Beiträge von Loxor

Meinung/Gedankenspiel

QoS (Quallity of Service) ist wie vom Vorredner beschrieben nur im Intranet möglich, dies muss lückenlos konfiguriert sein. Angefangen vom Router (wenn er es kann) wie LANCOM z.B bis hin über die Switches.

Dort werden auch ausschließlich nur UDP Pakete priorisiert.

In der Best Praxis ist es so, das in großen Firmen das "Telefon" und "Produktiv" Netz von einander getrennt werden sollte. D.h es werden 2 verschiedene IP Adressbereiche konfiguriert 1x "Produktiv-Netz" 1x Telefon Netz "Physisch getrennt".

Dann kommt es stark auf die verwendeten Telefonanalagen an ob man mit Transport Netzen arbeitet oder auch nicht (getrennt lassen), ein Transport Netz wird benötigt damit die Clients die CTI-Software erreicht bekommen, damit die Calls über den PC bzw. über die WaWi oder sonstiges abgesetzt werden.

Dann ist immer die Frage wird der Call über TAPI abgesetzt oder über eine "CTI" (Mitgelieferte Software des TK-Anlagen Herstellers). Danach richten sich eigentlichen Netz Strukturen.

Wir selber betreiben in Mittelständigen Firmen Telefonanlagen mit bis zu 40 VoIP Telefonen, diese Firmen sind nicht groß genug, um denen die Finanzielle Bürde auf zu erlegen große und komplexe Netzwerke auf zubauen. Mit anderen Worten dort gehen 40-45 PCs, 10-15 Drucker, 1 Physischer und 2-4 Virtuelle Server ALLE durch das gleiche Netz. Dort gibt es keinerlei Störungen mit der Telefonie oder mit schlechten Netzwerk Transfair Zeiten.

Auch in diesen Firmen betreiben wir Faxgeräte via VoIP, diese müssen auf 9600 Baut stehen und Fehlerkorrektur muss aus sein! Da eine Fehlerkorrektur über VoIP nicht möglich ist! Aber es wird zunehmend Problematischer vernünftig über Kabel Leitungen zu faxen. Ich bin froh über jeden DSLer den ich kriegen kann, neben der VoIP Technik ist halt auch Kabel ein Problem Stichwort IPv4/IPv6 DS-Lite die obligatorischen 1-3 Seiten faxe gehen fast immer durch ! Sind es allerdings 15 - 40 Seiten dann wird es Problematisch.

Daher empfehlen wir auch immer Digital Fax zu versenden und zu empfangen. dazu gibt es mehr als genug Möglichkeiten heut zu Tage. Selbst die FritzBox kann faxe via Mail zustellen.

Was ich mit der gerade beschrieben Anekdote sagen möchte ist, hast du in deinem relativ "kleinen" Netz Probleme, ist dies an anderer Stelle zu suchen! Das hat nichts mit VoIP/QoS zu tun. Wenn du intern perfekt telefonieren kannst, ist auch alles in Ordnung! Hast du aber eine Flüchtige Internetleitung da UDP Pakete (User Datagram Protocol) sehr empfindlich sind was Leistungsschwankungen angeht. Was bei VPN Verbindungen auch gut zu beobachten ist. Gibt es Stress mit der VPN und diese ist richtig konfiguriert -> Leitung prüfen.

Der WAN 2 ist eine reine Backupverbindung und KEIN Load Balancer beim USG oder UDM. Mit der zweiten Leitung hätte man zwar einen Ausfallschutz was das Internet ausgehend angeht. Aber es nützt die nichts wenn der Kunde X Eingehende Dienste verwendet. Dann müsstest du ja immer in der Domainverwaltung bei Strato,1+1,GoDaddy,DomainCheck etc. Die Feste IP-Adresse anpassen oder den dyndns Eintrag "CNAME". Betreibt der Kunde einen Mailserver könnte man einen 2ten MX Anlegen aber naja....

Große Rede Lange Sinn, ist das Netzwerk gut durchdacht, bei Unsicherheiten Testumgebungen bauen und selber testen und los geht’s

Viele Grüße Loxor

Moin, Alternativ haben die APs neben der Netzwerkbuchse auch einen Resetknopf. Den musst du ca. 5-7 Sekunden mit einer aufgeklappten Büroklammer oder ähnlichem gedrückt halten.

