Beiträge von Eleandro

Noch ein Nachtrag zu 5G Mobilfunk Routern. Hier hatte ich nun 2 Modelle getestet, ähnlich wie in diesem Thread:

UDM und ZTE HyperBox 5G MC801A (Telekom)

Zuerst hatte ich den ZTE MC801A 5G im Einsatz, aber wie bereits im verlinkten Thread beschrieben funktioniert hier der Bridge Mode nicht richtig. Ich hatte das länger versucht zu testen, musste das Gerät dann aber doch zurückschicken.
Danach hab ich mich dann dem Zyxel NR7101 zugewendet, welches ca. doppelt so teuer ist wie der ZTE, aber dafür funktioniert der sog. IP Passthrough Mode (Bridge Mode) dort zuverlässig und die Performance ist auch bereits sehr gut. Ich habe das Gerät allerdings noch nicht im finalen Ort installiert. Ich erwarte hier noch bessere Downstreams als jetzt, da ich am finalen Ort Sichtkontakt mit dem Sendemast habe. Aktuell sinds 300-400 mbit/s, am finalen Ort konnte ein Test-Handy knapp 700 mbit/s erreichen.

Problem beim Zyxel Gerät ist allerdings DDNS im IP Passthrough Modus. Obwohl das Gerät in diesem Modus ausgeliefert wird, funktioniert DDNS im IP Passthrough Modus nicht. Bisher hat das testweise nur im Router Modus geklappt. Im IP Passthrough Modus kommt es zu folgendem Fehler:

"beDynamicDnsStart : Enter

ddnsGetInterfaceName: enter, 4

Command /usr/sbin/ez-ipupdate -S noip -h myurl.myddns.me -u hiddenuseraccount@gmail.com:password -i wwan0 -t 10

ioctl(SIOCGIFADDR): Cannot assign requested address

could not resolve ip address for wwan0

Can not get IP Address in DDNS_StatusLog"

Woher ich die Logs habe? Ich hab ein Support Ticket mit Zyxel am Laufen und hatte bereits 3 Online Support Calls; zuerst nur mit den 1st Level Support aus Tschechien, danach auch mit dem 2nd? / 3rd? Level Support aus Taiwan. Natürlich alles englisch-sprachig, aber das ist für mich kein Problem. Zusammen mit dem Support haben wir uns dann auch via SSH auf den Zyxel Router eingewählt, wofür ein geheimes Zyxel-Passwort nötig war. Letzteres konnte ich bei einer FTP-Session mit Filezilla sichern Hilft mir nur gerade trotzdem nicht weiter -.-

Firmware Update wurde auch schon gemacht. Nun warte ich wieder auf deren Reaktion und hoffe, dass es nicht heißt dass DDNS im IP Passthrough Modus nicht vorgesehen sei.

Hintergrund: Ich nutze bei meiner UDM SE 2 WAN Eingänge, kann im Unifi-Controller aber nur 1x noip als Serviceprovider selektieren. Das ist leider eine sehr doofe Limitierung von Unifi. Daher möchte ich für die 5G Verbindung die noip Updates über den Zyxel Router senden lassen, um weiterhin alle DDNS URLs mit noip zu managen. Schließlich zahle ich für deren Abo und das würde ich auch weiterhin gerne nutzen.

Zitat von defcon

bei allowed IPs 0.0.0.0/1 ist das Problem - richtig wäre 0.0.0.0/0 oder alternativ alle deine Subnetze die auf den Geräten laufen.

Bei 0.0.0.0/0 hast du einen Full Tunnel... wenn du bei allowed IPs deine Subnetze einträgst hast du einen Split Tunnel.

Danke für eure Antworten. das 0.0.0.0/1 hab ich entfernt und nun läuft es auch. Ich bin mir ehrlich gesagt nicht sicher, ob ich bei der Anlage des VPN-Servers im Unifi Controller übersehen habe nach dem Einrichten weiterer Clients auf Speichern zu klicken. Ich habe nun die Konfigurationsdatei neu erstellt, gespeichert und nun läuft es auch tatsächlich auch.

Zitat von jkasten

Bekommst du denn wirklich eine öffentliche IPv4?

Ja; indem ich den alternativen APN "internet.t-d1.de" nutze, welchen mir die Telekom auch direkt angeraten hat. Zusätzlich mit DDNS via noip kann ich nun auch den Wireguard Tunnel mit der DDNS-URL nutzen.

