Wireguard with Unraid 6.10RC2

[cracyfloyd]

Bevor ich noch weiter auf suche gehe frage ich euch einmal ob noch jemand anderes Probleme mit Wireguard hat.

 

Ich denke ich habe soweit alles richtig eingerichtet und habe zum Abschluss auf meinem IPhone Wireguard installiert und die Konfiguration per Barcode das mir der server zur verfügung stallt eingerichtet.

 

Der Port ist im AVM Router weiter geleitet.

 

Es sieht alles aus als ob es funktioniert doch bekomme ich kein Handshake.

 

Hat jemand eine Idee bevor ich weiter in die tiefe gehe

 

[ich777]

2 hours ago, cracyfloyd said:

Der Port ist im AVM Router weiter geleitet.

Sicher auch das du UDP Port weitergeleitet hast und nicht den TCP?

Kannst evtl auch mal einen screenshot von der Portweiterleitung machen?

 

Hast du irgendwas an den adressen geändert?

[cracyfloyd]

Ja hab ich gemacht und ich glaube den Fehler gefunden zu haben.

Meine Fritz zeigt mir 2 Netzwerkinterfaces mit der gleichen IP an, aber unterschiedlichen MAC Adressen. ???????

Eine davon ist die physikalische von meinem Unraid Server. Die andere weiß ich nicht zu wem die gehört. Die Portweiterletung für den Wireguardport musste ich aber komischerweise auf diese legen. So bekomme ich eine Verbindung. 

Bin total verunsichert was das nun ist. Warum 2 mal die gleiche IP in der Fritz

Brauche dringendst HILFE

[mgutt]

Server abstecken und in der Box die Freigaben löschen. Danach beide Geräte unter Netzwerk löschen. Auch nach unten scrollen bei den früher verbundenen Geräten schauen. Evtl auch die löschen.

 

Nun Server wieder verbinden und Freigabe neu einrichten.

 

[cracyfloyd]

1 hour ago, mgutt said:

Server abstecken und in der Box die Freigaben löschen. Danach beide Geräte unter Netzwerk löschen. Auch nach unten scrollen bei den früher verbundenen Geräten schauen. Evtl auch die löschen.

 

Nun Server wieder verbinden und Freigabe neu einrichten.

 

Danke für deine Hilfe. Ich konnte nun den Wireguard port dem richtigen physikalischen Netzwerkadapter zuweisen, und es klappt hervorragend. Trotz alledem würde mich brennend heiß interessieren wo her kommt diese virtuelle Netzwerkkarte die unter der IP des Servers in der Fritz erscheint. 

 

Ich habe einmal meine Docker Einstellungen angehangen. Kann es mit dem Docker/Host zusammen hängen. Ich benötige diesen aber unbedingt.

[mgutt]

1 hour ago, cracyfloyd said:

Trotz alledem würde mich brennend heiß interessieren wo her kommt diese virtuelle Netzwerkkarte die unter der IP des Servers in der Fritz erscheint. 

Also hast du wieder zwei Clients mit der selben IP? Das darf nicht sein. Egal ob es nun geht oder nicht. Das wird nicht lange gut gehen.

 

Ich vermute mal, dass du einen Container oder VM mit der selben IP wie den Unraid Server betreibst. Oder schlicht ein ganz anderes Gerät in deinem Netzwerk.

 

Mit diesem Befehl kannst du dir alle MAC-Adressen aller Container anzeigen lassen:

docker inspect -f '{{.Name}}{{ printf ": " }}{{range .NetworkSettings.Networks}}{{.MacAddress}}{{end}}'  $(docker ps -aq)

 

Ist da die MAC-Adresse dabei, die du in der Fritz!Box als separates Gerät siehst?

 

Hinweis: Viele Container haben MAC-Adressen und tauchen nicht in deiner Fritz!Box auf, weil der Container im bridge Netzwerk läuft. Nach außen ist der nur über die MAC-Adresse des Unraid Servers zu sehen. Sie existiert nur intern und könnte über die Console des Containers so verifziert werden:

ls /sys/class/net/*/address | while read line; do echo -n "$line: "; cat "$line" ; done

 

[cracyfloyd]

Nein ist nicht dabei. Bei einem Neustart des Unraid Servers wird anscheinend diese 2te dubiose Verbindung mit einer neuen Mac Adresse vergeben. Die alte ist unter ungenutzte Verbindung gelandet.

