Beiträge von Alex1984

Keine wirkliche Cloud-Lösung: Files liegen auf dem NAS (SMB-Share), iPhone-Verbindung per VPN, auf dem iPhone verwende ich Documents als File-Browser.

Mich interessieren eure Lösungen aber auch, da ich auch nach einer Lösung suche. Meine Anforderungen wären, dass SSO möglich ist und meine SMB-Shares integriert werden können.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Welcher DNS Server ist denn im TV eingetragen oder automatisch hinzugefügt worden. Versuch mal bitte manuell auf 1. (1.1.1.1) und 2. (1.0.0.1) zu setzen!

Als DNS-Server im TV ist bei mir 192.168.30.1 - also das Gateway für das VLAN bzw. die UDM.

Die UDM leitet alle Requests an meinen internen DNS-Server weiter, der dann Abfragen meiner Domain beantwortet, bzw. alles andere an 8.8.8.8 / 8.8.4.4 sendet.

Zitat von hippeland

Bei der Config kann ich nicht helfen, habe aber einen Hinweis zum TV, der mögicherweise Zeit und Nerven schont.

Ich habe je einen Samsung-TV per Ethernet und per WLAN angeschlossen, die sich bei Anmeldung im Web beide bei Samsung Smarthings einrichten ließen. Beide befinden sich in einem anderen Netz, als die smarthings-app auf meinen mobilen Geräten. Mit der smarthings-app kann ich das TV am WLAN steuern, genauso wie eine Samsung Waschmaschine.

Das per LAN angebundene Gerät wird aber immer "offline" angezeigt. Vom Kundendienst wurde mitgeteilt, dass es über die app nur per WLAN-Anbindung funktioniert, das Problem also in der app begründet liegt.

Vielleicht ist es bei LG ähnlich? Dann würdest Du möglicherweise den Fehler an der falschen Stelle suchen.

Ich habe aufgrund dieser Information gar nicht erst versucht, das in der Netzkonfiguration zu lösen.

Alles anzeigen

Das wäre natürlich auch eine Möglichkeit.

Das Problem mit dem Yamaha MusicCast hat sich gestern auch erledigt. Das war tatsächlich leider eher ein Bedienfehler von mir.

Das „Problem“ mit dem LG TV besteht aber weiterhin.

Ja, das ist auch drin:

Moin zusammen,

ich habe da mal ne Frage bzw. ein Problem.

Meine IOT-Geräte sind alle in einem separaten VLAN (030). Meine "persönlichen" Devices (MacBook, iPhones usw.) sind in einem anderen VLAN (050).

Aktuell gibt es keine aktiven Firewall-Regeln, die die beiden VLANs trennen.

Ich kann die Geräte in dem 30er VLAN prinzipiell problemlos aus dem 50er VLAN erreichen (Ping usw.).

Bei zwei Geräten habe ich aber leider ein paar Einschränkungen:

1. Yamaha AVR RX-A3080 (per Kabel verbunden):

Ich kann das Gerät mit der "normalen" Yamaha-App erreichen und steuern. Allerdings kann ich das Gerät mit der Multicast-App nicht verbinden/konfigurieren.

Während des Einrichtungsvorgangs, soll ich mein iPhone temporär in das Config-WLAN des AVR bringen, um die WLAN-Verbindung zu teilen. Der AVR soll aber nicht ins WLAN, sondern per Kabel verbunden bleiben.

2. LG TV mit WebOS (per Kabel verbunden):

Ich kann das Gerät via HomeKit mit den Geräten aus dem 50er VLAN steuern. Auch kann ich das Gerät per API von meinem openHab-Server (wieder anderes VLAN) problemlos steuern.

Allerdings finde ich das Gerät nicht mit der LG ThinQ App.

Config der VLANs:

Config des WLANs (VLAN 050):

Habt ihr eine Idee, was in meiner Config schief ist bzw. was ich vergessen habe?

Danke und viele Grüße,

Alex

Um noch mal zum eigentlichen Thema zurück zu kommen:

Ich vermute, dass in der UDM noch was hakt - wenn ich Traceroute ausführe, bleibe ich bei der internen IP der UDM hängen:

traceroute to 10.99.0.2 (10.99.0.2), 30 hops max, 46 byte packets
 1  unifi (192.168.1.1)  0.006 ms !H  0.006 ms !H  0.005 ms !H

Sollte durch das S2S-VPN nicht automatisch die Route erzeugt werden?

Weiter oben in einem Post konnte man ja auch sehen, dass die eigentlich vorhanden ist.