Hinweiß: Die müssen dafür Strom haben und hochgefagren sein! Es ist kein Reset im abgeschalteten Zustand möglich!

Grüße

Loxor

Hast du mal versucht das USG zu resetten -> Dir auf einen Notebook nur den Controller neu zu installieren?

Da könnte man versuchen ob man es noch eingebunden bekommt. Wenn das geht, schau mal ob du noch ein Update dafür bekommst, oder bzw. noch ein FW Update offen ist.

Vielleicht hilft das ja ........ anschließend könntest du vielleicht mit deinem bestehenden UniFi-System die Einbindung erzwingen.

Schreib dir nur den SSH Key auf der von dem Test-Controller bei Erfolgreicher Verbindung auf das USG geschrieben wird. Sonst kriegst Du das USG auch nicht in dem bestehenden System eingebunden.

-Sorry, ist auch nur ein Strohhalm der Gedanke-

Grüße

Loxor

Moin Ulli, klar kannst du das so machen. Die FB bekommt ein 10.10.10.X Netz, dein LAN1-USG bekommt die 192.168.178.X, der LAN2 192.168.179.X. Dann baust du dir dein 1 WLAN so wie es früher in der FritzBox war, selbe SSID selbes Passwort. Dann verbinden sich alle Geräte die Früher mit der FB verbunden waren wieder automatisch mit dem neuen/alten WLAN.

In der Tat, nach dem letzten Update vom CK habe ich den DNS auf 10.10.10.1 erstmalig mit Erfolg umgestellt, Noch bis vor 2 Wochen stand der DNS auf local Host 127.0.0.1. Du kannst den DNS natürlich anpassen, wenn es zu langen auflönsungzeiten von Internetseiten kommt, weisst du was du umstellen musst.

Schau die mal das Bild vom USG an was ich mit gesendet habe. Im Controller steht der DNS auf 10.10.10.1, aber das USG trägt dennoch die 127.0.0.1 ein. Es ignoriert diese Einstellung, warum auch immer daher auch mein Rat den DNS an der Stelle erstmal in Ruhe zu lassen.

PS: Meine Kinder müssen eben auch mal damit leben wenn Pappa das Internet lam legt, die sind Leid gewohnt *lach*

Grüße

Loxor

Das musst du ja umstellen auf "Statische IP-Adresse" So wie es in den Screen shots auch ist! DHCP geht zwar auch, aber dann wird es doof mit einen Exposed Host auf das USG zu lenken. B.z.w dann müsste man in der FritzBox den Haken unter Heimnetz am -> Client USG setzen. "Gerät immer die gleiche IP zuweisen" anhaken.

Grüße

Loxor

Die iP-Adresse, hast du auch vergeben? Das geht nicht von alleine . Der WAN Port vom USG ist mit LAN1, LAN2, LAN3, oder LAN4 der FritzBox verbunden??

Die verbindest du einfach mit dem neuen WLAN, die holen sich das Internet über die APs/USG. Oder halt via Kabel, je nach dem was du für Geräte hast. Du kannst LAN1 vom USG und LAN2 Jeweils mit einem 8 oder 16 Port Switch erweitern, je nach Ansprüchen. Das "Interne" Netz ist ja nicht "ge VLANt" Bzw. das interne Netz hat in der Regel die VLAN ID 0 untag -> alle Ports.

Wenn deine SmartHome Geräte eine feste IP haben, musst du diese auch anpassen auf den neuein IP-Adressbereich, richtig. Erstelle im UniFi USG einen DHCP Bereich von z.B 192.168.100.51-100 = 50 Geräte. Alle anderen Geräte die eine feste IP bekommen sollen, baust du um den DHCP Bereich rum.

Grüße

Loxor

Hallo Ulli, deine FritzBox wird wie üblich mit dem DSLer verbunden. Ich würde der FritzBox die IP 10.10.10.1 geben (es gehen natürlich auch andere Private Bereiche).

Erstelle einen DHCP Bereich von 20 Adressen der sollte reichen, falls man mal aus irgend einem Grund mit dem Notebook direkt an die FB muss.