 

Schalte ich den Server aus und trenne Die Netzwerkverbindung verschwinden auch dei Einträge in der Fritz auf ungenutzt. Es muss also vom Unraid kommen. Beim deaktivieren des Dockerdienstes und des VM Dienstes verschwindet die Verbindung in der Fritz . 

 

Ich hab mal eine Datei mit meinen genutzten Dockern angehangen.

 

 

Edited December 22, 2021 by cracyfloyd

[cracyfloyd]

40 minutes ago, cracyfloyd said:

Nein ist nicht dabei. Bei einem Neustart des Unraid Servers wird anscheinend diese 2te dubiose Verbindung mit einer neuen Mac Adresse vergeben. Die alte ist unter ungenutzte Verbindung gelandet.

 

Schalte ich den Server aus und trenne Die Netzwerkverbindung verschwinden auch dei Einträge in der Fritz auf ungenutzt. Es muss also vom Unraid kommen. Beim deaktivieren des Dockerdienstes und des VM Dienstes verschwindet die Verbindung in der Fritz . 

 

Ich hab mal eine Datei mit meinen genutzten Dockern angehangen.

 

 Ich habe noch ein bisschen getestet. Starte ich den Dockerdienst ohne einen Container zu starten erscheint die Verbindung auch nicht in der Fritz. Starte ich dazu irgendeinen Container erscheint diese dann plötzlich wieder. Es ist aber nicht Container abhängig. Ich hoffe sehr du kannst mir weiter helfen.

 

[mgutt]

14 minutes ago, cracyfloyd said:

Starte ich dazu irgendeinen Container erscheint diese dann plötzlich wieder.

Hmm komisch.

 

Welches Netz nutzt der Container? Ist die Mac-Adresse wie die von den Containern aufgebaut? Man erkennt ja ein Muster 02:42...

[cracyfloyd]

6 minutes ago, mgutt said:

Hmm komisch.

 

Welches Netz nutzt der Container? Ist die Mac-Adresse wie die von den Containern aufgebaut? Man erkennt ja ein Muster 02:42...

Diese 2te in der Fritz unterscheidet sich von denen im Docker. Diese fangen alle mit 02:irgendetwas an. Die in der fritz hat etwas anderes am Anfang. 

 

Ich habe noch etwas rausgefunden:

Ich habe nun die Option: 

Host Zugang zu benutzerdefinierten Netzwerken: Deaktiviert

 

Nun kann ich alle Container starten ohne das die 2te Verbindung in der Fritz entsteht.

Dieses scheint das Problem zu sein was diese Verbindung erzeugt. Die Frage ist nur warum und führt das zu Problemen. Ich konnte so keine fest stellen ausser die Portzuweisung im Wireguard am Anfang.

[mgutt]

@ich777 @Ford Prefect

Hat man zwei MAC-Adressen, wenn man Host Access aktiviert?!

[Ford Prefect]

...keine Ahnung, kann ich mangels sandbox hier auch nicht nachstellen, sorry.
Ginge, wenn überhaupt nur mit virtuellen Adaptern, nicht mit echter Hardware, denke ich.

Gesendet von meinem SM-G780G mit Tapatalk

[ich777]

9 minutes ago, mgutt said:

Hat man zwei MAC-Adressen, wenn man Host Access aktiviert?!

Soweit ich weiß wird bei MacVLAN ein zweiter Virtueller Adapter angelegt damit der Host Zugriff überhaupt erst möglich wird, also könnte ich mir schon vorstellen das er dann seinen Server zwei mal sieht.

Müsste ich mir aber genau ansehen.

[cracyfloyd]

Kann man den Hostzugang von einem Docker Container welches mit br0:custom und einer eigenen IP eingebunden ist nicht anders lösen, z.B. mit einer Route. 

[Ford Prefect]

...ja, kann man...wenn die Route zwischen zwei IP-Segmenten läuft.

Beispiel: unraid auf (192.168.0.xx), Docker auf (192.168.1.xx). Der Docker kann sich mit dem unraid Host auf dem anderen Segment connecten.

Ich habe das so am laufen, allerdings über eine Bridge, mit VLANs (br0.xx). Damit muss das inter-(V)LAN routing aber der Router übernehmen, was ich aber als Vorteil erachte wg. der Firewall-Regeln welche man in unRaid nur über einen Hack reinbekäme.

[cracyfloyd]

On 12/25/2021 at 9:39 PM, Ford Prefect said:

...ja, kann man...wenn die Route zwischen zwei IP-Segmenten läuft.

