Beiträge von Renek83

Hallo,

ich habe auch Probleme nach Einrichtung von Wireguard auf Internet oder interne Ressourcen zuzugreifen. Wireguard habe ich schon mehrfach neu eingerichtet. Das Log zeigt einen Handshake Fehler.

2024-01-12 11:38:08.757289: [NET] peer(SsuB…9Mn4) - Handshake did not complete after 5 seconds, retrying (try 2)

2024-01-12 11:38:08.757637: [NET] peer(SsuB…9Mn4) - Sending handshake initiation

Ich betreibe eine UDM pro hinter einem Telekom Speedport. Wireguard ist auf Port 51280 konfiguriert und der Port ist im Telekom Router weitergeleitet.

[Interface]

PrivateKey = xxxxx

Address = 192.168.4.2/32

DNS = 192.168.1.17

[Peer]

PublicKey = xxxxx

AllowedIPs = 192.168.4.1/32,192.168.4.2/32,0.0.0.0/0

Endpoint = mydomain.de:51820

OS und Network App sind auf der aktuellsten Version.

Gruß

René

Zitat von Naichbindas

Moin Renek83

Ich weiss hört sich erstmal Blöd an, weil die IP des GATEWAY ist meist dieselbe wie die für den DNS. Aber DNS wird ja nur zur Adressaulösung gebraucht und ist ein anderes Protokoll. Dieses funktioniert trotzdem obwohl das Gatway selber nicht erreichbar ist oder sein soll.

Eine DNS Adresse kann aber auch eine ganz andere sein, wie die von einem Pihole oder so.

Hi, dazu habe ich mal eine Frage. Die Regel besagt ja konkret Port = ANY, das heißt für mich auch Port 53 und damit auch DNS. Ich sehe an der Regel nicht das diese nur ein bestimmtes Protokoll umfasst. Einen PiHole habe ich auch laufen als Gateway, allerdings nur im Haupt Netz und nicht im IOT und Gäste Netz. Daher habe ich dafür keine Regel angelegt.

Mein Problem ist letztendlich auch das scheinbar bestimmte Blocks nicht im Firewall Log (ich nehme an das ist das unter "Triggers") auftauchen, sonst könnte ich explizite Regeln dafür anlegen. Am Beispiel vom Local Tuya Add-on im Home Assistant scheint es ja so zu sein das "Vlan to Vlan" Traffic blockiert, der notwendig ist um die Devices zu finden. Ich könnte jetzt testen ob es noch eine Regel für Home Assistant -> IOT bedarf, was aber eigentlich nicht notwendig sein sollte, wenn der Home Assistant selbst in dem Vlan ist. Wäre halt alles Try&Error.

Nein, das hatte ich schon geprüft. Fixe IPs hatte ich generell noch nie bei den Echos im Einsatz

EDIT: Nach dem ich nun erneut auf Reconnect geklickt habe sehe ich das der Echo wieder mit dem Gäste Wlan verbunden ist, obwohl ich dieses zuvor explizit über die Alexa App geändert hatte. Ich werde nun erst mal den Key vom Gäste Wlan aus dem Amazon Account und verbinde das Gerät dann erneut mit dem IOT Wlan. Scheint eine gewisse Selbstständigkeit zu entwickelt das Gerät

Was passiert denn wenn beim Client Device auf Forget klicke? Findet er es dann neu?

Hallo zusammen,

ich habe gestern mein Netzwerk etwas strukturiert. Vorher waren Gast und IOT ein Nezt, nun habe ich es getrennt. Ich habe mich dabei an diesen Artikel orientiert. https://lazyadmin.nl/home-netw…bf4b48b9466#comment-10039

Ich muss zugeben das ich die dort verwendeten Firewallregeln noch nicht komplett durchdrungen habe, Ich habe aber ähnliche Empfehlungen schon mehrfach gelesen und daher erst mal die Regeln so gesetzt.

Zum einen gibt es dort eine Regel "Block IoT to Gateways". Diese blockiert Zugriff aus dem IOT Vlan auf die Gateway Adressen (z.B. auf 192.168.20.1). Die Regel habe ich aktuell wieder deaktiviert, da ich damit Probleme hatte. Wieso macht man diese Regel überhaupt? Warum sollen Geräte im Vlan nicht auf ihren DNS Server zugreifen können? Der Zugriff auf die Konsole (22, 443, 80) ist über eine separate Regel blockiert.

