Einträge

Was wollen wir? Die Unifi Firewall mal ganz anders nutzen. Warum wollen wir das? Unifi hat seit geraumer Zeit neben der üblichen Firewall, noch etwas mehr zu bieten. Das wird angepriesen als Traffic-Regeln, und ich zitiere: "Verwenden Sie Traffic Rules als Firewall der nächsten Generation, die über erweiterte Sicherheitsfilterung verfügt, um bestimmten Datenverkehr zu blockieren, zuzulassen oder die Geschwindigkeit zu begrenzen." "Wie unterscheiden sich Traffic-Regeln von Firewall-Regeln? Firewall-Regeln werden im Allgemeinen verwendet, um bestimmte Ports und IP-Adressen abzugleichen. Traffic-Regeln können nach Kategorien wie einer App oder einer Domain abgeglichen werden und ermöglichen Ihnen, den Datenverkehr auf intuitive und optimierte Weise zu filtern." Daher setzen wir uns hier damit mal auseinander. Und wie geht das genau? Wir kombinieren halt beides. Firewall- und Traffic Regeln. Ein mächtiges Werkzeug. Ich habe halt im Internet mir diverse Webseiten…

Was wollen wir? Wir wolllen uns mal die Funktionsweise vor Augen halten. Warum wollen wir das? Damit wir verstehen wie alles funktioniert, brauchen wir zuerst den Baustein auf dem sich alles aufbaut. Das Grundprinzip sollte verinnerlicht werden, um damit dann vernünftige und sinnvolle Firewallregeln zu erstellen und anwenden zu können. Und wie geht das genau? Hier klären wir, was passiert eigentlich und mit diesem Wissen können wir arbeiten. Das soll helfen ein Verständniss dafür zu bekommen, um dann weitere im Wiki erklärte Firewallregeln zu verstehen und um zu setzen. Die Firewall von Unifi ist ein wenig anders. Die meisten sind es vlt. gewohnt das Firewall´s erstmal alles blocken und man jedes einzelne erst freigeben muss. Bei Unifi ist es genau anders herum. Da darf erstmal jeder mit jedem und allem kommunizieren. Lege ich also VLAN´s an sind die auch untereinander erstmal sehr auskunftsfreudig und unterhaltsam. Schauen wir uns das mal genauer an. Die…

Was wollen wir? Sicheren Zugriff auf das (private) Netz hinter einer UDM Warum wollen wir das? Private Geräte allerart sind mittlerweile Ziel von Angreifern mit mehr oder weniger boshaften Interessen. Gemeinnützige Institutionen scannen kontinuierlich IP Adressen nach geöffneten Ports um Ihr Wissen zu ergänzen. Heimgeräte werden oft vom Hersteller nicht ausreichend mit Sicherheitsupdates versorgt oder sind nicht auf dem aktuellen Stand. Um Risiken zu vermeiden ist es Hilfreich Geräte nicht direkt frei zu geben. Um trotzdem einen direkten Zugriff ohne Verwendung von Cloud Lösungen zu ermöglichen VPN Lösungen eine direkte gesicherte Verbindung zum Heimnetzwerk. Wireguard ist eine moderne und performante VPN technology. Sie verwendet moderne Verschlüsselungstechnologien und versucht durch den OpenSource Ansatz und schlanke Programmierung Angriffsflächen zu vermeiden. Und wie geht das genau? In meinem Beispiel möchte ich das Einrichten auf einer UDM-PRO hinter einer…

Was wollen wir? Ein wenig Licht in die Materie bringen. Warum wollen wir das? IPv6 wird immer mehr ein Thema, und wer ein Dualstack Internetanschluss sein eigen nennt, kann dann entsprechend seine UDM, UCK und so weiter, entsprechend mit IPv6 Adressen im Netzwerk / VLAN´s versorgen. Und wie geht das genau? Das wird mit durch das Providerabhängige vergebene Präfix entsprechend geregelt. Ich selber stand auch schon vor dem Problem und hatte bis vor kurzem auch noch nicht alle Fakten zusammen. Jetzt aber habe ich mich nochmal schlau machen können und möchte euch drann teilhaben lassen. Ich kann das nur hier, wie im meinem Fall erklären aber ich denke ihr könnt das dann eigentlich eins-zu-eins adaptieren. Und weil wir hier im Forum deswegen schon einige Fragen dazu hatten, würde ich ein klein wenig Klarheit dazu schaffen. Ich habe eine Fritzbox 6591 Cable, am Kabel Deutschland von Vodafone im Betrieb. Dort habe ich 1 GB im Download und 50 im Upload…

