Moin Mansaylon
Ja das geht, du kannst die APs via SSH und dem set-inform Befehl auf einen anderen Controller bringen.
Was du dazu brauchst ist an dem Controller Standort ne feste IP oder DynDNS (o.ä) und dann kann es schon fast losgehen.
Beiträge von amaskus
-
-
Wenn ich das richtig verstanden habe würde ich also mein NAS nicht mehr völlig vor dem LAN schützen. Der Schutz gegenüber dem Internet bleibt in diesem Fall ja aber unberührt, denke ich?
Jaien, ein Rest Risiko hast du immer, aber das kannst du minimieren so weit es geht.
Ich werde in meinem nächsten Setup das NAS vermutlich nur per VPN erreichbar machen dann hab ich keine freigaben von außen und muss mich erst ins VPN und dann aufs NAS verbinden.
Wie gesagt wenn dein client schon kompromittiert ist kommt er ja trotzdem auf das NAS weil die Berechtigung da ist.
Nach meinen Recherchen wäre hier die Ideallösung ein Modem, welches die Telefonverbindung herstellt, das USG dann nur die Internetverbindung. Leider ist meine Fritz!Box 7590 erst vor ca. 2 Monaten angekommen, es wäre also blöd, wenn ich diese jetzt gar nicht mehr gebrauchen könnte.
Du brauchst vor dem USG definitiv ein Modem - das ist anders als bei der FB nicht mit eingebaut, viele verwenden dazu einen Vigor 130 oder 160/165 von Dreytek.
Wenn du ein solches vor das USG hängst kannst du die FB auch für Telefon und Wifi weiter verwenden - Wifi falls du keine anderen APs hast.
Wenn du einen Kabelanschluss hast kann es evtl ein bridge Mode geben der das Internet durchleitet aber das Telefon trotzdem weiter betreibt - da kannst du hier im Forum fündig werden.
Eine andere Lösung außer das Port forwarding gibt es nicht, oder? Wobei ich ja sowieso nur SMB und evtl. https zum Verwalten meines NAS freigeben müsste
Mir fällt zumindest keine andere ein.
Bei den Ports, je nachdem was auf deinem NAS an Diensten läuft - aber mit https und SMB kommst du schon mal ein stück weit.
Ob statische Routen helfen können weiß ich gerade nicht, dafür hab ich noch nicht genug damit gemacht.
Persönlich würde ich eher das Ganze netz mit dem USG verwalten als einen zweiten Router ins Netz zu holen
-
Moin,
wie ist denn die Absendeadresse ?
Mein Controller läuft nur offline, ich habe kein UI Konto daher kann bei mir nichts kommen
-
Moin
Wenn du auf deinem Client PC (192.168.178.x) die IP des NAS eingibst (172.16.1.x) kann das nicht funktionieren. Die Fritzbox die das Routing macht kennt das NAS ja nicht (mehr).
Du kommst aus deinem FB Netz per IP nur bis zum WAN Anschluss des USG (das hat ja ne IP im 192.168.178.x Bereich)
Was mir spontan vorm ersten Kaffee heute morgen einfällt ist ein Port forwarding für die Syno Ports
Du gibst dann quasi statt der IP des NAS die 192er IP des USG ein und er leitet weiter.
Das ganze schützt dich im Zweifel aber nicht wenn dein Client durch nen Virus (oder was auch immer) kompromittiert ist. Die Zugangs Berechtigung hat er dennoch.
Ob es evtl eleganter ist das USG für das komplette Netz zu Nutzen und das ganze via VLAN abzutrennen (oder als DMZ) müsste man noch sehen. Wegen der DMZ kennen sich andere vermutlich besser aus.
Wenn du es per VLAN trennst kannst du das genauso gut einstellen aber das interne Routing bleibt dir erhalten (also du kannst die IP des NAS eintippen und kommst auch da drauf)
Was macht die FB denn noch alles ? nur mal zum abchecken ob du das USG für das gesamte Netz nehmen kannst
LG
Arne
-
Das ist schon ein harter einschnitt in der Bandbreite.
