Danke!
Heißt dann aber, alles komplett über UCG zu managen, also auch die Einwahl, ist nicht möglich?
Ich frage aus folgendem Hintergrund: Gerne würde ich auch die Internetverbindung im unifiOS sehen können wollen. Stichwort: Verbindungsqualität usw. ... und eben nicht nur WAN-Port und dann eine 'Blackbox'.
Vielen Dank für die klare Aussage! Ich werde es so probieren.
Die Einwahl macht dann aber nicht der UCG Ultra per PPPoE, korrekt?
Moin,
bei Freunden gegeben ist ein Internetanschluss über Kabel von unitymedia und so eine "ConnectBox". Dahinter soll nun ein anständiges Netzwerk, insbesondere weil perspektivisch auch Kameralösungen eingesetzt werden sollen. Ich hatte dann Ubiquity empfohlen. Da die Telekom vor Ort nur relativ lahmes Internet legt, macht es für die schon Sinn bei Vodafone / unitymedia zu bleiben.
Wie kann ich den UCG Ultra da nun dran dübeln?
Meine erste Recherche ergab, so ganz einfach scheint es nicht zu sein (Stichwort: Dual Stack). Das bestätigt mich in meiner Skepsis gegenüber diesen vom Providern bereitgestellten bzw. aufgezwängten Kisten. Können halt nur rudimentär das notwendigste für Oma Erna und Tante Heinz. Sobald man aber höhere Ansprüche hat, muss dahinter was anderes. Entsprechend wäre die Frage, ob man die ConnectBox auch loswerden kann.
Oder geht es auch 'mit' ConnectBox' ganz einfach? Spielt die mit dem UCG Ultra als Modem zusammen? Falls nein (was ich befürchte), kann man was tun?
Besten Dank für den Rat der Vodafone-Experten (PS: Habe selbst nur Erfahrungen mit DSL Anschlüssen der Telekom).
Da gebe ich Dir vollkommen recht.
Nur mache ich das ja nicht aus Spaß an der Freud, sondern u. a. weil einige Hersteller offenbar der Meinung sind Ihre Kunden haben zu viel Zeit oder wollen, analog zu einem Ü-Ei, noch etwas "Spiel, Spaß und Spannung".
Anders ist es kaum zu erklären, weshalb man Geräte im Auslieferungszustand hardcoded mit 10.10.10.10 anstatt diese einfach per DHCP vorzukonfigurieren. Als hätte man Zeit! Und hat man diese Hürde gemeistert, kommt in der Regel noch die Einschränkung hinzu "Browser-Interface geht aber leider nur mit Windows".
Übersetzt für den Kunden heißt das - will man nicht die bestehende Netzwerk-Verkabelung auseinanderreißen - man besorge sich ein Win-Notebook, hängt sich mit Crossoverkabel an die Kiste und konfiguriert diese erst mal so um, dass sie überhaupt ansprechbar ins Netz kommt. Bei einer USV noch machbar. Extrem nervig hingegen Gigaset Access Point mit PoE. Da steht man dann im Regen, weil das Teil ja von irgendwoher Strom braucht. 
Wollte da die Tage 'nur mal eben' zu Hause von einem Problemgerät die Seriennummer auslesen. Der Hersteller druckt diese - kundenfreundlich - sicherheitshalber nicht auf das Gerät. Stattdessen muss man das Gerät in Betrieb nehmen und sich einloggen. Blöd nur, wenn es mit statischer IP in einem anderen Netz hing. Entsprechend war mein Glaube, ich mache einfach ein zweites Netz am Cloud Gateway auf, packe als Gateway-Adresse die mir bekannte vom Netz wo ich das Teil abgebaut hatte und dann komme ich da drauf. Ging natürlich nicht. Nicht mal ein Ping war möglich. Drei Stunden hatte ich es damals versucht und dann entnervt aufgegeben.
Der Satz ist verwirrend. Wenn die USV im USV netzt sein soll dann MUS der Port an dem die USV hängt auch im VLAN3 sein.