Beispiel: unraid auf (192.168.0.xx), Docker auf (192.168.1.xx). Der Docker kann sich mit dem unraid Host auf dem anderen Segment connecten.

Ich habe das so am laufen, allerdings über eine Bridge, mit VLANs (br0.xx). Damit muss das inter-(V)LAN routing aber der Router übernehmen, was ich aber als Vorteil erachte wg. der Firewall-Regeln welche man in unRaid nur über einen Hack reinbekäme.

Das hört sich sauber an. Ich habe mich bisher mit Vlans noch garnicht beschäftigt. Würde aber gerne mal ein saubereres  Netzwerk aufbauen. (Trennung zwischen Heimnetz, Medienstreaming, Smarthome) . Ich habe noch 3 Raspberry Pi 4 rumliegen die ich ja vielleicht als Openwrt Router nutzen könnte. Ich möchte aber meine Fritz die umreichend vermesht (Wlan) ist und den Zugang zum Internet bereit stellt weiter nutzen. (Ich habe hier also meinen Plex Server (Unraid Docker) für Medien, Cups Airprint (Unraid Docker) und fürs Smarthome zahlreiche Shellys, Tasmota Devices, Deconz Zigbee, Yahka Adapter (Apple Homekit Anbindung) die über IOBroker "ohne Ende Portfreigaben" (Unraid Docker) verbunden sind. Dann noch meine Homebridge (Unraid Docker) für meine Doorbell/Kamera (Tado) Heizungseinbindung ins Appple Homekit Universum. Des weiteren die ganzen Docker für meine Grafana Darstellung incl. Prometheus, InfluxDB die aber neben der Datensammlung der Smarthomedevices auch als Datenerfassung für Unraid, Fritz und UPS-Nut dienen. Alles muss also irgendwie miteinander kommunizieren.  Wenn du Lust und Zeit hättest könntest du mir vielleicht einen Tip geben wie dieses sauber anzugehen wäre. Bisher habe ich alles eben über MACVlan und In den Netzwerkeinstellungen (Zugang zum Host) realisiert.

[Ford Prefect]

35 minutes ago, cracyfloyd said:

Das hört sich sauber an. Ich habe mich bisher mit Vlans noch garnicht beschäftigt. Würde aber gerne mal ein saubereres  Netzwerk aufbauen. (Trennung zwischen Heimnetz, Medienstreaming, Smarthome) .

Dann solltest Du Dich mal damit befassen.

Genau in dem Umfeld liegt manchmal auch der Hase im Pfeffer. Gemeint ist Media-Discovery. Das läuft über Multicast und da müssen Client und Server (zB ein SONOS oder Teufel, Chromecast, Airplay, ...) im gleichen physichen/logischen Segment liegen, damit diese sich ohne Konfiguration (zeroconf) finden....sonst musst Du ein zusätzliches mDNS Gateway aufbauen. Siehe zB: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9400/software/release/16-9/configuration_guide/ip_mcast_rtng/b_169_ip_mcast_rtng_9400_cg/configuring_the_service_discovery_gateway.html

Also, wenn Du Segmente trennen willst, durchdenke welche Trennung Sinn macht.

An dem Link erkennst Du schon, dass die nicht für die kleinen Spielzeuge gedacht/gemacht ist.

 

35 minutes ago, cracyfloyd said:

Ich habe noch 3 Raspberry Pi 4 rumliegen die ich ja vielleicht als Openwrt Router nutzen könnte. Ich möchte aber meine Fritz die umreichend vermesht (Wlan) ist und den Zugang zum Internet bereit stellt weiter nutzen.

Internet Gateway sein ist einfach, aber VLANs kann sie nicht, die Fritte.

Wenn Du also WLAN für alles bereitstellen willst, dann nur in einem Netz ... also etwa getrennte SSIDs für Heimnetz, SmartHome, ... geht eigentlich nicht sauber.

Man kann mit den getrennten Netzen für Heim- und Gast-Netz etwas frickeln, aber bedenke dass Gäste nie ins Heimnetz kommen.

 

openwrt kann VLANs, aber da die RPis nur ein Ethernet haben, kannst Du den nur als einen Trunk-Port nutzen...alles muss da durch und muss auf VLAN Ebene alles getagged sein. Du brauchst aber auf jeden Fall noch eine Möglichkeit für Access-Ports oder gar Hybrid-Ports....also für Geräte, die kein VLAN können, aber eben in eines hinein(-gezwungen werden) müssen.