Das UniFi Gateway bekommt WAN seitig die IP 10.10.10.2 Subnet 255.255.255.0 und das Gateway 10.10.10.1 (die FB). Den DNS auf dem USG UMBEDINGT so lassen !!! 127.0.0.1.

Dann gehst du auf der FB unter Internet -> Freigaben -> Gerät für Freigaben hinzufügen -> Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host) -> Gerät auswählen (das USG)= fertig.

ACHTUNG! Du darfst bei LAN1 oder LAN2 beim USG nicht den Bereich 10.10.10.X verwenden. Wenn du LAN und WAN seitig den gleichen IP Adressbereich hast, ist das vom Router nicht mehr routbar!

Daher würde ich die empfehlen z.B LAN1 192.168.100.X LAN2 192.168.110.X.

Hinweiß: Wenn du in deinem INTERNEN Netz bist. 192.168.100.X und gibt auf deinem PC die IP 10.10.10.1 im Browser ein , kommst du IMMERNOCH auf die FritzBox. Das USG bzw. die Router schauen erst intern * gibt es hier 10.10.10.X* nein -> ok-> IRouter schaut WAN-Seitig -> Der erste Hop nach draußen ist der 2tre Router 10.10.10.1.

Deswegen kommst du da ohne Probleme drauf, obwohl du in einem 192.168.100.X Netz bist.

Beim USG sind alle benötigten Standard Ports offen, genao so wie bei der FB oder allen anderen Routern. Daher sollte du ja bitte einen Exposed Host auf das USG lenken. dann sind ALLE ALLE ALLE Ports auf der fritzBox offen, bezogen auf die IP des USGs. Daher ist KEIN doppel NAT mehr nötig. z.B willst du Port 8080 öffnen, müsstest du diesen auf der FritzBox UND dem USG aufmachen. beim Exposed Host , müsstest du den Port dan NUR noch am USG öffnen. Es gibt nur eine mir bekannte Ausnahme wo der reine Exposed Host nicht ausreicht, das ist bei einer IKEv2 Software VPN Lösung der Fall. Da muss Zusätzlich das Protokoll ESP auf den zweiten Router gelenkt werden.

Grüße

Loxor

PS: Wenn du fragen hast und ich helfen kann gerne! Immer her damit, ich gebe mir Mühe dir Zeitnah zu antworten.

PSS: Wenn du auch die GAST-Netz Lösung mit der FB konfigurieren möchtest, sag mir Bescheid auf der Zeichnung fehlt noch 1 Punkt den ich in meinem Wahnsinn vergessen habe.

Hallo, eine ganz blöde Idee. Hast du mal das Lankabel gezogen und neu gesteckt? Damit der Link neu aufgebaut wird?

Nachtrag: Oder die Kiste mal eine Zeit X stromlos machen?

Grüße

Loxor

Guten Abend, also funktioniert die VPN selber ja schon, wenn die Verbindung mit dem SmartPhone geht. Ich baue selber viel VPNs auf mit LANCOM Routern. Aber mit der UniFi USG/VPN konfiguration habe ich mich auch noch nicht wirklich mit beschäfftigt.

Hast du mal versucht das ganze als Open VPN aufzubauen?

Die Konfig gibt es ja auch im USG, für Android und IOs kannst du dir auch jeweils kostenfrei die App runterladen. Die Open VPN soll neben der IKEv2 mit die sicherste sein.

-Also warum nicht?-

Grüße Loxor

Hallo, wenn du Glück hast kannst du den Controller auf deinem System neu installieren und die Konfig wird wieder übernommen. Das hat aber nur eine Aussicht auf Erfolg wenn alle Systemordner der alten Installation noch vorhanden sind. Ansonsten wäre wohl 1x neu programmieren angesagt

Sorry evtl. hat jemand einen besseren Tip

Ich weiß das ist gemein aber das gibt es einen IT Aufkleber, dort steht drauf. " Kein Backup, kein Mitleid" :), böse aber Wahr......

Grüße

Loxor

Bitte schön der Herr

Hallo Ulli,

wenn du ein Notebook hast würde ich dem Notebook eine Feste IP geben. 192.168.1.99 z.B. dann verbindest du dich auf die 192.168.1.1 ( zum USG).