Das tut mir Leid. War nicht meine Absicht. Ich hatte zunächst die VLAN ID nicht umgestellt, dies aber auf Hinweis von anderer Stelle dann gemacht. Selbst dann ging es zu unserer Verwunderung nicht.
Die USV hatte diese Adresse voreingestellt. Meine Vermutung war auch es liegt am Gerät. Allerdings hatte ich das gleiche Problem auch bei einem anderen Cloud Gateway Ultra mit einem Gigaset Access Point. Zweites Netz aufgemacht mit dessen IP-Bereich und auch dann ging nicht mal ein ping.
Um den "Klang" zu verifizieren, werde ich das mit dem Port jetzt noch mal genau anschauen und nachstellen. Melde mich wieder.
Das ist es leider nicht. Denn dort ist nichts merkwürdig eingestellt.
Anbei Screenshots.
Was habe ich gemacht?
1. Netz "Default" ist ja das Standardnetz. Da hab ich nichts groß angelegt oder verändert, außer den IP-Bereich
2. Netz "USV" angelegt. Das Cloud Gateway Ultra hat dem die VLAN ID 3 gegeben. Das Gerät in diesem Netz (eine USV) hat die IP 10.10.10.10 mit Subnetz 255.255.255.0.
Nun wollte ich 'mal eben' von einem Client im Netz "Default" auf die USV im Netz "USV" zugreifen. Das ging nicht. Auch nicht, wenn ich am Switch wo die dran hängt (Pro 24x PoE) am Port VLAN ID 3 eingestellt hatte.
Das Gerät bleibt unerreichbar. Am Gerät liegt es übrigens nicht. Testweise habe auch andere Geräte mal in das USV-Netz gehängt. Innerhalb des Netz USV waren die auch alle sichtbar und konnten untereinander problemlos kommunizieren. Eine Kommunikation zwischen den beiden Netzwerken "Default" und "USV" ist jedoch unmöglich.
Bei den Firewall-Regeln habe ich auch nichts ergänzt. Ich hatte ja immer hier gelesen, man muss nichts einstellen und gehe von selbst. Lediglich wenn ich die Kommunikation unterbinden möchte, müsste ich das.
Für 2 VLANs die gleiche ID zu nutzen, würde ja auch dazu führen, dass es eigentlich doch nur ein VLAN wäre, mit 2 unterschiedlichen IP Subnetzen. Von daher ist das eine ungültge Konfiguration und das Verhalten völlig korrekt. Eine VLAN ID kann nur einmal vergeben werden.
So hatte ich es vom Prinzip bisher auch stets verstanden. Daher hatte ich die Anmerkung diesbzgl. weiter oben nicht nachvollziehen können.
Was hast Du denn jetzt für Switch(e)?
Ich hab das Cloud Gateway Ultra.
Die ganzen Clients haben jetzt per DHCP eine IP aus dem entsprechenden VLAN erhalten (nach der Umstellung der IPs)? Und auch die statisch konfigurierten Geräte, die Du erwähntest, hast Du korrekt umkonfiguriert? Kannst Du die Geräte allesamt erreichen wenn Du im gleichen VLAN verbunden bist?
Ja, kann ich problemlos.
Alles im neuen und alles im alten Netz ist jeweils problemlos erreichbar. Was einzig nicht funktioniert ist, dass beide Netze miteinander sprechen.
Router hab ich natürlich auch mal neu gestartet.
Display More- auf den Clients die Gateway Richtig ? (DHCP einstellungen auch prüfen, da kann man ggf nen Gateway
konfigurieren wenn nicht automatisch)
- PING und Windows mögen nicht aus anderen VLAN angesprochen werden (Win Firewall, oder öffentliches Profil)
Das hat schon manschen ne schlaflose nacht bereitet
- Geräte im "neuen" 192er dann auch auf den PORTS ins richtige VLAN geschoben ?
- geht internet auf den Geräten ? (das währe nen Indiz da gateway und VLAN grob richtig sind)
- Netz nicht als Gast oder Isoliert eingerichtet ?
