Der Unifi / Ubiquiti / UBNT Thread


  • Du benötigst 2 Regeln in der Firewall unter LAN. So kommst du aus deinem Management Netz zwar in das IoT Netz aber andersherum geht es nicht.


    RULE INDEXGENERAL TypeGENERAL DescriptionGENERAL EnabledGENERAL Rule AppliedGENERAL ActionGENERAL IPv4 ProtocolSOURCE Source TypeSOURCE IPv4 Address GroupSOURCE Port GroupSOURCE MAC addressDESTINATION Destination TypeDESTINATION IPv4 Address GroupDESTINATION Port GroupADVANCED Enable [definition=12,8]Logging[/definition]ADVANCED Match State NewADVANCED Match State EstablishedADVANCED Match State InvalidADVANCED Match State RelatedADVANCED IPsec
    2000LAN Inallow any to any vlan[icon='fa-check',32][/icon]Before Predefined RulesAcceptAllAddress/Port GroupAnyAnyAddress/Port GroupAnyAny[icon='fa-circle-o',32][/icon][icon='fa-circle-o',32][/icon][icon='fa-check',32][/icon][icon='fa-circle-o',32][/icon][icon='fa-check',32][/icon]Don't match on IPsec packets
    2001LAN Inblock Netz-IoT to Netz-Mgmt[icon='fa-check',32][/icon]Before Predefined RulesDropAllNetworkNetz-IoTIPv4 SubnetNetworkNetz-MgmtIPv4 Subnet[icon='fa-circle-o',32][/icon][icon='fa-circle-o',32][/icon][icon='fa-circle-o',32][/icon][icon='fa-circle-o',32][/icon][icon='fa-circle-o',32][/icon]Don't match on IPsec packets


    Die RULE INDEX Nummer wird nach dem Erstellen der Regel automatisch festgelegt.

    Wenn du einzelne Services aus dem Management Netz im IoT Netz verfügbar machen willst, erstellst du weitere Regeln, die die entsprechenden Ports wieder freigeben.

    Wenn du weitere VLANs erstellst, erstellst du weitere Regeln im Format der Regel 2001 und blockst, was zu blocken ist.

    So funktioniert das alles einwandfrei bei mir! :)


    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

    3 Mal editiert, zuletzt von hoppel118 (29. August 2020 um 09:37)

  • Ich habe die beiden Regeln in meinem vorangegangenen Post nochmal vervollständigt. ;)

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • @hoppel118

    vielen vielen danke für deine Mühe und Ausführliche Beschreibung.

    Alle meine Netzwerke sind voneinander getrennt nur das Management hat Zugriff auf die anderen Netzwerke aber nicht umgekehrt.

    Vielleicht habe ich es nicht richtig ausgedrückt.

    Wenn ich mich im IoT Netzwerk anmelde, bekomme ich auch eine ip Adresse aus dem Bereich (192.168.2.0/24).

    Kann auch keine anderen Netzwerke anpingen soweit alles richtig.
    Wenn ich aber im IoT Netzwerk im Browser die ip vom IoT Gateway eingebe 192.168.2.1 kommt die Anmeldeseite von der USG und genau das möchte ich verhindern.

  • Ok, gerade mal nachgeschaut. Tatsächlich, ich komme in meinem IoT-VLAN auch auf das WebInterface meines Security Gateways.

    Hm... Was soll der Blödsinn denn?

    Hat da jemand eine Idee?

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • öhm ich täte "einfach" sagen - http & https mit Ziel "IP USG" Blockieren - fertig?

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • wegen meinem USW-8P-60W switch... der ja pakete verliert... aber bloss an PoE ports...wenn man ein cat6e Kabel mit masseverbindung nimmt... also quasi "krass merkwuerdig kaputt"...

    Habe jetzt mal noch so einen Switch gekauft. Und der hat das Problem nicht.

    Ist ja schon witzig, das die Unifi switches die Cisco IOS CLI geklaut haben. Sehr praktisch. Habe da leider auch keinen Unterschied zwischen den beiden Geraeten feststellen koennen.

    Den ersten Switch habe ich beim UBNT store europe gekauft. Ml gucken ob ich da das Teil zurueckgeschickt bekomme. Habe da nix von wegen Rueckgaberecht gefunden. Also irgendwie als Shop problematisch. Oder ich stelle mich dumm an. Hinweise willkommen.

    Den zweiten habe ich dann bequemlicherweise bei Amazon gekauft. Ok, die koennen halt keine Logistik. Switch kam mit englischem Netzkabel an. Und Sticker "extra fuer Europa umverpackt". *rotfl* Naja, nach einem Chat mit Amazon support 15 Euro Preisnachlass.