Was wollen wir? Die UDM-PRO / UDM-SE wieder zum laufen zu bekommen. Warum wollen wir das? Es kann immer mal was schief gehen, wie Stromausfall oder ein fehlgeschlagenes Update. Dann wäre es toll, wenn wir unserem Gerät wieder Leben einhauchen können. Und wie geht das genau? Mit einem letzten Ausweg, der da Recovery Mode heisst. Aus gegebenen Anlass, dachte ich mir das wir das hier einfach mal niederschreiben. Wenn nix mehr geht, sei es beim flashen, Strom ausgefallen oder ein Software Bug seitens der OS von Unifi, dann hilft meistens der Recovery Mode evtl. noch weiter. Hinweis: Dieses solte aber auch nur der letzte Ausweg sein, daher vorher andere Möglichkeiten prüfen wie Updates ein zuspielen, ein Reset oder Werksreset. Ich lehne mich hier an die engl. Beschreibung an und gebe diese hier wieder. 1. Die aktuelle Firmeware "HIER" [URL:https://ui.com/download/releases/firmware] downladen, und abspeichern. 2. Das Unifi Gerät komplett ausschalten, am besten Stromquelle…

Was wollen wir? Wir möchten uns mit dieser Information ein wenig die Arbeit mit unseren Netzwerken / VLAN´s erleichtern. Warum wollen wir das? Festgelegte IP Adressen können zu Konflikten mit statisch vergebenen IP Adressen führen. Dieses wollen wir natürlich vermeiden. Denn bei Problemen können diese Fallback IP´s aus dem nichts auf einmal auftauchen. Und wie geht das genau? Indem wir auf diese IP Adressen am besten von vornherein verzichten. Somit kann jeder der eines oder mehrere Unifigeräte im Netzwerk hatt, für seine Geräte die IP aus der Liste ermitteln und auf diese gleich verzichten bzw. nicht verwenden. Was ist eine Fallback IP-Adresse? Meines Wissens nach sind das vom Geräteherstellern eingebaute festgelegte IP Adressen die einspringen um ein Gerät zu erreichen, wenn keine IP Adresse vergeben werden kann, weder statisch noch dynamisch. Hinweis: Bitte nicht verwechseln mit Apipa Adressen, die werden und können sich selbst, frei vergeben. Im Netzwerk kann…

Was wollen wir? Möchten gerne den aktiven ONT des Netzbetreiber entfernen und den passiven Glasfaseranschluss über ein SFP-Modul in der UDM Pro / SE nutzen. Warum wollen wir das? Es geht hier um die Problematik, wie man an einen passiven Glasfaseranschluss mit der GPON-Technologie direkt über eine Unifi UDM Pro / SE oder auch andere Router mit SFP-Port nutzen kann. Alle Glasfaser-ISP bieten ihren Kunden grundsätzlich ein ONT an, um dahinter einen Router zu betreiben oder liefern gegen Geld gleich einen Router mit Glasfaseranschluss. Grundsätzlich ist es vonseiten der Technik und Spezifikation kein Problem, ein eigenes Glasfaser-Modem/-Router am passiven GPON-Anschluss zu betreiben. Es gibt bei der am häufigsten genutzten Technik GPON die Hürde, dass nur die Geräte funktionieren, deren Modem-ID bei dem ISP hinterlegt sind. Kurzerklärung: Die Abkürzung PON steht für Passive Optical Network. Für den ISP ist es kostengünstig, die Punkt-zu-Mehrpunkt-Architektur zu verwenden…

Was wollen wir? Verstehen, warum diese willkührlichen IP Adressen auftauchen können. Warum wollen wir das? Etwas mehr Grundkenntnisse und Verständniss für Netzwerke zu bekommen, wie und was warum funktioniert. Und wie geht das genau? Apipa sind selbstständig vergebene IP Adressen. Einige fragen sich bestimmt auch ab und zu mal, was sind das für wilde IP Adressen und wo kommen die her? Wofür steht APIPA? A - Automatic P - Private IP - IP A - Adressing (siehe auch unter Google nach dem Begriff RFC 3927) Das tritt ein, wenn a) keine statische IP Adresse vergeben werden kann oder ist und b) das Netzwerk keine IP Adresse aus einem DHCP Pool vergeben will oder kann Dann würde ein Netzwerkgerät ja sonst ohne einer IP Adresse da stehen, und ohne ist im Netzwerk auf TCP / IP Ebene keine Kommunikation möglich. So können sich nach vorgegebenen Standard durch IANA ( Internet Assigned Numbers Authority), Netzwerkgeräte dann selbständig einen eigene private IP Adresse…