Benutzername ist "root", passwort ist "ubnt" oder nur ubnt/ubnt. Wenn die Benutzerkennwötrter nicht klappen, hat dein Cloudkey schon versucht den SSH Key neu zu setzen. Dann musst du in deinem Controller unter Eintellungen -> Site/Standort -> Geräte-Authentifizierung den Benutzer und das Kennwort versuchen.

Im USG änderst du nur die Intranet einstellungen auf dein Zielnetz. Lass die WAN einstellungen erstmal in Ruhe und passe die Später über den Controller an.

verbinde anschließend deinen UniFi Zoo wieder miteinander und versuche das USG neu einzubinden. Das USG und die Switches können manschmal was doof sein wenn die eine recht alte Firmware drauf haben! Im aller aller schlimmsten Fall -> Controller zurück setzen auf null -> AP zurück setzen auf Null - > USG zurück setzen auf Null und alle Geräte über den Start Assistenten vom Controller neu einbinden in einem Rutch.

Hallo Wannseewicht,

hum das ist in der Tat etwas kniffelig. Das wird auf dem Weg wahrschinlich massiv schwierig. Der Kompetente Elektriker würde dir jetzt den Rat geben"Benutzen Sie doch einen Port Doppler", die Dinger sind auch klasse!

Was weniger klasse ist, das aus der Gigabit Verkabelung 2x 100 M/BIT wird...... also ca. 13 MB pro Sekunde Datentrasfairrate, anstatt 112 MB die Sekunde bei Gigabit. Kannst du mir mal eine kleine Zeichnung machen, wie, wo, was zusammen läuft? Evtl. Kann man ja mit Transportnetzen arbeiten.

Beste Grüße

Loxor

Das habe ich damit fix gezeichnet :=)

https://lucid.app/documents

Das ist mein Favorit, ist aber kostenpflichtig. Kostet nur ein Bruchteil von ms viso und ist Terminalserver tauglich!

https://www.edrawsoft.com/de/

Hallo ulli,

ich habe versucht dir das ganze noch etwas klarer da zu stellen. Du brauchst im Gegenteil 1 Stück Hardware weniger und es bleibt bei einem Internetanschluss .

Du brauchst dir nicht extra ein Layer2 Modem zu kaufen oder sonntiges. Falls du dich für dies Konstrukt entscheidest, soltest du in der FritzBox unter Internet -> Freigaben, einen Exposed Host auf das USG lenken, damit du keine doppeltet Port Pflege hast (Doppel NAT).

Guten Morgen Ulli,

ich meine damit:

Wenn du einen CK auf einem Windows oder Linux Docker betreibst, hat die Docker VM eine IP-Adresse (klar). Wenn mit dieser Konfiguration Gastnetze aufgemacht werden, muss diese VM das VLAN Profil "ALL" bei einem UniFi Switch bekommen, bei einem Standard managed Switch wird die Funktion Untag verwendet. Damit der Virtuelle CK in alle Netze schauen kann. Damit kann jedes Gerät was sich mit dem GAST-WLAN verbindet, den Docker sehen und im schlimsten Fall drauf zu greifen/angreifen, wenn genug Zeit für Angriffe da ist. Wenn auf dem Docker nichts weiter läuft als die UniFi Verwaltung, wäre es für mich noch vertretbar.

Wenn der UniFi controller nur am Rande auf der VM läuft und die eigentlich andere "wichtige" Aufgaben übernimmt, wäre es mit das Risiko nicht wert.

Wenn jemand den Docker knackt und dieser in deinem internen Netz administrative Rechte hat, ist das ein Risiko, welches mir persöhnlich zu hoch wäre.

Den Hardware CloudKey könnte man natürlich genau so angreifen wie eine VM mit genug Zeit. Aber das Risiko ist dennoch ein anderes. Auch, wenn bei einem erfolgreichen Angriff auf den CK die internen WLAN Netze manipuliert werden können. Aber wenigstens habe ich damit keinen einen direkten Angriffspunkt auf meine Windows VMs geboten, im schlimmsten Fall hätte da jemand viel Zeit meinen Domänen Administrator zu hacken. Weil aktiv die VM angegriffen wird.