Bitte gern
-
Die meisten Unifi APs können vier SSIDs aussenden - denen kannst du jeweils ein VLAN mitgeben - dazu muss das auch beim AP ankommen.
Hier mal etwas VLAN Theorie:
-
Moin Matthias
1. Welche elektronischen Schlösser können denn dabei verwendet werden?
so wie ich das mal in der Installationsanleitung gelesen hab gehen zwei arten von Schlössern.
1. Die zum öffnen eine 12 V Spannung unterbrechen
2. Die zum öffnen unter 12 V gestellt werden
Quelle: https://dl.ubnt.com/qsg/UA-Hub/UA-Hub_DE.html
2. Kann man den Zugang (z.B. via NFC) auch anderen Personen via E-Mail oder so zukommen lassen?
Evtl kommt dafür noch mal ne App oder es kommt mit in die Protect App
Aber ja das Thema ist sehr spannend
-
Moin Zusammen
Wenn ich mich nicht täusche war es so, dass ein Wifi keine untagged VLAN durchreichen kann
Eine SSID kann nur ein VLAN (und das tagged) mitgeben - die Ausnahme ist wohl RADIUS Authentifizierung die dann dem User ein VLAN zuordnet
https://community.ui.com/quest…47-4960-acd6-6e128729480a
Ich kann mich irren aber ich meine das hat hier auch schon mal jemand geschrieben - hab es leider nicht mehr gefunden
-
Dann sind scheinbar wirklich die Devolos schuld.
Tritt das an allen an Devolo angeschlossenen Geräten auf - also die geringe Geschwindigkeit ?
-
Super
wie gesagt evtl Brauchst do ein Modem wie den Vigor 165 von Dreytek.
-
Der Verwendung von Bestehender Hardware steht ja nichts im Weg.
Wenn der Switch Routing kann wäre das kein Problem.
Aber Ich würde keine FritzBox für so einen zweck verwenden, das ist Consumer Hardware die da doch an ihre Grenzen kommen sollte.
Die FB würde ich gegen ein USG Pro oder eine UDMP austauschen - du brauchst dann ziemlich sicher noch ein Modem da das in den Unifi Geräten nicht eingebaut ist
-
Also An der WLAN Box hängen deine Kameras per LAN ?
Und die anderen Geräte sind per WLAN an der WLAN Box angemeldet ?
Ist das so richtig ?
Wenn die Devolos WLAN machen ist das ein oder ausgeschaltet ? nicht, dass die dann Bandbreite für das WLAN reservieren und das LAN hinten ansteht
-
Moin Spacemaster
Router ist auf der Standardmäßigen 192.168.2.1, hat das was damit zu tun?
Ja, Die FB wird als Netz 192.168.2.1/24 haben - Das bedeutet der Netzbereich geht von 192.168.2.1-192.168.2.254
damit ist 192.168.0.X nicht in deinem Bereich und der CK sieht die Switche nicht mehr.
Für die VLANs brauchst du ja auch noch wieder einen Router - die FB kann nur ein Netz (soweit ich weiß) also brauchst du einen Router der VLANs verwalten kann sonst wird das nichts.
Wenn du bei UI bleiben willst empfiehlt sich ein USG oder eine UDM(P)
Mit der FB wird dir nichts anderes übrig bleiben, als alles in ein Netz zu werfen
LG
Arne
-
Moin
Was meinst Du mit den WiFi Geräten? Die hängen sonst alle nur am WiFi. Einzig meinen eigenen Laptop habe ich eigentlich versucht ans LAN zu hängen, damit es eigentlich stabiler laufen soll. Ich begreife das einfach nicht mehr. Wie soll ich denn sonst die Devices verbinden? Wenn ich die WLAN Boxen nehme, dann halbiert sich dort ja auch die Leistung pro Box, die ich anhänge, das ist doch zum Haare raufen...