ISP: DNS:NET Allgemeine Vorgaben der DNS:NET: Passend für ITU-T G.984.2/984.5 GPON LC/APC 8° Wellenlänge: TX 1310 nm, RX 1490 nm (mit Filter) passend für rogue detection Sendeleistung: 0.5 bis 5 dBm Empfangsleistungsbereich: -3 bis -28 dBm Reichweite: 20 km Unterstützung von SFF-8472 Laser Klasse 1 Benötigte Daten für den Verbindungsaufbau: • PPPoE Daten vom Schreiben der DNS:NET • VLAN37 • Modem ID Die Modem ID muss der bei DNS:NET hinterlegten Modem ID entsprechen. Falls dies nicht der Fall ist, wird eine Verbindung unter keinen Umständen zustande kommen! Ich persönlich empfehle, die Modem ID des SFP-Moduls auf die hinterlegte FritzBox anzupassen. Diese findest du unter der FritzBox. Beispiel: AVMG12345678. Falls ihr die SN vom SFP-Modul nutzen möchtet, müsst ihr diese per Telefon oder Mail bei der DNS:NET mitteilen und ändern lassen. Getestete SFP-Module: Zyxel PMG3000-D20B - Gigabit GPON SFP-Modul Kabel: LC/APC auf SC/APC FS P/N:…

Netzwerkfehler aufspühren und beseitigen Wenn du ein LAN-Kabel anschließt und das Netzwerk nicht funktioniert, kann das frustrierend sein. Aber keine Sorge, wir können dir helfen! Wir zeigen dir, wie du systematisch Netzwerkfehler aufspüren und beheben kannst, oder noch besser, wie du sie von Anfang an vermeidest. Obwohl Du alles sorgfältig verlegt und angeschlossen hast, streikt das Netzwerk und eine Applikation funktioniert nicht oder die neue Multimedia-Applikation zickt herum. Wenn Du bei der Fehlersuche falsch vorgehst, könntest Du das Problem möglicherweise verschlimmern. Wenn du vor einem Netzwerkfehler stehst, hat D-Link-Senior Consultant Christoph Becker einen ungewöhnlichen Ratschlag: Beginne bei der Fehlersuche auf der untersten Schicht des OSI-Layers, also bei der Netzebene 1 (damit ist die eigentliche Netzwerk-Hardware gemeint) und arbeite dich dann nach oben. Ob im Heimnetz oder im Corporate Network, das gilt gleichermaßen. Wir waren skeptisch und haben…

Was wollen wir? Protokolldateien sind entscheidend für die Untersuchung und Fehlerbehebung von Fehlern. Sie sind die ersten Dateien, die Systemadministratoren untersuchen, um die wahrscheinliche Ursache eines Fehlers einzugrenzen und auf diese Weise Lösungen zur Behebung des Problems zu finden. In einer Infrastruktur mit Dutzenden oder Hunderten von Servern und anderen Geräten kann die Verwaltung von Protokolldateien eine Herausforderung darstellen. Und hier kommt rsyslog ins Spiel. Warum wollen wir das? Rsyslog [URL:https://www.rsyslog.com/] ist ein Open-Source-Protokollierungsprogramm, das die Weiterleitung von Protokolldateien an einen zentralen Protokollserver in einem IP-Netzwerk erleichtert. Mit der zentralisierten Protokollierung können Administratoren die Protokolldateien mehrerer Systeme einfach von einem zentralen Punkt aus im Auge behalten. In diesem Beitrag führen wir dich durch die Installation und Konfiguration von Rsyslog Server auf Debian 11. Lab Setup Um zu…