Nun ja, ich hab nun mal die Admin Oberfläche fürs WAN aktiviert, so kann ich nun via https prüfen ob die UDM läuft. Ist nur nicht so cool, dass die Admin Oberfläche nun generell erreichbar ist...

Hallo zusammen,

ich versuche aktuell bei 2 neuen Controllern erfolglos eine Wireguard-VPN-Verbindung herzustellen: Bei einer UDM SE und einem UDR. Ich teste das gerade auf meinem Windows 11 Notebook.

Beide Controller erhalten die Internet-Verbindung via 5G Telekom über ein Zyxel NR7101 (im Bridge Mode). D.h. die Public IP wird zum Controller weitergereicht und beim DDNS-Service noip registriert.

Dies sind die VPN-Settings beispielhaft vom UDR:

So sieht's in Wireguard aus:

Wenn ich das VPN in Wireguard aktiviere, leuchtet es auch grün. Aber ich kann die UDR nicht anpingen.

IPConfig sieht dann aus wie folgt:

Fehlt da nicht noch die Angabe des Gateways?

Oder liegt es an etwas anderem?

Hallo zusammen,

Ich konfiguriere aktuell eine UDM SE und einen UDR, welche ich für 2 unterschiedliche Sites verwenden möchte. Beide sollen dann mit dem Site to Site magic feature verbunden werden. Nun frage ich mich, welche Vlans ich idealerweise miteinander verknüpfe.

An die UDR schließe ich 2 Kameras an. Und hier ist meine erste Frage: Sollte ich diese in ein eigenes VLAN packen? Ich überlege der Einfachheit halber diese im Default Netzwerk zu belassen.

Diese Kameras bzw. deren VLAN soll dann mit einem VLAN der UDM SE verknüpft werden. Hier kommen für mich 3 Vlans in Frage:

• Default: Dies ist mein Admin VLAN wo ich alle Hardware Geräte, die fürs Netzwerk relevant sind, verwalte
• Technik: Hier haben von meiner lokalen Kirchengemeinde ehrenamtliche Technikmitarbeiter Zugriff, um Beamer, Mischpult und Live-Stream zu bedienen.
• Office: hier ist ein NAS und angestellte Mitarbeiter nutzen das Netzwerk zum arbeiten. Auch der Hausmeister ist hier unterwegs, der vielleicht Zugriff auf die Kameras möchte.

Ich überlege nun die UDR: Default mit UDM SE: Technik zu verknüpfen. Dem Hausmeister kann ich auch gut Zugriff auf das Technik Netzwerk geben.

Was meint ihr?

Hm stimmt, mein tracert Test stoppt tatsächlich bei einer Telekom IP. Oh Mann, nervig dass die Telekom Ping blockiert, damit hatte ich nun nicht gerechnet. Immerhin scheint nun klar zu sein warum es nicht geht. Ich hatte schon extra zusätzlich den Zyxel Support kontaktiert...

Letztlich wollte ich den Ping fürs Monitoring nutzen um zu checken ob die 5G Verbindung noch läuft. Was könnte ich denn nun tun? Gibt es andere Ports der UDR die ich fürs Monitoring nutzen könnte?

Eine Frage hätte ich noch... Ich kann leider die UDR immer noch nicht aus dem Internet anpingen. Ping von Zyxel NR7101 zu UDR funktioniert, wenn ich die Public IP verwende. Ich habe vorher in der UDR dementsprechende Firewall Regeln gesetzt. Wenn ich die UDR ausstöpsel, dann geht auch nicht mehr der PING von der NR7101 was zeigt dass die Public IP auf die UDR verweist.

Innerhalb des NR7101 habe ich mehrere Firewall Regeln gesetzt, welche ICMP und ICMPv6 Requests und Responses erlauben sollen. Bin unsicher, ob das im Bridge Mode überhaupt notwendig ist, aber ich habe es trotzdem mal (erfolglos) versucht. Nutzt jemand sonst auch diesen Router oder hat sonst eine andere Idee, woran es hier scheitern könnte?

Zitat von anton

Wieso macht es keinen Sinn? Weltweit herrscht eine Knappheit an IPv4 Adressen. Deswegen gehen Provider immer mehr dazu über, Private Adressräume zu nutzen, weil sie keine „echten“ mehr bekommen. Du wirst ja nicht in Österreich sein, uns müssen sie echte IPv4 geben 😀

Hi, stimmt, aber hatte ich so zumindest noch nicht bei Mobilfunkadressen gesehen. Und ja, ich komme aus Deutschland Ist ja spannend dass man in Österreich stets eine echte IPv4 erhält!

