Ich hatte es vor einiger Zeit in diesen Bereich bei UI.com gelesen.
Ich hab zwar den Post zu trunk ports gelesen, aber das beantwortet mir nicht letzten Endes die Frage ob das Cloud Gateway Fiber mindestens einen WAN port braucht. Oder übersehe ich da was?
Wieviel Kameras mit welcher Auflösung sollen wie lange aufnehmen können?
Zuerst nur 4 HD Cams. Das sollte jede Protect appliance hinbekommen.
Man kann einen 3 Party Router einrichten auf der UDM.
Damit ist sie nicht Router, kommt aber ans Internet.
Gilt dann dieser upstream port als WAN interface? Es erschloss sich mir nicht wie das in der WebUI definiert ist. Am ende muss dieses interface ein trunk port sein. Die anderen ports sind dann mit irgendwelchen vlans getaggt.
Hallo alle zusammen,
für ein Projekt wollte ich pfsense als Router für ein Netz einsetzen. Meine APs könnte ich ja per Linux Controller managen, wenn da nur nicht die Kameras für Unifi Protect wären.
Hier hat Ubiquiti ein sehr gutes Produkt entwickelt was ich eigentlich nicht austauschen möchte. Also stehe ich vor der Wahl:
- 1x cloud key für ui Protect + 2.5Gbit per Port L2 Switch mit 10G upstream interface
oder
- 1x Cloud Gateway Fiber welcher nur Switching macht und eben meine Protect appliance hostet.
Was meint ihr dazu? Preislich wäre die zweite Option ein bisschen besser. Hierbei würde ich aber besser schlafen, wenn ich wüsste, dass ich alle WAN interfaces umkonfigurieren kann, sodass KEIN WAN INTERFACE vorhanden wäre. Geht das? Bei meiner UDM kann ich das gerade nicht testen, aber es sieht so aus, als müsste man mindestens ein WAN interface haben.
Ah okay, dachte es schützt auch gegen “böswilligen” traffic zwischen den internen Netzen. Kann ja sein, dass ein infiziertes Gerät in meinem Netz lungert. Wäre dann echt cool wenn ungewöhnlicher Traffic markiert und geblockt wird. Oder zumindest eine Notification bei rum kommt. Daher hab ich auch überall Honeypots versteckt 
Mein uplink ist hierbei dann egal. Ich wollte nur wissen ob die 10G innerhalb eines Vlans oder sogar zwischen den Netzen dann gegeben sind oder nicht.
Zu 1. Danke schonmal!
2/3 nehmen wir einfach an ich habe Server mit entsprechenden Netzwerkkarten und will nur mit Bandbreite (mit iperf o.Ä.) testen und das maximum raus holen. Also LAGs sind wohl nur auf switches konfigurierbar?
Hab auch noch ne "alte" UDM Pro, bei der geht das auch nicht. Echt schade.
Wegen IDS/IPS: meinst du also, wenn wir mal die LAGs außen vor lassen, dass dann schon ~10Gbit/s machbar sind?
Hallo,
zu dem im Titel erwähnten Gerät hätte ich 3 Fragen:
1. Kann man die 2 als WAN deklarierten Ports fürs Interne Netz verwenden und den WAN port auf einen der 2.5GB Ports legen?
2. Kann man die 2 SFP+ Ports als LAG und mit einer Selektion an erlaubten VLANs konfigurieren?
3. Mit wie viel akkumulierter Bandbreite kann man rechnen, wenn kein routing, aber "inner VLAN" Kommunikation herrscht?*
Meiner Idee nach möchte ich Port 1 als WAN Upstream, 2-4 für Clients, 5 (10GB RJ45) für einen 10G Switch und 6+7 als SFP+ LAG für $server nutzen. Ist das realisierbar mit der Kiste?
* Sagen wir der 20G LAG und der 10G Port sind im gleichen VLAN, sind dann um die 10G drin oder fällt das unter die IDS/IPS limitierung?
Hi Networker,
erstmal Danke für die ausführliche Antwort.
Du scheinst recht zu haben. Die Hotspot Zone ist NUR für Internet Access gedacht.
Die Geschichte mit der Auswertungsreihenfolge war mir bekannt.
Turns out: Wenn man "Allow Return Traffic" checked, wird die korrespondierende Regel NACH den Network Isolation regeln angewendet.