Moin zusammen, vorab: es ist nicht wirklich ein "Tutorial", mehr eine Info + Workaround, welche ich irgendwo für die Nachwelt festhalten wollte. Als Info, mein Netzwerkzugang über (W)Lan funktioniert wie hier beschrieben: VLAN Zuweisung und WLAN Registrierung über Zertifikate bzw. Nutzername mit NPS RADIUS Windows Server - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de) [URL:https://ubiquiti-networks-forum.de/wiki/entry/106-vlan-zuweisung-und-wlan-registrierung-%C3%BCber-zertifikate-bzw-nutzername-mit-nps-ra/] Folgendes Problem ist nun aufgetreten: nach dem Setzen des Hakens "Jumbo Frames" (Settings - Networks - Global Switch Settings / Devices - "your Switch" - Settings - Services - Jumbo Frames) konnte ich mich im WLan nichtmehr einwählen. Sowohl die zertifikatsbasierte als auch die User/Password Methode waren nicht mehr möglich. Selbiges bei Geräten, welche sich im LAN authentifizieren sollten, um beispielsweise einem VLan zugewiesen zu werden. An allen NICs (bei…

Was wollen wir? Wir wollen von einem Externen Netz mittels VPN zum Standort A verbinden und dort Geräte erreichen. Weiteres besitzen wir einen Standort B welcher zu Standort A mittels Site2Site-VPN verbunden ist. Wir möchten nun nicht immer mit dem Externen Gerät zum jeweiligen VPN Server des Standort A/B verbinden. sondern das Gerät immer auf Standort A verbinden und dort zum Standort B routen. Was benötige ich? Ich erstelle dieses Tutorial mit einer UDM-SE am Standort A sowie einer UDM-Pro am Standort B. Derzeit wird noch die UDM-SE vorausgesetzt, damit man Wireguard als VPN-Server nutzen kann. Sobald die UDM-Pro ebenfalls die Firmware v.3.x erhalten hat, kann man auch 2 oder mehr UDM-Pro nutzen. Hintergrundwissen: Standort AStandort B IP-Bereich: 10.0.0.0/24 IP-Bereich: 10.1.0.0/24 Dienste: Wireguard Client VPN OpenVPN Site2Site Dienste: OpenVPN Site2Site Und wie geht das genau? Schritt 1: Wir erstellen ein Client-VPN um die externen Geräte ins…

Vorwort: Da ich bei meinem letzten Beitrag [URL:https://ubiquiti-networks-forum.de/wiki/entry/110-unifi-talk-mit-deutscher-telekom-sip-voip/] etwas Kontakt mit den FreeSwitch API Dokumentationen hatte, habe ich herausgefunden, dass man sich ganz einfach die SIP Zugangsdaten für bspw. Softphones "ausdrucken" kann. Ich habe bereits 2 Talk Geräte bei mir ZuHause im Einsatz, leider gibt es noch keine Mobile App. Softphone Einrichtung (Zoiper): Zoiper hat bei meinen Recherchen immer wieder überzeugt, der SIP Client ist simple gehalten und gibt Fehlermeldungen im richtigen Kontext wieder. 1. Zoiper5 [URL:https://www.zoiper.com/en/voip-softphone/download/current] installieren. 2. Neuen SIP Account anlegen: Hierbei entspricht der INTERNAL Platzhalter der Internal Extension Rufnummer, HOST muss mit der IP-Adresse der Dream Maschine oder des CloudKeys ersetzt werden. Das Passwort ist aus dem nächsten Schritt zu entnehmen. Beispiel: [email protected] 3. Passwort aus FreeSwitch…

Was wollen wir? Sicheren Zugriff auf das (private) Netz hinter einem USG-Pro-4 (UGW4) oder USG-3P (UGW3). Warum wollen wir das? Wie die Vergangenheit deutlich gezeigt hat haben wenigstens einige private Geräte wie z.B. NAS oder Controller zur Heimautomatisierung oder ähnliches immer wieder Sicherheitslücken, welche auch schon erfolgreich ausgenutzt wurden. So etwas passiert häufig, wenn diese Geräte für alle und jeden über eine simple Portfreigabe im Internet erreichbar und nur mit den "internen Sicherheitsmechanismen" geschützt sind, welche oft nicht ausreichen. Vielleicht möchte man auch einen Dienst aus dem (heimischen) LAN verwenden, welchen man nicht veröffentlichen möchte oder sollte, wie z.B. ein pi-hole. Daher sollten solche Services nicht direkt von außen erreicht werden können oder man möchte das einfach nicht. Leider werden wohl weder das USG-Pro-4 noch das USG-3P das dafür nötige Update von Ubiquiti erhalten, was ich sehr schade finde. :( Aber auch…