Kannst du spezifizieren was für Access Points du einsetzt ? dann is das evtl etwas einfacher zu verstehen wie dein Netz läuft.
Du hast in deinem Plan ja WLAN Boxen (was ist das genau?) und die waren mit den Kameras per Linie verbunden, darum nehme ich an. dass da nur die Kamera dranhängt. Hängen deine anderen Wifi Geräte da mit dran (der Pi zB) oder hängen die an den Devolos (die machen auch Wifi wenn ich das richtig gesehen habe).
LG
-
Wenn ich nun mein PC an LAN anstatt WAN anschließe und den PC auch in das Subnet 192.168.170.x bringe dann kann ich zugreifen.
Irgend wie komisch.
Willkommen in der Welt von Netzwerken - aber das ist logisch in dem Fall.
Durch die Maske /24 (also 255.255.255.0) sieht die 192.168.170.100 nur Geräte die sich zwischen 192.168.170.1 und 192.168.170.254 befinden, alles andere ist für die quasi unsichtbar.
Was mir aber gerade noch eingefallen ist:
Versuch mal an deinem Router (Der mit WAN 192.168.5.30) ein Portforwarding auf die 192.168.170.100 einzurichten
Das könnte funktionieren - dann erreichst du dein Gerät zwar unter der 192.168.5.30 aber das wäre bestimmt egal
-
Kein Problem - helfe gerne
Die option nicht den ganzen Traffic zu versenden sollte es in allen (bzw. vielen) VPN Clients geben
Das Firmenbeispiel bezieht sich auf ein WIN 10 Notebook
-
Einstellung 2
IP PC: 192.168.5.5
Subnet Mask 255.255.0.0
Verbindung zu 192.168.170.100 funktioniert nicht.
Kannst du das was razor vorgeschlagen hat umsetzen ? also die Subnet bei der 192.168.170.100 auch auf 255.255.0.0 setzen ?
Oder kommst du gar nicht an die Konfig ?
-
Moin TiRohn,
Mein Bauchgefühl hat die Devolos im Verdacht - LAN durch die Steckdose ist eher so Semi gut habe ich gemerkt. Wenn da ne Sicherung dazwischen ist kann es schon mal eng werden.
Hängen deine Ganzen Wifi Geräte mit an den Devolos (also die die du nicht gesondert mit WLAN Box verbunden hast ?
-
Damit läuft aber deren gesamter Netzverkehr über unser VPN und verstopft mir den Upload.
Ich meinte das Einstellungsseitig
Beim iOS integrierten VPN Client gibt es ne Option "Gesamten Datenverkehr" senden, wenn die aus ist sollte er ja normalerweise nur das durch die VPN schicken, was auch nen zugriff auf die Premise Architektur benötigt der rest geht normal über Cellular oder Wifi.
Evtl. lässt sich das auch in dem Profil hinterlegen welche Adressen er das VPN nimmt und welche er normal raus gibt - dann ist das sogar App unabhängig
Unsere Sophos VPN in der Firma ist so eingestellt, dass er eben nicht alles dadurch schickt sondern er aktiv schaut wann muss was durch die VPN und wann nicht - die VPN Verbindung steht aber die ganze Zeit.
-
Einstellung 1 (zum Testen ob eine Verbindung besteht)
IP PC: 192.168.170.5
Subnet Mask 255.255.255.0
Verbindung zu 192.168.170.5 funktioniert.
Das die Verbindung klappt wundert mich nicht - ist ja localhost wenn du dich nicht vertippt hast
Im 2. Szenario ist die Subnet-Maske des Zielsystems so, dass es das Quellsystem nicht erreichen kann - ohne Router. Das klappt mMn erst, wenn beide Seiten eine 16er Maske haben - kann mich aber auch täuschen.
Würde ich auch sagen, es brauchen beide die /16 (oder 255.255.0.0)
