Beiträge von Falke07

Zitat von gierig

VLAN erstellen erstellen hast du vergessen sonst is doof mit Routing Firewall wenn du nur einen anderen IP kreis

ins gleiche VLAN nimmst...

Ich glaube, dass ist die Lösung. Habe mich soeben mit der Konfiguration von VLAN beschäftigt (Bisher kein Wissensstand ;-().
Wenn ich das richtig verstanden habe, erstelle ich ein VLAN und lege dieses auf nur einen Port am Unifi- Switch (Nativ). Somit liegt das Netzwerk nur an diesem Port, wo ich dann den Router (WAN) einstecke und es müsste mal zum Anfang alles passen, dass kein Zugriff auf das Hauptnetz besteht.

Ich werde das mal als Basis hier entsprechend umsetzen.

Hm OK,

mein momentaner Gedanke:

- Ich schließe den Router an.

- Der Router bezieht sich eine IP- Adresse für WAN- Anschluß am Router

- Diese IP- Adresse mache ich als Fixed- IP für den Router (192.168.178.217) was ja dann die WAN- Adresse für den Router ist

Nun sollte ich doch im Controller (UniFi) das Routing einstellen können.

Ich denke so in die Richtung:

- 192.168.178.217 darf nur auf 192.168.178.1 (Gateway) =>

- 192.168.178.217 disallow 192.168.178.2 - 192.168.178.253 / kein Zugriff auf alle anderen IP- Adressen in diesem Netz

Wenn das korrekt ist stellt sich die Frage welche Regel wo wie?

Zusatz:

Warum wird mir der Router 200 in der Endgeräteübersicht trotzdem mit 192.168.178.217 angezeigt und kann von dem Router aus auf 192.168.178.0/24 voll zugreifen, wenn ich folgende Einstellung setze und das Nebennetz 192.168.200.0/29 (mittlerweile) als Gastnetz deklariere

Ok, hier noch zusätzliche Informationen:

- Controller auf PC mit WIN11 Ebene auf 192.168.178.50

- Fehlermeldungen / Versuche gibt es noch nicht, da ich zuerst das Routing erstellen möchte, um sicher zu stellen, dass niemand von extern auf mein Hauptnetz zugreift.

Was möchte ich:

Der 2. Router ist von einem externen Dienstleister, auf deren Netz ich dadurch zugreifen kann. Ich möchte aber im Gegenzug sicherstellen, dass der Dienstleister nicht an mein Hauptnetz rankommt. Also ich zu Ihm => ja, er zu mir ins Hauptnetz => nein.

Die grafische Darstellung ist nur von mir mal als Gedanke entworfen; Anschluss des 2. Routers kann selbstverständlich geändert werden

Zitat

und Route für die Ziele Manuel legen auf dem PC und schon ist alle schön getrennt.

Und genau da habe ich meine Schwierigkeiten. wo ich Hilfestellung benötigen würde.

Eigentlich wäre mein erster Step (Gedanke), dass der 2. Router auf WAN im Nebennetz angeschlossen wird und die IP 192.168.200.1 bekommt.

Nur wie erreiche ich das

Hallo zusammen,

ich möchte ein 2. Netz (blau) in meine Umgebung integrieren. Leider bin ich jedoch in Sachen Netzwerk / Routing nicht all zu fit, weshalb ich mich an dieses Forum wende um vielleicht Unterstützung zu erhalten.

Das Hauptnetz 192.168.178.0/24 ist momentan Bestand.

Es handelt sich wie im Bild dargestellt um die Einbindung / Erweiterung eines 2. Routers mit dem Netz 192.168.240.0/24. Da jedoch auf diesen Router noch ein anderer von extern Zugriff hat, möchte ich dieses Netz ausschließlich so konfigurieren, dass vom PC aus auf das Netz zugegriffen werden kann, jedoch über das Netz von extern keiner auf das Hauptnetz 192.168.178.0/24 zugreifen kann.

Hierfür habe ich das Nebennetz 192.168.200.0/30 in der USG angelegt und die 2. Netzwerkkarte (LAN2) im PC mit 192.168.240.2 konfiguriert

Nun stehe ich vor der großen Herausforderung, das Routing und die Regeln in der USG so zu definieren, dass dies gewährleistet ist.