Was wollen wir? Verschiedene OpenVPN Tunnel zu NordVPN aufbauen. Warum wollen wir das? Manchmal ist es sinnvolll mit einer spzifischen IP Adresse zu surfen. Sei es um die Identität zu verschleiern oder gewisse Services in Anspruch zu nehmen, die hierzulande schlicht weg nicht möglich sind. Und wie geht das genau? Folgende VPN Tunnel werden angelegt UDM-SE-EU :right_arrow: Settings :right_arrow: Teleport & VPN :right_arrow: Create new VPN Client :memo: #909 [URL:https://ubiquiti-networks-forum.de/tagged/2013-909/] DE NordVPN UDP Name: #909 [URL:https://ubiquiti-networks-forum.de/tagged/2013-909/] DE NordVPN UDP VPN Type: OpenVPN Username: Password: •••••••••••••••••••••••• Configuration File: de909.nordvpn.com.udp.ovpn UDM-SE-EU :right_arrow: Settings :right_arrow: Teleport & VPN :right_arrow: Create new VPN Client :memo: #909 [URL:https://ubiquiti-networks-forum.de/tagged/2013-909/] DE NordVPN…

Was wollen wir? Wir wollen unser Synology NAS per NFS mit dem Proxmox Backup Server verbinden um dort die Backups/Snapshot abzulegen Warum wollen wir das? Den vorhanden freien Speicher von der Synology nutzen Der PBS ist in einer VM und hat nur eine kleine Festplatte Sicherungen auslagern, falls es mal Probleme gibt Voraussetzungen: PBS muss in einer VM oder auf einen weiteren PC / Server installiert & aktiv sein PBS muss eine Verbindung zum NAS herstellen können Und wie geht das genau? Als erstes loggen wir uns auf dem NAS ein. Das NAS heißt in meinem Fall NAS-01 mit der IP 10.254.5.40. Anschließend öffnen wir die Systemsteuerung und navigieren in Freigegebener Ordner und erstellen uns dort einen neuen Ordner über Erstellen - Freigegebenen Ordner erstellen. Nun öffnet sich ein Fenster, wo wir einen Namen für den Ordner vergeben können und ein paar Einstellungen vornehmen müssen. Basisinformationen einrichten: Name: Backup02 (ist nur ein Beispiel. Kann gerne anders genannt…

Ändere ich später, bevor ich wieder alles lösche :) (Quelltext, 73 Zeilen) (Quelltext, 14 Zeilen)

UPDATE 2.0.2: Seit dem letzten Update müssen alle 3 Variablen sip_from_uri ersetzt werden! Vorwort: Ich habe mir letztens ein UniFi Touch Max Phone gekauft und wollte dieses in Deutschland nutzen. Von Ubiquiti erhält man automatisch eine gratis Nummer für 15 Tage, jedoch ist es mittlerweile auch möglich seinen eigenen SIP Provider zu nutzen. Da aber Ubiquiti in UniFi Talk noch einige Variablen Hardcodet hat, ist es leider nicht möglich ohne Veränderungen des Source Codes die Deutsche Telekom einzubinden. Telekom SIP: Telekom bietet zusätzlich zu ihrem Magenta Verträgen auch SIP Trunks an, in diesem Tutorial werden jedoch lediglich die bereits vorhandenen Rufnummern zu einem Magenta Vertrag berücksichtigt. https://www.telekom.de/hilfe/festnetz-internet-tv/telefonieren-einstellungen/ip-telefonie-mit-anderen-clients?samChecked=true Wichtig ist hierbei zu beachten, dass Stun genutzt wird, falls im Netzwerk ein Doppel NAT vorhanden ist, Freeswitch verwaltet diese unter…

