Beiträge von Misux

Ist das hier ein "Ich wünsch mir was" oder ist das tatsächlich etwas was weitergeht an unifi und die Jungs schauen es sich an...?

Denn mir würde schon reichen wenn einfach mal das ORDENTLICH funktioniert was es jetzt gibt wie z.B.

1. die Topologien Ansicht (habe immer 3 Geräte die ganz wo anders auftauchen... Das Nervt.

2. Bessere Anpassung bei Höher aufgelösten Displays (siehe den Text in den Kreisen)

und vor allem

3. eine vernünftige ipv6 unterstützung (bei Deutsche Glasfaser Anschlüssen) inkl allem was dazugehört (Ansicht der Präfix, dyndns support mit updatelinks usw...) Hat alles was auf einer Fritzbox seit Jahrzehnten problemlos geht.

Ansonsten muss ich sagen , ich habe noch nichts geileres gesehen! Also einfach weiter so!

Da haben wirs ja! "Keine Ahnung" hat in diesem Fall mal wieder zugeschlagen und ich hab wieder was gelernt denn: Das reverse Proxy NUR für Port 443/80 geht und nicht an irgend einen frei gewählten steht in keinster Silbe in dem IONOS Link.

Jetzt versteh ich aber! Ich versteh zwar nicht warum aber da gibts bestimmt einen guten Grund.

Also habe ich die unifi.onfig auf port 443 angepasst und siehe das es funktioniert. Leider immernoch bei manchen Videos zu langsam...

Es geht schon viel besser aber leider puffert er immernoch bei manchen Videos die eine hoche Bitrate haben alle paar sekunden.

Das ist wirklich schade denn so bleibt mir nur noch die alte Vartainte zu nutzen... habe keine andere Wahl. Hätte nicht gedacht das vpn/Wireguard so Leistungseingeschränkt ist...

Aber wenn das so ist, wie zum Geier machen das andere großen Firmen? Die können sich doch nicht mit solch niedrigen Datenraten zufrieden geben...

Nachtrag:

Was mich allerdings recht stark wundert: Habe es jetzt mal nur über den Port webDav zu gehen ohne reverse proxy und das klappt gar nicht...

habe den WebDavPort in der VPS eingegeben, und reverse Proxy auf der Synology ausgemacht. Die .conf mit dem Port angepasst. Die Firewall angepasst und es klappt einfach nicht, bekomme keine Verbindung...

Finde jetzt den Fehler nicht... Über 443 mit Reverse Proxy hats ja problemlos geklappt. Direkt aber nicht.

Wollt es mal direkt testen ob es vielleicht an der Reverse Proxy in verbindung mit VPN so langsam ist...

Zitat von uboot21

PS. Nachtrag:

Man richtet keine Dateisystem Freigaben über Internet direkt ein, weder Samba, WebDAV oder nfs Freigaben, das kann man machen wenn man viel Ahnung davon hat was man tut, aber so sieht es scheinbar nicht aus.

Da alles ja nicht so funktioniert wie ich es benötige und es nur über WebDav am besten geht... Wäre dann eine FTPS Verbindung sinnvoller? Das könnten die Player auch noch...

GUten Morgen!

JA aber davon rede ich doch die ganze zeit...

Ich habe bis jetzt IMMER die Videos über WebDav abgespielt! Das funktioniert hervorradend. Vor allem weil die Einrichtung auf allen Seiten (synology, Player, App) super einfach ist.

Der Vero 4k und INFUSE(auf dem AppleTV) unterstützen die WebDav freigabe und arbeiten Super damit)

1, jap, wirklich ahnung habe ich nicht, arbeite aber dran...

2. WebDav funktioniert hervorragend über Reverse Proxy auf der Syno.

So habe ich es bis jetzt sehr lange genutzt:

Nur der Prot 443 war auf meiner Fritzbox und jetzt der UDMP zur Synology geöffnet.

Auf der Synology ist der WebDav Server installiert und hat den Port (5354 Https) aktiviert.

Ein Reverseproxy ist eingerichtet der von Https 443 auf localhost https 5354https verweist.

Die Firewall Regel in der Synology einrichten das der Port 443 rein darf. Sonst ist alles gesperrt.