Heist: Ist das Netzwerk "Isoliert" greift die Option "Allow Return Traffic" nicht. 
Einen isolierten Hotspot ins interne Netz zu routen ist in meinem Fall also aus 2 Gründen nicht möglich gewesen.
Moin, kurz und knackig:
Clients in Subnetz aus Zone Hotspot soll mit Clients in Subnets aus Zone Internal kommunizieren.
FW regel dazu sieht folgendermasen aus:
- Src Zone Hotspot; Any; Any
- Dst Zone Internal; Object; SomeServer
- Return traffic allowed
Aus dem Hotspot Netz kann ich den Server dennoch nicht erreichen. Ist das default für die Hotspot Zone oder was ist da das Problem?
Bzw. wie kann ich bitte das default routing Verhalten zwischen Zonen anpassen? Die Regeln scheine ich nicht willkürlich verändern zu dürfen.
So ich konnte das Problem nun auch nachvollziehen
Da ich mein Laptop einfach in einen Port am Switch gehängt habe um ein Problem am Server zu debuggen, hing er im Default Netz, statt im Home-Netz. Da ich das Default Netz nur für Unifi Devices nutze geht DNS über die UDM.
Hinter der UDM hab ich als 1. Resolver meinen Pi-Hole und als 2. Cloudflare (nur dass das Internet auf alle Fälle geht). Mein Pi-Hole löst die interne Domain auf, aber die UDM SE leitet es nicht weiter. Genau wie von besenwesen beschrieben. Das ging definitiv vorher.
Was mir aufgefallen ist, die UDM hat wie blöde den record type HTTPS anfordert, der natürlich nicht gepflegt ist (normal reicht ja Typ A).
Aber ich habe auch Ad Blocking enabled (müsste ich nochmal testen und dabei ausschalten) aber trotzdem interessant dass die Adresse vom Pi-Hole geholt wird aber dann gedroppt.
Waere eigentlich ein Bugreport bei UI wert.
Display More/data is das Persistente Verzeichnis das auch bisher zu 100% Firmware Updates überlebt.
Da habe ich nen Ordner „myScript“ wo erstmal alles drinnen ist was mir lieb und teuer ist
und lege nur Syslinks and wo der kram den hinsoll.
aktuell verwende ich das hier:
legt nen Symlink in richtige Verzeichnis wenn es da ist und startet den killt den dnsmasq.
Ist eher so quick und dirty und eher fürs booten. Bei Änderungen muss man halt mal selber DNSmasq
Killen oder das file entfernen. Für mich reichst ist aber halt nicht „Idolen“ sicher...
Bash#!/bin/bash ## Unifi Network generate the dnsmasq config on the fly (on dns dhcp config changes) ## 2024 by gierig. DNSMASQ_CONF="/run/dnsmasq.conf.d/shared.conf" DNSMASQ_HOSTFILE="/run/dnsmasq.conf.d/host.dns" DNSMASQ_SOURCE="/data/fnord23.net/host.dns" DATE=$(date +%F_%H:%M:%S) while [ ! -e "${DNSMASQ_CONF}" ] do echo "$DATE -> DNSMASQ -> No Config" >> /data/myScripts/log.txt sleep 10 done if [ -f $DNSMASQ_HOSTFILE ]; then #File Exist, do nothing exit 0 else #File NOT exist, so symlink, restart ln -s $DNSMASQ_SOURCE $DNSMASQ_HOSTFILE echo "$DATE -> DNSMASQ -> Symlink DNS Host file" >> /data/myScripts/log.txt sleep 30 ## Kill current dnsmasq, ubios-udapi-server automatically restart it kill $(cat /run/dnsmasq.pid) fiDa bei Änderungen im UNIFI System gerne mal die ganze Config neugemacht wird.
habe ich das als cron laufen alle 2 Minuten und nach dem Reboot.
Das sorgt denn dafür zusammen mit dem Script oben dafür das die „host.dns“ wieder
ins Verzeichnis kopiert wird.
Code## run the dnsmasq_fix script ## link to /etc/cron.d ## modified 2024 by gierig ## MAILTO="" SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin @reboot root /data/fnord23.net/dnsmasq_fix.sh */2 * * * * root /data/fnord23.net/dnsmasq_fix.sh
Sehr sehr cool. Vielen Dank Dafuer.