Moin. Allgemeines Ich wollte die Lüfter der UDM-Pro tauschen, da die extrem laut werden, sobald man den HDD-Slot nutzt. Dabei ist es egal, ob die Kiste warm ist oder nicht, ob mein eine HDD oder eine SSD verbaut, oder oder oder. Die Firmware ist wohl so programmiert, dass wenn irgendwas in dem Slot ist, die Lüftergeschwindigkeit pauschal auf irgendwas um die 40-50% eingestellt wird. An dieser Stelle geht mein Dank an Ubiquiti raus. Wie kann man so nen Mist programmieren? (Das soll es mit Kritik in diesem Beitrag noch nicht gewesen sein. Spoiler: ich hoffe euer Konstrukteur wurde entlassen). Weiter im Kontext. Verbaut in der UDM-Pro sind ein 40x40x20mm Lüfter für die HDD und ein 70x70x15mm Radial-Lüfter für die CPU. Es hat sich herausgestellt, dass es hauptsächlich der CPU-Lüfter ist, welcher sehr laut ist, wenn der Datenträger-Slot belegt ist. So sieht der Gerät von innen aus. So sieht der Gerät jetzt nach Lüftertausch von innen aus. Anschlüsse beide Lüfter…

Mit dem Link Aggregation Control Protocol lassen sich mehrere physikalische Verbindungen auf dem Link Layer bündeln und zu einer logischen Link Aggregation Group (LAG) zusammenfassen. LACP ist das Akronym für Link Aggregation Control Protocol. LACP sorgt für die dynamische Konfiguration der logischen Verbindung. Gegenüber dem Betrieb einzelner Links erhöht sich die nutzbare Bandbreite. Zudem steigt die Verfügbarkeit der Verbindung. Es handelt sich um ein standardisiertes Protokoll zur dynamischen Bündelung von Verbindungen zwischen Netzwerkgeräten wie Switches oder Servern. Parallele Punkt-zu-Punkt-Verbindungen werden auf dem Link-Layer zu einer logischen Link Aggregation Group (LAG) zusammengefasst. Für diese Art von Link-Bündelung verwendete alternative Begriffe sind Channel Bundeling, Port Aggregation oder Port Trunking. Eine Link Aggregation Group kann statisch konfiguriert oder mithilfe des Link Aggregation Control Protocol dynamisch angelegt werden. LAGs können…

Was wollen wir? Die DNS Basierten Block Funktion kennen lernen die unter UnifiOs zur Verfügung stehen Warum wollen wir das? Mit UniFi OS 3.x und Network 7.3.69 is ein DNS basierter Werbeblocker dazu gekommen. schon länger existiert ein DNS basierter "Content Filtering" mit den Optionen „Family" und „Work" Hier wird die Funktion erklärt und auf die Fallstricke hingewiesen die von dem aktivierten Blocker ausgehen. Und wie geht das genau? Vorweg: UnifiOs 3.x und Network ab 7.3.69 ist noch EalryAccess und grade UnifiOS 3.x nicht für alle Geräte Verfügbar. getestet und beschrieben auf einer UDM-PRO-SE. Unbestätigt: Die CloudKey Controller haben trotz UnifiOS 3.x KEINEN AD Blocker da mit ihnen nur die „alten“ USG gesteuert werden können diese eine andere Basis haben. Wie an und Aus: Content Filtering: Neue GUI - Settings - Networks - auf das jeweilige VLAN AUS, WORK, Family sind die einzigen Optionen. AD Block: Neue GUI - Settings - Traffic Management: hat nun unter den statischen…

Hallo zusammen. Ich habe mir aus Folgendes eingerichtet. Es sorgt für Sicherheit und weniger Administrationsaufwand (kein neu Konfigurieren einzelner Switchports etc.). Ich will das hier mal für die Nachwelt festhalten (und damit ich es selbst wieder vergessen kann). Was wollte ich erreichen? 1. Nutzer sollen sich mit ihrem AD-Nutzernamen am WLAN anmelden können. 2. Clients der Active-Directory sollen direkt in VLAN x verschoben werden, wenn sie sich im WLAN anmelden oder an einem Switch eingesteckt werden (Port unabhängig). Das geht ohne Nutzereingabe, sondern über Zertifikate. 3. nur noch eine SSID für alle VLANs (nur bedingt möglich, da hier die Clients mitspielen müssen. Z.B. unterstützen nicht alle IoT Geräte WPA2-Enterprise) Voraussetzungen: 1. funktionierendes Active Directory (inkl. Benutzer/Computerverwaltung, sowie Gruppenrichtlinienverwaltung) 2. in AD registrierte Zertifizierungsstelle (Rolle unter Windows Server) 3. in AD registrierter NPS (Network Policy…

