ComputerBase Menü
Aktuelles

Unifi Security Gateway, PiHole und Switch

Raijin schrieb:
Wenn das VPN direkt auf das USG geht, ist man via VPN eben auch direkt im USG-LAN und braucht daher weder spezielle Firewall-Einstellungen noch Portweiterleitungen (abgesehen von Portweiterleitung Fritzbox --> USG für VPN)
Zum Vergrößern anklicken....

Durch die Defintion des USG-WAN1 als Exposed Host auf der FB brauche ich dann aber auch keine Portweiterleitung für VPN mehr oder?

--- Frage hat sich erledigt und wurde mit ja beantwortet, hatte einen Tippfehler ;)
 
Zuletzt bearbeitet: (Frage hat sich erledigt.)
Exposed host ist mehr oder weniger dasselbe wie "leite alle eingehenden Daten auf allen Ports an dieses Gerät weiter". Man kann das also gewissermaßen einfach auch mit einer großen Portweiterleitung TCP+UDP 1-65535 nachbilden.

Aber: Man muss sich darüber im klaren sein, dass dann eben dieser exposed host auch dafür verantwortlich ist, den eingehenden Traffic mit einer Firewall zu filtern. Nur dann, wenn du dich nie wieder in der Fritzbox einloggen und alle eingehenden Verbindungen ausschließlich im USG handhaben willst, ist exposed host denkbar. Wenn du hingegen von außen eh nur eine eingehende VPN-Verbindung hast, dann reicht auch eine 08/15 Portweiterleitung in der Fritzbox für den/die VPN-Ports.
 
Also die FritzBox soll nur noch als Router fürs Internet bzw. VOIP laufen - alle anderen Dienste sind aus.

Durch den Exposed Host muss also das USG die Firewall-Funktion übernehmen - das kann man ja auch Recht Umfangreich konfigurieren.

Würde aber auch bedeuten, die etwas sichere Variante wäre die Portweiterleitung FB --> USG für die eingehende VPN Verbindung. Da muss ich mal schauen welche Ports da freizuschalten Sind.

Danke dir für deine Hilfe - ich lerne gerade viel durch deine Kommentare und meine Praxis :)

Bin gerade dabei die Netz zu erstellen und die Clients entsprechend zuzuordnen - da rächt sich gerade die sehr umständlich DHCP Reservation der USG ... :)


Edit: Fürs Archiv, die VPN-Ports: https://community.ubnt.com/t5/UniFi-Routing-Switching/USG-VPN-with-L2TP-use-which-ports/td-p/2032500
 

Anhänge

  • 2018-10-02 19_02_25-Clipboard.png
    2018-10-02 19_02_25-Clipboard.png
    55,9 KB · Aufrufe: 362
Zuletzt bearbeitet:
Du machst dir entschieden zuviel Arbeit mit dem DHCP. Welche IP ein iPad oder dergleichen bekommt ist doch Jacke wie Hose. Wenn man ein Subnetz organisiert, dann macht man das mit einem oder zwei statischen Bereichen (hier muss die IP von Hand im Gerät eingestellt werden und nix mit DHCP) und dem DHCP-Bereich. Der statische Bereich ist zB für Netzwerkdrucker, NAS, Server, Switches und Access Points. Auf diese Geräte muss man sporadisch oder regelmäßig direkt zugreifen. Ipad und Co sind reine Clientgeräte und die gehören dann in den DHCP-Bereich, weil ihre IP vollkommen unwichtig ist. Selbst wenn, über den Namen kann man auch diese Geräte ansprechen. Es ist nicht sinnvoll, jedem x-beliebigen Gerät für Hand eine DHCP-Reservierung anzulegen! Wenn man nur mit DHCP arbeiten möchte, richtet man eben nur für Drucker, NAS und Co Reservierungen an und lässt die iPads dieser Welt sich selbst ne IP vom DHCP holen, ohne feste Reservierung. Auch die IP von Echo und dergleichen ist völlig uninteressant und daher keine statische IP oder DHCP-Reservierung notwendig...