Zitat von gierig

Weil dein Privider dir keien Öffentliche IP gegeben hat bei deiner Verbidung. Dein Vertrag das nicht beinhaltet.

Das Extra Kostet..

Natührlich siehst du auf wieistmeine IP ein Öffentliche IP. Wie gesagt dein Anbieter gibt die ne Private IP,

und macht dann NAT ins restliche Internet für dich. Du Teilst dir die IP mit nen Haufen anderer Leute.

Mein 5G Provider ist die Telekom. Ich habe das Glück hier einen Business-Account nutzen zu können, da sind die Reaktionszeiten sehr schnell. Der nette Telekom-Ansprechpartner hat mir nun die passenden APN-Einwahldaten genannt, damit ich eine öffentliche IPv4-Adresse erhalte:

internet.t-d1.de (vorher war in meinem 5G Router der alte APN internet.t-mobile)

Auth type: pap

IP type: IPv4&v6

Mit dem passenden User und Passwort erhalte ich nun auch eine öffentliche IP welche mit 37 beginnt. Der UDR gibt diese IP reaktionsschnell an noip weiter und schon funktioniert auch Wireguard! Super!

Was mir noch am Zyxel Router aufgefallen ist: Nach einem Neustart musste ich wieder die PIN für die SIM-Karte eintragen. Man kann dies aber im Router deaktivieren, damit der Router beim Neustart sich automatisch einwählt. Die Einstellung heißt "PIN Protection" und muss ausgeschaltet werden, indem man dabei nochmals die PIN angibt. Vielleicht hilfts ja jemandem....

Danke für eure Hilfe!

Äh ja stimmt! Da hast du Recht! Dass mir die 10er Adresse nicht aufgefallen ist... :O Das erklärt dann wohl einiges. Aber warum, das ist nun die Frage.

Hm, dann passt nun aber was am Zyxel Router nicht. Dort steht diese 10er IP bei "Cellular Info", also eigentlich bei der WAN IP-Adresse (was so ja keinen Sinn macht).

Auf https://www.wieistmeineip.de/ erhalte ich eine 80er IP.

Ich dachte, dass im Bridge Mode eigentlich kein Natting aktiv ist. Zumindest ist der Bridge Mode aktiv, wird hier als IP Passthrough bezeichnet:

Außerdem hab ich es mit folgenden NAT Settings versucht:

und

Aber die öffentliche WAN IP bekomme ich damit auch nicht.

Kennt sich sonst jemand mit dem Zyxel Gerät aus?

Meine öffentliche IP startet mit 10.168.x.x, sieht also gut aus. Diese IP ist bei der UDR gelistet.

Ich hab eben auch versucht die IP ohne aktiviertes VPN anzupingen, geht aber nicht. Da scheint noch ICMP inaktiv zu sein, ich hab die Einstellung dafür aber noch nicht gefunden.

Hallo zusammen,

Ich versuche aktuell erfolglos zu meinem neuen UDR eine VPN Verbindung aufzubauen. Irgendwas scheint da nicht zu klappen und ich hoffe ihr könnt mir weiterhelfen.

Setup:

Internet via 5G Mobilfunk Router: Zyxel NR7101 im Bridge Mode (IP Passthrough).

Dahinter ist dann der UDR angeschlossen und bekommt auf dem WAN-Eingang die korrekte WAN-IP. Der UDR wählt sich auch bei noip ein zwecks DynDNS was gut funktioniert.

Nun habe ich erst erfolglos versucht mit L2TP eine VPN Verbindung aufzubauen. Auf meinem Windows 11 Notebook nutze ist bereits eine andere L2TP-Verbindung erfolgreich, aber L2TP zum UDR konnte wegen eines Handshake-Fehlers nie initialisiert werden.

Daher hab ich nun versucht, WireGuard zu nutzen. Die WireGuard-App auf dem Win11-Gerät kann die Verbindung auch initialisieren (das entnehme ich der grünen Anzeige), aber sobald das Wireguard VPN aktiv ist,

• habe ich keinen Internetzugang mehr (bin offline)
• kann ich keine Geräte im Netzwerk der UDR anpingen, auch nicht die UDR selbst
• und die UDR ist auch nicht via Browser bzw. https erreichbar.

