Nach einem Neustart der VM und dem Vergessen der HaOS-VM in der UDM klappte es
Posts by Ubiquitsj
-
-
Hallo zusammen
Auf meinem Synology NAS läuft der Virtual Machine Manager (VMM). Dort habe ich eine VM zu Home Assistant (HaOS-VM) erstellt. Mein Synology hängt an einem Port, welcher dem privaten VLAN zugewiesen wurde. Das VLAN gehört der Zone intern an, welches bezüglich meiner Firewall derzeit noch ohne Einschränkungen werkeln darf.
Des Problem ist nun etwas seltsam. Im VMM der Synology zeigt die HaOS-VM nur interne IP-Adressen (172.30.x.x) an, so als bekäme sie keine IP-Adressen per DHCP von meiner UDM. In der Geräteliste der UDM ist die HaOS-VM aber aufgelistet und hat auch eine IP-Adresse erhalten. Die MAC-Adresse von HaOS-VM und der in der Geräteliste der UDM stimmen auch überein. Die in der UDM gelistete IP-Adresse der HaOS-VM passt auch zum angegebenen VLAN und zur vorgegebenen DHCP-Range.
Aber trotzdem ich kann die HaOS-VM nicht anpingen und dann natürlich auch nicht übers Web erreichen.
Hat hier jemand Rat
-
OK, deinen Gedanken zur Sicherheit zum Anlass habe ich das nun geändert. Die NICs des NVR hängen nun alle im selben Netz, die Firewall regelt alle Kommunikationskanäle - und was soll ich sagen, die Kamera kann wieder angesprochen werden.
Danke
-
Dann kann es daran nicht liegen, denn sowohl das verwendete Netzwerkinterface, als auch das Netz der Kamera haben ein Gateway hinterlegt.
-
Ist auf dem Interface der Standardgateway drauf oder wo ist das? Ich vermute nicht. Warum gibst Du überhaupt das Interface beim Ping an, der DVR benutzt doch so oder so entweder ein Interface, welches direkt im Zielnetz ist oder das Interface mit dem Standardgateway.
Weil der Server mehrere Netzwerkkarten hat und nur eine hängt im angegebenen Netz. Aber das bringt mich auf eine Idee: Ist es eigentlich sichergestellt, dass die Ping-Antwort (Pong) auf dem gleichen Interface landet?
-
Neuerdings habe ich wieder ein Problem, dass ich mit der Zone-Based-firewall nicht verstehe.
Ich habe dem ganzen Überwachungskram ein Netz (VLAN) Sicherheit spendiert, dieses in die Zone "untrusted" (selbst angelegt) gepackt, und die Kamera in dieses Netz mit einer DHCP-festen IP-Adresse eingetragen.
Meine Server liegen natürlich in einem anderen Netz, so auch der NVR. Das VLAN der Server befindet sich wie zu erwarten in der Zone "intern"
Ich habe also eine Regel erstellt, Um von intern auf "untrusted" zugreifen zu können:
Quellzone: "intern" beliebig
Aktion: Zulassen (und "rückkehrendem Verkehr automatisch zulassen" angeklickt)
Zielzone: "untrusted" (mit der Option Netzwerk und dort alle VLANs gewählt, die es dort gibt)
Sonst keine weiteren Einschränkungen
Setze ich nun von einem der Server im Servernetz einen Ping auf die Kamera ab, erhalte ich ne Antwort - so wie erwartet, da ja rückkehrender Verkehr gesetzt ist.
Setze ich nun aber vom Server des NVR den gleichen Ping-Befehl ab, gib diesem sogar die Netzwerkschnittstelle mit (Option -I), um ganz sicher eine Netzwerkschnittstelle des Servernetzes zu nutzen, dann antwortet die Kamera nicht. Der Ping bleibt stumm. Ehrlich gesagt das verstehe ich überhaupt nicht.
Irgend jemand ne Idee?
-
Ah, Ok! Macht Sinn! Danke
Wollte den Drucker testweise schnell mal per WLAN anbinden -> einzig öffentliche SSID ist Gastnetz, sollte aber nicht so bleiben => Umzug steht bevor
-
Hallo,
habe auf die zone based firewall umgestellt. Seither habe ich einige Probleme, die ich nun der Reihe nach abarbeiten will und idealerweise verstehe!
Hier mein erstes Problem:
Der WLAN-Drucker ist im Gästenetz (Zone Hotspot) und soll natürlich von allen Geräten des normalen Netzwerks (Teil der Zone Internal) erreichbar sein. Leider bekomme ich nicht mal einen Ping
Mit den gesetzten Policies (siehe unten) würde ich aber erwarten, dass ich den Drucker ansprechen kann.