Laeuft bei dir auch UnifiOS 3.2.12?
Edit: Hab das etwas angepasst und mal auf die UDM geknallt. Das loest all meine Pihole Probleme und erweitert die UDM um ein (Pflicht-)Feature! Dir sei vielmals gedankt!
Wenn ich mal überlege, wieviel Zeit ist damit verbracht habe, die UDMPro zu rebooten, einen restore zu machen, mich mit dem unfähigen Support rumzuärgern, Fehler zu suchen, die am Ende ein Bug in der Software waren, das in Zeit und Geld umgerechnet, könnte ich mir locker eine Hardware-Appliance der OPNSense kaufen.
Ich habe nen MiniPC im Rack stehen, der kostet am Ende das selbe wie ein UDMPro, da läuft die OPNSense drauf und ich hab Ruhe.
Bis auf einen Hardwaredefekt ( SSD ausgefallen ) hatte ich keine Probleme damit und der war auch in 30min beseitigt ( neue SSD rein, OPNSense von USB-Stick installiert, aktuelles Backup der Config und fertig )
Hab da auch schon drueber nachgedacht. Hatte frueher alles virtualisiert aber damit wurde ich nicht gluecklich. Die UDM haette ich schon gern da stehen wegen UIProtect. Waere nur eine sooooo viel coolere Maschine wenn man solche Laecherlichen Tasks nicht haette 
gierig gibts ein bootscript Verzeichnis oder sowas? dnsmasq darf ja erst starten nachdem meine config geladen wurde. Ich dachte daran die udapi-server.service datei anzupassen, aber ich denke das geht viiiieeeelll einfacher ohne das Risiko das System zu bricken.
Ahh. Okay.
Standardmaessig ist dnsmasq disabled. Meinst du mit Startscript einfach das enablen von dem Service?
LOL! Das war dann wohl vor meiner Zeit.
Den Namen habe ich allerdings woanders her
Edit: dnsmasq scheint zu laufen, auch wenn der Systemservice nicht laeuft. Interessant.
okay wenn das zu viel mit selbst programmieren ist, klingts für mich eh schon wieder zu komplex. bin in nem alter, da solls einfach funktionieren
Wenns recht einfach funktioniert hätte, wäre es interessant gewesen als alternative zu meiner synology...
Okay, doch ein kurzum. Du musst:
1. Raid Konfigurieren
2. User anlegen
3. SMB/NFS Service konfigurieren (copypasta aus dem der Manpage reicht) und enablen
4. Verzeichnisse anlegen (/Volume1)
Schritt 2 bis 4 muss man halt auf der Commandline machen. Wenn du viel Ahnung hast, dauert das 10 Minuten, aber dann brauchst du die Anleitung nicht. Wenn du keine Ahnung (und viel Geld 
) hast, ist Synology schon okay. Das ganze KlickiBunti von QNAP ging mir nur auf den Zeiger. Ausserdem ist die Abhaengigkeit von deren Software Support und Recovery Szenarien etwas unschoen. Sobald du DEINE Daten nur mit DEREN Software retten kannst (oder mit ganz viel schmerz ) ist ein NAS und die damit verbundene Software in meinen Augen schrott. Fuer weniger erfahrene Enthusiasten bei denen es einfach funktionieren soll, ist es komplett ausreichend. Das sehe ich ein.
Du kannst im pihole auch mehr als eine bedingte Weiterleitung konfigurieren. Geht nicht in der GUI aber eine Datei anlegen ist ja nicht zuviel, falls Dir das weiterhelfen würde könnte ich morgen mal gucken wo die hin muss. Ich löse so z.b. hosts aus dem firmennetz bei mir im lan über den wg tunnel auf.
Hab im PiHole (container) eine Datei in /etc/dnsmasq.d hinterlegt die vorher gut genau das Problem behob.
Ist die 192.168.1.2 auch im selben VLAN des PCs der nslookup macht? Pi-Hole hat ja im Beispiel 10.13.37.254, was ja ein anderes Netz ist.
die 10.13.37.254 ist die UDM. In dem Subnetz ist auch der nslookup client. Das PiHole ist in einem anderen VLAN.