 

Das einfachste wäre in kleiner, richtiger Router...zB ein MikroTik Hex, Hex-S oder etwas stärker ein RB4011 oder der neue RB5009...die haben genug Ports und können "alles".

Fürs WLAN dann einen (oder mehrere APs, die Multi-SSId und VLANs können.

Ebenfalls Mikrotik (wobei die WLAN-Performance mässig nicht auf high-end sind) oder TP-Link Omada Serie (bei APs super P/L) oder wenn es sein muss Unify (nicht immer wirklich interoperabel)

 

35 minutes ago, cracyfloyd said:

(Ich habe hier also meinen Plex Server (Unraid Docker) für Medien, Cups Airprint (Unraid Docker) und fürs Smarthome zahlreiche Shellys, Tasmota Devices, Deconz Zigbee, Yahka Adapter (Apple Homekit Anbindung) die über IOBroker "ohne Ende Portfreigaben" (Unraid Docker) verbunden sind. Dann noch meine Homebridge (Unraid Docker) für meine Doorbell/Kamera (Tado) Heizungseinbindung ins Appple Homekit Universum. Des weiteren die ganzen Docker für meine Grafana Darstellung incl. Prometheus, InfluxDB die aber neben der Datensammlung der Smarthomedevices auch als Datenerfassung für Unraid, Fritz und UPS-Nut dienen. Alles muss also irgendwie miteinander kommunizieren. 

Da sind wohl einige Dinge dabei, die ohne mDNS nicht auskommen. Siehe also meinen Hinweis oben...wähle die VLANs mit Bedacht.

 

35 minutes ago, cracyfloyd said:

Wenn du Lust und Zeit hättest könntest du mir vielleicht einen Tip geben wie dieses sauber anzugehen wäre. Bisher habe ich alles eben über MACVlan und In den Netzwerkeinstellungen (Zugang zum Host) realisiert.

Siehe oben...

Ich habe ein Setup aus Mikrotik RB4011 als Router und noch weitere Switche, teilweise über 10G verbunden.....DUAL WAN mit Kabel und LTE, aber alle Fritten sind abgeschafft (bis auf eine 7272, die im VOIP-VLAN aktuell DECT+SIP Client zu einem Asterisk-Voip Server macht - der ist ne VM auf meinem unraid und hat eine analoge Telefon-Karte zum Anschluss der beiden Ports des Kabel-Modems).

APs habe ich auch getrennt...einige Mikrotik Modelle mit über VLAN getrennten SSIDs für Heim, Smart-Home, Kids, Gast, ....)

Der unRaid hat aktuell eine 10G Karte zum zentralen Switch und insgesamt habe ich 6 VLANs am Start.

 

Mein Tipp ist ganz klar, nicht zu frickeln.

Wenn Du VLANs nutzen willst, besorge die richtige Hardware. das ist kein unRaid Thema, aber wenn die Infrastruktur da ist, ist es für unraid null Problem, da VLANs einfach aktiviert werden und dann ein Trunk-Port zum Switch geht. Dann kannst Du Docker, VMs munter drauf verteilen und auch untereinander, inkl. zum unRaid Host kommunizieren lassen.

 

 

[cracyfloyd]

5 hours ago, Ford Prefect said:

Dann solltest Du Dich mal damit befassen.

Genau in dem Umfeld liegt manchmal auch der Hase im Pfeffer. Gemeint ist Media-Discovery. Das läuft über Multicast und da müssen Client und Server (zB ein SONOS oder Teufel, Chromecast, Airplay, ...) im gleichen physichen/logischen Segment liegen, damit diese sich ohne Konfiguration (zeroconf) finden....sonst musst Du ein zusätzliches mDNS Gateway aufbauen. Siehe zB: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9400/software/release/16-9/configuration_guide/ip_mcast_rtng/b_169_ip_mcast_rtng_9400_cg/configuring_the_service_discovery_gateway.html

Also, wenn Du Segmente trennen willst, durchdenke welche Trennung Sinn macht.

An dem Link erkennst Du schon, dass die nicht für die kleinen Spielzeuge gedacht/gemacht ist.

 

Internet Gateway sein ist einfach, aber VLANs kann sie nicht, die Fritte.

Wenn Du also WLAN für alles bereitstellen willst, dann nur in einem Netz ... also etwa getrennte SSIDs für Heimnetz, SmartHome, ... geht eigentlich nicht sauber.