Ich habe daraufhin in meiner Windows Firewall ICMP als Protokoll freigegeben und zusätzlich einen Registry Eintrag gesetzt, um Natting bei VPN Verbindungen zu erlauben. Auch ohne Erfolg.

Dann habe ich mein altes Surface 3 Pro mit Windows 10 getestet und konnte dort ebenfalls keine Verbindung aufbauen.

Wichtig: Ich kann mit meinem Pixel 6a via Teleport VPN eine VPN Verbindung aufbauen und dann auch die UDR anpingen.

Ich habe dann zusätzlich auf diesem Handy WireGuard installiert, aber auch hier kann via WireGuard keine Verbindung aufgebaut werden.

Ich habe noch zusätzlich versucht im Zyxel Mobilfunk Router die UDR in der DMZ einzutragen und für die WireGuard-Ports eine Weiterleitung einzurichten, was aber ebenfalls nicht geholfen hat. Eigentlich dachte ich, dass diese Konfiguratoren im Bridge Mode nicht nötig sind, weil der Traffic ja durchgeroutet wird.

Jetzt weiß ich auch nicht weiter. Es sieht für mich nicht nach einem Client Problem aus. Ich hab für die Verbindungstest erst mein Kabel-Internet via Fritzbox von Vodafone genutzt und danach auch beim Handy die O2 Mobilfunk Verbindung. Stets dasselbe Ergebnis.

Weiß jemand wieder? Bin dankbar für eure Beiträge!

Ja super, vielen lieben Dank für die Details zu den Telefonie Einstellungen! Dann werde demnächst die Geräte und den passenden Tarif bestellen und testen.

Hat sonst noch jemand eine Empfehlung zum 5G Router?

Ok, gut dass sich das geklärt hat.

Was ich mich noch frage, ist, ob die Telefonie mit der Fritzbox hinter der UDM Pro funktioniert? Hat da sonst jemand Erfahrungswerte?

Und kann sonst jemand einen 5G-Router empfehlen?

Hi und vielen Dank für deine Antwort!

Zitat von gierig

-> UDM Pro reicht Internetleitung an Fritzbox weiter, somit geht ein Kabel dann erst vom Büro in den Keller und dann wieder zurück.

Das Macht keinen sinn, die UDM ist das Internet Gateway, du kannst die FB Anschließen and client da mus doch kein Kabel zurück ?

Vielleicht habe ich mich hier nicht gut ausgedrückt. Oben im Büro kommt die DSL-Leitung an, an welche heute eine Fritzbox angeschlossen ist und die Einwahl ins DSL-Netz übernimmt. Da aber die Einwahl in Zukunft von dem Draytek-Modem übernommen werden soll, welches im Keller steht, muss ich hier erst mal ein Kabe nach unten ziehen. Das Draytek Vigor wählt sich ein und gibt die Leitung an die UDM Pro inkl. 48 Port Poe-Switch von D-Link weiter. Nun muss ich aber wieder die Fritzbox oben im Büro mit Internet versorgen, daher muss auch ein Kabel nach oben gezogen werden. Eines leitet runter, das andere leitet hoch. Könnte man auch über ein Duplex-Kabel machen, falls die Länge ausreicht.

War das nun klarer oder reden wir aneinander vorbei?

Zitat von gierig

-> Im Büro wird das WLAN der Fritzbox durch Unifi Accesspoints ersetzt

Als ggf. ein Kabel ins Büro mit einem kleinen SWITCH (ggf mit poe) im die FB und APs anzuschließen

Genau; im Büro sind alle Räume über einen Switch verkabelt. PoE kann der zwar nicht, aber da könnte dann ein kleiner Unifi-Switch aushelfen.

Zitat von gierig

-> Neuer 5G Router der via 2. WAN-Eingang eine zusätzliche Internetverbindung zur UDM Pro liefert. Wird dann im Loadbalancing genutzt.

kann sein das Telefonie das nicht mag, Telekom ist da eher empfindlich . Kommt also genau auf den vertrag an.

z.b gibt es auch Hybrid Dinger aus (v)DSL und LTE von der Telekom, da läuft die Telefonie auch nur über den (v)DSL Weg.

Aber Telefonie mit der Fritzbox hinter der UDM Pro funktioniert, oder? Wegen der 5G-Leitung und Telefonie hab ich nun mal eine Anfrage an Telekom geschickt; mal sehen was da raus kommt.

Zitat von gierig

Hast du Details die teilen magst ?

