Beiträge von phk

Ich habs: Einfach das bestehende Netz vergrößert, sodass es auch andere Subnets umspannt. Mit denen kann ich dann auch ohne VLAN kommunizieren. Dennoch danke an Euch beide!

Ah! Denkfehler meinerseits. Ich habe das VLAN-Tagging auf der VM vergessen. Sobald ich der VM den korrekten Tag vergeben habe, hat die UDM eine korrekte IP vergeben.

Was aber ist, wenn ich auf VLANs verzichten will? Momentan habe ich ja wie gesagt 192.168.3.0/24 als VLAN eingerichtet. Aber was ist, wenn ich das einfach nur als normales Subnet nutzen und erreichbar haben möchte? Dann benötige ich doch eine statische Route auf der UDM, oder noch mehr? Wie sähe die aus?

Hallo zusammen,

ich weiß, dass dies kein seltenes Problem ist, konnte aber in meinem konkreten Problemfall trotz ausgiebiger Recherche bisher keine Lösung finden. Ich nutze eine UDM Pro hinter einer Fritz!Box im Bridge-Modus. Die UDM Pro hat im Netz der Fritz!Box die IP 192.168.8.112, davon kriege ich aber wenig mit. Alles findet momentan eigentlich im Netz der UDM Pro statt, was unter 192.168.1.0/24 läuft.

Allerdings möchte ich nun einige Subnets anlegen, in denen iOT-Kram, meine Docker-Container etc. laufen. Als Beispiel habe ich ein VLAN docker angelegt:

Danach hab ich auf einer meiner VMs eine IP aus dem neuen Subnet vergeben:

sudo ip addr add 192.168.3.50/24 dev eth0 

Jedes Mal wenn ich diese IP aus meinem Standard-Netz (192.168.1.0/24) pingen will, kommt nichts durch. Interessanterweise bleibt ein traceroute an der UDM Pro hängen:

➜  ~ traceroute 192.168.3.5 traceroute to 192.168.3.5 (192.168.3.5), 30 hops max, 60 byte packets  
1 192.168.1.1 (192.168.1.1)  0.246 ms  0.216 ms  0.204 ms
^C 
➜  ~ 

Wenn ich mir meine Firewall-Regeln angucke, sollte dort eigentlich nichts sein, was den Traffic blockt:

Nach allem was ich so gelesen habe, brauche ich angeblich keine weiteren Routen, um die Kommunikation zwischen den Subnets auf der UDM zu ermöglichen. Woran liegt es, dass trotzdem nichts durchgeht?

Viele Grüße

phk

Okay, Lösung gefunden: Zwar hatte ich schon im alten Unifi OS IPv6 für mein default network aktiviert, aus irgendeinem Grund lief das aber nicht. Mit dem Update wurde das aber nun (erfolgreich) aktiviert.

nginx reverse proxy manager läuft bei mir unter docker, was dafür bekannt ist, mit IPv6 nicht klarzukommen. Demzufolge hat's also das komplette Setup zerschossen. IPv6 abzustellen war nun ein funktionierender Workaround. Nichts für die Ewigkeit, aber es läuft wieder.

Danke für die vielen Impulse!

Neue Entwicklung: Wenn jetzt aus meinem LAN heraus service.meindomain.de angebe, lande ich auf der Login-Seite meiner Fritz!Box. Mir wird einfach nicht klar, was das für ein Routing ist, das mich dort enden lässt.

BlackSpy:

Also passt das mit der statischen Route aus deiner Sicht alles? Oder muss ich noch etwas ergänzen, damit ich die oben genannten Probleme nicht habe? Bin bei statischen Routen immer übervorsichtig, da man sich gerade bei der Fritz!Box gerne auch mal relativ nachhaltig selber ausschließen kann.

bic:

Genau so war es bei mir vorher auch. Bis nun eben das 2.0er-Update der UDM kam, was alles zerschossen hat. Hast Du auch eine UDM? Auf welcher Version bist du?

BlackSpy:

So sieht mein Routing auf der Fritz!Box aus. Für mein Dafürhalten sieht das okay aus, oder erkennst Du irgendwelche Probleme?

192.168.1.0/24 ist wie gesagt das LAN, was alle meine Geräte nutzen, 192.168.8.112 ist die Adresse der UDM im Netz der Fritz!Box.

Ich weiß, dass der rebind-Schutz grundsätzlich eine sinnvolle Sache ist. Aber

1. bin ich mir gar nicht sicher, dass der rebind-Schutz der UDM das Problem ist. Ich bekomme ja die Seite der Fritz!Box angezeigt.

2. Finden sich keine - und wenn, dann nur hoffnungslos veraltete - Infos zum Rebind-Schutz in der UDM.

Wie gesagt: Ich glaube, es ist eher ein Problem, das über den Rebind-Schutz hinausgeht.

Das habe ich schon versucht. Zeigt leider keinen Effekt; egal ob ich dort service.meinedomain.de oder direkt meinedomain.de eintrage.

