Swisscombox Plus nur als Modem vor Ubiquiti USG benutzen

@SchnellSurfer

Das DMZ-Konstrukt leitet zwar bündelweise Ports an Dein Zielgerät weiter, aber keine öffentliche IP.

Die Ports auf der IB nochmals manuell weiterzuleiten, wird ausser Redundanz oder mehr Selektivität der Portweiterleitung nichts bringen.

In Deinem ersten Post, erwähnst Du ein DynDNS-Problem.

Welchen DynDNS Anbieter setzt Du denn konkret ein, und hast Du schon mal überprüft, welche IP, da wirklich abgespeichert ist?

Bin jetzt im Geschäft und kann daher nicht nachsehen

DynDns verwende ich dtdns
Gestern stimmte ip in der IB+ Box mit der von dtdns übereindtdns wird von der IB+ aktualisiert

ich kann mit VPN vom WAN System die Verbindung aufbauen.
Notebook ist an der IB+ angeschlossen und als zweites Gerät an der IB+ ist das USG, 
will ich von "ausserhalb" der IB+ kommen, geht es nicht. Aus meiner Ansicht, bekommt das USG die Daten nicht.

Wie gesagt, an der IB+ ist DMZ auf das USG aktiviert.

Versuch geschah vom Geschäft aus und vom Notbook via Hotspot des Smartphones, habe mit der Dyndns Adresse und der "direkten" IP ohne Erfolg versucht.

Da ich vom WAN her VPN verbinden kann, führe ich das Problem auf die IB+ zurück

Ob der DynDNS funktioniert, kannst Du auch noch mit dem IB-eigenen VPN-Server ausprobieren.

Den würde ich sowieso immer aktiviert lassen, den damit kannst Du von unterwegs mit der Home App oder einem SIP Client Deine Festnetz-Telefonflatrate verwenden.

Ansonsten gilt natürlich: Für den Zugriff von aussen muss die VPN-Anmeldung korrekt konfiguriert sein, und dann auch erfolgreich durchgeführt werden können.

Selbst mache ich das in mein der IB2 nachgeschaltetes internes Netz, welches in einer Routerkaskade an einem zusätzlichen Asus Router hängt und da auf einen eigenen Open VPN Server regelmässig ohne jegliche Probleme sowohl mit dem DynDNS der Swisscom, wie auch mit dem von No-IP.

Das einzige was auf der IB2 dafür benötigt wird:

• funktionierende DynDNS-Führung
• Portweiterleitung 1194 UDP (reicht aus für einen Open VPN Server, DMZ wird gar nicht benötigt)

Mehr als durch den DynDNS von aussen gefunden werden können, und bei einem nachgeschalteten Netz noch den Aufruf an den VPN-Server weiterleiten, soll die Internetbox ja auch gar nicht machen.

Falls der Teil auf der IB funktioniert und Du trotzdem nicht auf Deinen eigenen VPN Server zugreifen kannst, wirst Du dann auf der USG oder in Deinem eigenen Netz weitersuchen müssen.

---

@Werner schrieb:

Ob der DynDNS funktioniert, kannst Du auch noch mit dem IB-eigenen VPN-Server ausprobieren.

Den würde ich sowieso immer aktiviert lassen, den damit kannst Du von unterwegs mit der Home App oder einem SIP Client Deine Festnetz-Telefonflatrate verwenden.

Ansonsten gilt natürlich: Für den Zugriff von aussen muss die VPN-Anmeldung korrekt konfiguriert sein, und dann auch erfolgreich durchgeführt werden können.

 

---

Nochmals Besten Dank

Problem gefunden. Das VPN (L2TP/ipsec) von der IB+ war das Problem
trotz deaktiviert, hat sie den Port 500 & 4500 der IB+ nicht mehr frei gegeben. Konnt ihn auch nicht mehr weiterleiten, via Weiterleitung. 
Nach Rücksetzen auf Werkseinstellungen, ging es dann auch mit "DMZ zu USG" da die beiden Port's freigegeben wurden.

Nochmals vielen Dank

Hallo zusammen

Ich war mit der Internetbox 2 eigentlich recht zufrieden, sie machte das was sie soll. Leider nicht mehr und das was sie soll in meinen Augen auch nur zufriedenstellend.

Aus diesem Grunde legte ich mir einen AP von Ubiquiti zu und war begeistert über den Empfang, die Funktionalität und vor allem das Zusammenspiel mit meinen WLAN-Geräten funktionierte nun einwandfrei!

