Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
The Wi-Fi Alliance has made Wi-Fi Protected Access 3 (WPA3) mandatory for all Wi-Fi 6E devices, without
backward compatibility for WPA2 security. These measures can increase user confidence in moving to the 6-GHz frequency band for their most trusted connections.WPA2 funktioniert daher bei Wifi-6 noch (weil kein 6 GHz) , bei Wifi-6E ist WPA3 Pflicht und es wird keine Abwärtskompatibilität geben,
Geräte können sich mit WPA2 also schlichtweg nicht mehr in 6GHz anmelden.
So doof es klingt, bin auch Fan von OpnSense oder pfSense, aber um es Rund zu haben wollte ich nicht so viel Geld ausgeben
Ich wollte das alles in ein Rack knallen und um das so zu haben war die UDM der perfect match
Wenn ich mal überlege, wieviel Zeit ist damit verbracht habe, die UDMPro zu rebooten, einen restore zu machen, mich mit dem unfähigen Support rumzuärgern, Fehler zu suchen, die am Ende ein Bug in der Software waren, das in Zeit und Geld umgerechnet, könnte ich mir locker eine Hardware-Appliance der OPNSense kaufen.
Ich habe nen MiniPC im Rack stehen, der kostet am Ende das selbe wie ein UDMPro, da läuft die OPNSense drauf und ich hab Ruhe.
Bis auf einen Hardwaredefekt ( SSD ausgefallen ) hatte ich keine Probleme damit und der war auch in 30min beseitigt ( neue SSD rein, OPNSense von USB-Stick installiert, aktuelles Backup der Config und fertig )
daher spricht aktuell alles für ein erstes Setup durch einen Profi / jemanden der sich mit der Materie auskennt.
Wenn du zuviel Geld hast.
Mein Rat: stellt dir die die UDM auf den Schreibtisch, hönge die WAN-Seitig an dein vorhandene Netz, damit die ins Internet kommt und LAN-seitig dein PC/Notebook dran und fange an das Teil zu verstehen, eben mit der Dokumentation, YT-Videos usw.
Aber vor allen, mache dir erste mal einen ordentlich Plan, wie dein Netzwerk konfiguriert werden soll, welche VLAN du haben willst und welche von dene mit welchen anderen oder dem Internet kommunizieren dürfen / nicht dürfen.
( das würde ein Profi auch als erstes mal machen und am Ende auch dokumentieren )
Oh Junge. Es wird Zeit, dass Unifi DHCP und DNS mal auf die Kette kriegt. Ich mein, static hostnames oder cnames sind doch teil von dnsmasq welches standardmaessig auf jedem von Unifis Routern zum einsatz kommt. Warum die Software beschneiden?
Das hab ich mir vor zwei Jahren schon gesagt und die UDMPRo rausgeworfen und mir ne ordentliche Firewall aufgebaut, weil ich die Nase voll hatte von dem Teil.
Bei mir läuft aktuell ISC-DHCP für IPv4 und IPv6 ( der ist aber abgekündigt und wird ersetzt durch KEA-DHCP ), dann läuft AdGuard zusammen mit Unbound als DNS und Werbeblocker udn das ganz funktioniert vollkommen entspannt im Hintergrund.
Okay, also ist dein Unbound auch DHCP
Nein, UnBound ist ein DNS-Serer den ist als Upstream nutze.
Der kann aber auch vom DHCP-Server die Leases lesen und somit eben die lokalen Adressen auflösen, da muss der DHCP-Server aber auch mitspielen.
Wenn richtig funktioniere, müsste PiHole alle Anfragen nach lokalen Host-Name an die UDM weiterleiten, weil er diese selber nicht kennt und die UDM muss das dann über ihren DNS-Dienst beantworten - macht die scheinbar aber nicht.
Meine letzten Erfahrungen mit der UDMPRo sind über zwei Jahre alt und da taugte das Teil als DHCP-Server absolut nicht, u.a. eben wegen solcher Sachen.