1. Auf den Clients in Netz A ist .1 als Gateway eingestellt, für die Clients des Netz B ebenfalls .1 des Netz B.
2. Ich pinge nicht nur Windows-PCs mit Firewall an, sondern Drucker, ESXI, usw. ...
3. Netz A und Netz B haben unterschiedliche VLAN IDs vom Cloud Gateway Ultra bekommen. Ich habe keine Möglichkeit gefunden, hier die gleiche zu vergeben. Will ich unter "Advanced" weiter unten die VLAN ID anders einstellen, sind alle möglich, nicht aber die des Netzwerks "Default" (Netz A).
4. Internet geht auf allen Geräten.
5. Nein, Netz nicht als Gast oder isoliert eingerichtet. Meine Schritte hatte ich ja in einem späteren Post beschrieben und hoffe diese sind soweit nachvollziehbar.
Mit Browserfenster meine ich Safari in macOS.
Ich habe lediglich ein Cloud Gateway Ultra.
PS: Das mit der UDM war versehentlich in der Angabe oben. War damals spät. Versuche es zu ändern.
Vielen Dank für Eure Hinweise.
Hmm... also es sind nicht alles nur Windows Geräte. Somit kann das nicht die eigentliche Ursache sein.
Nochmal kurz was ich gemacht habe:
1. In der 'Network' App auf das Zahnrad 'Einstellungen' > 'Networks'. Dort ist das LAN das Standard-LAN "Default" (= Netz A).
2. Dort habe ich dann ein zweites LAN namens "Neu" ( = Netz B) angelegt.
Meine Erwartungshaltung war nun, beide LANs können miteinander kommunizieren. Dazu muss ich aber ganz offensichtlich noch irgendwas zusätzlich machen. Denn von selbst geht es nicht. Bin ich bspw. mit 10.10.10.123 als Client im Netz A unterwegs und möchte nun auf bspw. einen Client 192.168.1.123 im Netz B zugreifen, z. B. einen Drucker, geht das über das Browserfenster nicht.
Moin,
kurze Frage ... ich hab mich verhakt, finde aber meinen Denkfehler nicht.
Ich hab ein LAN mit IP 192.168.1.y. ... Soweit so gut!
Jetzt wollte ich die IPs auf ein anderes LAN umstellen, z. B. 10.10.10.1 bis .254. Das klappte noch. Also "Default" in 10.10.10.x/24 umgestellt und ein zweites LAN mit Namen "Alt" generiert und Adressraum 192.168.1.x/24. Die Geräte sind überwiegend (aber nicht alle) per DHCP im Netz. Als Gateway und DNS gebe ich in beiden LANs jeweils die .1 Adresse des Cloud Gateway Ultra an. Ich kann über beide .1 Adressen auch auf den Controller zugreifen. Die IPs werden den Geräten auch zugeteilt. Jetzt gilt es noch die Geräte mit statischen IPs umzubiegen.
Was nun nicht klappt, ist über den Browser jetzt IP-Adressen aus dem anderen Bereich anzusprechen. Beispiel: Mein Rechner hat 10.10.10.irgendwas als IP vom DHCP bzw. UCG bekommen. Zugriff auf 10.10.10.1 klappt. Auf 192.168.1.1 klappt auch. Zugriff auf 192.168.1.irgendeineandereIP klappt nicht. :-/
Muss ich da noch irgendeine Firewall-Regel einrichten? Ich dachte standardmäßig ist die Kommunikation zwischen beiden Netzen erlaubt.
Besten Dank für einen Hinweis, woran es hakt.
Du hast sehr richtig erkannt, dass es ohne entsprechende Konfiguration keinerlei Sicherheitsgewinn bringt, eine teure Firewall einzusetzen. Mit der allseits beliebten "Scheunentor-Regel" (Allow Any --> Any) schützt eine Firewall genauso viel oder wenig wie jeder herkömmliche Router.
Was einem leider kaum ein Händler, Dienstleister oder bunter Werbekatalog erzählt: Firewalls bringen nur durch deren Anschaffung überhaupt keinen Sicherheitsgewinn. Sie sind ein (potentes) Werkzeug, mit dem man sein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass man überhaupt ein Sicherheitskonzept hat und auch Personen, die sich mit allem zumindest grundlegend auskennen und bereit sind, sich weiter einzuarbeiten.