Man kann mit den getrennten Netzen für Heim- und Gast-Netz etwas frickeln, aber bedenke dass Gäste nie ins Heimnetz kommen.

 

openwrt kann VLANs, aber da die RPis nur ein Ethernet haben, kannst Du den nur als einen Trunk-Port nutzen...alles muss da durch und muss auf VLAN Ebene alles getagged sein. Du brauchst aber auf jeden Fall noch eine Möglichkeit für Access-Ports oder gar Hybrid-Ports....also für Geräte, die kein VLAN können, aber eben in eines hinein(-gezwungen werden) müssen.

 

Das einfachste wäre in kleiner, richtiger Router...zB ein MikroTik Hex, Hex-S oder etwas stärker ein RB4011 oder der neue RB5009...die haben genug Ports und können "alles".

Fürs WLAN dann einen (oder mehrere APs, die Multi-SSId und VLANs können.

Ebenfalls Mikrotik (wobei die WLAN-Performance mässig nicht auf high-end sind) oder TP-Link Omada Serie (bei APs super P/L) oder wenn es sein muss Unify (nicht immer wirklich interoperabel)

 

Da sind wohl einige Dinge dabei, die ohne mDNS nicht auskommen. Siehe also meinen Hinweis oben...wähle die VLANs mit Bedacht.

 

Siehe oben...

Ich habe ein Setup aus Mikrotik RB4011 als Router und noch weitere Switche, teilweise über 10G verbunden.....DUAL WAN mit Kabel und LTE, aber alle Fritten sind abgeschafft (bis auf eine 7272, die im VOIP-VLAN aktuell DECT+SIP Client zu einem Asterisk-Voip Server macht - der ist ne VM auf meinem unraid und hat eine analoge Telefon-Karte zum Anschluss der beiden Ports des Kabel-Modems).

APs habe ich auch getrennt...einige Mikrotik Modelle mit über VLAN getrennten SSIDs für Heim, Smart-Home, Kids, Gast, ....)

Der unRaid hat aktuell eine 10G Karte zum zentralen Switch und insgesamt habe ich 6 VLANs am Start.

 

Mein Tipp ist ganz klar, nicht zu frickeln.

Wenn Du VLANs nutzen willst, besorge die richtige Hardware. das ist kein unRaid Thema, aber wenn die Infrastruktur da ist, ist es für unraid null Problem, da VLANs einfach aktiviert werden und dann ein Trunk-Port zum Switch geht. Dann kannst Du Docker, VMs munter drauf verteilen und auch untereinander, inkl. zum unRaid Host kommunizieren lassen.

 

 

Ich danke dir ganz herzlich für diese tolle und informative Darstellung der Möglichkeiten. Für mich haben sich noch einmal ganz neue Welten ergeben die ich jetzt langsam erarbeiten muss, was das für mein Hausnetz bedeuten könnte. Du hast auch recht wenn dann einigermaßen sauber und nicht rum zu frickeln. Auch die Preise für die neue Hardware halten sich in grenzen um es vernünftig aufzusetzen. Nochmals besten Dank. 

[cracyfloyd]

On 12/28/2021 at 4:27 PM, cracyfloyd said:

Ich danke dir ganz herzlich für diese tolle und informative Darstellung der Möglichkeiten. Für mich haben sich noch einmal ganz neue Welten ergeben die ich jetzt langsam erarbeiten muss, was das für mein Hausnetz bedeuten könnte. Du hast auch recht wenn dann einigermaßen sauber und nicht rum zu frickeln. Auch die Preise für die neue Hardware halten sich in grenzen um es vernünftig aufzusetzen. Nochmals besten Dank. 

 

On 12/28/2021 at 11:07 AM, Ford Prefect said:

Dann solltest Du Dich mal damit befassen.

Genau in dem Umfeld liegt manchmal auch der Hase im Pfeffer. Gemeint ist Media-Discovery. Das läuft über Multicast und da müssen Client und Server (zB ein SONOS oder Teufel, Chromecast, Airplay, ...) im gleichen physichen/logischen Segment liegen, damit diese sich ohne Konfiguration (zeroconf) finden....sonst musst Du ein zusätzliches mDNS Gateway aufbauen. Siehe zB: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9400/software/release/16-9/configuration_guide/ip_mcast_rtng/b_169_ip_mcast_rtng_9400_cg/configuring_the_service_discovery_gateway.html

Also, wenn Du Segmente trennen willst, durchdenke welche Trennung Sinn macht.