Die App UND natürlich auch der Mediaplayer greifen über den von mir angelegten CNAME/A/AAAA Record dann über Port443 auf die Synology und Spielen ohne Verzögerung alles wunderbar ab.

Lösche ich den Reverse Proxy eintrag, komme ich nicht mehr ans WebDAV weder mit dem PLayer noch sonstwie.

So habe ich es ja bis jetzt immer beschrieben und dachte das man es Tunneln kann, habe ich jedenfalls so verstanden.

Einen VPN auf dem Medaiplayer einrichten funktioniert ja, habs ja geschafft, ist aber zu lahm und nicht zu gebrauchen deshalb fällt das aus.

Also wenn ich das jetzt richtig verstehe, klappt das reverseproxy nicht in verbindung mit dem Tunneln... Also müsste ich den Port vom WebDAV in die Config reinschreiben und dann direkt darüber gehen...?

Kann sein das ich es nicht verstehe, aber ich denke das ist schlimmer als die variante die ich an sich gefahren habe denn mein WebDav Port war bisher NICHT für das Internet offen. Immer nur 443 und dann über reverse Proxy ging es dann weiter...

Hallo.

Bin dabei es so zu versuchen, aber wie befürchtet klappt es nicht auf anhieb.

Also nochmal für mich zum Verständnis:

0.0 Einen A Record anlegen in meinem Webhosting welcher auf die IP des VPS verweist. Z.B. klappt.meineDomain.net -> IPv4 des VPS (Keine NAgebe von Ports oder sonstiges)

0.1 Den Port (66464) "TCP" in meinem VPS freigeben.

1. Den Code mit dem von mir freigegebenen Port in der VPS (z.B. 66464) und der IP meines Servers zu hause (z.B. 192.168.198.130) versehen und in der Unifi.conf speichern und neu starten.

2. In meinem Server zu hause den reverseproxy so anpassen das der Port 66464 auf den WebDavPort zeigt auf dem Server. (Alles Https versteht sich)

3. In dem Server die Firewallregel so anpassen das der Port 66464 reingelassen wird.

Soweit denke ich ist klar...

Dann zum testen eine App aufm Handy die WebDav kann und mi der normalen ipv6 und https WebDav Verbindung geklappt hat und sauber funktioniert.

Host: meine erstellte Domain (klappt.meineDomain.net)

Port: 66464

https

Benutzer

Passwort

Ergebnis: klappt nicht... ich habe schon vieles versucht und getestet aber es klappt einfach nicht....

Irgendwie werde ich das Gefühl nicht los das das mit meiner Domain und dem Verweis auf die IP des VPS nicht ganz richtig Verstanden/umgesetzt ist... Woher weiß denn die App das ich mit meinen Server sprechen will wenn ich ihr nicht sage das ich mit ihm reden will...?

Ich glaube da hats noch nicht klick gemacht....

nslookup zeig mir den vps server an wenn ich es ausführe...

Hallöö,

ich habe hier schon mit dem einem oder anderen Problem gekämpft und super Hilfe bekommen.

Nun habe ich meine UniFi Geräte alle zusammen, eingerichtet und möchte es hier Vorstellen...

Möchte nun fragen ob das so in Ordnung geht oder es verbesserungsvorschläge gibt.

Alle Unifi Geräte werden per FesterIP versorgt. Die Numerierung lässt etwas Spielraum offen falls noch das ein oder andere Gerät dazwischen muss...

An der UDMP ist eine Synology NAS welche für manche Geräte als DNS Server dient. DIe DNS bekommen die Geräte per DHCP vom VLan Netzwerk.

Zitat von uboot21

Auch das beschreibe ich in meiner Anleitung, du kannst feste Ports in der VPS nach aussen hin öffnen (80/443) und diese durch deinen Tunnel direkt zu dem Endgerät (zb. Synology) durchleiten. Alles was dann auf Port 80/443 an der IP des VPS ankommt wird prompt durch den Wireguard Tunnel an die Synology geleitet.

-> Die Synology ist dann natürlich für die Sicherheit zuständig, hier bietet sich der Reverse Proxy der Synology an, mit automatischer Umleitung des Port 80 auf 443 und LEts Script Zertifikaten mit automatischem Update (ist wirklich einfach in der Synology und läuft stabil)

Über den Reverse Proxy verteilst du dann die Anfragen auf die IP intern oder im Netzwerk

Ach, dann habe ich das nicht wirklich verstanden...