Das ist meine Persönliche Einschätzung in Sachen "Sicherheit" die natürlich nicht mit jeder Meinung überein stimmen muss.

Fritz!Box neben oder hinter dem USG

Wenn du die Rufnummern von deinem Provider verwendest würde ich mir stark überlegen ob du die FB neben das USG stellen möchtest.

Die Telefonie verwendet das Protokoll UDP (User Datagramm Protokoll) damit die Telefonie in beide Richtungen klappt muss der SIP Port 5060 frei sein, sowie die dazugehörigen RTP Ports. Das musst du dem USG beibringen (Stichwort Port forwardings) für die externe Telefonie, intern geht das alles, ohne weiteres zu tun.

Ach wenn du den DHCP Server auf der Fritz!Box deaktivierst (muss auch so sein), hast du einen 2ten toten DNS-Server im Netz und das merkt das USG. Dadurch haben manche in Ihrem UniFI Dashboard dann hohe Unregelmäßigkeiten in der Übersicht. Auch wenn die Endgeräte über den USG DHCP Server den DNS vom USG mitgegeben bekommen, wirkt das störend im Netz.

Das USG kann zwar eine PPPOE (Point to Point Protokoll over Ethernet) Einwahl, aber es kann genauso gut eine Einwahl über WAN und einem bestehenden Internetanschluss. Ich will hier keinen bekehren oder sonstiges aber prüfe es einfach mal. Außerdem könntest du dir ein" galvanisch" getrenntes Gastnetzbauen, wenn die Fritz!Box hinter dem USG steht.

Hier habe ich die mal einen Profi Paint skizze angehangen * lach*. Das Gastnetz ist in der Fritz!Box nicht verhandelbar, der Router hat die iP 192.168.189.1 und ist mit der VLAN ID 100 getaggt. DHCP geht von 192.168.189.2 - 254.

So würden alle deine WLAN-Gäste komplett am scharfen Netz vorbeigehen.

Ich hoffe der Post konnte dich etwas inspirieren.

beste Grüße

Loxor

">

Hallo Ulli,

ich würde wie schon vorgeschlagen die Fritz!Box hinter das USG stellen, so das diese auch die Einwahl macht und das Internet bereitstellt. Wenn die FritzBox wirklich NUR die Telefonie bereitstellen soll wäre das glaube ich eine gute Sache. So ist die FB direkt am Internetanschluss und du kannst sicherstellen, dass du keine Telefonie Probleme bekommst. Machst du eine VoIP Einwahl von der FB über das USG wirst du Ports frei geben müssen.

Wenn du in der Fritz!Box unter Internet - > Freigaben -> Portfreigaben einen Exposed Host auf das USG lenkst kommt kein doppel NAT zu stande. Da ALLE Ports offen sind! So musst du nur noch Porfreigaben an deinem USG machen und NICHT mehr an der Fritz!Box.

Achte umbedingt drauf das die Fritz!Box einen anderen IP-Kreis hat als dein Internes LAN. Wenn du WAN und LAN seitig den gleichen IP Breich hast, knallt es im Netz :). Der Fritz!Box würde ich zum Beispiel: IP 10.10.10.1 geben, das USG bekommt die IP am WAN-Anschluss 10.10.10.2 und intern -> LAN1 192.168.100.254.

Ich würde mir wahrscheinlich auch einen CloudKey Gen2 leisten, ich habe früher auch mit der Controller/Windows varriante angefangen. Das kommt aber alles sehr schnell an seine grenzen. Besonders wenn man mehr als 1 Netzwerk anlegt. Wenn man einen VLAN fähigen Switch hat und sich ein wenig mit dem Thema auskennt, sind mehrere Netze auch mit einem Standart Switch realisierbar. Das heisst auf einen UniFi Switch könnte man noch verzichten, aber wenn du ein USG hast, tue die selber den gefallen, kauf die einen CloudKey.

Grüße

Loxor

Hallo Ulli,

beim fast roaming ist die Vorrausetzung, klar mehr ein AP. Dann sollten die Endgeräte das auch mitmachen. Stichwort 802.11 v, r und k.