An dem Link erkennst Du schon, dass die nicht für die kleinen Spielzeuge gedacht/gemacht ist.

 

Internet Gateway sein ist einfach, aber VLANs kann sie nicht, die Fritte.

Wenn Du also WLAN für alles bereitstellen willst, dann nur in einem Netz ... also etwa getrennte SSIDs für Heimnetz, SmartHome, ... geht eigentlich nicht sauber.

Man kann mit den getrennten Netzen für Heim- und Gast-Netz etwas frickeln, aber bedenke dass Gäste nie ins Heimnetz kommen.

 

openwrt kann VLANs, aber da die RPis nur ein Ethernet haben, kannst Du den nur als einen Trunk-Port nutzen...alles muss da durch und muss auf VLAN Ebene alles getagged sein. Du brauchst aber auf jeden Fall noch eine Möglichkeit für Access-Ports oder gar Hybrid-Ports....also für Geräte, die kein VLAN können, aber eben in eines hinein(-gezwungen werden) müssen.

 

Das einfachste wäre in kleiner, richtiger Router...zB ein MikroTik Hex, Hex-S oder etwas stärker ein RB4011 oder der neue RB5009...die haben genug Ports und können "alles".

Fürs WLAN dann einen (oder mehrere APs, die Multi-SSId und VLANs können.

Ebenfalls Mikrotik (wobei die WLAN-Performance mässig nicht auf high-end sind) oder TP-Link Omada Serie (bei APs super P/L) oder wenn es sein muss Unify (nicht immer wirklich interoperabel)

 

Da sind wohl einige Dinge dabei, die ohne mDNS nicht auskommen. Siehe also meinen Hinweis oben...wähle die VLANs mit Bedacht.

 

Siehe oben...

Ich habe ein Setup aus Mikrotik RB4011 als Router und noch weitere Switche, teilweise über 10G verbunden.....DUAL WAN mit Kabel und LTE, aber alle Fritten sind abgeschafft (bis auf eine 7272, die im VOIP-VLAN aktuell DECT+SIP Client zu einem Asterisk-Voip Server macht - der ist ne VM auf meinem unraid und hat eine analoge Telefon-Karte zum Anschluss der beiden Ports des Kabel-Modems).

APs habe ich auch getrennt...einige Mikrotik Modelle mit über VLAN getrennten SSIDs für Heim, Smart-Home, Kids, Gast, ....)

Der unRaid hat aktuell eine 10G Karte zum zentralen Switch und insgesamt habe ich 6 VLANs am Start.

 

Mein Tipp ist ganz klar, nicht zu frickeln.

Wenn Du VLANs nutzen willst, besorge die richtige Hardware. das ist kein unRaid Thema, aber wenn die Infrastruktur da ist, ist es für unraid null Problem, da VLANs einfach aktiviert werden und dann ein Trunk-Port zum Switch geht. Dann kannst Du Docker, VMs munter drauf verteilen und auch untereinander, inkl. zum unRaid Host kommunizieren lassen.

 

 

Ich muss dich nochmal nerven, aber erst einmal wünsche ich die ein gutes neues Jahr. Ich habe mir jetzt einen MikrotekR5009 zugelegt. Und zum testen erst einmal eine Omada Outdoor-wlan Antenne. Kannst du mir einen Einsteiger Tip geben wie ich die Omada Geschichte am saubersten in das Mikrotek Universum bekomme. Im Administrator Forum gaben Sie mir den Tip, ich sollte als APs auch Mikrotek nehmen wobei ich diese etwas "nicht auf der Zeit" finde. Hätte in einem Raum gerne den WLAN 6er AX Standard für unsere Apple Geräte.

[Ford Prefect]

12 hours ago, cracyfloyd said:

Ich muss dich nochmal nerven, aber erst einmal wünsche ich die ein gutes neues Jahr.

Na mal sehen, wohin das führt...aber erstmal Danke, dito

 

12 hours ago, cracyfloyd said:

Ich habe mir jetzt einen MikrotekR5009 zugelegt.

Na, da hast Du ja schon ne coole Zentrale.

Wireguard kann der auch auch schon ab Werk,,,und sogar zerotier, wenn es sein muss,

 

12 hours ago, cracyfloyd said:

Und zum testen erst einmal eine Omada Outdoor-wlan Antenne. Kannst du mir einen Einsteiger Tip geben wie ich die Omada Geschichte am saubersten in das Mikrotek Universum bekomme.

Welcher AP ist das genau?