Bezüglich Portweiterleitung vs exposed host:
Das USG ist unter der Haube ein EdgeRouter, ein semiprofessioneller Router. Bei einer Fritzbox bekommt der Anwender von der Firewall gar nichts mit, weil zB Portweiterleitungen über die GUI in einem Wizard eingestellt werden. Dieser Wizard fügt für jede Portweiterleitung die passende Ausnahme in der Firewall hinzu. So funktionieren Consumer-Router. Ein USG bzw EdgeRouter ist was das angeht deutlich mächtiger und so kann man als Laie im worst case auch Fehler machen. Ich hatte das USG selbst nur kurz mal in der Hand, aber ich habe beruflich mit den EdgeRoutern zu tun. Laien tun sich mit den erweiterten Möglichkeiten oftmals schwer, weil ihnen durch die vorgekauten Wizards fast alle Grundlagen für die zugrundeliegenden Technologien fehlen. Bei einem 08/15 Router sagt man nur "den Port da hin" und den Rest macht die Automatik. Genau genommen sind das aber zwei Teile, (D)NAT und Firewall.

Ich empfehle dir daher, in der Fritzbox tendenziell nur die Ports weiterzuleiten, die du zB für das VPN benötigst. Wenn du das USG in der Fritzbox als exposed host einstellst, musst du dich sonst intensiv mit den Portweiterleitung-/NAT-/Firewall-Einstellungen auseinandersetzen!
 
Klingt Sinnig ... Ich mache mir da viel Arbeit. Hm ... :)

Die fixen IPs mache ich aus Gewohnheit - hatte bisher neben dem Namen auch die IP im Kopf für die Geräte.

Wenn ich die IPs nicht reserviere, wie sage ich dann dem DNS welchen Namen die Geräte haben? Aktuell nutze ich den DNS-Server der Synology und definiere über die IP den Hostnamen.

Zur Portweiterleitung: Ich den Exposed Host wieder deaktivieren und entsprechend die VPN Ports weiterleiten - selber Effekt und nur Vorteile.
 
Jedes Gerät hat selbst einen Namen, der beim DHCP bzw. DNS (je nach Implementierung dieselbe Software) registriert wird. Gib deinem PC zB mal einem anderen Namen bzw. im deutschen Windows heißt das Netzwerkkennung, wenn ich das richtig im Kopf habe. Von einem anderen PC kannst du diesen Namen dann auch anpingen. Dasselbe gilt zB auch für Switches (wenn sie ne IP haben) oder auch AV-Receiver, Smartphones, etc.. Ab Werk ist das mitunter auch ne ID ähnlich der Seriennummer (zB BlaSwitch-4711)
Ergänzung ()

Im DNS kann man natürlich auch manuelle Einträge für Geräte erstellen, aber dann müssen diese Geräte zwingend immer dieselbe IP haben - sei es durch DHCP-Reservierung oder durch eine manuelle IP. Das ist also auch wieder nur etwas für feste Geräte wie Drucker, NAS und Co. Für ipads, Echo, etc ist das wie gehabt wenig sinnvoll. Aber wie gesagt, das ist normalerweise gar nicht nötig. Den DNS sollte man nur anpacken, wenn man weiß was man tut.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

locke87
Unifi Security Gateway Portweiterleitung funktioniert nicht
Antworten
16
Aufrufe
7.219
Raijin
Raijin
darkiop
Doppeltes NAT - FritzBox --> Unifi Security Gateway - Nachteile?
Antworten
16
Aufrufe
35.854
darkiop
darkiop
D
Frage, UniFi Security Gateway und FritzBox
Antworten
15
Aufrufe
10.302
Raijin
Raijin
G
FritzBox 7490 und Unifi Security Gateway ?
Antworten
2
Aufrufe
1.339
Simanova
Simanova
MetalForLive
Ubiquiti Unifi Security Gateway Site 2 Site VPN untereinander aber wie ?
Antworten
19
Aufrufe
6.841
stabile
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz