nicht auflösen können. (generell gesprochen)

kann sein. Gerade IOT Geräte machen wegen dem dem mDNS oft Problem. Evt einfach mal einen pin laufen lassen und die Antwortzeiten anschauen. bis ca 1800 ms is nicht gut, aber wenn mehrere Clients funken für kurze Zeit ok Dauherhaft oder höhere Antwortzeiten bzw timeouts deuten auf ein Problem hin. Überlast Netzwerk oder Überlast WLAN.

Zum Kabelprobelm kann ich nichts sagen aber den flex mini würde ich an der Stelle nicht nehmen.

VLan all sollte wenn Du keine speziellen Anforderungen hast zwar kein Problem sein aber er kann andere Sachen nicht z.B. STP

Als Endpoint ist das eher kein Problem aber wenn komplexe Netzwerktopologien daran verbunden sind kann es Probleme machen.

Ich hatte ihn mal mit einem Flex verbunden und der AP an dem Flex war dann nochnichtmal halb so schnell. Beim Mini 2.5 habe ich das noch nicht beobachtet.