Beiträge von LachCraft

Zitat von iTweek

Nanu wo habe ich spf ein fehler gemacht. Zur tls werde ich noch mal Angehen. Leider machen viele mail Provider Probleme. Das mails nicht mehr ankommen. Besonders google mail macht ziemlich zicken.. 😂

Aber danke für dein feedback

Wenn du dich mit sowas sehr gut auskennen tust. Bin über jede hilfe dankbar und lehrne gerne was dazu

MX ist schon ein kleiner Fetisch von mir.

Was genau bemängelt Google denn?
Schon alleine die Art und der Standort deiner IP kann schon knirschen (dynamische IP bzw. fälschlicherweise als DialIN IP registrierte IPs, falsche Geolocation (hatten wir im Betrieb, da wars Ukraine ...)).

Zitat von .-.

Hay Leute

Hiermit melde ich mich mit meinem ersten Beitrag. Folgendes:

Vor nicht allzulanger Zeit hat sich irgendwas in mein Netzwerk eingeschlichen. Hab dauernd erfolglose Anmeldeversuche gehabt (per WLAN am Router (MAC-Filter an + WPA3)). Ich hab es erst als eins meiner eigenen Geräte abgetan. Aber das hat sich irgendwann nicht mehr mit meinem Nutzungsmuster meiner Geräte gedeckt. Also hab ich die Augen offen gehalten und wirklich jemanden gesehen der sich sehr ... SEHR verdächtig verhalten hat. Egal, genug davon. In meinem DNS Server habe ich die MAC ausfindig machen können und es wurden schon 3k querys an den DNS-Server gesendet. Was komisch ist, denn es wurde keine IP-Adresse an diese MAC vergeben.

So weit so seltsam. Dann sind mir noch weitere seltsame Dinge aufgefallen und ich hab einfach alles Platt gemacht. Aber jetzt fühl ich mich nicht mehr sicher und ich frage mich ob es Geräte gibt, die das Netzwerk auf verdächtige Aktivitäten scannt und mich dann benachrichtigt? Muss von mir aus nicht aus dem Consumermarket sein, aber es sollte schon einigermaßen bezahlbar sein... Oder gibt es DIY Lösungen? Oder villt sogar einfach einen Router, der das alles übernimmt?

Ich hoffe echt, ich bekomm ne Antwort .-.

Naja, schönen Samstag noch

LG .-.

Alles anzeigen

Das Netzwerk abzusichern ist so vielfältig, dass man gar nicht weiß wo man beginnen soll.
Eins meiner Grundregeln sind Subnetze einsetzen, eins für den Managementkrempel wie in diesem Fall UniFi und Zusatzgeräte, eins für Server wenn man welche hat, sein Internes Netzwerk (Netzwerk nicht WiFi), Gastnetz mit Wifi und sein internes WiFi mit eigenem Netzwerk.
Eskaliert dann ziemlich in der Firewall, um das ganze zu vernetzen.

MAC Filter bringen eher wenig was, damit kann man mMn nur Laien gut aus dem Netz halten. MACs sind simpel zu fälschen.

Mit Anmeldeversuche meinst du dann schon das Controlgerät, nicht in das WiFi selbst?

Je nachdem wie groß dein Netzwerk ist, solltest du dir die Geräte irgendwie am Schirm halten.

Zum WiFi: Da wäre RADIUS oder Vouchersystem ganz hilfreich, dann kann einer zwar dein WiFi Passwort haben, aber dann darf er die Welcomeseite bestaunen.

Wie iTweek schon sagt, 100%ige Sicherheit gibt es nur, wenn das Gerät im Karton liegt

Du kannst dir auch von UniFi Notifications senden lassen, wenn sich etwas im Netzwerk tut. Artet dann aber in harten Spam aus.

Die Frage ist dann noch, was du exakt schützen willst, darauf baut man dann seine Anforderungen und Lösungen auf.

Zitat von JacksonC

Hallo LachCraft,

ja -> mit der FB habe ich keine Probleme gehabt, erst nach dem Umbau auf UI bekomme ich es nicht hin ...