Die Universen sind über das LAN-Kabel verdrahtbar

Der RB5009 ist ein Router, inklusive einem ziemlich fähigen Switch mit diversen Ports.

Der AP muss über den Omada Controller konfiguriert werden...Omada ist die Enterpriose Serie von TP-Link.

Edit2: ...wenn Du aber nur 1-2 APs brauchst, dann geht es zumindest bei den APs auch standalone über App: https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap615-wall/#qrcode, also ohne Controller-Zwang...Versuch macht kluch.

Den Controller gibt es als Hardware, aber auch als reine Software Lösung, zB auf unRaid im Docker sollte möglich sein: 

 

12 hours ago, cracyfloyd said:

Im Administrator Forum gaben Sie mir den Tip, ich sollte als APs auch Mikrotek nehmen wobei ich diese etwas "nicht auf der Zeit" finde.

Ja, nein, Jein...ist ne Kopfsache.

Performance mässig sind APs von MT auf der WiFI Seite aber keine Brüller.

Mit den TP-Links solltest Du weit besser unterwegs sein....ich überlege mir auch, die gerade mal auszuprobieren...aber der WAF ist noch nicht im Zenith

 

Wie schon gesagt, das Geheimis ist im LAN-Kabel.

• zuerst den RB5009 mal an den Start bringen.
  Wozu willst Du den...bzw. wie sieht Dein I-Net aus?
  Fritzbox, Kabel-Modem, DSL-Modem, ...? 
  Ich würde den RB als zentralen Router (und Switch - hat ja ein paar Ports) nehmen.
• Dann VLAN Setup planen und auf dem RB des Setup aktivieren: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620
• in unraid VLANs aktivieren...das LAN-Kabel vom unraid gehört in einen Trunk-Port des RB (siehe Anleitung, Link oben)
• den Omada Controller auf unraid ins Management (V)LAN (br0.xx) hängen und den/die APs verkabeln (PoE-Injektor vorhanden?)
• Im Controller die APs konfigurieren...zB die SSIDs und zugehörigen VLANs 

....fertsch.

 

12 hours ago, cracyfloyd said:

Hätte in einem Raum gerne den WLAN 6er AX Standard für unsere Apple Geräte.

Ja, warum nicht

 

Edit: P.S. ..es heisst Mikrotik, nicht Mikrotek

 

Edited January 4, 2022 by Ford Prefect
Link omada App hinzugefügt

[Smolo]

Vielleicht etwas Offtopic aber trotzdem nützlich.

 

Bezüglich Eigenbau Router kann ich das hier empfehlen. Router selber bauen | Internet SCHNELLER und Ping BESSER! (OPNsense + Firewall) Ich werde das Projekt beim nächsten Wechsel auch angehen und hier auf einen MiniPC setzen weil mir die Kontrolle bei den Fritzboxen einfach zu gering ist.

 

Aber nach Jahren des bettelns wird AVM in die Fritzboxen wohl nativ Wireguard integrieren d.h. man kann sich etwaige Bastellösungen zukünftig sparen.

[Ford Prefect]

...um eine Sense mit gleichem "Bumms" wie einen Mikrotik RB4011 oder RB5009 fertig hinzustellen braucht Du etwa das dreifache an Geld und verbrauchst das 2-3 fache an Energie...just sayin'

 

 

[Smolo]

6 minutes ago, Ford Prefect said:

...um eine Sense mit gleichem "Bumms" wie einen Mikrotik RB4011 oder RB5009 fertig hinzustellen braucht Du etwa das dreifache an Geld und verbrauchst das 2-3 fache an Energie...just sayin'

Ich bin da voll bei dir aber für mich gibt es zwei Gründe warum ich Router von Fremdherstellern ausgeschlossen habe.

 

1) Die Software von Mikrotik fand ich einfach abartig gruselig und bin damit überhaupt nicht klar gekommen vor ein paar Jahren. Ist das immer noch so schlecht?

2) Jeder Router hat Backdoors (d.h. alle Hersteller) und auf so eine Verarschung habe ich keine Lust mehr. 😞

Edited January 4, 2022 by Smolo

[Ford Prefect]

18 minutes ago, Smolo said:

1) Die Software von Mikrotik fand ich einfach abartig gruselig und bin damit überhaupt nicht klar gekommen vor ein paar Jahren. Ist das immer noch so schlecht?