Alternative: lasse den PiHole DHCP machen, kann kann der auch lokale Hosts auflösen, weil er diese dann kennt, wird aber aufwendig, wenn das ganze mit mehreren VLAN / Subnetzen funktionieren soll.
Alternative 2: du pflegst im PiHole alle lokalen Hostnamen mit IP-Adressen, macht aber nur dann Sinn wenn diese alle feste IP-Adressen haben. Je nach Anzahl ist das aufwendig. Über den sinn kann man dann streiten.
Edit: Habe das jetzt mal nach deinem Vorschlag umgesetzt. UDM verteilt an clients die IP des PiHoles als DNS. UDM hat am WAN port einen anderen DNS Server eingetragen. Das Pihole macht conditional forwarding. Im PiHole habe ich cnames bzw. DNS records eingetragen. Gleiches Problem. Die UDM uebersetzt zwar auf ihr konfigurierte namen, aber die records im Pihole bleiben unbeantwortet.
Ich hab keine UDMPro und ich nutze keine PiHole, sondern AdGuard, aber mit dem PiHole funktioniert das genauso, ich nutze für beide Unbound als Upstream-DNS-Server ins Internet und der beantwortet alle lokalen Hostnamen.
- DHCP verteilt die IP des Piholes/AdGuard.
- AdGuard leitet an Unbound weiter
- Unbound liest die DHCP-Leases und beantwortet entsprechend Anfragen nach lokalen host
- ich habe nichts dafür extra konfiguriert.
Gibt zwei Möglichkeiten:
- der PiHole bekommt vom DHCP die lokalen Hostnamen nicht aufgelösst ( was mich nicht bei der UDM wundern würde )
- du hast dir mit dem WAN-DNS-Eintrag auf den PiHole einen DNS-Loop eingebaut
Bei mir sieht es so aus:
thomas@mbp ~ % nslookup calibre
Server: 2a02:8071:x:x:x:x:x:x
Address: 2a02:8071:x:x:x:x:x:x#53
Non-authoritative answer:
Name: calibre.<MEINEDOMAIN>.net
Address: 10.0.10.35 <<<<---- Antwort richtig, ist ein lokaler Hostnamen
thomas@mbp ~ % nslookup calibra ( den gibt es nicht als Host, also geht die Anfrage ins Internet )
Server: 2a02:8071:x:x:x:x:x:x
Address: 2a02:8071:x:x:x:x:x:x#53
Non-authoritative answer:
Name: calibra.<MEINEDOMAIN>.net
Address: 84.x.x.x <<<<---- Antwort richtig, weil darauf ein DynDNS zeigt.Jaa heisst schon ne Weile Default. Hast vermutlich das Ganze schon paar Tage länger am laufen. Ich glaube das hieß früher Admin. Naja im legacy GUI kann man es umbenennen.
Jau, noch zu Zeiten eingerichtet, wo die Legacy-GUI der Standart war, hab ja schon 2 Jahre lang keine UDMPro mehr und seit dem die Netzkonfig auch nicht mehr angefasst.
- UDM upstream DNS ist der PiHole Host (pihole ist containered)
- PiHoles Upstreams sind DNS Server im Internet
- Clients erhalten per DHCP die IP des Subnetz Routers (in allen Faellen die UDM, damit erspare ich mir firewall config und "forciere" den gebrauch des PiHoles)
Das Konstrukt verstehe ich nicht ganz, was meinst du mit Upstream DNS in der UDM ?
Hast du den PiHole auf der WAN-Seite eingetragen, das wäre falsch.
Der DNS ( = PiHole ) gehört in die DHCP-Sesttings des jeweiligen Subnetzes. und auf dem PiHole dann als "Use Conditional Forwarding" dann für deine komplettes Netz und die Domain der DHCP-Server ( = die UDM ), damit der PiHole die Auflösung der lokalen Adressen machen kann.
bei natives VLAN/Netzwerk das "Default" ein.
Heisst das heuet "Default" - bei mir steht da Admin drin aber ich habe aber auch keine UDMPro sondern nur den Netzwerkkontroller aus Linux.
