Beiträge von Stefan71

Hallo,

letzte Woche hatte ich Probleme mit meinem Netzwerk, keine Ahnung woran das lag. Hatte plötzlich eine Internet Auslastung von 87% was ich so nicht kenne. Dazu kamen noch Meldungen von einem Switch " Switch 03 (EG) Port 7 geblockt durch STP Protokoll". Habe dann gesehen das diese Meldungen schon des Öfteren kamen mit den Ports 1, 6 u. 7.

Ausschlaggebend war das ich nicht mehr auf die Web UI einer Kamera kam und deshalb startete ich alle Unifi Switche. USG, Kabel Modem und PC neu. Anfangs hatte ich den Verdacht das es an dem Erdkabel mit Metz Cat. Modulen liegt das ich die eventuell nicht richtig montiert habe und habe die Leitung erst vor ca. 14 Tagen montiert. Aber über einen Netzwerktester ist alles OK.

Was mir auch auffällt das ich immer wieder verschiedene MAC Adressen in "Einblicke" habe u.a. auch Geräte von Ubiquiti die ich nicht zu ordnen kann. Unter Fingerprint steht da Geräte Oui. Auch die Kamera liefert mir immer wieder mehrere MAC Adressen. Was ich jetzt auch noch habe das sich ein Mesh Point einfach nicht mehr verbindet. Das mit der Kamera habe ich in den Griff bekommen in dem ich einen Werkreset durchführte.

Jetzt das eigentliche Vorhaben:

Ich möchte gerne mein Netzwerk neu einrichten von Grund auf und weiß nicht genau wie ich da am besten vorgehen soll um auch Netzwerkschleifen zu verhindern, was aber bei meiner Anschluss Art ja eigentlich gar nicht vorkommen dürfte, so mal meine Theorie. Jetzt wurde mir gesagt das das USG-3P gar nicht für meine 1Gbit Internet Leitung gedacht sei und spiele mit dem Gedanken zu wechseln auf das USG Pro 4.

Wäre das für meine 1GB Leitung und Netz besser geeignet?

Hier mal mein Netzwerk Plan.

Was ich vielleicht noch erwähnen möchte für dir DHCP Einstellungen. Ich möchte gerne allen Geräten eine feste IP vergeben und den Unifi Geräten den IP Block reservieren z.B. 192.168.1.1 bis z.B. 20 und dann ab 21 dann für die Endgeräte.

Zitat von BlackSpy

Du hast bestimmt WIFI AI an? Da habe ich auch immer das Problem mit dem falschen verbinden.

Am besten aus, bringt nur durcheinander.

Ich habe die Kanalwahl immer auf Automatik im 2,4 und 5GHz Bereich und bisher keine Probleme damit.

Leistung habe ich auch auf Benutzerdefiniert und 22dbm

2,4 GHz 40MHz und 5 im 80MHz Bereich

Airtime Fairness ist aus.

Alles anzeigen

Hab es mal jetzt so eingestellt. Für was ist das Airtime Fairness? Wenn man in der Übersicht im Controller "Netzwerk Hervorragend 97%" stehen hat, sagt das dann aus das man die Optimalen Einstellungen hat?

Wifi AI ist aus.

Hallo,

habe gestern mein Heimnetz erweitert im Gartenhaus und habe mal wieder ein wenig rumgespielt mit den Einstellungen. In der neuen Oberfläche ist ja ein Wifi Scanner dabei Kann man über den Sinnvoll die Kanäle einstellen/rausfinden oder ist das eher kontraproduktiv.

Übersicht der WLAN Netze:

Zurzeit habe ich folgende Einstellung bei allen AP:

bei 2,4 Ghz auf HT20/Auto - Custom/22 dbm

bei 5 Ghz auf VHT80/44 - Custom/22 dbm

Alle anderen Einstellungen sind unberührt, vielleicht gibt es ja noch das ein oder andere was Sinnvoll wäre.

Das sind jetzt die aktuellen Kanäle:

Des Weiteren habe ich einige Geräte die sich immer am "falschen" AP anmelden. Sollte man da eingreifen oder kann man sich darauf verlassen das er sich immer den besten AP sucht.

Als Beispiel:

im Gartenhaus habe ich zwei Sonoff Geräte mit Temperatur Fühler und die haben sich immer an einen AP im Haus verbunden anstatt den im Gartenhaus. Habe für den jetzt ein extra WLAN Netz aufgespannt und die Sonoff Geräte verbinden sich jetzt richtig.

Habe jetzt am WE wieder einige möglichen Einstellungen versucht, es geht einfach nicht. Komme nicht auf das Heimnetz.

Verständnis Frage:

Aber werden den nicht die Pakete trotzdem über den WAN geleitet? Der Pi hängt doch an einem 24 Port Unifi Switch und das geht doch alles von außen über den WAN vom USG?

Wie du siehst bin ich voll der Netzwerk Profi, Gell?

Zitat von Morty

dazu mach doch mal ein trace route vom Server aus oder vom Handy

da sollte man sehen wo die pakete ankommen

Bin gerade überfordert

Meinst du ich sollte mal eine Statische Route mit der Port Weiterleitung probieren oder auch mit der WAN Lokale Regel wie von BlackSpy vorgeschlagen?

Bei der wg_client1.conf die ich für den Raspi nutze, habe ich in der wg0.conf mein Heimnetzwerk IP Bereich drin stehen. Im Beitrag 34 ist meine wg0.conf vom VPS Server.

Mit Ping & DNS habe ich jetzt den Pi mit der Heimnetz Adresse gepingt bei deaktiviertem WG, WLAN aktiviert und geht.