  • Na immerhin hast du den Fehler gefunden. Ich würde an am ehesten auf ein Montagsgerät tippen. ;)

    Viele Grüße Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • ich kann mir immer noch nicht so recht erklaeren, was da hardwaremaessig falsch gelaufen ist. muss ja irgendwie was mit EMI abschirmung oder so sein. irgendwas schlecht geloetet an einer abschirmung von den RJ45 ports oder so... aber wenn ich versuche hardwarediagnose zu machen dauert das immer ewig *seufz*.

  • meine Bisherigen Erfahrungen, aber mit DPI. Wenn schon, denn schon ;)

    Laut diverser Beitrage im Unifi Forum sagen auch die meisten, dass bei 150MBit eig Ende der Fahnenstange ist. 1GBit höre ich das erste mal, selbst ohne DPI.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome


  • Hm... das klingt zu schön, um wahr zu sein.

    Habe mich gerade nochmal ein Bisschen in der Unifi App umgesehen und mehr oder weniger zufällig folgenden Hinweis gefunden, siehe Screenshot Absatz ganz unten.

    Momentan habe ich eine 50/5er Leitung. Mein Provider hat mich kürzlich aber darüber informiert, meine Bitrate kostenlos zum 1.1.21 auf 200/50 zu erhöhen. Von daher bin ich wirklich auf eure Erfahrungen gespannt.

    Ich habe ein USG3 im Einsatz.

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • Jo, sehe ich auch so. Wollte es jetzt aber einfach mal testen. ;)

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • Morgen Leute,

    ich werde demnächst bei einem Freund im Haus (Zwei Reihenhäuser) die IT Infrastruktur aufbauen und dazu hätte ich ein paar Fragen an euch.

    Möchte soweit es geht auf Unifi setzen.

    Gewünscht ist, dass Wlan in beiden Häusern funktioniert.
    Netzwerk Segmentierung.
    4 Kameras die 24h aufnehmen. Zugriff auf die Kameras auch von extern.
    Ein NAS für Daten bzw Backups.

    Alle Cat 7 Kabel landen im Keller auch zwei extra Kabel vom zweiten Haus .


    Er hat letzte Woche seinen Anschluss von der Telekom bekommen. Glasfaser 500 MBit.


    Meine erste Frage wäre , welche Firewall USG 3, USG pro oder die Dream Maschine pro?

    Habe wenig Erfahrung mit Glasfaser Anschlüssen.
    Hat einer von euch so einen Anschluss?
    Laut Telekom Mitarbeiter verbindet man diesen Modem mit rj45 Kabel mit der USG + Einwahldaten und fertig.
    Wenn ja für welche Firewall habt Ihr euch entschieden?
    Habe auch viel gelesen dass die Dream Maschine pro mit der PPPOE Probleme machen soll wegen
    # im Anschlusskennung der Telekom.

    Zweite Frage wäre, bekommt man eine ipv4 oder eine ipv6 Adresse?

    Als NAS kommt die Synology DS720+ wo auch die Controller Software laufen wird.

    Bei den Kameras weiß ich nicht ob ich auf Unifi setzen soll. Wegen EOL von Unifi Video. Da wären mir eure Erfahrungen sehr wichtig.

    Sonst ist ein
    us 24 Port Switch mit poe 250w.
    USW 16 Port mit poe g2.
    3-5 UAP Flex HD

    Was sagt ihr zu der Konfiguration?

    Danke und noch einen schönen Sonntag.

  • Habe wenig Erfahrung mit Glasfaser Anschlüssen.
    Hat einer von euch so einen Anschluss?
    Laut Telekom Mitarbeiter verbindet man diesen Modem mit rj45 Kabel mit der USG + Einwahldaten und fertig.
    Wenn ja für welche Firewall habt Ihr euch entschieden?

    Moin, jo, das ONT einfach direkt mit der USG verbinden, Einwahldaten und fertig. Da mein Provider nicht die Telekom ist und ich auch bisher nur eine 50/5 Leitung habe, kann ich deine Fragen nicht wirklich beantworten.

    Ich habe eine USG3 in Betrieb und nutze die dort vorhandene Firewall. Die USG hat auf jeden Fall Probleme mit der Zwangstrennung nach 24 oder 48 Stunden. Für den automatischen PPPoE Reconnect gibt es keine Option.