Also bräuchte ich an der UDM gar keine Portöffnung mehr machen UND auf dem Mediaplayer auch keinen Wireguard erstellen...?

Sondern einfach meine eingerichtete Webdavdomain auf die IP des VPS leiten... Das klingt gut... Ich versuche es. Das dauert wieder bei mir...

Reverseproxy und SSLZert von letsencrypt läuft schon auf der Synology, das passt..

Die Firewall habe ich nur fürs interne Netzwerk und port443->Reverseproxy eingerichten um dann von 443 auf den internen Synology WEBDAV-Port zu kommen...

Port 80 nutze ich gar nicht... es ist bei mir nur 443 offen.

Zitat von uboot21

Die VPS bei Ionos, zumindest die neuen haben eine Transferrate von 1000mbit, die älteren von 400mbit -> Das läuft bei mir auch sehr gut, auch wenn man nicht ans maximum kommt, habe ich verbidungen mit mindestens 100-200mbit

-> Bist du dir bei deinem Problem denn sicher das dein Upload zu Hause das auch schafft? Ich hab dein Setup nicht mehr ganz vor Augen, aber gerade bei Tunneln sollte der eigene Upload auf sehr hoch sein.

Hmm... Vielleicht schaffte dann der player mit eingerichtetem Wireguard die geschwindigkeit einfach nicht...

Mein Glasfaseanschluss macht jedenfalls 1000MBit Down und 500MBit upload. Wie gesagt, mit direkter Webdav Verbindung (ohne den VPN Tunnel) lutscht der player jede Datei ohne verzögerung durch, inkl. vorspulen oder sonstiges...

HAllööchen!

Muss hier mal nen Update mitteilen...

Ich habe die ipv6 Geschichte leider nicht ganz verwerfen können... Brauche tatsächlich eine "Normale" Freigabe unter öffnen eines Ports (443) für ein Gerät.

Nun ist mir durch zufall aufgefallen das OBWOHL laut diversen "WieIstMeineIPAdresse" seiten keine ipV6 adresse zur verfügung steht es dennoch funktioniert!

Wenn ich die UDMP neusterte bekomme ich für ca einen Tag die IPv6 Adresse und die Test Internetseiten zeigen mir diese auch an. NAch ca einem Tag ist dies nicht mehr der Fall.

Naja, ich habe dann halt auf teufel komm raus eine Freigabe erstellt auf das Gerät was ich benötige und es geht tatsächlich auch jetzt noch nach 2 Tagen.... OBWOHL das INternet sagt das keine IPv6 Adresse unterstützt wird...

Das ist alles sehr eigenartig. Bin espannt ob sie sich jemals änden wird denn wenn ich mich recht erinnern kann sah die schon immer so aus seit ca 2 Jahren.

Die VPS Geschichte funktioniert allerdings weiterhin hervorragend! Allerdings ist für meinen bestimmten Zweck die Wireguard Verbindung einfach zu langsam mit ca 4MB/sek.

Und bevor irgendwelche Schwarzen Gedanken auftauchen: Ich habe bei meinen Eltern einen Mediaplayer stehen mit dem sie auf miene Diskstation zugreifen um Familien/Urlaub Videos zu schauen... Oft sind es aber 4-8K Actioncam oder Drohnen Videos und dementsprechend Groß, sodass der Player alle ca 10 sek puffert für mehrere Sekunden... Dieses Problem habe ich bei einer webdav (https) nicht, das läüft alles flüssig durch.

Zitat von gierig

IPv6 Online Scanner mit der IP deines NAS könnten Aufschluss geben. Den der darf dann nicht rein...

werde ich mal testen die tage...

die app nutzt meinen CNAME den ich auf meiner domain hinterlegt hattte.

Bitwarden.meinedomain.de -> dynv6.net -> DieIPv6vonMeinerDiskstation.

So war die verbindung, mehr nicht.

Habe jetzt erstmal ipv6 an der DS deaktiviert...

