@NOCling said in Unifi Controller > 6.0.XX WLAN-Gruppen sind raus:

Bin halt Cisco gewohnt, da ist die CLI einfach geil, aber danke für den kleinen Einblick.

Jo, aber was bringt mir ne CLI wenn ich jede Mistkröte einzeln anfassen muss. Bäh ;)
Und der TACACS Rempel mag nett sein, aber ich bin nicht Krösus :) Und Unifi ist damit die günstigste SDN Lösung die mir da bekannt wäre.

Das ist schlicht kein 2ter Faktor, das ist ein Haufen Sch...

2FA wie App ist ja ok, wenn es dann aber auf einem anderen Device läuft, sonst ist das auch wieder ein Haufen...

Wenn man sich dann noch ansieht, wie der Rifu zwischen den einzelnen Sendemasten aufgebaut und abgesichert ist und die internen Protokolle, dann ist das einzige was man da guten gewissen drüber schicken kann ESP.

@noplan said in interner DNS für 1 client untersagen [solved]:

jede Internetleitung kriegt ne APU box mit pfs dann kann man das doch testen ODER ????

🤦 👊

Richtig, wird bei ganz vielen ISP, auch bei Kabel etc. bei Vertragsumstellung nach Aussage von Supportern die mir bekannt sind "einfach" gemacht bzw. erwartet, dass das gemacht wird, um IP4s wieder einzusammeln. Die Idee ist (obwohl eigentlich Grauzone bzw. nicht legal), dass die, die es brauchen es merken werden, anrufen und das monnieren und dann wieder umgestellt werden (da es eine Vertragsminderung darstellt, wenn man vorher full-dual-stack hatte und dann quasi die IPv4 gemopst wird) und bei denen, die es nicht machen, hatte man dann eben Erfolg und wieder ein paar IP4 mehr im Pool oder für die Business Kunden die eh mehr einbringen.

Dass das "so einfach" läuft, hat einfach den Hintergrund, den auch schon der ein oder andere IT-Recht'ler angesprochen hatte, dass die ganze Chose eigentlich nicht wirklich legal ist bzw. eine Grauzone wie oben gesagt und sich da keiner auf ne Klage freut oder einlassen will. Andersrum - wenn man vorher keine hatte und nun eine möchte - besteht natürlich kein wirkliches Anrecht, daher sieht es da oft schwarz aus oder man braucht andere Vertragsoptionen oder sonstiges was sie sich bezahlen lassen.

Daher genau aufpassen, wenn man den Vertrag ändert UND vorher definitiv eine echte v4 am Anschluß hatte. Eine CGN IP ist BTW keine echte Adresse auch wenn irgendwie eine draufgemauschelt werden sollte (angeblich). Das Vertragsmerkmal vorher war eine echte IP4? Dann muss auch wieder eine her und die kann eingefordert und ggf. -geklagt werden, soweit mir das mit letztem Stand bekannt ist. Trotzdem: kein Anwalt, notfalls einen kontaktieren. Wofür hat man schon Rechtschutz ;)

@noplan said in 2x WAN WAN group & IPs über WAN(2) ins internet schicken [SOLVED]:

Keine WAN group auf allen WANs die gleichen FWrules an und Geräte und rules f die Geräte WanX zu nehmen es funktioniert

Jup bei Gruppierung auf WAN Interfaces (wie's in der Doku steht) oder bei Floats gibts keine Möglichkeit für PF den reply-to Part in der pf rule zu setzen (weil sich die rule auf mehrere Interfaces bezieht).

Beispiel:

pass in log quick on $1_WAN reply-to ( igb0 x.y.z.a ) inet proto icmp from any to x.y.z.a icmp-type { echoreq,squench,timex,unreach } tracker 1499086500 keep state label "USER_RULE: allow ICMP types"

vs.

pass in log quick on { igb0 igb1 } inet proto icmp from any to any icmp-type { echoreq,squench,timex,unreach } tracker 1600328384 keep state label "USER_RULE: WAN test"

Das erste ist ne Interface-Regel. Durch die 2 Interfaces in der zweiten als Group/Float Regel, entfällt der Backtrace via reply-to. Damit ist zwar im Beispiel die Sense von beiden WANs aus pingbar, aber ÜBER die WANs rüber klappts nicht mehr (bzw. nur noch bei dem WAN, dass das Default GW ist), weil er die Zuordnung via reply-to zum Interface und der externen IP (in der ersten Regel x.y.z.a) nicht mehr machen kann.

Da knallt es dann bspw. auch bei VPNs etc. weswegen man ja bei OVPN bei PBR Nutzung die Interfaces rauszieht damit wieder ordentliche Zuordnungen klappen.