Policies Zone Internal -> Zone Hotspot
- Da steht einfach nur Allow All (da habe ich noch gar nichts eingeschränkt)
Policies Zone Hotspot (Gaste) -> Zone Internal (normal)
Hierin befinden sich nur voreingestellte Regeln, also Regeln von Unifi:
- Allow: Public DNS
- Block: Post-Authorization Restrictions (Was ist denn das?)
- Allow: Return Traffic (Damit Geräte aus dem Gastnetz was zurücksenden können brauche ich das oder?)
- Block: All Traffic
-
Ok das heist jetzt geht es gerade wieder alles?
Vlt ist ja das Internet gehakt worden, lach. Im Moment ist ja einiges los im Internet und das Problem war garnicht bei dir lokal.
Ja, alles wieder in Ordnung! Trotzdem ärgerlich, dass man erst mal denkt, man hat selber Bockmist gebaut und fängt zu tüfteln an ... Naja, man lernt ja immer wieder etwas dabei.
-
Gestern 5 Stunden an dem Problem gearbeitet - nix erreicht, außer die Oberfläche von Unifi intensiv studiert.
Heute von der Arbeit gekommen, und alle Seiten laufen astrein.
Auffallend war, dass im mtr alle org-Seiten laggy waren. Manche, wie lichess.org, starteten gar nicht. Heute ist davon nix zu spüren. Irgendwie ärgerlich - 5 Stunden Lebenszeit ...
-
1) unter WAN habe ich genau die gleichen Einstellungen wie du
2) Bei den NEtzwerken ebenfalls
3) Ländersperren hab ich alle, bis auf Hong Kong
4) Encrypted DNS steht bei mir auch auf Automatik
5) Firewall: Hier glit für Gateway als Ziel oder Quelle, dass ich keinerlei eigene Regeln am werkeln habe, alles "built-in"
Was mir noch aufgefallen ist: Encrypted DNS macht bei mir Probleme (dort sind ja Google DNS und Cloudflare eingetragen). Aktiviere ich das komme ich nicht mehr auf meinen Router. Deaktiviere ich es geht es wieder. Hat das was damit zu tun?
-
Quote
Hast du irgendwelche Regeln unter Gateway eingerichtet?
Ok nächster Punkt - wo kann ich das nachsehen? Unter Einstellungen > Routing, wo ich das erwarten würde sehe ich keinen Eintrag "Gateway". Dort sehe ich nur die Bereiche Richtlinienbasierte Routen; QoS; Anschlussweiterleitung; Statische Routen; OSPF; BGP; DNS; NAT
-
Display More
Ok dan hast du wohl keine Beta, es war jedenfalls eine Idee das da was sein könnte.
Ich habe diese:
The content cannot be displayed because it is no longer available. Hast du irgendwelche Regeln unter Gateway eingerichtet?
Ländersperren installiert?
Doppeltes NAT ist bei dir im Betrieb?
Einen eigenen DNS Server der irgendwas blockt?
Oder einen anderen DNS Server im WAN eingetragen? Der könnte auch mal Probleme haben.
Sowas kann alles dafür in Frage kommen.
Erst mal Danke für deine Unterstützung!
Zuerst mal wird bei mir für das Netzwerk folgendes angezeigt (habe aber automatische Updates eingestellt):
Netzwerk 9.0.114
Stimmt hier schon was nicht?
-
Hallo
Hast du die Beta von unifi im Einsatz oder nur die Stable Version?
Ich hatte auch massive Probleme gehabt erst seit dem letzten Update auf die neuste OS und Network, scheint es wieder zu funktionieren.
Kann aber auch bei dir ein Problem beim Provider sein, oder irgendwelche Firewallregeln.
So pauschal lässt sich das nicht sagen.
Woran erkenne ich, ob die Beta im Einsatz ist? Im Dashboard von Unifi sehe ich auf jeden Fall unter "Control Plane" bei meiner UDM Pro die Version 4.1.13 und bei Release Channel steht Official. Gehe also davon aus, dass das keine Beta ist.
Firewallregeln habe ich persönlich nur Einstellungen zu Programmen und Geräten bei mir im Netz vorgenommen. Dabei habe ich die verschiedenen VLANs gegeineinander isoliert und nur bestimmte Kommunikationen erlaubt. Daher glaube ich nicht, dass ich bestimmte Seiten - ausgesperrt habe.
Klar kann man hier keine pauschale Antwort erlangen, deshalb habe ich genau den Thread eröffnet. Bevor ich nämlich irgend jemanden (Provider/mich/unifi) beschuldige, wollte ich als Hobby-ITler mal fragen welche Strategie und Tools es gibt, dass ich das Problem zumindest eingrenzen kann.
-
Hallo,
ich habe in den letzten Wochen massive Probleme auf bestimmte Webseiten zuzugreifen (lichess.org, wikipedia, ...). Diese Seiten laden sehr schlecht oder gar nicht. Gebe ich im Internet in https://viewdns.info/ die Seite ein, erhalte ich die Meldung, dass alles in Ordnung ist.