Dann gibt es noch eine Regel "Block Vlan to Vlan". Wenn ich diese Regel aktiviert habe kann ich beispielsweise meine Tuya Geräte nicht mehr in Home Assistant finden (Home Assistant ist selbst mit einem zweiten Interface im IOT Vlan). Ist die Kommunikation zwischen einzelnen Vlans nicht per Default schon blockiert?

Gruß

René

Hallo zusammen,

ich stell häufiger fest das unter der Client Device Übersicht feherhafte Daten angezeigt werden? Ist das ein bekannter Bug?

Aktuell habe ich beispielsweise einen Echo Dot den ich in ein IOT Vlan über die entsprechende WLAN SSID verschoben habe.

Unter den Devices taucht der Echo nun so auf. Das IOT Netz hat aber den Bereich 192.168.20.x. Die Ansicht habe ich schon mehrfach aktualisiert.

Im Firewall Log taucht dagegen das Gerät schon korrekt auf mit einer IP im 20er Netz auf. Voran kann das liegen?

ubiquiti-networks-forum.de/attachment/21292/

Ich habe weiterhin das Gefühl, dass auch Devices komplett fehlen. Das Firewall Log zeigt mir beispielsweise häufig blockierte Zugriffe auf eine IP 192.168.1.65 an. Diese IP taucht unter den Devices nicht auf. Kann natürlich sein das es eine IP irgendwo im Cache der Echos ist die aktuell nicht mehr vorhanden ist. Kann es gerade nicht sicher prüfen ohne alle Geräte zu lokal zu checken.

ubiquiti-networks-forum.de/attachment/21290/

Gruß
René

Hallo,

Danke für die schnelle Hilfe. Ich habe den Port so eingestellt und im Home Assistant ein zweites Interface hinzugefügt. Hier wurde auch eine entsprechende IP bezogen.

Nun wollte ich schauen ob ich noch Multicast Traffic zwischen den Netzen erlauben muss und stelle fest das die Traffic Restriction Einstellung nicht mehr vorhanden ist. Wieso nimmt er die wieder raus?

Hallo zusammen,

ich habe ein Verständnisproblem mit der Controlleroberfläche 7.4.x und der Einrichtung von tagged Ports. Vermutlich wurde das Thema schon tausendmal gefragt, ich habe aber kein passendes Thema gefunden.

Konkret geht es darum das ich einem Client (Home Assistant) eine zweite IP aus einem anderen VLAN hinzufügen will. Gemäß dieser Anleitung.

Nun habe ich schon verschiedene Seiten durchsucht und auch Youtube Videos geschaut, werde aber noch immer nicht ganz schlau mit der Konfiguration im Controller.

Mein Aufbau ist recht einfach

UDR als Router und Konsole

Zwei VLANs: (Private -> Default VLAN) und VLAN 20 (GAST/IOT)

Aus dem VLAN 20 möchte ich eine IP auf den Home Assistant Client vergeben.

Reicht es dazu schon auf dem entsprechenden Port, hier einmal anhand Port 1 dargestellt, über die Traffic Restriction das Netz Gast/IOT hinzuzufügen? Wird damit dann aus dem Port 1 ein Trunk Port und ist das auch der empfohlene Weg?

Es gibt daneben die Möglichkeit unter Settings Profiles ein Profile anzulegen und dieses am Port zuzuordnen. Also beispielsweise so:

1. Profile erstellen

2. Profile zum Port zuordnen

Mir ist hier nicht klar wo der Unterschied ist. Ist das VLAN welches ich bei Traffic Restriction Allow auswähle, immer das VLAN in dem die Frames getagged werden?

EDIT: ich stelle gerade fest das ich das Profile wie oben gezeigt mit Traffic Restriction Allow Gast/IOT gar nicht abspeichern kann. Öffne ich die Konfiguration erneut ist der Haken bei Traffic Restriction wieder raus.

Gruß

René