Die Lookup Kette stelle ich mir so vor:
Client -> UDM -> Pihole -> OpenResolver (falls Name nicht bei UDM oder Pihole gespeichert)
Client -> UDM (Falls name bei UDM hinterlegt)
Client -> UDM -> PiHole (Falls name bei PiHole hinterlegt) <- Hier scheitert das System mit einem Loop: Client -> UDM -> Pihole -> UDM -> PIHole ... usw... -> Ratelimit
Mein Vorheriges setup war, dass der Pihole container im client netz war, und dort fuer alle clients als DNS hinterlegt war. Da hat es funktioniert, mich stoerte aber die tatsache das ein Server im client netz liegt. Wollte das getrennt haben.
Das hab ich mir vor zwei Jahren schon gesagt und die UDMPRo rausgeworfen und mir ne ordentliche Firewall aufgebaut, weil ich die Nase voll hatte von dem Teil.
Bei mir läuft aktuell ISC-DHCP für IPv4 und IPv6 ( der ist aber abgekündigt und wird ersetzt durch KEA-DHCP ), dann läuft AdGuard zusammen mit Unbound als DNS und Werbeblocker udn das ganz funktioniert vollkommen entspannt im Hintergrund.
So doof es klingt, bin auch Fan von OpnSense oder pfSense, aber um es Rund zu haben wollte ich nicht so viel Geld ausgeben Ich wollte das alles in ein Rack knallen und um das so zu haben war die UDM der perfect match.
Display MoreIch habe selber eine Config die ich dem DNSMasq an unifi vorbei
unterschiebe. Weil ich es vermisse A Records für Dinge zu vergeben die
nicht als Client in der Liste sind, oder weil ich Multiple A / CNAME Records
benötige.
Kleiner Hinweis von den ich nicht weis ob sie Hilfreich für dich ist
oder oder du nicht selber deine DNS Kette auf die Reihe bekommen must
Das Unifi System macht „böse“ (eigentlich ganz intelligente)
Dinge sobald du AD Blocker oder Content Filter (Private / work in der VLAN Config)
aktiviert hast. Dabei werden DNS Anfragen umgebogen sobald sie
zum Router oder über den Router müssen (also auch ein Client der z.B
1.1.1.1 als DNS Resolver nutzen will). Iptables sorgt dafür das diese
zur einer Internen DNSMasq durchgeleitet werden und
dann zu einem Externen DNS im falle von Content server oder
oder zu den Im WAN hinterlegten. Sollte das dann wider ein Interner
sein gibt es einen Lustigen loop...
P.S
Besenwesen...Besenwesen...Melissa mag dich nicht,
Leslie ist cool
Wie wars auf den Mars solange zu pennen ?
Wusste ich nicht, danke fuer den Tipp. Meinst du einfach ein namen in /etc/hosts oder dnsmaq.d auf der UDM eintragen reicht?
PS. Ich glaub das ist ne Referenz die ich nicht schnall
das mit der UNVR als NAS wäre interessant
Habe auch schon ueberlegt ein Tutorial dazu hier um Forum zu schreiben, aber das gibts schon in der Form. Etwas veraltet aber wenn man ein bisschen UNIX kann kein Problem.
Edit:
Ich wollte hier ein TLDR; davon in diesen Post scheiben, als ich die 400 Wort Marke erreichte dachte ich, dass sollte vielleicht doch in einen dedizierten Thread. Es gibt hier schon was dazu im Forum. Muss man vielleicht mal updaten.
Oh Junge. Es wird Zeit, dass Unifi DHCP und DNS mal auf die Kette kriegt. Ich mein, static hostnames oder cnames sind doch teil von dnsmasq welches standardmaessig auf jedem von Unifis Routern zum einsatz kommt. Warum die Software beschneiden?
Ich ueberleg mir nochmal wo ich damit hin will. Eigentlich wollte ich alle Netzwerkfunktionen die UDM uebernehmen lassen (abgesehen vom DNS sinkhole). Also abwarten ob das Unifi irgednwann mal unterstuetzt. Bis dahin hacke ich mal weiter.
Okay, also ist dein Unbound auch DHCP bzw. kann die leases sehen. Das kann in meinem Setup das PiHole nicht. Hmm. Entweder ich mache also abstriche in meiner Netzwerk Konfiguration oder ich muss noch ein dedizierten DNS aufsetzen. Eigentlich sollte PiHole das koennen, aber die Auswertungsreihenfolge mit Conditional Forwarding verbietet das wohl.
Danke fuer den Input!