Kann mir da jemand ein paar Tipps oder Vorgehensweisen geben, wie diese Regeln in der USG aussehen sollten. Wäre echt super.

Gruß

Falke07

Hallo,

vielen Dank für diese Informationen

Also die Kamera wird mit PoE, 12VDC Spannungseingang, max. 15W angegeben. Mehr habe ich nicht.

Anbei mal der Link: Link Kamera

Da hier nur die Angabe PoE steht und auch nur max. 15W benötigt werden, kann ich also jeden 802.3af/at Adapter verwenden, wie zum Beispiel: Link Adapter

802.3at = max. 15 Watt, aber da 802.3af abwärts kompatible, wäre dieser, wenn ich das richtig verstanden habe ausreichend und ich brauche keinen Switch.

Sehe ich das richtig?

Hallo zusammen,

ich bin in Sache PoE nicht ganz so fit; lerne mich gerade ein.

Ich möchte eine Kamera mit PoE betreiben. (Kamera hat PoE)

Nun habe ich gesagt bekommen, dass es egal ist, welchen PoE- Switch ich verwende, um die Kamera mit Strom zu versorgen, da der Switch die benötigte Leistung (Watt) der Kamera selber steuert.

Ist es wirklich so, dass ich jeden beliebigen PoE Switch an jede PoE Kamera hängen kann?

(Vorausgesetzt, die Watt- Leistung / Port ist ausreichend)

Gruß

Falke07

Hallo zusammen,

falls es jemanden interessiert:

Ich bin bei diesem Thema etwas voran gekommen. In der neuen Release vom Controller kommt unter Einstellungen => System folgende Anzeige:

Wenn nun (1) ausgewählt ist, können einige Einstellungen unter (2) vorgenommen werden. Diese werden bei "Default" nicht angezeigt und somit auch nicht protokolliert.

Gruß

Falke07

Moin,

@jkarsten

jetzt hat es funktioniert. Vielen Dank für die doch unterm Strich sehr einfache Lösung

Gruß

Falke07

Ich bin im Bridge Mode- Komme somit nicht mehr an den 2. Port ran. Oder gibt es da eine Trick

Moin zusammen,

also ich habe jetzt von:

- 192.168.170.1 zu 192.168.178.100 den Port Forwarding drin sowie die Rule drin.

die config.gateway.json wie folgt:

{
    "interfaces": {
        "pseudo-ethernet": {
            "peth2": {
                "address": ["192.168.170.1/30"],
                "description": "Zugriff auf Vigor 165",
                "link": ["eth2"]
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "5001": {
                    "destination": {
                        "address": ["192.168.170.2"]
                    },
                    "outbound-interface": ["peth2"],
                    "type": "masquerade"
                },
                "4501":{
                   "description":"Syslog1",
                   "destination":{
                      "address":"192.168.170.1",
                      "port":"514"
                   },
                   "inbound-interface":"eth3",
                   "inside-address":{
                      "address":"192.168.178.100"
                   },
                   "protocol":"udp",
                   "type":"destination"
                }
            }
        }
    }
}

Syslog findet einfach den Router nicht.

die Shell zeigt an, das abfragen von Vigor von 192.168.170.2 auf 192.168.170.1 gehen und dann nichts mehr.

Zitat von jkasten

Mal blöd gefragt, warum der riesen Aufriss. Man kann doch einfach den zweiten Port vom Vigor in den Switch stecken und schon läuft alles. So gehts bei mir inkl syslog auf das NAS.

Der 2. Port wird mit 192.168.200.1 angezeigt; geht nicht

Ich glaube, ich gebe hier nun auf.

Ich finde es halt schade, dass das USG nichts protokoliert. Nicht einmal die PPPoE- Einwahl wird protokolliert. Garnichts. Habe daszu auch ein Thema offen, geht auch nicht voran.

Somit mein Fazit: Schwachstelle von UNIFI, denn ich bin der Meinung, das Logfiles ein sehr wichtiges Thema sind. Schade.