Jaja, jedem das Seine. Das ist wohl Ansichtssache. Das RouterOS ist eigentlich das Gegenteil von schlecht, aber leider so stark flexibel, dass es die YT-Genaration nicht einfach ausprobieren kann um damit anzugeben 

Ich persönlich kriege die Firewall und Interface Terminologie von BSD nicht wirklich in den Kopf...so ist das Leben. 

 

18 minutes ago, Smolo said:

2) Jeder Router hat Backdoors (d.h. alle Hersteller) und auf so eine Verarschung habe ich keine Lust mehr. 😞

MT hat beginnend mit v3 bis nun zur letzten v6.49 von RouterOS alle Geräte unterstützt und auch Sicherheitslücken - die hat jedes OS (MT ist ein Linux, sense ist BSD) gefixt und Changelogs sind auch veröffentlicht.

Erst mit ROSv7 und Kernel 5 wird es jetzt einige Geräte geben, die auf der Strecke bleiben..weil das OS einfach zu gross und Device-Support im Kernel als Backport nicht lohnt....immer noch deutlich besserer, ehrlicher Service als bei den Fritten von AVM. Ich hab Geräte von Cisco, Juniper und Co weggeschmissen, die schon lange keine Updates mehr bekommen... der MT bekommt die immer noch.

Ein Hex-S kostet keine 60EUR und mein RB4011 mit 10x1G und 1x1G hat vor Corona keine 125EUR gekostet.

Wenn Du so viel von Fremdherstellern hälst, darfst Du eigentlich keine Fritte haben, kein Handy, kein WIFi-Radio, *Cast, Spielekonsole, FitnessTracker, .....

Im allgemeinen bin ich auf Deiner Seite, aber für mich ist MT eine Ausnahme...für mich waren MT Geräte bisher eine vernünftige, langlebige Investition.

 

...aber jetzt wird es wirklich etwas OT

Edited January 4, 2022 by Ford Prefect

[Smolo]

7 minutes ago, Ford Prefect said:

Jaja, jedem das Seine. Das ist wohl Ansichtssache. Das RouterOS ist eigentlich das Gegenteil von schlecht, aber leider so stark flexibel, dass es die YT-Genaration nicht einfach ausprobieren kann um damit anzugeben 

Ich persönlich kriege die Firewall und Interface Terminologie von BSD nicht wirklich in den Kopf...so ist das Leben. 

 

MT hat beginnend mit v3 bis nun zur letzten v6.49 von RouterOS alle Geräte unterstützt und auch Sicherheitslücken - die hat jedes OS (MT ist ein Linux, sense ist BSD) gefixt und Changelogs sind auch veröffentlicht.

Erst mit ROSv7 und Kernel 5 wird es jetzt einige Geräte geben, die auf der Strecke bleiben..weil das OS einfach zu gross und Device-Support im Kernel als Backport nicht lohnt....immer noch deutlich besserer, ehrlicher Service als bei den Fritten von AVM. Ich hab Geräte von Cisco, Juniper und Co weggeschmissen, die schon lange keine Updates mehr bekommen... der MT bekommt die immer noch.

Ein Hex-S kostet keine 60EUR und mein RB4011 mit 10x1G und 1x1G hat vor Corona keine 125EUR gekostet.

Wenn Du so viel von Fremdherstellern hälst, darfst Du eigentlich keine Fritte haben, kein Handy, kein WIFi-Radio, *Cast, Spielekonsole, FitnessTracker, .....

Im allgemeinen bin ich auf Deiner Seite, aber für mich ist MT eine Ausnahme...für mich waren MT Geräte bisher eine vernünftige, langlebige Investition.

 

...aber jetzt wird es wirklich etwas OT

Last famous words bitte nicht usability freundlich mit YT Generation gleichsetzen. Niemand hat etwas gegen SW die selbsterklärend ist  Wenn es soweit ist werde ich mir das trotzdem noch mal anschauen in einem Vergleich Sense vs. Mikrotik.

 

Du hast mich bei dem Thema aber falsch verstanden. Mir geht es gar nicht um Sicherheitslücken die durch einen guten Support korrigiert werden sondern reale Backdoors welche durch Regierungen vorgeschrieben werden! Ich hatte diesbezüglich beim letzten Zyxel Vorfall eine öffentliche Diskussion mit dem Support. Am Ende der Konversation auf meine Frage welche Firmware denn frei von Backdoors ist wurde lediglich auf die länderspezifischen Regelungen verwiesen und das hat mich persönlich noch mal ziemlich wachgerüttelt was das Thema angeht.