Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Ja aber das ist bei vielen Routern/FW der selbe Mist.
Auf meinem zweiten Interface hab ich dann zoneedit als Provider ausgewählt und dann auch den Server eingetragen. Der Provider Namen spielt dann keine Rolle mehr.
Hinter einer FRITZ!Box mit einem lite bekommt sie ja eine ip, sprich normales dhcp6 und dhcp6 RA bekommt sie ja hin, scheitert es daran das sie kein ip4 auf dem wan Interface hat ?
Bei uns läuft das auf dem USG mit.
Die USG kann jetzt auch WG, Ist das irgendwie performant ? Die USG ist ja nicht die schnellste. Läuft diese parallel zu einer DMP oder anderen FW ?
Wenn Du sie vor dem wan Interface hast benötigst Du eine Port Weiterleitung und musst die DMP IP nutzen.
Oder Du verbindest das WG Gateway aus einen intern Netz. LAN Interface der dmp
Aber das kann sie doch. Am Internet Port einen dyndns Service auswählen. Ggf. die server url anpassen um andere kompatible Provider auszuwählen.
zum Beispiel Server=
v6.members.feste-ip.net/nic/update?system=dyndns&hostname=%h&myip=%i
Klar Du benötigst eine IP6 auf dem uplink. /64
Wenn der Rest nach dem prefix fest ist Z.b .Mac. Können diese auch dort als subdomain eingetragen werden.
Ich selber hab den wireguard nur auf der FW aber meine Vermutung ist den WG in ein eigenes Netz zu stellen.
(Auch wenn es dann die traffic regeln komplexer macht. )
Dein WireGuard läuft auf einen eigenen Host ?
Mal einen traceroute probiert ob der Traffic vom 192.168.2 überhaupt über die dmp geht. (Der WG Server ist ja im 192.168.1)
dort siehst Du doch die fremden Netzwerke. Dann auch den Namen mit Mouse over.
Aber Glückwunsch immerhin sind die ordentlich 1,6,11 auf den 2,4 Ghz verteilt. 
Ja dazu einen Lan Port and den switch anschließen, aber die SE IP darf nicht gleich der IP der Fritz box sein, oder im DHCP Bereich der Fritz liegen. DHCP auf der SE muß für dieses Netz aus sein.
Die U6 dann ans Fritz Lan anschließen, sie bekommen dann die IP von der Fritz. Ich bin mir nicht ganz sicher, aber das Anlernen sollte dann auch Funktionieren, und der AP damit die IP der SE finden. ggf muß diese manuell angepasst werden.
Erfüllt die Variante 2 mit der SE im Nebengebäude erstmal den Wunsch für ein gesichertes "Gast" Lan ?
Damit die SE Dein ganzes Netz Sichern kann muß der Internet traffic über sie laufen. Ich vermute das die Fritzbox mir der Internetverbindung momentan Dein Mesh Master ist. In diesem fall wirst Du dies irgendwann ändern müssen. zum Beispiel wenn die Neue Fritz box kommt
| Fritz Box Neu - Internet router Provider |
|
Lan 3
|
| Firewall DM-SE |
| |
| | Fritz Box Alt Mesh Master |
| |
| Lan 2 | Lan 1
| |
Swich + SFP LWL
|
Lan 1, 2,.., X als VLAN
|
Swich + SFP LWL
| Lan 1, 2,.., X als VLAN
|
|
Dazu sollten managed switches verwendet werden die VLAN 801.q unterstützen. Dann laufen mehrere Lans über ein Kabel.
Anmerkung: Klar vor der Erfindung von 801.q wurden dies auch über Netzwerkeinstellungen mit statischen IP's gelöst. Der Sicherheitsnachteil dazu wäre für Dich vermutlich gering. Aber DHCP IP Zuordnungen werden damit schwierig zum Beispiel unter verwendung DHCP Guardien. Und die Konfiguration im allgemeinen sehr aufwändig und Fehleranfällig. Auch nutzen moderne Devices gerne multicast und andere dynamischen features.
Daher wenn die SE alles sichern soll, und privates und Gast Netz in allen Gebäuden zur verfügung stehen soll, die Switches dieses feature haben.
Anmerkung2 und ja Du könntest auch Lan 2 über Lan 1 tunneln aber dann brauchst Du tunnel endpoints und Du hast auch wieder Aufwand.
als ersten Schritt könntest Du es zum testen einen AP direkt ans LAN der SE einbauen.
etwa so
| Fritz Box - Internet router Provider |
|
Lan 1
|
| Firewall DMP SE |
|
Lan 2
|
| AP |
die Fritz Strecke ist dies ein reines WLAN Mesh oder nutzt Du dort auch Kabel ? Die LWL Medienkonverter, ich vermute das diese kein VLAN 801.q unterstützen.
Varianten dei mir einfallen:
== V1 Fritz box nur bei Dir im Haus
| Fritz Box - Internet router Provider |
|
Lan 1
|
| Firewall DMP SE |
|
Lan 2
|
LWL
|
SE ist im Haupgebäuder aber Du hast nur Lan 2 im Nebengebäude.
== V2 die SE im Nebengebäude
| Fritz Box - Internet router Provider |
|
Lan 1
|
LWL
|
| Firewall DMP SE |
|
Lan 2
|
hier gäbe es dann auch Varianten mehrere Lan 1,2,...,x im Nebengebäuder zuhaben. Könnte der momentanen Anforderung entsprechen. Haupgebäude Lan1 unangetastet meherer Lans im Nebengebäuder.