Was wollen wir? Ersatzweise, zu dem bereits von mir erstellten https://ubiquiti-networks-forum.de/wiki/entry/47-sonstiges-externer-zugriff-%C3%BCber-ipv6-aufs-netzwerk/WIKI #SONSTIGES | EXTERNER ZUGRIFF ÜBER IPV6 AUFS NETZWERK [URL:https://ubiquiti-networks-forum.de/wiki/entry/47-sonstiges-externer-zugriff-%C3%BCber-ipv6-aufs-netzwerk/], möchten wir eine Möglichkeit schaffen einen Tunnel über Wireguard zu realisieren. Warum wollen wir das? Der Tunnel mit dem Tool 6Tunnel erlaubt nur Verbindungen über TCP, ausserdem gibt es setups, wo der Benutzer keine feste IPv6 zu Hause bekommt. Dieses Szenario bietet also eine Weiterleitung von einem virtuellem Server im Internet, mit eigener IP4, zu seinem HomeLab Server zu Hause. Es können individuell nur die Ports frei gegeben werden, welche getunnelt werden sollen. Es wird aber keine Portfreigabe in der Firewall des eigenen Netzwerkes benötigt. Und wie genau geht das? Es gibt zahlreiche Möglichkeiten sich über Reverse VPN einen…

Vorwort: Da bei mir bereits mehrmals Probleme mit der Topology aufgetreten sind, habe ich nun mal nach ein paar Lösungsansätzen gesucht. Da diese Ansätze mir geholfen haben, möchte ich diese mit euch im Wiki teilen. Behebung: Zunächst müsst ihr den SSH Zugriff eurer Geräte aktivieren, hierfür gibt es bereits ein Tutorial [URL:https://ubiquiti-networks-forum.de/wiki/entry/29-unifi-allgemein-ssh-aktivieren/]. Zunächst habe ich mich in einen meiner Access Points per SSH eingeloggt und folgende Commands ausgeführt: 1. LLDPCLI CLI Client öffnen: (Quelltext, 1 Zeile) 2. LLDP Pausieren: (Quelltext, 1 Zeile) 3. LLDP Einträge Updaten: (Quelltext, 1 Zeile) 4. LLDPCLI CLI Client schließen: (Quelltext, 1 Zeile) Nachdem ich diese Schritte ausgeführt hatte, musste ich einige Minuten warten, bis der Controller (Network Applikation) meinen Access Point wieder in der Topology samt Geräte angezeigt hat. Dies ist sicherlich kein finaler Fix, denn er bezieht sich nur auf Access…

Was wollen wir? Auf das an der UDM-PRO-SE angeschlossenes Modem zugreifen. Warum wollen wir das? Das Modem hat nur ein Netzwerk-Interface (wie z.B Vigor 130), es stehen keine normalen LAN-Ports mehr zu Verfügung oder sollen nicht verschwendet werden. Dennoch wäre ein gelegentlicher Zugriff erwünscht, um sich z.B die (V)DSL-Verbidungsdatenanzuschauen oder Updates durchzuführen. Und wie geht das genau? Voraussetzungen: Grundkenntnisse auf der Linux Shell Modem Konfiguration einen (privaten) IP-Bereich der NIRGENDWO intern benutzt wird. Das Beispiel hier benutzt: 10.99.99.0/28 10.99.99.1/28 - IP des Modem 10.99.99.2/28 - IP des der UDM UDM-PRO-SE getestet mit der 2.5.11, es spricht aber nichts dagegen, dass es auch auf den andere UMD oder DR funktioniert. Da müssen aber ggf. Pfade, Netzwerkschnittellen UND Start-Scripte angepasst werden. Step1: Modem Konfiguration Am Beispiel eines DrayTek Vigor 130, IP Adresse und Maske setzen und fertig. Step2: auf der…