Erläuterung:

802.11k

Der 802.11k-Standard erzeugt eine optimierte Kanalliste und beschleunigt damit für die Geräte die Suche nach nahegelegenen Zugangspunkten, die mögliche Roaming-Ziele sind. Sobald die Signalstärke des aktuellen Zugangspunkts abnimmt, sucht das Gerät in der Liste nach einem anderen.

802.11r

Wenn dein Gerät im selben Netzwerk von einem Zugangspunkt zum nächsten wechselt, nutzt 802.11r die so genannte Fast Basic Service Set Transition (FT)-Funktion, um die Authentifizierung schneller durchführen zu können. FT kann mit den Authentifizierungsmethoden Preshared Key (PSK) und 802.1X arbeiten.

iOS 10 und neuer sowie iPadOS unterstützen adaptives 802.11r in Cisco-WLAN-Netzwerken. Adaptives 802.11r ermöglicht FT ohne aktiviertes 802.11r im konfigurierten Cisco-WLAN-Netzwerk.

802.11v

iOS und iPadOS unterstützen auf bestimmten Geräten die folgenden 802.11v-Funktionen:

Basic Service Set (BSS) Transition-Verwaltung

Disassociation Imminent

Directed Multicast Service (DMS)

BSS Max Idle Service

Neben der Engeräte Intelligenz hilft das WLAN System dabei, das die Engeräte sauber von einem AP zu anderen AP übergeben werden. Ich habe alle die Funktionen zurzeit im UniFi System deaktiviert. Da ich mit meinen IPAD 2020, Iphone 11 Pro und Iphone XR das Problem habe, das, wenn ich nach Hause komme diese sich einfach nicht im WLAN Netz einbuchen (dauert bis zu 30 Minuten). Es liegt aber auch NICHT am Endgerät. Es liegt am UniFi System. Sobald ich die APs neustarte (kein USG, kein CloudKey) ist alles wieder super. Meine Probleme sind soweit behoben seit dem -> Einstellungen -> Drahtlose Netzwerke -> BSS Transition = aus -> 802.11 Geschwindigkeits- und Beacon-Steuerung -> DTM Modus hacken raus -> DITM intevall 2,4 Ghz = 8, DITM Intervall 5 Ghz = 1

-> 2,4 und 5 Ghz Datenratensteuerung hacken raus!

Zurück zum Pukt -> Geräte -> und auf allen Aps ausschalten -> Bandsteering = aus -> Reiter Funk am AP -> Kanalbreite 2,4 Ghz VHT 40 -> Kanalbreite 5 Ghz VHT80 -> bei beiden Autokanäle auswählen!

Der Effekt ist das sich meinen Apple Geräte erst mit 2,4 Ghz verbinden und erst sehr behäbig auf 5 Ghz umstellen. Aber seit dem sind alle meine Verbindungprobleme behoben in Sachen Apple. Osram Lichtsteuerung, SONOS, Heizung, Staubsauber Roboter etc. haben bei mir in der Tat nie Probleme gemacht. Nur die Geräte die ich mis "raus" nehme. Aber ich bin da selber noch am testen, eigentlich bin ich der Meinung das die Hardware out of the Box besser laufen müsste.

humm, Ich glaube das ist grade ein wenig an deiner Frage vorbei, sorry ich habe mich hinreißen lassen. Aber vielleicht hilft es dir ja.

Beste Grüße

Loxor

Hallo Ben,

in der Regel wird bei VoIP der SIP Port 5060 verwendet (ist für den Rufaufbau und das klingeln zuständig). Das Problem mit dem "auflegen" passt auch in das Schema. Bei der Sprachübertragung werden die sogenanten RTP Ports verwendet diese müssen höher liegen als Port 1024, diese "High-Prorts" werden in in der Regel von bis geöffnet z.B. 30001-300040 = 40 Sprachkanäle. Ich glaube das dort das Problem zu suchen ist. Zum testen kannst du dir mal ein Softphone auf einem Notebook installieren, VOP, Phoner Lite etc. dann die Open VPN aufbauen und das Tool "LiveTcpUdpWatch" öffnen (kostenlos downloadbar) dann siehst du genau welche Ports das Softphone noch aufmacht außer Port 5060.

Ich hoffe dies hilft die ein wenig.

Viele Grüße

Loxor