    Ich hatte damals dazu einen Thread im Unifi Forum erstellt:

    https://community.ui.com/questions/auto…a9-639a678000bb

    Da wurden auch super Lösungen gepostet. Ich habe aber keine Ahnung, ob es die Zwangstrennung bei der Telekom überhaupt gibt.

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

  • Sonst ist ein
    us 24 Port Switch mit poe 250w.
    USW 16 Port mit poe g2.
    3-5 UAP Flex HD

    Was sagt ihr zu der Konfiguration?

    Switche stehen im Keller, seh ich kein Problem bei.

    Die FlexHD sind super Accesspoints und nicht so Kritisch bei der Aufstellung wie die DeckenAP´s.

    Solltest auf eine FW aus dem Hause UNIFI setzen hast damit ja auch den Controller abgefrühstückt.


    VLANS um die Häuser auseinander zu halten stellen ja kein Problem dar, und lassen sich über den Controller einfach abbilden.
    Vorher nur anständig Gedanken machen und als erstes ein MGT-Netz aufziehen. Danach die Übrigen Netze mit den dazu gehörenden VLANs und SSIDs

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

  • Moin Leute,

    hat hier jemand eine Dual Stack Verbindung in Betrieb?

    Mein Provider hat mich kürzlich einfach von „Plain IPv4“ auf „Dual Stack“ umgestellt. Zurückstellen kann er mich nur, wenn ich die FritzBox meines ISPs nochmal anschließe.

    Also dachte ich mir, dass ich das mal ausprobiere. Wenn ich IPv6 aktiviere, kann/muss ich folgendes konfigurieren:

    1. Verbindungstyp [Deaktiviert|DHCPv6 verwenden|Statische IP-Adresse]
    2. Präfix-Delegierungsgröße

    Bei Punkt 1 würde ich „DHCPv6 verwenden“ konfigurieren, da ich keine statische IPv6-Adresse habe. Aber was ist beim Präfix zu konfigurieren? Ohne geht es nicht. Im Internet habe ich nun öfters /56 gelesen. Ist das bei allen Providern gleich?

    EDIT: In der Anleitung meines ISPs (SWN - Stadtwerke Neumünster) zum Einrichten eigener Router steht auf Seite 8 einiges:

    https://www.swn-glasfaser.de/fileadmin/swn-glasfaser/media/Privatkunden/Internet/Router/Einrichtungserklärung_FritzBox_Dual_Stack_-_7590-1.5.pdf

    Diese Einstellungen gibt es aber beim Unifi Controller nicht...

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

    2 Mal editiert, zuletzt von hoppel118 (19. September 2020 um 15:41)


  • Eigentlich heisst Dual-Stack ja, das Du IPv6 ignorieren kannst, wenn Du willst, und so wie ich die Fritze verstehe, ist bei denen per default kein IPv6 konfiguriert.

    Willst Du IPv6 ? Wenn nicht, dann IMHO einfach ignorieren das es angeboten/geschaltet ist.

    Bei mir hat der Anbieter vor einigen Monaten auch IPv6 aufgeschaltet aber nix gesagt. Bin bloss in irgendeinem Forum darueber gestolpert. Da war dann auch Empfehlung, wie es an der Fritze konfiguriert werden muss wenn man es will:

    Unter dem IPv6 Reiter:
    [X] Native IPv6-Anbindung verwenden
    [X] Globale Adresse aus dem zugewiesenen Präfix ableiten
    [X] DHCPv6 Rapid Commit verwenden

    Prefixlaenge sollte man nicht explizit konfigurieren muessen.

  • Es schadet ja eigentlich auch nichts, wenn ich es konfiguriere.

    Wenn ich IPv6 am Unifi Controller Interface aktiviere, erscheint die Meldung, dass ich die Präfix-Delegierungsgröße auf jeden Fall angegeben muss. Ohne geht’s nicht weiter.

    Von daher würde ich IPv6 gern konfigurieren. :)

    ... Kann aber gerade nicht testen, da ich nicht zu Hause bin. Ich dachte, ich frage hier einfach mal nach, vielleicht hat ja hier jemand Dual Stack mit IPv4 und IPv6 konfiguriert. ;)

    Ist die Präfix-Delegierungsgröße denn überall unterschiedlich?

    Gruß Hoppel

    frontend: nvidia shield tv 2019 pro | apple tv 4k | sonos arc 5.1.2 | lg oled65c97la
    backend: supermicro x11ssh-ctf | xeon | 64gb ecc | wd red | zfs raid-z2 | dd max s8

    software: debian | proxmox | openmediavault | docker | kodi | emby | tvheadend | fhem | unifi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!