@mike69 said in Und dieses IPv6 braucht kein Mensch, alles Panikmache...:

Aber die Lage hat sich ja paar Wochen später wieder entspannt, wenn man sich den Link von Jens oben wieder anschaut?

Was ist passiert? Haben sie das letzte Fass aufgemacht?

Jein, es gibt immer noch Reserven die aber im Normalfall geblockt sind für bspw. neue RIPE Mitglieder etc. Dass da dann auch gemogelt wird und Adressraum dann verschachert ist schade aber schon fast "normal" geworden. Genau wie irgendwelches Geschachere um andere Adressbereiche zu bekommen. Und dann gibt es noch auch noch genug Schließungen, die dazu führen, dass wieder Bereiche zurückgegeben werden. Aber der Peak oben ist nicht nur der temporär, sondern mittendrin im Endspiel. Es gibt nicht mehr und man kann auch nichts zusätzlich "herstellen". Aber man hält eben lieber störrisch an alten Dingen fest als Neues zu akzeptieren. Aber das sieht man ja leider an vielen Stellen im Land oder auch in der Welt aktuell.

@JeGr

Sehe gerade, es geht eine neue DNS Zone beim Provider anzulegen, hilft aber auch nicht weiter...

Stochere weiter rum, habe jetzt eine Zone für "myexample.com erstellt, mit A Record auf dyn.myexample.com und NS Record von dyn auf dyn.myexample.com. Naja, jedenfalls klappen die Türen noch...
Werde den Povider mal nach Lösungsvorschlägen anfragen.

Mike

Honeypots bei einem geshareten Medium sind jetzt nichts seltenes. Dagegen wehren ist schwer. Daher ist das auch gar nicht meine Zielsetzung. Aber ja, könnte man vllt. noch schöner abbilden und sicherer machen :)

Da du auf FWin auf beiden Seiten private Netze hast: warum überhaupt NAT? Ich würde auf der internen Firewall NAT ausschalten und dem Proxy auf dem NGINX direkt sagen, dass ers an den Apache schicken soll. Unnötiges Komplexitätslevel, wenn man beide Seiten kontrolliert hier dann intern mit NAT zu arbeiten.

Zusätzlich verstehe ich dann den Nginx nicht so recht, das könnte auch problemlos die FWout übernehmen (HAproxy bspw.) wenn das nur ein simpelster proxy_pass ist?

@mike69 said in Probleme mit dem DSL-Anschluss der DTAG:

Ja, ist ne alte APU hinter der Sense, die macht Kalender, Adressbuch SMTP-Relayserver, Unifi Controller usw...

OK also wenn die - von OVPN abgesehen - den Rest macht, dann ist da nichts mit static port weil kein outbound, sondern inbound. Wenn da was nicht ankommt, dann die Forwardings und Regeln checken und ob überhaupt was durch exposed Host an der Sense ankommt.

Sollte durchaus legitim sein. Heute ist in einem Haushalt mit Kindern, bei dem jeder noch bspw. ein Smartphone und das ein oder andere WiFi Gerät mit am Start hat, Laptop hier, Fernseher da, Konsole dort... Ja, das hat mit Homeoffice nichts zu tun? Doch, denn den restlichen Traffic aus dem Heimnetz bekommt man nicht los. Wenn ich sehe, dass bei abgeschalteten Rechnern trotzdem im Upstream noch 1-2Mbps rumblubbern, dann ist es klar, wofür man 5-10Mbps Upstream braucht. Damit man nämlich überhaupt noch Mails o.ä. rausbekommt und nicht im Grundrauschen untergeht. Zumal man die ja senden und nicht beim Übertragen zuschauen will.

30Mbps down soll alles abdecken für Office? Halte ich für eine harte Untergrenze. Wenn damit die Anwendungen von allen gedeckt sein sollen (also auch Kindern), ist das ne lustige Behauptung. Wenn ich sehe, wie/was hier die Schulen der Kids an "Alternativen" vorschlagen... ja klar. Da wird mal kurz via Zoom mit zig Leuten ne VidCon gemacht. Nebenbei noch Datenaustausch mit Cloudspeichern der Schule und ich möchte bitte gern auch noch per VPN in der Firma arbeiten - da kann ich über 30Mbps wirklich nur kopfschüttelnd abwinken :/

Aber das ist eben das Problem solange Entscheider noch aus einer Pre-Internet Ära kommen und selbst nichts mit dem Medium zu tun haben außer tolle Zahlen im Raum herumzuwerfen. seufz

@fireodo said in Ausgehandelte Geschwindigkeiten bei verschiedenen Router/Modems mit einem DSL-Anschluss.:

Warum kein Zyxel VMG1312-B30A getestet? Wäre noch eine Möglichkeit!

Das stimmt, war aber gerade nicht so im Angebot. Für die Teile habe ich keine 20 Taler bezahlt pro Gerät, die FB7412 war sogar noch versiegelt. Und als Neugerät ist die VMG1312-B30A mir persönlich, obwohl gezögert :), zu teuer.