Zitat von gierig

Nen DNS von Deutsche Glasfaser. IPv6 ist aktiviert dein WLAN Clients haben IPv6 an,

bekommen eben neben einer IPv6 auch IPv6 DNS Server den sie nehmen und Präferieren.

Dein LAN Clients haben dann kein IPv6 Aktiviert oder präferieren diese dann nicht.

also ipv6 in den vlans komplettt aus und neustarten alles? dann müsste doch nur v4 laufen... oder?

Zitat von uboot21

Allow Established related (also die gewollte Antwort wenn du per IPv6 raus gehst)

Drop invalid traffic

Drop all other traffic

Jup, sind drin.. und sonst nichts davor ider dazwischen. Da habe ich auch nie was gemacht.

Zitat von uboot21

Oder, Falls du Zugriff von Außerhalb hast, prüfe das nochmal, ich vermute das du dabei über Wireguard innerhalb deines Netzwerkes verbunden warst, oder das doch das WLAN noch aktiviert war als du es getestet hast.

Nee, da habe ich wirklich explizit drauf geachtet... Alles war aus. Deshalb war ich so überrascht das es funktioniert.

Ich meine, das es funktioniert hat ist ja korrekt, ABER ohne das ich jemals irgendeine IPv6 Regel aufgestellt hätte dafür?

Oder liegt es daran das ipv6 direkt mit dem Gerät redet ? Finde dann hätte es auch nicht gehen dürfen... Ist bei der fritzbox auch so gewesen... Wenn ich die synology nicht freigegeben habe war nix mit kommunikation...

Zitat von Tomcat

Bitte den ganzen output posten, macht von mir aus die v6-adresse im hinteren Teil unkenntlich unkenntlich

DAs ist der ganze output... Die v6 Adressse ist 2a00:6020:b298:6800::1 das wars...

Ja alle clients bekommen die IP per DHCP, NUR die UNIFI Devices haben fest vergebene IPs aber von der UDM zugewiesen...

Zitat von Tomcat

Schon merkwürdig, da stimmt entweder was in deiner WLAN-Konfig auf dem Client nicht ( nutzt DHCP ? ) oder mit deiner WLAN-Einstellung auf der UDM nicht.

Ja deshalb ist es schon komisch... die Clients bekommen aber die dichtige DNS Adresse von der Synology...das passt, es funtioniert nur nicht.. Als ob man was in der UNifi einstellen müsste, ich weiß nur nicht was...

Zitat von Tomcat

Wie es sein sollte:

- LAN und WLAN sind im selben VLAN und somit im selben IP-Segmente

Genau so ist es auch...

Zitat von Tomcat

Der DHCP-Server verteilt für diese VLAN entsprechend IP-Adresse, DNS usw., dabei spielt es keine Rolle, ob LAN oder WLAN-Client

Genau so sehen ich das auch. auch wenn ich nicht so die ahnung habe, soweit weis ich das auch...

Und deshalb finde ich es sehr komisch...

Zitat von sebcodes

Moin,

hast du denn bei deinem WLAN Client den richtigen DNS Server drin?

ja freilcih, wie im ersten Post beschrieben...

Zitat von Tomcat

Was bekommst du im WLAN, wenn du ein nslookup darauf machst ?

die externe IP ?

Server: unknown

Adress: ne ipv6 Adresse aber nur den Präfix...

ich hätte ja gern die interne ipv4 so wie es im LAN klappt...

IM LAN bekomme ich das was kommen soll:

Server: 192.168.191.20

Address: 192.168.191.20#53

Name: beispiel.meineDomain.de

Address: 192.168.60.80 (Das ist die korrekte IP des Gerätes im Netz)

Ich meine wenn ich

beispiel.meinedomain.de im WLAN aufrufe werde ich im WLAN nicht zur IP verwiesen. Im LAN funktioniert es wunderbar...

Das kann doch nicht normal sein...

HAllo, ich wieder... die problemchen reißen nicht ab, aber es werden immer weniger!

Ich habe auf meiner Synology einen DNS server laufen.

Alle Clients auf der UDM bekommen per DHCP den DNS server der Synology zugewiesen AUCH die WLAN Clients.

Jetzt das Problem: bin ich mit dem Laptop im LAN klappst hervorragend. Gehe ich nur über WLAN rein geht es nicht auch nicht an den Handys...