Die klassischen Tools mit ping, traceroute / mtr habe ich darauf angewendet. ping lichess.org reagiert momentan beispielsweise gar nicht. ping de.wikipedia.org reagierte soeben wieder, aber im Browser eingegeben dauert der Ladevorgang wieder ewig.
Mich interessiert jetzt, welche Möglichkeiten ich habe herauszufinden, ob das Problem bei mir im Haus liegt?
-
Also bei mir besteht das Problem nicht, denn die Surveillance-Station ist in einem anderen VLAN als die Kameras. Musste die Kommunikatien in der FW nur in beide Richtungen erlauben, damit die Steuerung von der Surveillance Station vorgenommen werden konnte. Voraussetzung ist allerdings die Kompatibilität zwischen der Surveillance-Station und der Kamera.
-
Display More
Hallo zusammen, ich klink mich hier nochmal ein, weil ich grade auch Probleme habe auf meine Reolink Kameras zuzugreifen.
Ich habe die Kameras neu in ein eigenes VLAN geschoben, dass keinen Internet Zugriff hat. Wenn ich mitm Handy/PC im selben VLAN bin, klappt der Zugriff per App auf die Kameras.
Wenn ich im Haupt-VLAN bin, aber nicht mehr, obwohl ich in der Firewall entsprechende Allow-Regeln für Zugriff von Hauptnetzwerk -> IoT (und gerade zum Einrichten) auch IoT -> Hauptnetzwerk drin stehen habe. Nach etwas Recherche habe ich rausgefunden, dass das wohl bei Reolink grundsätzlich nicht funktioniert, dass man aus einem fremden VLAN/Subnet auf die Kameras zugreift. Als Workaround wird häufig eine entsprechend Source-NAT Regel vorgeschlagen, womit man den Kameras vorgaukelt, dass das Handy im IoT-VLAN ist, obwohl es das nicht ist.
Allerdings bin ich scheinbar zu blöd und krieg es irgendwie nicht eingestellt... Wäre für Tipps / Ideen sehr dankbar!
Source-NAT-Regel
- als Interface habe ich das IoT-VLAN angegeben
- als Translated IP die Gateway Adresse des IoT-VLANs
- als Source das Haupt-VLAN
- als Destination das IoT-VLAN
Anpingen der Kamera aus dem Haupt-VLAN funktioniert übrigens! Webinterface hat die Kamera leider nicht, daher kann ich das nicht testen.
Was passt nicht? Bzw. wie könnte ich überprüfen, ob diese Regel überhaupt funktioniert und ich eine entsprechende IP aus dem Iot-VLAN erhalte bei Anfragen an die Kamera?
Viele Grüße, Sebastian
Das wird dir jetzt wahrscheinlich nicht viel bringen, aber ich hab das Webinterface völlig isoliert. Ich stelle alles rund um Reolink-Cameras nur noch über meine Surveillance-Station ein. Dass die Kommunikation auf die entsprechenden Programme klappt habe ich einfach mit Firewall-Regeln realisiert. Das Webinterface von Reolink ist mir inzwischen egal. Die Cloud wurde ausgesperrt!
-
(1) Also das die Kamera mit deinem NAS reden darf, sperrt nicht deine App aus.
(2) Wenn du am Handy WLAN ausmachst, dann geht die Kamera aber oder?
(3) Hatt die Kamera auch ein Webinterface?
(4) Wenn ja dann bedarf es wohl noch einer weiteren Regel von der Kamera zurück auf das Handy.
(1) versteh ich
(2) Nö, aber das ging schon mal, weil ...
(3) ... sie ein Webinterface hat. Darauf komme ich aber nicht mehr.
(4) habe ich gemacht, half aber nichts
Was dagegen geholfen hat: Musste das Handy in das VLAN der Kamera einloggen, dann konnte ich auf die Weboberfläche!
Check ich das? Nö
Nachtrag: Jetzt check ich es, der Grund ist einfach - ich bin zu doof - Problem saß auch hier 50 cm vor der Kiste
!Habe klicki-di-klick die Regel höchst eilig angelegt und dabei vergessen auf "Zulassen" zu stellen. Statt dessen habe ich das voreingestellte "Blockieren" drinne gelassen.
Herzlichen Dank für Deine Hilfe
Nun geht es weiter mit dem Homeassistant ...
-
Ja das ist Cloudbasierend und wen du im Heimischen Netzwerk bist dan musst du noch eine Freigabe zur Kamera für dein Handy machen, also diesmal darf dein Handy auf die Kamera zugreifen.
Mist, das klappt immer noch nicht!
-
Sind die App bzw das Handy im selben VLAN wie deine Synology?
Handy, mit der Reolink-App drauf, sind im VLAN der Synology.
Bisher habe ich die Reolink-App genutzt, um von außen (außerhalb meines WLANs) auf die Kamera schauen zu können.