Bei der Fritte muss die Gateway/Router von UniFi als Exposed Host angegeben werden (wenn man sich hasst, gerne auch da granular alle Ports einzeln reinfummeln).

Die FW Regel ist redundant, weil bei der der PF Regel wird diese automatisch in die FW eingebaut.

Lief das schonmal? Ist der Port im LAN denn erreichbar?

Der springende Punkt ist "Berechtigtes Interesse", denn man in die "Terms of Service" exakt beschreibt.

Zum Schutze dir selbst und den Mitbenutzen werden allerlei Daten systembedingt wie IP, Hostname, MAC, etc. erfasst und die Filter schreiben eben auf, was lief oder nicht lief.

Wenn der Benutzer dem zustimmt, ist alles in Ordnung. Ohne diese Option der Zustimmung wäre das ein heißes Eisen.

Nebenbei muss man auch den ISP erwähnen, da dessen personenbezogene Daten auch vom Internetanbieter verarbeitet werden. Im Gewerbe wäre da ein ADV Vertrag noch notwendig, den man ebenfalls dem Hotspotbenutzer mitteilt dass dieser besteht und was geloggt werden kann.

Hast du denn mal sichergestellt, ob die Ports wirklich nicht lauschen, also via externem Test? https://ping.eu/port-chk/

Zitat von Muggel74

Verstehe ich nicht …

Dies steht ein paar mal da drin, ob das weiterhin der Fall ist.

Wenn alle Interfaces flippen, fliegt auch das WAN, so zumindest der Gedanke den ich in deinem Log hatte.

Flieg dir eigentlich immer noch alle Netzwerkverbindungen um die Ohren? Siehe den Unifi Gerätehinweisen.

Richtig Party.

Ich habe jetzt erst bemerkt, dass du im großem Stil einen Haufen Disconnects hast.

Das Internetgeheule ist mir auch schon seit ein paar Updates aufgefallen, lt. Unifi _möglicherweise_ wieder ein ultra rare Bug der bei den Entwicklern gefixt werden soll.

Die Statusangaben über das Internet sind aktuell nichts wert, wobei das bei dir schon richtig krass ist. Ich nehme mal an, dass dein Internet trotzdem regulär läuft?

PS: Internet-Hygiene ... welche Torfnase hat das denn übersetzt

Zitat von opensec

Ok. Danke Dir. Dann schaue ich mal, was es bei Zyxel so gibt.

Oder muss es eben genau das Modell sein?

Damals (vor 2 Jahren) sagte mein Telekomiker (tatsächlich mit Ahnung), dass es genau dieses sein soll. Sinnvollerweise werden die auch schon bridged ausgeliefert.

Zitat von anton

was ja oft hier auch empfohlen wird. also generell für den ganzen iot kram. Das ist ja auch der Vorteil der Unifi gegenüber ner Fritzbox, die da deutlich unflexibler ist

Bin hier ja noch nicht so lange

Hm, die Fritzbox könnte auch dedizierte WiFis auf 2.4 und 5GHz ausstrahlen, mit eigenen SSIDs, aber natürlich um längen nicht so genial wie mit Unifi, bei der man viel mehr hochziehen kann.

Aber jetzt wo du speziell IoT sagst, habe ich mal nachgesehen:

Es ist tatsächlich nur 2.4 im Einsatz. Selbst mein dämliches WiFi Telefon bekommt 5g auf die Kette.

Zitat von aNt

Ich habe am Fiber Twist einen LC/APC und am SFP Modul einen SC/ACP. Habe auch kein Adapter sondern direkt ein Kabel, welches diese beiden Stecker hat. Ich würde aber das Kabel ausschließen, da die Verbindung mit dem FS ja einwandfrei läuft. Habe auch schon das zweite Kabel

Das nächste Modul wird allerdings ein SC/UPC haben. Kabel für LC/APC auf SC/UPC ist auch schon bestellt.

Okay, du hast das Thema echt schon durchgespielt ...
Ich freue mich schon darauf, wenn ich mein Glas bekomme. Unifi gibt sich bei allen Tickets immer absolut ahnungslos.

Eine Idee hätte ich da schon noch: Welchen Schliff hat dein Käbelchen vom ISP?