Die DNS Adresse per WLAN passt, es ist die Synology. aber warum klappt die umschreibung nicht?

Alle Geräte sind im gleichen "VLAN" welches standard ist (kein selbst erstelltes)

Hat jemand eine Idee wo ich anfangen könnte zu suchen?

Falls es relevant ist:

Alle meine Unifi Geräte werden per statischer IP verbunden.

Auch die APs bekommen die ip Statisch und haben wie alle anderen Unifi Geräte auch die dns vom UDMP

Zitat von DoPe

Und warum lässt man auf der Synology einen ddns host mit IPv6 aktualisieren wenn man das ohnehin nicht von aussen erreichbar haben möchte?

ich wollte es ja mal weil ich keine andere möglichkeit hatte auf meine systeme zuzugreifen...

Jetzt habe ich aber eine mit einem VPS Dienst und der Wireguard. Werde jetzt alles ipv6 mäßigen schließen...

Hallo.

Ich muss sagen ich bin etwas überrascht...

Ich habe aus versehen feststellen dürfen das meine Synology aus dem INternet erreichbar ist über ipv6 obwohl ich das nicht explizit in der UDM Firewall freigegebn habe.

Ist das normal? (War ein zufall das grad miene ipv6 adresse gerade ging...)

Kann man / Sollte man das irgendwie unterbinden? Also ich würde es schon gerne irgendwie unterbinden... Das macht mich irgendwie nerwös... (sollte es?)

Aufgefallen ist es mit als ich mal von außerhalb mit dem Handy auf meinen Bitwarden account auf der Diskstation zugegriffen habe und es auch noch geklappt hat...

Hatt zuvor einen ddns eingerichtet auf die ipv6 adresse also das sollte ja klappen, ABER ich habe es bis dato nicht in der UDM freigegeben!

Dann mal so eine Grundsätzliche Frage:

Wie sollten die standard Firewallregeln aussehen damit von außen nicht jeder einfach so mal rein kann...

Ich dachte es sind gewissermaßen Stabndards in der UDM eingerichtet...

Hilfe!

Das ist eine gute Frage... wie kann man das richtig herausfinden?

najaa, wo genau? die ds hat ipv6, im adguard ist es NICHT deaktiviert. wo sollte ich es noch aktivieren? In der udm ist es für die VLNAS auch aktiviert.

Zitat von Tomcat

Bin lange aus der Unifi-Kiste raus, weil ich auch ne OPNSense nutze, aber es sollte kein Problem rein, eine Port-Gruppe anzulegen für Port 53 und 853 ( tcp + udp ) und die dann entsprechend aus den VLAN's freizugeben.

( tcp kann sinnvoll sein für größere Antworten in den DNS-Request und Port 853 wenn du verschlüsseltes DNS nutzen willst )

Das doch was ich brauche ! Nen Wink mit nem Zaunpfahl....

Jetzt brauch ich noch jemand der mir bestätigen kann das ich das richt gemacht habe.....

PortGruppe:

FirewallRegel:

Passt das so?

Zitat von Tomcat

Du kannst dem Tiel jede beliebe Domain geben die du nutzen willst, solange die nichts ins Internet geht.

Was du nichts hast, brauchst du dem AdGuard auch nicht mitzuteilen, es reicht das lokale IP-Netz

So sieht es bei mri aus, ich nutze allerdings meine eigenen Domain im lokalen Netz.

Code

[/local/]127.0.0.1:53053
[/<Meine-Domain>/]127.0.0.1:53053
[/0.10.in-addr.arpa/]127.0.0.1:53053
127.0.0.1:53053
[::1]:53053

Sehe ich das richtig, du nutzt unbound? ich auch...

Also könnte meine Config dann so aussehen:?

die ip der UDMP ist 192.168.191.1 und eine eigene domain habe ich auch. die Synology hat auch das Zertifikat über letsencrypt drauf...

[/local/]127.0.0.1:5355
[/Meinedomain.de/]127.0.0.1:5355
[/191.168.192.in-addr.arpa/]127.0.0.1:5355
127.0.0.1:5355
[::1]:5355

Wäre das so richtig?

[::1]:5355

da meckert adguard jedenfalls schon...