Have fun : https://github.com/jojjo64/efg…/docs/efg_automation.adoc

Zitat: "is based on and extends the pip installable pyunifi module"

Danke und viele Grüße!

Hallo zusammen,

ich betreue ehrenamtlich einen Kirchenverein mit 2 DSL-Zugängen:

Büro:

DSL-Zugang an Fritzbox, 3 Telefone und Fax, WLAN + Repeater am Lan-Kabel verbunden

Keller-Zugang:
Ebenfalls DSL -> Draytek Vigor 165 -> Fortigate Firewall -> Cloud Key Gen 1 und 5 Unifi 5x UAP-AC-Pro, außerdem 2x Raspi mit Pihole

Beide DSL Leitungen kommen im Gebäude über dieselbe RJ11 Leitung an, daher sind im Störungsfall beide Leitungen gleichzeitig down. Außerdem benötige ich nicht von der Bandbreite her beide Leitungen parallel, da diese zu unterschiedlichen Zeiten genutzt werden.

-> Daher würde ich gerne auf eine DSL Leitung reduzieren und überlege stattdessen, um ausfallsicher zu werden, eine 5G-Mobilfunk-Leitung von der Telekom zu ordern.

-> Idealerweise läuft dann eine DSL-Leitung und die 5G-Verbindug zusammen im Loadbalancing

-> Die Fortigate FW vom Keller-Zugang soll durch eine aktuelle UDM-Pro ersetzt werden. Unser Fortigate-Modell ist out of support und der verwendete alte Cloud Key Gen 1 ist ebenfalls outdated. Daher würde ich hier mit einer UDM Pro den Unifi-Controller aktualisieren und verwende wieder eine supportete FW.

Nun zerbreche ich mir wegen den Telefonen noch den Kopf, da diese nach meinem Verständnis auf die Fritzbox angewiesen sind. Zudem kenne ich mich bei den Telefonen nicht so gut aus. Sie werden via DECT mit der Fritzbox verbunden und erhalten so ihre Telefonnummer, d.h. irgendwo im Zukunftsbild müsste zumindest noch für die DECT-Verbindungen die Fritzbox weiterlaufen.

Nun meine Idee:

-> DSL-Verbindung des Büros wird weiter genutzt da auf dieser DSL-Leitung wichtige Telefonnummern laufen.

-> Büro-DSL geht allerdings nicht zur Fritzbox, sondern in den Keller via Draytek Modem zur UDM Pro.

-> UDM Pro reicht Internetleitung an Fritzbox weiter, somit geht ein Kabel dann erst vom Büro in den Keller und dann wieder zurück.

-> Im Büro wird das WLAN der Fritzbox durch Unifi Accesspoints ersetzt

-> Neuer 5G Router der via 2. WAN-Eingang eine zusätzliche Internetverbindung zur UDM Pro liefert. Wird dann im Loadbalancing genutzt.

Und meine Fragen:

-> Können die Telefone & Fax dann ganz normal weiter telefonieren, wenn die Fritzbox sich nicht mehr direkt in die DSL-Leitung einwählt, sondern Internet von der UDM Pro erhält?
-> Können die Telefone & Fax auch über die 5G Verbindung telefonieren? Oder geht das nur via DSL?

-> Könnt ihr einen 5G Router empfehlen, der ggf. Telekom-Telefonie unterstützt? Vielleicht auch einen mit externer Außenantenne?

-> Passt meine Idee so generell?

Ich würde mich sehr freuen euer Feedback hier zu hören!

PS: Bei 2 WLAN-Netzen verwende ich neben dem Passwort-Zugang zusätzlich MAC-Adressen-Authentifizierung. Jeder kann Zugang via eine Wordpress-Seite beantragen, danach übernehmen Microsoft Flow Prozesse. Es wird via Sharepoint-Liste ein Genehmigungsworkflow gestartet und anschließend ein Planner-Task erstellt. Diesen ruft unsere lokale Python App ab, welche wir selbst entwickelt haben und auf einem der Raspberries läuft. Das coole ist, dass die Python App versteckte API-Calls von Unifi-Controller nutzt um dann die MAC-Adresse automatisiert einzutragen. Hat schon fast 300mal wunderbar geklappt, gibt nur selten Probleme und dank guter Doku findet auch jeder "DAU" seine MAC-Adresse :-). Und ich bin zuversichtlich dass wir die Python-App auf den aktuellen Controller der UDM-Pro adaptieren können.