Grün, APC (Schrägschliff) Telekom Default

Blau, UPC (Vertikalschliff)

Der Unifistecker ist auch APC.

Hast du _möglicherweis_ ein falsches Kabel dazwischen? Es gibt auch Kabel mit unterschiedlichen Steckern um adaptieren zu können. Ich habe das noch nicht getestet (weil es die polierten Flächen beschädigt), aber so könnte man sich auch Signalschwierigkeiten provozieren. (Fehlersuche geht schon richtig Verzweiflung)

Zitat von aNt

Yo, habe ich auch probiert. Die SFP Module der FritzBox werden nicht mal erkannt.

Alter Schwede .... hast du auch das originale von Unifi ausprobiert?

Zitat von aNt

Ich habe mir ja nicht so solches Gerät geholt um dann Kompromisse einzugehen. Kann doch nicht sein, dass man Geräte vorschalten muss... Selbst eine FritzBox bekommt das ohne Probleme hin! Eigentlich ein Armutszeugnis für Unify!

Die QM/QA bei Unifi ist in der Tat etwas, was meine ungezügelte Freude an das System ein wenig bremst.

Andererseits sind die auch nicht wirklich lange auf dem Markt, mit den Enterprisesegment haben die sich auch ein wenig hastig eingelassen.

Hast du die entsprechende Fritte mit den ONT bei dir? Hast du mal das Fritten SFP Modul in die Unifibüchse gesteckt? Würde mich interessieren ob es dann besser läuft.

Ich habe leider die Fritte da, aber Glas verschiebt sich wohl ein Jahr .....

Ich benutze das Zyxel VDSL2 VMG1312-B30A, sind default gebridged.

Lt Telekom werden genau die Chips von Zyxel in den hauseigenen Routern verbaut und machen so angeblich weniger Zicken. Hat sich bisher bewährt.

Zitat von jeod

Ich will eigtl nicht soweit vom Thema abschweifen, aber muss dennoch nochmal mein senf dazu loswerden: mich stört ja nicht, dass es geräte gibt die ein 2,4GHz benötigen, mich stört, dass sie ein REINES 2,4GHz Wlan benötigen. Wenn Sie mit 5GHz nicht klarkommen, sollen sie den Teil halt "ignorieren" (das kann in meiner rosa-roten welt eigtl nicht so kompliziert sein)

No worries, die Pro findet schon irgendwo ihren Platz

Nicht die geilste Idee, aber man könnte ein WiFi mit 2.4GHz only an diesem einen Accesspoint den die Bimmel sehen kann aufspannen.

Zitat von phino

Das ganze verstärkt meinen Eindruck, dass Ubiquiti seit OS 3.x die Hardwaretreiber für die SFP-Ports nicht im Griff hat. Je nach SFP-Modul sind die Fehler unterschiedlich. So hat aNt berichte, dass bei FS.com-GPON-Modul seine Internetverbindung gut funktioniert, aber er im Dashboard gar keine Anzeige erhält.

Ich habe ja selbst mit einem UF-RJ45-1GB-Modul von Unifi an dem ONT des ISP diese Fehlermeldungen, wenn auch nur gelegentliche rote Flecken.

Auch das kann ich unterschreiben. Mein DSL hängt an einem ALLNET ALL4781-VDSL2-SFP Modul. Läuft generell stabil. Aber wenn die Gateway neu bootet oder nur der Link (nicht das Modul) kurz weg waren, hilft nur ein neueinstecken des Moduls, damit es wieder aktiv wird.

Zitat von jkasten

Ich habe bei mir auch noch mal ein bisschen rumgetestet. Sobald ich mein NAS im UP/Download beschränke um eta 2Mbit dann ist Ruhe. Schalte ich das aus und das NAS macht mal wieder ein Backup ist wieder alles Gelb und Rot.

Hm, da wäre es gut, dass die Gateway bzw. der Controller wirklich die Auslastung loggen würde, also genutzte Bandbreite up und down sowie die Latenzen als Grafen aufschreiben.

Dummerweise ist ausgerechnet die Gateway nicht mit SNMP angreifbar. (oder bin bislang zu blöd das zu finden)