Und noch eine Frage ergänzend:

Die UDM hat leider nur eine dynamische IP. Mir ist jetzt aufgefallen, dass ich bei meinen Tests jetzt jeden Abend die "Unifi Gateway IP" neu auf WAN1 setzen muss. Ist das "normal" und kann man da was gegen machen? Ich hätte jetzt erwartet, dass die sich automatisch mit aktualisiert und das Feld nicht auf initial gesetzt wird.

bic , der Debian-Server ist ein Cloud-Server mit öffentlicher IP.

Zitat von bic

ich schrieb es eben hier schon, ein IPsec-Server hinter einem NAT-Router ist wohl eher eine unglückliche Konstruktion

Die UDM ist mein Router. Ich habe kein doppeltes NAT.

Ich habe heute noch mal rum probiert, bin aber nicht wirklich weiter gekommen.

Die Route zum Remote Netzwerk sollte die UDM doch selbst erstellen, oder?

Jedenfalls sehe ich einen Eintrag für das Netzwerk in der UDM-Pro:

# ip route
10.0.0.0/24 dev br4012 proto kernel scope link src 10.0.0.1
10.99.0.0/24 dev vti64 proto static scope link metric 30
xxx.xxx.xxx.xxx dev ppp0 proto kernel scope link src yyy.yyy.yyy.yyy
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
192.168.10.0/24 dev br10 proto kernel scope link src 192.168.10.1
192.168.20.0/24 dev br20 proto kernel scope link src 192.168.20.1
192.168.30.0/24 dev br30 proto kernel scope link src 192.168.30.1
192.168.40.0/24 dev br40 proto kernel scope link src 192.168.40.1
192.168.50.0/24 dev br50 proto kernel scope link src 192.168.50.1
192.168.180.0/24 dev br180 proto kernel scope link src 192.168.180.1
192.168.190.0/24 dev br190 proto kernel scope link src 192.168.190.1

Ich bin jetzt schon mal ein Stück weiter und habe es geschafft, vom Cloud-Server auf mein internes Netzwerk zuzugreifen (IPSEC-Config auf dem Debian-Server angepasst).

Jetzt komme ich nur nicht von der UDM-Pro auf den Cloud-Server, folgende Firewall-Regeln habe ich definiert:

Danke für die Antwort.

Ich finde den Fehler nur leider irgendwie nicht in der Konfiguration:

Die UDM ist über eine FQDN erreichbar (vpn.domain.de).

Als lokale IP hat sie die 192.168.1.1 (255.255.255.0)

Der Debian-Server ist über eine öffentliche, statische IPv4 erreichbar.

Als lokale IP hat er die 10.99.0.2 (255.255.255.0)

Die öffentliche IP des Debian-Servers ist in der UDM-Pro als Remote-Adresse hinterlegt.

Die FQDN der UDM-Pro ist als "right" auf dem Debian-Server hinterlegt.

Ich vermute ich verstehe etwas nicht richtig oder übersehe etwas - bin für eure Tipps sehr dankbar!

Viele Grüße,

Alex

Moin und danke erstmal für die Rückmeldung.

Die UDM-Pro hat als interne Adresse die 192.168.1.1 (und noch die Gateway-IPS von ein paar weiten Netzwerken/VLANs).

Der Debian-Server hat die lokale IP 10.99.0.2 (und natürlich seine öffentliche statische IP).

Ein neues Netzwerk für das VPN habe ich noch nicht angelegt. Falls benötigt, würde ich mein „lokales“ DMZ-Netzwerk dafür verwenden. Ich habe aber bisher keine Möglichkeit gefunden, dieses zuzuordnen, wie z.B. bei einem Standard-VPN.

Vielleicht noch ganz hilfreich: Was will ich eigentlich machen?

Ich möchte auf dem Cloud-Server einen Reverse-Proxy laufen lassen, der dann autorisieren Traffic auf meine lokal gehosteten Services leitet.

Hallo zusammen,

ich möchte gerne einen Cloud-Server (Debian11 mit StrongSwan) mit meinem lokalen Netzwerk per Site-to-Site VPN verbinden.

Hierzu habe ich eine entsprechende Konfiguration in der UDM-Pro hinterlegt (IPsec) und auch die Konfig auf dem Debian-Server hinterlegt, so dass die Verbindung erfolgreich aufgebaut werden kann.

Allerdings kann ich von der UDM-Pro nicht die interne IP des Debian-Servers anpingen und andersherum.

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Connection to Homenetwork

conn %default
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=aes128-sha1-modp2048
  esp=aes128-sha1-modp2048

conn myvpn
  keyexchange=ikev1
  left=%defaultroute
  leftid=<ip of debian-server>
  auto=add
  authby=secret
  type=tunnel
  right=vpn.domain.de <dyndns of udm-pro>
  rightid=%any
  rightsubnet=10.99.0.0/24

Ich hätte jetzt erwartet dass ich von der UDM-Pro den Debian-Server per 10.99.0.2 anpingen kann und ich andersrum die UDM-Pro unter 10.99.0.1 anpingen kann - aber das ist leider nicht der Fall.