VPN-Verwaltung macht bei mir die OPNSense
Wenn man sich mit dem Thema ein bisschen auseinandersetzt ist es schon erschreckend wie viele Leute immer noch alles auf die leichte Schulter nehmen und sich um updates und Aktualisierungen nicht kümmern oder für alle Online Konten die gleichen Passwörter verwenden.
Es gibt eigentlich zwei Problem:
- das eine ist genau das was du sagt, die Leute setzen sich nicht mit dem Theman auseinander, das betrifft Privatpersonen genauso wie Firmen - gerade Handwerksbetriebe und der Mittelstand sind das sowas von Beratungs-Resistent - eigene Erfahrung aus 2 Jahrn bei einem IT-Dienstleister,
Das kannst denen 10mal sagen, die müssen was für die Sicherheit tun und investieren, weil der Firewall schon 3 Jahre End-of-Live ist.
Kein Geld für da - aber dann kommt Samstags morgens der Anruf, Firma wurde gehackt, Produktion steht, nichts geht mehr, wir brauchen sofort Hilfe.
Was die an Geld zahlen müssen für Rettungsaktionen, hätte für 10 Firewalls locker gereicht ink. 10 Jahre Wartungsvertrag.
- das zweite Problem ist: Viele Leute, das erlebe ich in jedem Bereich immer wieder, sehen zwei Youtube-Videos und glauben dann, sie könnten z.b. ne Firewall konfigurieren. Machen blind alles nach, aber aber nicht im Ansatz verstanden, wie es funktioniert - und genau das ist eine riesengroße Gefahr.
Wenn ich nicht weiß wie eine Firewall funktioniert, kann ich die nicht so konfigurieren, wie es für meine Anwendungszwecke sein soll.
Ich hab mit ner OPNSense auch vor 2 Jahren bei Null angefangen, mit dem Unterschied aber, das ich aus dem IT-Bereich kommen und vorher schon viel Netzwerk gemach habe, u.a. auch Firewall, VPN, Standortvernetzungen usw konfiguriert habe. Aber dennoch, anderes Produkt, andere Herangehensweise.
Wenn mir heute einer ne Sophos vorsetzt, müsste ich mich da auch erst wieder einarbeiten.
Du meinst das bei "Ethernet Port Profile" nehm ich an?
Wo leg ich das Profil "all" an?
Korrektur - all hiess das früher, heute heißt das "Admin" das muss auch alle Ports eingestellt sein, die zwischen den Switchen, der UDM und zu AccessPoints gehen, damit darüber auch die VLAN kommen.
Den Switchport zur XBox dann eben auf das VLAN-Profile was willst, das passt ja
Sieht dann so aus:
Xbox --- Switch Port 3 ---- Switch Port 1 ---- UDM Pro
Was für ein Switch ist das ?
Zeigt mal die Port-Konfig von dem Switch 3 und 1 und dem der UDMPro wo der Switch dran hängt, ich vermutte mal, du hast das falsche Profile für die Verbindung UDM -> Switch genutzt ( das muss auf ALL stehen oder wie das heute heisst )
Den Switch rebotten kannst du sparen, bessere die XBox rebooten, damit die per DHCP sich neue Daten vom DHCP-Server holt.
Da kommt man schon ins Grübeln was denn da draußen so los ist. Wenn man dann noch so liest wieviele Lücken zur Zeit bei QNAP und Synology gemeldet werden
Das betrifft nicht nur QNAP oder Synology sondern jedes System, nur werde die von viele Hersteller nicht öffentlich bekanntgeben.
Gestern ging doch noch ein Ramsonwarning rum, die ESXi-Server betrifft - auch ein riesen Sicherheitsproblem, das kann ganze Firme lahmlegen.
Die Frage ist ja eher, kann eine UDMPro/SE heute endlich mal als Zeitserver im lokalen Netz arbeiten ?