Mit Ping & DNS habe ich jetzt den Pi mit der 10er Adresse gepingt bei aktiviertem WG, WLAN deaktiviert und geht.

Mit Ping & DNS habe ich jetzt den Pi mit der Heimnetz Adresse gepingt bei aktiviertem WG und WLAN geht nicht..

Beides mit Handy und aktiviertem WLAN zu Hause und gerade mit mobilem Netz probiert und geht auch.

Wenn ich im Smartphone im Browser die Raspi IP 10..... eingebe verbindet er sich nicht bzw. kommt Seite konnte nicht geladen werden. Aber was soll er auch anzeigen....es gibt ja keine Web Oberfläche. Die IP müsste ja diese sein die im VPS in der wgo.conf hinterlegt ist bzw. diese wgclient_client1.config nutze ich:

# Hub configuration created on localhost on Sat 20 Mar 2021 02:13:34 PM UTC
[Interface]
Address = 10.xx.xxx.x/24
ListenPort = xxxxx
PrivateKey = yDt****************************************
SaveConfig = false
PostUp = iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = ip6tables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostDown = ip6tables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = sysctl -q -w net.ipv4.ip_forward=1
PostUp = sysctl -q -w net.ipv6.conf.all.forwarding=1
PostDown = sysctl -q -w net.ipv4.ip_forward=0
PostDown = sysctl -q -w net.ipv6.conf.all.forwarding=0

# 10: 10 > wgclient_10.conf
[Peer]
PublicKey = E***********************************************
PresharedKey = +********************************************
AllowedIPs = 10.xx.xxx.10/32

# 11: client1 > wgclient_client1.conf
[Peer]
PublicKey = L********************************************
PresharedKey = +*****************************************
AllowedIPs = 10.xx.xxx.11/32, 192.xxx.xxx.0/24

# 12: client2 > wgclient_client2.conf
[Peer]
PublicKey = 3*****************************************
PresharedKey = +***************************************
AllowedIPs = 10.xx.xxx.12/32

# 13: client3 > wgclient_client3.conf
[Peer]
PublicKey = M*****************************************
PresharedKey = +**************************************
AllowedIPs = 10.xx.xxx.13/32

Dann habe ich aber wiederum das was ja der VPS macht...öffentlich eine andere IP zeigen oder sehe ich das falsch?

Hab ich gemacht. Er hat mir auch bestätigt das es schon so viele User so gemacht haben, ohne Probleme, halt nicht mit Unifi.

Ist das eigentlich normal das wenn man etwas löscht wie z.B. das von dir, das es noch im Controller sichtbar ist? Habe da auch unter Firewall noch ein Eintrag mit drop invalite State

Habe gerade noch mal Rücksprache gehalten mit dem Ideengeber und er sagte auf dem Pi ist nichts aktiv, was Firewall oder so angeht. Beim ihm klappt das wunderbar, hat halt eine normale Fritzbox.

Zitat von Morty

ob dort das VPN Netz in das lokale Netz verbinden darf.

Das ist praktisch in der WG Config auf dem VPS festgelegt über :

AllowedIPs = 10.61.xxx.xx/32, 192.xxx.xxx.0/24

Wobei die 192....mein Heimnetz ist.

Genau so habe ich es ja. Der IONOS VPS ist der Server und der Pi mein WG Gateway. Ich sende dir auch mal meine Anleitung.

Zitat von Morty

ist das korrekt das die Wireguard Verbindung steht? dann sind die Portfreigaben schon korrekt und nicht das Problem.

wenn keine Verbindung zum LAN besteht und der Raspi das Wireguard Gateway in deinem Netz ist, sollte dort mal die Firewall geprüft werden ob die evtl. den Zugang zum Lan blockiert.

Wenn ich die Wireguard Verbindung auf dem Smartphone aktiviere und mich in dem eigenen WLAN und einem externen WLAN mich bewege und im Internet unterwegs bin, teste ich mit utrace und bekomme die IP des VPS Servers angezeigt. Deaktiviere ich die WG Verbindung zeigt er mir die IP des Providers an. Wenn ich auch auf meinen VU+ Boxen die externe IP teste, zeigt er mir auch die vom VPS Server an. Deshalb denke ich das alles soweit richtig eingerichtet ist. Ich habe da auch in der WG config den IP Block meines Heinetzes eingefügt.

Es hakt halt nur der Eintritt von extern auf mein Heimnetz.

BlackSpy

Habe jetzt die Regel nach deinen Fotos angelegt und komme nicht über das mobile Netz auf mein Heimnetz.

Jetzt habe ich auch festgestellt bei aktivierter WG Verbindung und im eigenen WLAN habe ich auf dem Smartphone keinen Zugriff auf Geräte aus dem Heimnetz mehr. Vorher ging das

Das ist das Problem, ich komme nicht mehr auf die Klassische Oberfläche.

Edit: Habe es gefunden zum Deaktivieren der neuen GUI

Ist das zweite Bild eine Statische Route? Habe die Controller Version 6.1.71, da ist alles anders.

Hi,

super und Danke für das Feedback. Das mit den Schlüssel, die sind aus einer anderen nicht mehr gültigen Konfig, aber werde es so machen mit dem X-en. Heute morgen nach dem Nachtdienst hatte ich das mit der Port Weiterleitung noch versucht, aber das ging nicht, zumindest nicht mit den Daten die ich benutzt habe. Schaue mir deine Fotos gleich an und lege die Regeln so an.

Das Modem ist im Bridge Modus, deshalb hatte ich damals meine gemietete Kabel Fritte zurück gegeben.

Danke für deine Mühe und Zeit.

Kein Ding. Danke dir nochmals.