Gruß

Falke07

Geht leider auch nicht.

Hallo,

Zitat von razor

Hallo Falke07 ,

das "Verschleiern" Deiner privaten IP-Adressen macht die Fehlersuche und -analyse auch nicht einfacher und sorgt nur für Verwirrung.

Entwerder denkst Du Dir Fantasie-Netze aus, z.B. 333.444.555.0/24 oder nimmst echte, welche Du aber nicht verwendest (z.B. 10.0.1.0/24), oder schreibst einfach die echten hin. Was willst Du verstecken? Es handelt sich dabei um private Adressen.

Ok, da hatte ich einen Denkfehler beim Schreiben. xxx.xxx.xxx stand immer für 192.168.178 (was die Ursache war; siehe unten). Konntet Ihr ja aber nicht wissen. Sorry.

Zitat von gierig

Na wie den auch. Das muss ein EIGNES netz sein, ein EIGNER IP Bereich der NUR von deinem MODEM und den WAN Interface

OK, da war der Fehler. Ich hatte alles im gleichen Netz

Habe es nun wie folgt geändert.

Vigor 192.168.170.2 und in der config.gateway.json das Pseudo- Netz auf 192.168.170.1/30

Jetzt funktioniert es mit dem Ping und der Web- GUI. am PC

Aber :

Am PC (192.168.178.100) findet Syslog den Router (Vigor 192.168.170.2) nicht. (Ping und WEB-GUI geht)

Nun die Frage1:

Welche Ip muss ich nun als Server/IP-Hostname im Vigor bei SysLog Access eintragen?

Im USG habe ich Port Forwarding LAN In 192.168.170.2:514 auf 192.168.178.1:514 mit UDP eingerichtet.

Woran hängt es nun, das Syslog das Vigor nicht findet, obwohl es per Ping und WEB- GUI auf dem PC erreichbar ist?

Hallo zusammen,

erst mal an dieser Stelle ein Dankeschön an alle helfenden

Also ich habe nun wie folgt umstrukturiert:

• DHCP xxx.xxx.xxx..20 -xxx.xxx.xxx.200 (somit sind 1-19 von der Verteilung ausgeschlossen und ich kann statische IP vergeben)
• Vigor auf xxx.xxx.xxx.3 (Allerdings hat er mir nur die 255.255.255.248/29 geschluckt, nicht die 255.255.255.252/30) (X)
• config.gateway.json Interface auf xxx.xxx.xxxx1/30
• Rule auf xxx.xxx.xxx.3

(X) => Da aber /30 4 IP hat und /29 8 IP, sollte das eigentlich ja kein Problem darstellen (hoffentlich)

Die config.gateway.json wurde nun von dem USG verarbeitet (auch bei Restart)

Auf der Shell wird mir nun auch peth2 inet 192.168.178.1/30 bis 192.168.178.3 angezeigt.

Leider kann ich immer noch nicht (Ping und WEB- GUI) auf das Vigor zugreifen.

Kann es sein dass mir eine die Firewall ärger macht?

Anbei mal die LAN Rules:

Gruß

Falke07

Hi Leute,

jetzt hat es richtig gekracht.

Die USG ist nach dem Einspielen der config.gateway.json nicht mehr hoch gekommen (config wie vorher beschrieben; nicht diese hier). Kein Restart mehr möglich, kein erreichen per SSH (auch nicht 192.168.1.1), kein Restore mit der funktionierenden Config, kein garnichts mehr. Ich musste den berühmten Reset- Knopf drücken.

Nun mal eine Frage zum Verständnis:

Folgende config müsste doch funktionieren oder ?

{
    "interfaces": {
        "pseudo-ethernet": {
            "peth2": {
                "address": ["192.168.178.1/32"],
                "description": "Zugriff auf Vigor 165",
                "link": ["eth2"]
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "5001": {
                    "destination": {
                        "address": ["192.168.178.165"]
                    },
                    "outbound-interface": ["peth2"],
                    "type": "masquerade"
                }
            }
        }
    }
}

192.168.178.1/32 ist das USG. Hier erstelle ich doch ein "virtuelles" Netzwerk peth2 mit der Bindung an eth2. In der Rule gebe ich dann die Route an, welche auf die IP des Vigors (.165) über das Interface peth2 zugreift.