Vor 2 Jahren konnte die es nicht und wie ich Unifi kennen, haben die es bis heute nicht hinbekommen, solche elementaren Funktion, die nur ein Stück Software benötigen, zu implementieren. Jede FritzBox und jeder 08/15 Router können das
Danke an alle für die Informationen und Anregungen! Mein Ziel ist, mein Heimnetzwerk transparenter und sicher durch VLANs zu machen - den Weg dahin habe ich nicht betrachtet und wohl auch unterschätzt
Geh mit dem PC direkt auf die Fritzbox und gebe der ein neues LAN-IP-Netz, dann gehst auf die UCG und gibst der WAN-Seitig eine IP aus dem Fritzboxnetz.
Dann erst änderst du dein LAN
Für nen Sinnvollen „Chrony Server“ brauchst du auch ne gute Quelle. Und Stratum 0 Quellen gibts nicht viele verfügbare, die in Innenräumen gut funktionieren
Chrony kann als Zeitserver im Lokalen Netz problemlos genutzt werden und für die Genauigkeit reicht es vollkommen aus, die offiziellen Zeitserver zu nutzen, z.b. die der PTB ( Stratum-1 )
Und für proffesionelle Nutzung, wie wir z.b. im Rechenzentrum, nimmt man eh zentrale Zeitserver, die mehre Quellen nutzen wie GPS, DFC77, Zeitserver im Internet und interne Quarzuhren mit Quarzofen
Ich habe jetzt den UCG-Ultra an die FritzBox gehängt und er hat die IP 192.168.5.100 auf der FritzBox bekommen. Der UCG-Ultra selbst generiert ein Netz 192.168.1.1 und alle meine Geräte erhalten eine IP aus diesem Adressbereich, sodass das Smart-Home nicht mehr funktioniert.
Der Ansatz war falsch, die hättest der UCG erst per Konfiguration das Netz der Fritzbox auf der LAN-Seite geben müssen und dann zwischen Fritzbox und UCG ein andere IP-Netz nehmen, z.b. 192.168.0.x
Die IP-Reservierung auf der UCG muss du eh neu machen.
Und wenn das läuft, kannst du dich mit Themen wie VLAN usw. auseinander setzen - mache erst mal die Grundlagen.
Ja, da hast Du in allen Punkten recht. Bzgl. meiner Wünsche, was WLAN&Co angeht ist das Gebaeude wirklich suboptimal
Wenn du danach gehst, gibt es ein WLAN-freundliches Gebäude 
Hast Betonwände, ist das Mist, kannst du AP nicht so montieren, wie vorgesehen, ist das Mist, hast du zu hohe Decken ( in Hallen ), verliert massig Sendeleistung - das ist immer ein Grauen.
Ich hab gerade mal nachgesehen, beim Bekannten im Außengelände sind bei etwas über 4200qm 12 Outdoor-AP verbaut, die das Areal versorgen, das ist ein Außenlager, wo die Mitarbeiter WLAN-Geräte für die Kommisionierung nutzen und ohne WLAN funktioniert das semi-optimal.
Im Innenlager ( Hochregal ) ist pro Regalreihe ein AP an der Decke, der ganze Stahl stört gewaltig die Ausbreitung.
Im Bereich UDMPro/Se würde ich mir nur eines wünschen:
- ein Firewallfunktion, die den Namen auch verdient.
Weil so wie aktuell kann man das Teil keinem ruhigen Gewissens empfehlen.
Und dazu noch eine saubere Implementierung von IPv6, DHCP mit saubere IP-Reservation, NTP-server Funktion mit Chrony
Tatsächlich liegt mein Focus weniger auf den Außenanlagen, als mehr auf dem Innenbereich.
Danke jedoch fuer die Hinweise. Im normalen Leben ist es ja meistens ein wenig komplizierter, als auf dem Datenblatt…
Datenbläter sind Nice-to-have und gerade bei Funk eher ein "Best-of" , haben aber dann wenig mit der Realität zu tun.
zur Zeit sind 75 Mitglieder (davon 1 unsichtbar) und 281 Gäste online - Rekord: 129 Benutzer ()