Bin, ehrlich gesagt, auch auf den Zug aufgesprungen, der Chip von der Gegenstelle und dem Modem soll von der gleichen Firma sein. Der SP Entry2 und die 5501 haben einen von Broadcom, wobei die Ergebnisse, wie man sieht, nicht Unterschiedlicher sein können.

Auch das persönliche Profil hat sich geändert, früher auf der Jagd nach dem schnellsten Sync, heute ist es ein stabiles Netz. Nichts ist ergreifender, als wenn eine pupertierene Tochter kurzzeitig ihre Serien und Filme nicht mehr sehen kann. :))

Mike

Edit:

Um 19:15 wieder ein resync, aktuell mit der SL 5501, 44/26 Mbit/s ausgehandelt. Na immerhin.
F..k :(

Guten Morgen.

Nach einigen Versuchen ist es tatsächlich openhab geworden. Die Steckdosen werden wie gewünscht kalendarisch und zeitgesteuert, die Harmony Hub und selbst UniFI APs könnnen integriert werden. Zumindest die Aufgaben der Fritz DECT sind schon mal abgelöst, stehen doch noch etliche Möglichkeiten zur Verfügung, mal sehen...

Mike

Rundherum ist relativ aber das System ist soweit ausgeklügelt, dass ich mit dem Key alle Geräte steuern kann auch wenn mir sowas wie der angekündigte Switch Pro mit integriertem Controller lieber gewesen wäre (ein Gerät weniger). Aber gabs eben noch nicht und der 2.Gen Key tut wirklich gut seine Dienste - bis eben auf die ab und an auftretenden Überraschungen bei Updates wie oben. Aber ich kann mir da eben dank Background ganz gut helfen und somit ist das System für mich ein no-brainer weil es genau das tut was es soll und ich nicht mehr an jeden Switch extra ranrennen muss um irgendwas zu konfigurieren etc. sondern das Ding einfach tut.

@felsenstadt

Nö, eigendlich nicht. Es gibt paar HowTo's, zum Teil mit unterschiedlichen Settings. Einfach eine nehmen und ausprobieren, jeder hat sein persönliches Profil.

@JeGr said in Exim4: Mails vom Client zum SMTP Relayserver Transport verschlüsseln und User authentifizieren.:

OK und wenn da nur localhost drin ist? Dann müssten doch IMHO alle anderen sich sauber einloggen, sonst wird nichts relayed. Ist doch das was du möchtest?

Mmmh..., das könnte möglich sein. Bin der Meinung, exim4 braucht da die Einträge um in den Subnetzen zu lauschen.

Hier in der Wiki gibt es noch was zu TLS, Authentifizierung und Smarthost. Leider bekomme ich das so nicht zum laufen, zumal der zusätzliche Eintrag in der passwd.client die Mailweiterleitung verhindert. Wahrscheinlich weil ich nicht weiss, welcher User da eingetragen wird. Egal, ob localuser oder Mailadresse von Strato, det looft nicht.

@mike69 said in Warum die eigene Firewall Sinn macht...:

Wenn ich sehe, wie in unserem Konzern auf Diensthandies die Leute whatsapp installieren und sie betriebliche Daten und Bilder untereinander austauschen. Das ist schon schräg, irgendwie.

Wäre bei uns und unseren Kunden (zumindest den meisten) nicht denkbar. Dort ist sowas untersagt mit gutem Grund. Zu leicht ist mal schnell was beim falschen Kontakt gelandet und plötzlich privat. Deshalb bin ich auch immer noch Verfechter von Dienstsmartphone und Dienstlaptop. Wir dürften zwar beides auch privat nutzen, ich halte das aber nach Möglichkeit stark getrennt (was Installationen etc. angeht - ein extra Browser für Privatkram ist da was anderes). Aber gerade beim Telefon ist bei uns u.a. auch Remotelöschung durch Firmenadmin (gut sind wir selbst ^^) aktiv und da hat auch keiner nen Problem. Wurde aber u.a. auch unserem Vertriebler bspw. gleich klargemacht - kein WA und Co auf dem Firmen-Phone. Ist auch angenehmer wenn man das Ding weglegen kann und nichts sieht, wenn Feierabend ist und man keine Bereitschaft hat. Sonst ist Abschalten ein Problem - da sprech ich aus leidiger Erfahrung früher...

Haben deshalb nen eigenen internen Chat ausgerollt und wenn notwenig gibt's Threema oder Signal. Für privat reicht mir Telegram als "Zwischenlösung".

@mike69 said in Sicherheit durch VPN...:

Schön, dass es Dir wieder besser geht.

Lang genug gedauert 🙄
Aber danke 😃