Was wollen wir? Wir wollen, dass der Signal Mapper der App "WiFiman" wieder funktioniert. Warum wollen wir das? Nach einem Update (oder ähnlichem) ist der Button "Start Signal Mapper" in der App "WiFiman" ausgegraut, obwohl wir uns im Unifi-WiFi befinden und der WiFiman Support im Netzwerk unter "SYSTEM" aktiviert ist. Und wie geht das genau? Als erstes verbinden wir uns per SSH/Shell mit unserer UDM-Pro. Wie das geht, findet ihr HIER [URL:https://ubiquiti-networks-forum.de/wiki/entry/28-unifi-allgemein-ssh-shell-verbinden/]. Sobald ihr verbunden seid, gebt ihr als erstes folgendes ein: (Quelltext, 1 Zeile) Als nächstes, gebt ihr bitte folgendes ein: (Quelltext, 1 Zeile) Es erfolgt KEINE Bestätigung dieser Aktion! Daher einfach danach folgendes eingeben: (Quelltext, 1 Zeile) Auch darüber erfolgt KEINE Bestätigung. Jetzt müsst ihr etwas geduld haben, bis aus der leeren Zeile in eurer Shell folgendes angezeigt wird: root@ubnt:/# Jetzt beendet ihr die unifi-os shell und…

Was wollen wir? Wir wollen, dass die App "Network" wieder einwandfrei funktioniert. Warum wollen wir das? Die LED des Cloud-Keys blinkt weiß, und in der Weboberfläche sieht man die App "Network" im Status "starting". In diesem Zustand ist es unmöglich die App "Network" anzuzeigen, um das Unifi-Netzwerk zu administrieren. Im Netz findet man zu diesem Phänomen immer wieder als einzige Lösung: "Werksreset und Backup wieder einspielen". Aufgrund der tatsächlichen Ursache ist dies aber nicht zielführend oder gar sinnvoll. Und wie geht das genau? Die Restart-Schleife der App "Network" entsteht, da der Timeout des Systemd-Watchdogs abläuft, bevor die App vollständig läuft. warum die App so langsam startet warum der Watchdog so scharf eingestellt ist seit welcher Version das auftritt kann ich nicht sagen. Die Lösung ist jedenfalls, den Watchdog-Timeout einfach zu erhöhen. Standardmäßig steht er auf 60s: (Quelltext, 2 Zeilen) Wird der Wert nun auf beispielsweise 120s…

Was wollen wir? Firewall-Regeln erstellen, um unsere Subnetze/Geräte gegeneinander abzusichern. Warum wollen wir das? selbsterklärend Und wie geht das genau? In meinem Beispiel besteht das Netzwerk aus fünf Subnetzen: 10.0.1.0/24 ist das 00-MGMT-LAN ohne VLAN 10.9.9.0/24 ist das 09-DNS LAN (VLAN 9) mit meinen DNS Servern (optional nur bei lokalen DNS Servern wie PiHole Adguard etc.pp.) 10.0.10.0/24 ist das 10-Home LAN (VLAN 10) 10.0.20.0/24 ist das 20-IoT-LAN (VLAN 20) 10.0.50.0/24 ist das 50-Guest-LAN (VLAN 50) WLAN-Netze besitzen eine Verbindung zu den zugehörigen LAN’s. Deshalb werden die WLAN’s von den Firewall-Regeln mit erfasst. Anzahl der Subnetze und der IP-Bereiche sind entsprechend eurer Situation anzupassen. Die hier beschriebenen Einstellungen sind auf Wunsch von vielen Usern mit der neuen GUI erstellt worden, und beziehen sich auf die englische Controller-Oberfläche. Die Regeln werden als Rules IPv4 definiert. Bei Selbsterklärenden IP/Port Groups sind…

Was wollen wir ? Offene Ports unter Windows mit Boardmitteln identifizieren. Warum wollen wir das? Zu Programm-Funktions- und Sicherheitszwecken. Und wie geht das genau? Um offenen Ports in Windows zu suchen, benötigt man nicht immer komplexe oder teure Zusatztools. Mit der PowerShell und auch mit der Eingabeaufforderung lassen sich mit wenigen, kurzen Befehlen die notwendigen Informationen auslesen. Mit der PowerShell ist es möglich geöffnete Ports und Verbindungen zu testen, genauso wie mit der Befehlszeile. Man kann analysieren, wo Ports geöffnet sind und von welchen Programmen oder Diensten. Für diese Abfragen sind keine zusätzlichen Module oder Anwendungen notwendig. Das wichtigste, interne Modul für die Abfrage und das Setzen von IP-Informationen ist das Modul NetTCPIP. Die Cmdlets aus diesem Modul zeigt die PowerShell mit dem folgenden Befehl an: (Quelltext, 1 Zeile) Offene Ports lassen sich in sekundenschnelle identifizieren Ein Beispiel dafür ist das…