Sehe ich das richtig und sollte diese Config funktionieren?

Info: Ich möchte mit 192.168.178.100 (WIN- Controller) auf die 165 zugreifen, um die Syslog zu erhalten.

Die .100 stellt doch die Frage (whois .165) and die .1 (USG, DNS und DHCP), welche durch die Rule aufgelöst werden sollte

oder nicht?

Gruß

Falke07

Ok, kleine Korrektur

mit xxx.xxx.xxx.1 /30 liege ich ausserhalb der Range für xxx.xxx.xxx.165

Deshalb geändert auf:

xxx.xxx.xxx.1 /29 und Vigor auf xxx.xxx.xxx.3

Dennoch ohne Funktion

Hallo,

ok, jetzt sieht es anders aus.

Ich habe das Verzeichnis gefunden.

Ich habe die Datei wie von razor angepasst, getestet und in die (x) Verzeichnisse geschoben und die USG neu gestartet (restart).

Versuchte Verzeichnisse(x):

xx/site/

xx/site/7868hkj7/

xx/site/7868hkj7/map/

Jedoch funktioniert es nicht, egal welches Verzeichnis (x) ich nehme.

Basis:

USG: 192.168.178.1

Controller (WIN): 192.168.178.100

Vigor: 192.168.178.165 (Einwahl über PPPoE USG)

anbei die Datei:

{
    "interfaces": {
        "pseudo-ethernet": {
            "peth2": {
                "address": ["192.168.178.1/30"],
                "description": "Zugriff auf Vigor 165",
                "link": ["eth2"]
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "5000": {
                    "destination": {
                        "address": ["192.168.178.165"]
                    },
                    "outbound-interface": ["peth2"],
                    "type": "masquerade"
                }
            }
        }
    }
}

Ist da irgendwo noch ein Fehler?

Hallo,

razor

Zitat

Wenn alles OK ist, dann kann das Config-File an der entsprechenden Stelle im Controller abgespeichert und das USG darauf folgend provisioniert werden.

Da habe ich ein Problem. Ich bin im Linux nicht so fit. Habe mich per SSH angemeldet.

Laut Internet soll die JSON- Datei in den Ordner, wo die Sites sind. Diesen finde ich aber leider nicht.

Dann kommen folgende Fragen auf:

1. Ich habe noch nie eine config.gateway.json Datei auf das USG gelegt. Existier diese dann oder nicht? (Wenn die existiert muss ich diese ja ändern)
2. Wie bekomme ich die Datei auf die USG (Login mit Putty per SSH besteht).

Wäre super, wenn mir hier jemand unter die Arme greifen könnte.

Gruß

Falke07

Zitat von anton

Wenn n NAchbar Powerline nutzt, das im schlimmsten Fall stört, kann n Sperrfilter helfen. Wenn du ne USV hast, das Netzteil mal da ran, die filtern meist auch Powerline und co raus (neben den Schwankungen die auftreten können).

Das wäre ja der Hit., wenn da einer sich Powerline angeschafft hat. Dann zieh ich mal eine Leitung von der USV zum Vigor; sind nur 3,5m; war so oder so in Planung.

Hallo razor ,

ich finde leider deinen Eintrag im Wiki nicht. kannst Du mir den Link senden; wäre super.

Ich habe mit den Log allgemein Probleme. Habe hier auch noch ein offenes Thema, da mein USG keine Systemereignisse mehr protokolliert. Aber das scheint ein globales Thema zu sein, da ich hier nicht alleine bin. Wieder auf USG- Einwahl PPPoE wäre aufgrund des doppelten NAT alleine schon gut.

So wie es scheint, haben wir die gleiche Hardware im Einsatz. Vigor165, USG Pro4, Synology-NAS.

Mein Wunsch wäre es, endlich mal ein vernünftiges Logging zu haben (Vigor und USG). So wie jetzt bin ich immer nur am "rumeiern" bei Fehleranalysen

Gruß

Falke07