Hallo zusammen,

ich gehöre zur Fraktion derer, die eine eigene Fritz!Box an einem Vodafone-Anschluss mit einer UDM Pro dahinter nutzen. Auf der Fritz!Box ist die UDM Pro in als Exposed Host eingestellt und so wurde bisher aller Internet-Traffic zu dieser durchgeroutet.

Ich habe eine Reihe an Docker-Webservices in meinem LAN laufen, die bisher von einem nginx-Proxy Manager weitergeleitet wurden.

Beispiel: Eine Anwendung läuft auf http://192.168.1.118:8282. Wenn ich von unterwegs auf den Domainname service.meinedomain.de zugegriffen habe, wurde die Anfrage von meinem Domainanbieter via CNAME-Record auf meine Dyndns foo.dyndns.org weitergeleitet, welche wiederum auf meine öffentliche IPv4 zeigte. Das übernahm die Fritz!Box (192.168.8.1) und leitete den Traffic an die UDM Pro (192.168.1.1) weiter, auf der eine Portforwarding-Regel eingestellt war, die den Traffic an nginx reverse proxy manager weiterleitete (192.168.1.118). Der war für den letzten Schritt verantwortlich und leitete auf die besagte Docker-Anwendung mit besagtem Port weiter.

Ich weiß: Alles sehr viel hin und her, aber es funktionierte problemlos. Und das allerwichtigste: Ich konnte sowohl von unterwegs als auch von zuhause auf service.meinedomain.de zugreifen.

Nun das Komische: Seit dem Upgrade der UDM Pro auf 2.4.27 klappt das nicht mehr. Zwar kann ich weiterhin von unterwegs auf service.meinedomain.de zugreifen - kein Problem! Aber wenn ich aus meinem internen LAN (192.168.1.0/24) auf service.meinedomain.de zugreife, bekomme ich diese Meldung:

FRITZ!Box
FRITZ!Box

Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

Ich kann mir nicht erklären, woran das liegt. Die Fritz!Box hat die gleiche Firmware wie zu der Zeit, als noch alles funktionierte. Auch in den Einstellungen der Fritz!Box habe ich nichts geändert. Das Einzige, was sich geändert hat, war die Firmware auf der UDM Pro, die wie gesagt auf 2.4.27 (vorher 1.irgendwas) geupdated wurde.

Um es noch skurriler zu machen: Wenn ich die Fritz!Box restarte, funktioniert der Zugriff auf service.meinedomain.de für kurze Zeit (1-2min). Danach kommt wieder obige Meldung mit dem Rebind-Schutz.

Ich habe stark in Verdacht, dass Unifi mit dem major Upgrade auf 2.4.27 irgendeine Änderung eingeführt hat, die etwas kaputt gemacht hat. Ich kann mir aber nicht erklären, was es ist. Hat jemand von Euch eine Erklärung, was das ist? Vielleicht sogar jemand, der ein ähnliches Setup nutzt?

Viele Grüße

p.

Hallo zusammen,

auch ich habe ein bekanntes Setup: Eine (eigene) FritzBox 6490 bei Unitymedia und dahinter eine UDM Pro.

Ich bin mir noch nicht ganz im Klaren, ob ich Doppel-NAT via Exposed Host machen möchte, oder ob ich die FritzBox als Bridge laufen lassen kann. So oder so möchte ich erstmal die UDM Pro aus meinem bisherigen LAN (192.168.8.1/24) erreichbar machen.

Wenn ich die UDM Pro in Betrieb nehme, funktioniert erstmal alles einwandfrei. Sie bekommt per DHCP von der FritzBox ihre Adresse (192.16.8.112) und zeigt mir auch schön an, dass sie Internetzugang hat. Wenn ich mich per SSH via 192.168.1.1 auf der UDM Pro einlogge, kann ich beispielsweise problemlos den Google-DNS 8.8.8.8 pingen.

Als nächsten Akt möchte ich die UDM Pro über mein FritzBox-VLAN informieren. Ich richte also ein VLAN 192.168.8.1/24 an und stelle DHCP aus, da das ja von der FritzBox kommt. Ab diesem Moment macht die UDM Pro Probleme und zeigt mir an, dass sie kein Internet mehr hat. Auch der Ping an den Google-DNS der zuvor noch funktionierte, geht jetzt nicht mehr durch.

Sobald ich das Fritz-VLAN wieder lösche, funktioniert wieder alles einwandfrei: Internet ist da, Ping ins WAN geht auch.

Helft mir bitte auf die Sprünge: Habe ich hier einen Denkfehler und konkurriert mein auf der UDM Pro frisch eingerichtetes Fritz-VLAN mit irgendwas aus dem Fritz-Netz? Muss ich gar kein VLAN einrichten, um mein Fritz-Netz (192.168.8.1/24) mit dem UDM-Netz (192.168.1.1/24) sprechen zu lassen? Oder handelt es sich hier schlichtweg um einen der zahlreichen Bugs der UDM Pro? Ich habe zuvor die UDM Pro auf der neuesten Firmware (1.8.0) gehabt und jetzt aus purer Verweiflung sogar auf die Beta (1.8.2) upgegraded, nur in der Hoffnung etwas ausrichten zu können. Hat natürlich nix gebracht.

Verzweifelte Grüße

P.