Beiträge von leer

Moin, ist viel auf dem Switch konfiguriert? Ansonsten würde ich diesen einmal aus dem Controller löschen, auf Werkseinstellung zurücksetzen und erneut adoptieren.

Solltest du lieber auf den UniFi Cloud Manager und somit auf Site Magic verzichten wollen, kann ich dir noch WireGuard ans Herz legen. Funktioniert wirklich problemlos und setzt auch keine festen IPs voraus.

Verstehe das Problem auch nicht so ganz. Wieso lässt sich das Tag nicht entfernen? Erscheint eine Fehlermeldung?

Genau das ist doppeltes NAT:

Alle Geräte im 192.168.178.0/24 Netz erhalten ausgehend die 192.168.1.2 und landen somit in der NAT Tabelle.

Der nächste Schritt ist über die Fritz!Box, deine 192.168.178.0/24 Geräte haben jetzt durch das NAT eine 192.168.1.2 Adresse und bekommende ausgehend die öffentliche IP, landen somit wieder in der NAT Tabelle.

Welche Konfig-Datei für doppeltes NAT ist gemeint?

Du hast auch direkt die Tücken vom doppelten NAT entdeckt: Möchtest du ein Gerät im 192.168.178.0/24 Netz über das Internet ansprechen, musst du zwei Port Weiterleitungen einrichten (auf der Fritz!Box und auf der USG).

Ich würde mich per VPN mit der USG verbinden. Dann hast du direkt Zugriff auf das 192.168.178.0/24 Netz.

Möchtest du weiterhin auch auf Geräte an der Fritz!Box zugreifen und dich lieber damit per VPN verbinden, musst du eine Route für das 192.168.178.0/24 Netz (192.168.178.0/24 ist bei der 192.168.1.2 zu finden) anlegen und eine Firewall-Freigabe auf der USG anlegen (192.168.1.0/24 eingehend erlauben).

Moin, Switch an Switch ist ganz normal in der Netzwerkverkabelung und lässt sich manchmal einfach nicht verhindern. Dies sollte auch zu keinen nennenswerten Einbußen führen.

Ein besseres Szenario sehe ich auch nicht, außer vielleicht den Express gegen ein Cloud Gateway Ultra zu tauschen. < wäre rausgeschmissenes Geld

Moin

Auf dem Port für den Außen-AP ist ja als Native Netz das VLAN 5 ausgewählt. Somit würde jemand, der den AP vom Netz nimmt und sich selbst damit verbindet, ebenfalls eine IP aus dem VLAN 5 erhalten. Er könnte also nur die anderen APs, nicht aber die Geräte in den anderen Netzen sehen. Auch das Ändern der IP würde ihn nicht automatisch in eines der anderen VLANs bringen. Er müsste das VLAN Tag seiner Netzwerkkarte entsprechend setzen (Tagged VLAN 2, 3, 4 oder 6).

Um auch dieses Szenario zu verhindern gibt es, wie bereits erwähnt, abschließbare Patch Kabel: Reichelt

Falls du mit der Host Adresse das Gateway bzw. die Dream Machine meinst: Korrekt, die Dream Machine ist trotz der Regel von allen Netzen zu allen Netzen erreichbar. Nur die anderen Geräte sollten wieder pingbar, noch erreichbar sein.

Ansonsten gibt es mittlerweile ja auch die Option auf dem Screenshot im Anhang.

Korrekt, die VLAN Netze sind erstmal unabhängig von der Firewall Regel und werden so durchgereicht.

Moin, deine Ansätze sind doch schon ganz gut.

Ich würde das Default Netz als Management Netz betrachten und dort keine Clients sondern nur die Dream Machine und die Switche unterbringen.

Die Access Points würde ich in einem zusätzlichen Netz unterbringen. Dies würde auch dein Problem mit den Außendosen ein wenig eindämpfen. Ansonsten gibt es auch noch RJ45 Schlösser.

Sagen wir mal deine APs landen im Haustechnik Netz. Jetzt würdest du dem Port, an dem der jeweilige AP hängt, das native VLAN 5 zuweisen und Tagged VLAN 3, 4 und 6. Damit die jeweilige SSID auch weiß in welchem Netz sie ist, muss unter WiFi das jeweilige Netzwerk angegeben werden.

Das hat natürlich den Nachteil, wie du bereits mit "Konfiguration zerstören" festgestellt hast, dass man beim Umstecken die VLANs anpassen muss. Das kann man aber leider nicht wirklich verhindern, außer man setzt eine NAC Lösung ein.

Noch zu dem MAC Filter: Du müsstest hier natürlich auch alle mobilen Geräte angeben, nur der AP reicht nicht. Das ist natürlich nur schwer händelbar.

Anhand deines Screenshots sieht man leider nicht die gesamte Konfiguration deiner Inter-VLAN Regel. Anbei ein Screenshot wie die Regel bei uns angelegt ist und auch funktioniert. Ansonsten gibt es auch (seit kurzem?) bei den Netzwerken die Checkbox "Isolate Network", welche genau dasselbe bewirken sollte.

Beste Grüße

Vielen Dank für die Antwort.

Das bestätigt meine Befürchtung. Bleiben eigene Einträge unter iptables auch nach einem Reboot / bei Änderungen über die GUI erhalten?

Moin zusammen,

wie der Titel schon sagt, versuche ich den gesamten Traffic für ein bestimmtes Netz über den Site-to-Site IPSec Tunnel zu schicken. Bei den USGs konnte man dies noch über die config.gateway.json realisieren (192.168.123.0/24 -> 0.0.0.0/0).

Traffic Routes (Link) erlauben es nur OpenVPN oder WireGuard über den Tunnel zu schicken. Die Gegenseite unterstützt diese Verfahren nur leider nicht.

Über eine statische Route ist dies auch nicht möglich. Erstens möchte ich nicht alle Netze über das IPSec Netz routen und zweitens erlaubt der Controller hier kein 0.0.0.0/0 Netz.

Vielleicht habt ihr noch Ideen, ich wäre sehr dankbar.

Viele Grüße