Könnt ihr mir helfen, welcher Schritt jetzt noch fehlt?

Vielen Dank und viele Grüße,

Alex

Danke für das Bild, jetzt verstehe ich! Ich dachte erst, du hast die Schlaufe im Schrank

Danke für die Antwort!

Das mit der 1HE-Leerblende hatte ich auch schon überlegt, aber irgendwie gefällt mir das aufgrund des verschwendeten Platzes nicht so richtig.

Zusätzlich noch ein wenig "Kabelreserve" einzurichten ist auch ne gute Idee - da muss ich glaube ich noch mal ran! Hast du von der Schlaufe evtl. ein Bild zur Hand?

Das Entfernen der Patch-Kabel von der Front würde ich aber dennoch gern vermeiden.

Ein "Spezialwerkzeug" zum Ein- und Ausklippen der Jacks gibt es so wahrscheinlich nicht, oder? Mal schauen, ob ich mir da irgendwie was bauen kann.

Moin zusammen,

ich hab da mal eine vielleicht doofe Frage: Wie gewährleistet ihr eine gewisse Montagefreiheit in euren Rack-Schränken für die Patchpanel?

Ich habe gestern das erste mal meinen neuen Schrank eingerichtet und das Problem, dass ich z.B. bei dem Panel zwischen UDM-Pro und USW-Pro nicht mehr nachträglich an die Keystone-Jacks komme. Richtig ausbauen kann ich das Panel auch nicht mehr um von vorne dran zu kommen, da ich dann alle eingesteckten Kabel entfernen müsste.

Viele Grüße,

Alex

Zitat von gierig

Daumen Drück hab keine Aktion in FreeIPA kann da also nicht mitreden.

aber nur so halber Hinweis... nicht alle Geräte geben über DHCP ihren HostNamen zurück.

Aber das ist dir bestimmt schon aufgefallen beim sichten des leises file...

Danke - ja, ich hoffe dass das kein Problem ist. Ich würde versuchen, das Update über die MAC zu adressieren - mal schauen, ob das funktioniert.

Danke für den Denkanstoß!

Ich probiere es jetzt wie folgt zu lösen:

1. Die DHCP-Leases holen:

awk '{ print $2, $3, $4 }' /mnt/data/udapi-config/dnsmasq.lease | sort -k2

2. Dann die DNS-Einträge in FreeIPA setzen:

community.general.ipa_dnsrecord module – Manage FreeIPA DNS records — Ansible Documentation

Drück mir die Daumen, dass es so oder so ähnlich funktioniert

Zitat

Vieles ist denkbar und es kommt nur drauf an wie gut oder wie schnell du auf Änderungen reagieren kannst oder must.

Ja, es gibt sicher viele verschiedene Wege.

Da es sich bei mir um keine Enterprise-Umgebung, sondern nur um mein privates Netzwerk mit überschaubaren Usern und Hosts geht, wäre sicher auch der manuelle Weg durchaus machbar.

Bei meinen Versuchen solche Schritte zu automatisieren geht es eher um das Lernen dabei.

In den ersten Schritten möchte ich die Hosts gerne mehr oder weniger automatisiert in FreeIPA anlegen und updaten (DHCP).

Dann sollen die Hosts aus dem Verzeichnis auch automatisch ins Monitoring übernommen werden (LDAP-Integration in Icinga2).

Danke für die ausführliche Antwort. Sowas hatte ich befürchtet, mir aber natürlich etwas anderes erhofft.

Wäre es andersrum ein Ansatz, ein externes Script laufen zu lassen, dass die DHCP-Einträge der UDM Pro z.B. per SSH abruft und dann an bind von FreeIPA pusht?

(Ich denke z.B. gerade an ein regelmäßig laufendes Ansible Playbook)

Hallo zusammen,

ich möchte gerne zukünftig meine User und vor allem virtuellen Hosts über FreeIPA managen.

FreeIPA bringt einen DNS-Server, aber keinen DHCP-Server mit.

Das passt mir eigentlich auch ganz gut, da ich für die IP-Verwaltung eh gerne die UDM-Pro weiter nutzen möchte.

Generell reserviere ich für meine virtuellen Hosts eh eine feste IP, dennoch würde ich gerne wechselnde IPs automatisch an FreeIPA updaten.

Normalerweise passiert das über dhcpd - ich habe aber bisher keine Möglichkeit gefunden, die UDM-Pro entsprechend zu konfigurieren.

Habe ich etwas übersehen oder muss ich tatsächlich einen externen DHCP-Server nutzen bzw. die IPs manuell in FreeIPA updaten?

Danke und viele Grüße,

Alex