== V3 LWL durch die VLAN fähige Devices z.B. Unifi Switch mit SFP oder SFP + port erstzten,
| Fritz Box - Internet router Provider |
|
Lan 1
| |
| | Firewall DMP SE |
| |
| | Lan 2
| |
Swich + SFP LWL
|
Lan 1, 2,.., X als VLAN
|
Swich + SFP LWL
| Lan 1, 2,.., X als VLAN
|
|
Hängt auch alles davon ab was und wann Du Umstellungen ins Auge fasst.
Ja der 2.5 Port der SE kommt an die Fritz box (Lan 1) Die SE bekommt dann dort eine IP von der Fritz box
Die SE betreibt dann ein Lan 2 die Geräte dort bekommen Ihre IP's von der SE. Die SE schickt dann für diese Gweräte Internettraffik ins Lan 1 zur Fritz box, dise leitet das dann weiter ins Internet.
Die AP bleiben im LAN2 oder bekommen ein eigenes LAN (ggf VLAN virtuelles LAN).
Ja die SE sollte nur Geräte Steuer die aus Ihrer Sicht Local sind.
Man kann ein eigenes Vlan für Unifi devices definieren. zum Beispiel vlan 16 mit Netzwerk 192.168.16.1. An der SE einen Port mit nativ LAN 16 definieren. Dort anlernen und den AP in den Einstellungen, Dienste. Management LAN auf dieses Vlan einstellen. (Kurz warten bis Aktualisierung durch ist. Er verliert dann die Verbindung und Ihn dann an einen Port all oder mit Vlan 16 (als Vlan !) einstecken. Restart des AP notwendig.
Warum ?
Er wird dann unabhängig vom „normalen“ Lan.
Und könnte im 0 oder 1 eingesetzt werden.
Nachteil.
Es wird etwas komplizierter
Wären Wifi Netzwerke beliebige VLans zugeordnet werden können ist der AP nur über das Vlan 16 erreichbar. Muss geschaltet sein z.B all Profil.
Captchas Portal und 802.x Radius müssen, wenn genutzt, die SE auf dem default LAN (1) erreichen. Dies ggf. als VLan (nicht nativ) konfigurieren falls nativ anderweitig genutzt wird.
Zwischenfrage Den nginx kannst Du per Browser aus dem Internet erreichen?
Hoffe Du bekommst jetzt keine Fehlermeldung mehr
Deine statische IP ist aus dem selben Netzwerk und noch nicht im Netzwerk vergeben ?
(Mittlerweile kann die UDM auch WireGuard.)
Wenn die UDM nicht exposed oder per IP 6 erreichbar ist musst Du den UDP auf der FRITZ!Box freigeben. Wenn Du WireGuard auf dem PI laufen lässt musst Du zusätzlich die UDP Port auf der DMP weiterleiten. Port 51820 ist default WireGuard )
Hoffe ich hab’s nicht überlesen
Ping acme-v02.api.letsencrypt.org
Liefert Dir im Container eine ip zurück ?
Hier gibt es viele Möglichkeiten, add hoc ist es schwer zu sagen welche für die am besten ist. Du kannst zum einstig die SE mal hinter die FB einbauen um dann in das Thema einzutauchen. Änderungen kannst Du dann mit mehr Wissen jederzeit später und gezielt durchführen.
Was Du sicherlich hast is
| Fritz Box - Internet router Provider |
|
Lan 1
|
| Firewall DMP SE |
|
Lan 2
Falls Du den Bridge mode nutzen möchtes fällt Lan 1 weg. Ich halte Bridge mode für nicht notwendig aber es gibt einige Stimmen die dazu raten.
Du willst Deine existierenden Fritzbox Netzwerke behalten ? Das könntest Du neben, hinter oder vor der SE machen. Bie vor musste Du allerdings die extistrende FB einstellugen auf die neue Übertragen wenn Dein Anschluß sich ändert.
cool freu mich drauf wenn es im stable kommt. Dann kann ich mir das Radius geraffel sparen.
DHCP server stellen nur eine IP aus einem IP Bereich zur verfügung. Siue können daher beliebig oft im Netzwerk laufen aber auchtung gefahr eine IP mehrfach zu vergeben.
Sie haben direkt nichts mit einem gateway zur tun aber gateways (router oder firewalls) stellen diesen service eigentlich imemer zur Verfügung.
Achtung damit DHCP server unterschiedlicher Netze auch nur von den gewünschten clients ereicht werden muß die vlan zuordnung korrekt sein sonst bekommen client die IP von dem DHCP server der als erstes antwortet.
Ich benutze Synology nicht aber ich vermute sie kann auch mehrere Netze verwalten. einschl mehreren DHCP Instanzen.
Bei Containern muß auch die zuordung zum VLAN passen hab dazu folgendes gefunden.
http://www.stueben.de/mehrere-…adapter-auf-der-synology/ (ohne Gewähr)
Zur Kaugummuilösung. Wenn Du an der Fritzbox port 4 als gast Lasm einstellst und ein Netzerkabel mit einen Port tagged zum Gastlan verbindest solltes es eine Internetverbindung inkl. DHCP bereitstellen.
Added Virtual Network Management to the Topology section (requires UDM-Pro or UDM-SE with UniFi OS 3.1+).This allows moving clients to different Virtual Networks without the need of putting them on a different WiFi network or by tagging VLANs on ports.
aus release notes für UniFi Network Application 7.4.156
zur Zeit sind 90 Mitglieder und 252 Gäste online - Rekord: 129 Benutzer ()