Das Konstrukt verstehe ich nicht ganz, was meinst du mit Upstream DNS in der UDM ?
Hast du den PiHole auf der WAN-Seite eingetragen, das wäre falsch.
So ist es. Auf dem UDR hat es damals funktioniert. Ich sehe auch keinen Technischen Grund warum das nicht gehen sollte. Die UDM wird das PiHole als seinen Resolver anfragen. Das PiHole telefoniert dann ins internet an den naechsten Reolver.
Der DNS ( = PiHole ) gehört in die DHCP-Sesttings des jeweiligen Subnetzes. und auf dem PiHole dann als "Use Conditional Forwarding" dann für deine komplettes Netz und die Domain der DHCP-Server ( = die UDM ), damit der PiHole die Auflösung der lokalen Adressen machen kann.
Genau das ist ja das was ich anders machen moechte. Die Clients im anderen Subnetzen brauchen dann zwangsweise Zugriff auf ein anderes Netz. Ich wollte mit der UDM als DNS resolver der Clients ein einheitliches System erzwingen.
Wie auch immer, Zeitweise hatte ich das auch so.
Hier besteht aber das Problem, dass der PiHole dann auch FQDNs, die nicht von der UDM konfiguriert wurden, die ich in seiner dnsmasq config eingetragen habe nicht aufloesen wird, da diese zur UDM weitergeleitet werden wuerden (wenn conditional forwarding aktiv ist).
Was genau verstehe ich falsch an der Mechanik wenn die UDM an ihrem WAN port den PIHole als DNS drin hat? Nach meinem Verstaendnis sollte doch nur etwas Aufgeloest werden wenn die UDM den Namen nicht kennt, oder?
Edit: Habe das jetzt mal nach deinem Vorschlag umgesetzt. UDM verteilt an clients die IP des PiHoles als DNS. UDM hat am WAN port einen anderen DNS Server eingetragen. Das Pihole macht conditional forwarding. Im PiHole habe ich cnames bzw. DNS records eingetragen. Gleiches Problem. Die UDM uebersetzt zwar auf ihr konfigurierte namen, aber die records im Pihole bleiben unbeantwortet.
Und vorallem, DNS funktioniert ja, nur nicht fuer hosts in der Searchdomain, obwohl mit nslookup die richtige IP angezeigt wird (wenn auch returnvalue != 0...???).
Edit: Habe das jetzt mal nach deinem Vorschlag umgesetzt. UDM verteilt an clients die IP des PiHoles als DNS. UDM hat am WAN port einen anderen DNS Server eingetragen. Das Pihole macht conditional forwarding. Im PiHole habe ich cnames bzw. DNS records eingetragen. Gleiches Problem. Die UDM uebersetzt zwar auf ihr konfigurierte namen, aber die records im Pihole bleiben unbeantwortet.
Es kamen mehrere dinge in den letzten Wochen an, darunter:
- Unifi Toolless Rack
- UAP-7-Pro
- USW PRO Max 24
- UNVR (wurde zum NAS transformiert)
- SFP+ Kabel fuer 10G connectivity.
Etwas aelter ist schon die UDM Pro.
Falls es wen interessiert kann ich ja mal ein Bild machen
Halloechen!
Hier bin ich mal wieder mit einem PiHole/DNS Problem...
Kurz mein Setup:
Resolving funktioniert fuer alle Domains die nicht in meiner (search)Domain haengen, egal ob FQDN oder nur hostname.
user@client> nslookup random-domain.de
Server: 10.13.37.254
Address: 10.13.37.254#53
Non-authoritative answer:
Name: random-domain.de
Address: 12.34.45.67
user@client> nslookup machine1.home.net
Server: 10.13.37.254
Address: 10.13.37.254#53
Name: machine1.home.net
Address: 192.168.1.2 (Dies ist korrekt)
** server can't find machine1.home.net: REFUSED (pihole rate limited die ip der UDM, vermutlich wegen DNS loops).Wie kann das sein? Muesste die UDM nicht in der Lage sein die Domain machine1.home.net aufzuloesen (wurde ueber den Network Controller konfiguriert)?
Mit meinem UDR hat das (fast identische) Setup einst funktioniert. Vor allem ist spannend bzw. sorgt fuer meine endgueltige Verwirrung, dass die korrekte IP-Adresse ja angezeigt wird.