Danke! Und genau das ist der Grund meiner Entscheidung.
Das teure Highend-Werkzeug wird aktuell überhaupt nicht adäquat genutzt. Und dann bringt es mir auch nichts bzw. kann gleich mit dem im Router eingebauten, gröberen Funktion leben. So ausgefuchste Dinge was ihr hier alle macht, VLANs für jede Komponenten-Gruppe o. ä., nutze ich bei weitem nicht. Entsprechend muss ich die auch nicht untereinander abschirmen. Und selbst wenn, wäre es ja recht einfach mit einer Regel zu bewerkstelligen.
Dann das VLAN dicht machen und nur die notwendigen Ports aus bestimmten VLAN (Endnutzer) zulassen.
Man bekommt es auch bei der UDM ganz gut geregelt. Da aber der Schwerpunkt nicht auf FW liegt, ist es dort schnell unübersichtlich mit langen Listen.
Du hast es sicher schon gesehen, wie übersichtlich so etwas bei Sophos ist.
Danke für die Screenshots mit den direkten A/B-Vergleichen.
Dann gehöre ich offenbar zur seltenen Gruppe der Menschen, die eine cleane übersichtliche Listendarstellung gegenüber einer verspielt-bunten, merkwürdige layouteten Darstellung bevorzugen. Ich gebe Dir recht, bei übermäßig vielen Listen wird die Listendarstellung irgendwann unübersichtlich. Da müsste man sich dann schon ein einheitliches Wording für die Listen überlegen. Es richtet sich offenbar vornehmlich an die Zielgruppe, welche mit einigen wenigen Listen auskommt. Sprich, nicht die Universität, sondern Café X oder Arztpraxis Y.
Das ist kein Grund auf eine sichere Firewall im Firmennetz zu verzichten.
Das habe ich ja auch nicht vor.
Habe ich Dich korrekt verstanden, dass Du die in unifi OS eingebaute Firewall somit als unsicher bezeichnen würdest?
Was ich aber noch nicht verstehe ist, wieso die UniFi Firewall für "Firmennetz" per se Schrott ist bzw. Sophos & Co hier grundsätzlich besser sind, selbst wenn die dort zusätzlich möglichen Einstellungen gar nicht genutzt werden? Ich stelle dabei gar nicht in Abrede man kann dort filigraner einstellen. Nur, braucht man das in allen Fällen? Muss ich bspw. zwingend zahlreiche VLANs einrichten und alles was möglich ist nutzen? Am Ende kann man sich damit auch vollbeschäftigen. Wird es damit aber auch wirklich deutlich sicherer?
Zu Hause habe ich bspw. das einfache Cloud Gateway. Läuft wunderbar. Port Scan ergibt null offenen Ports. Somit ist das Haus von außen schon mal dicht. Und Traffic nach außen kann ich dann ja wunderbar mit wenigen Klicks einschränken. Wieso ist das jetzt unsicherer als mit einer Sophos, Securepoint oder sonstigen Alternativen? Kann man mit dem Ferrari nicht umgehen, ist es vielleicht nicht das richtige Auto. Aber mit günstigeren Fahrzeugen kommt man evtl. auch sicher an Ziel, oder etwa nicht?
Ich verstehe Dich vollkommen.
[...]Mein Tipp: Wenn die Sophos-Liz. Tot sind wechseln auf die UDM, parallel die Sophos Hardware neu bespielen mit OPNSense und da ein wenig sich Einarbeit.
[...]
Also ich mache es kurz. Die Entscheidung für UniFi ist bereits gefallen. Die Lizenz ist auch quasi abgelaufen. Es geht nur noch darum, welches Gerät ausreichend dimensioniert ist.
Natürlich werfe ich die Sophos nicht in den Müll. Von OPNSense habe ich bereits gehört. Jedoch mangelt es mir momentan an Zeit mich da einzuarbeiten. Schaue ich mir aber gerne mal an. Sorge habe ich davor, hier wieder ständig fummeln zu müssen.
Danke für die Klarstellung hinsichtlich meiner Fragestellung.
Zu Deiner Frage... Wir haben eine Sophos. Diese nervt aus diversen Gründen: teure Lizenzen, komplizierte Bedienung, Fachmann erforderlich (der dann selten adhoc Zeit hat).
Ausgereizt wird die Lösung auch nicht. Denn anstatt per se alles zu verbieten und nur dediziert Traffic freizugeben, wird pauschal alles auf Durchzug geschaltet. Das kann man natürlich so machen. Allerdings braucht man sich dann m. E. auch keine Sophos leisten. Die ganzen Möglichkeiten der Lösung werden nicht mal ansatzweise genutzt. Warum? Weil es keiner administriert bekommt, es sei denn er macht das täglich.
Bitte versteht mich nicht falsch. Mir ist völlig bewusst eine dediziertes Firewall-Lösung ist natürlich besser als eine lediglich als Beischmuck integrierte Lösung im unifiOS. Nun mache ich aber auch wirklich keine komplizierten Dinge. Das Ding dient lediglich dazu das Netz vor Angriffen von außen abzusichern und eine VPN-Einwahl sicherzustellen. Mehr nicht.
Ich hätte es daher gerne simpler. Draytek Vigor für die Einwahl ins Internet, Dream Machine dahinter als Controller samt eingebauter Firewall (wo ich von mir aus nur rudimentär - dafür aber selbst - einstellen kann), dann mein Netzwerk dahinter und fertig.
PS: Ich nutze kein Windows.
Guten Tag,
eine Verständnisfrage zum Durchsatz.
Wie ist der Durchsatz von 3,5 Gbps (UDM Pro) und die 5 Gbps (UDM Pro Max) beim IDS/IPS zu verstehen? Bezieht sich das auf den WAN Traffic oder auch auf den LAN Traffic (was ich vermuten würde).
Der Hintergrund ist wie folgt: Das Gerät soll die vorhandene Firewall ersetzen. Im Netzwerk sind u. a. bereits auch 10 GB/s Clients und ein USW-Aggregation verbaut. Limitiere ich mir mit dem Wechsel auf die UDM Pro Max bei aktiviertem IDS/IPS nun die interne Bandbreite im gesamten Netzwerk auf maximal 5 Gb/s? Entsprechend würde ja bei aktiviertem IDS/IPS jeder 10 GB/s-Client in seinem Durchsatz erheblich beschränkt werden.
Vielen Dank für eine Klarstellung.
Also ich hab's gerade noch mal nachgeschaut und es sollte nun alles passen. Hatte die Priorities noch mal korrekt gesetzt. Verkabelung passt jedenfalls.
Okay. Danke für die Bestätigung.
Ich hab das aktuell nämlich auch so am laufen... nur zeigt er mir an:
"Multiple switches have the same STP Priority. Reassign priorities to avoid network loops."
Daher wollte ich da sicherheitshalber noch mal nachfragen. Denn irgendwas mache ich da ja wohl doch falsch.
Darf ich das noch mal Aufwärmen?
Anschlussfrage: Der USW-Aggregation ist ja vornehmlich dafür gebaut die Switches zu vereinen bzw. zu bündeln. Darf ich an den auch normale Clients anbinden oder handele ich mir damit dann im Netz Probleme ein (Stichwort STP und Loops)?
VLANs setze ich bis dato noch gar nicht ein. War mir bisher immer zu kompliziert und es gab keinen Bedarf im Heimnetz. Das ändert sich jetzt. Von daher bin ich da bis jetzt noch ziemlich oldschool unterwegs.
Was ich kenne ist, Fritzbox macht Einwahl und via statischer Route geht es dann zur Firewall, welche als Exposed Host das Gateway im Netz ist. Es geht also alles über die Firewall. Die Fritzbox hat intern ihre 192.169.178.1 und die Firewall hat dann das eigentliche IP-Netz unter Ihren Fittichen (und darin die ganzen Endpoints). Von der Fritzbox geht es ausschließlich über die statische Route weiter ins Netz. Die Firewall kann nicht umgangen werden.