Aus diesem Grund folge dann ein Switch, dann ein zweiter usw..... bis ich schlussendtlich auch noch den USG 3P gekauft habe 🙂

Da ich mich vorher ausführlich in diesem Thread informierte, hat auch mit der SwsscomTV-Box (WebOS3) alles geklappt.
Es funktionierte eigentlich schon mit dem ersten config.gateway.json ohne Probleme, aber ich hatte heute trotzdem Zeit und Lust das "neue" File zu erstellen und das config.properties zu benutzen.
Ob es jetzt schneller ist oder nicht.....ich merke keinen Unterschied (Ich habe eine UHD-BOX)
Auch das klappte alles Tip-Top.

Zusätzlich habe ich noch Pi-Hole auf einem Rassperry-PI in Betrieb, da ich Werbung nicht soooo toll finde 😉

@BurningRoli

Dir besten Dank für die tolle Hilfestellung!!

Viele Grüsse

Beni

@bwernli Bitte  für das gibt es eben Foren

Im übrigen hab ich jetzt auf den alten Boxen auch das WebOS3. Ich hatte erst später gelesen, dass das WebOS auf diese Boxen kommt. Es brauchte keine Anpassungen an der Config.

Gruess
Roli

Hallo zusammen

ich habe ein Problem mit einem mit dem Ubiquiti Netzwerk. Ich habe einen Minirechner im Netzwerk welcher für die Zutrittskontrolle zuständig ist, leider stimmt hier die Zeit nicht. Die Zeit kann nicht aktualisiert werden über den Zeitserver, kenne auch den Zeitserver nicht da ich keinen Zugriff auf den Minirechner habe. Was könnte hier die Ursache sein das dies blockiert wird? 

Hoffe es kann jemand helfen.

@Vogelfrei_2: Das wird schwierig. Hast du wirklich keine Möglichkeit herauszufinden, wie du auf dem Minirechner evt. einen anderen Zeitserver konfigurieren kannst oder zumindest erfahren kannst, worauf und mit welchem Protokoll da zugegriffen wird?

Ansonsten, da du ja einen Ubiquiti-Router zwischengeschaltet hast, könntest du dort drauf einen Packet Capture laufen lassen, der alle Pakete vom Minirechner ins Internet abfängt und dir evt. einen Hinweis liefert.

Wenn man davon ausgeht, dass der Minirechner sich per NTP mit einem Internet-Zeitdienst wie pool.ntp.org synchronisiert, dann wird zumindest von Seiten der Internetbox und Swisscom eigentlich nichts blockiert. Die IB bietet übrigens einen eigenen, erfreulich präzisen NTP-Service am LAN-Interface an. Aber eben, mach am besten einen Packet Capture auf dem Ubiquitirouter, dann weisst du mehr.

@PowerMac

Vielen Dank für deine Rückmeldung. Leider bekomme ich das Passwort nicht von dem Unternehmen welches die Sotware darauf erstellt hat. Vom Hardware Hersteller weiss ich jetzt es ist eine UDP Verbindung auf Port 123.

Wo finde das Packet Capture auf meinem Router?

Vielen Dank 

Port 123 (UDP) ist wie vermutet das NTP-Protokoll.

Um den entsprechenden Datenverkehr zu filtern, gibts im EdgeOS-WebGUI die Funktion "Packet Capture", siehe Manual auf Seite 81. Oder du verwendest die Kommandozeile, z.B. mit folgendem Befehl:

monitor interfaces ethernet eth2 traffic filter 'dst port 123'

(getestet nur auf VyOS, nicht EdgeOS. Müsste aber ebenso funktionieren.)

Lieber BurningRoli

Auch ich danke für den Tipp. Ich habe meinen Business Router auf 172.16.1.1/255.255.255.0 umgestellt und seither funktioniert die Fernwartung über die USG mit dem CloudKey. Ich habe hier ein passthrough auf dem Router. Nur jetzt komme ich nicht mehr in die Konfigurationen meines Routers. Hättest du da einen Tipp für mich?

Grüsst bernik

Hoi @bernik,

Wenn ich dich recht verstehe, kommst du aus dem LAN der USG nicht mehr auf den Swisscom Router.

Die USG kennt das Netz auf ihrer WAN Seite, deshalb sollte es ohne weitere Einträge funktionieren, so läufts bei mir einwandfrei mit der IB2

Vergibst du die Adresse aus den SC Router per DHCP?
Hast du noch eine statische Route die auf eine alte IP zeigt?

Steck am SC Router parallel zur USG ein Laptop ein, funktioniert der Zugriff?

Gruess
Roli

@PowerMac

Vielen Dank für deine Hilfestellung, ich nutze aber den Unifi Controller. Dort gibt es wohl das DPI ich sehe aber nur das es auf einen NTP Client zugreifen will aber nicht im Detail wohin. 

Gibt es diese Möglichkeit nur beim Edge?

@Vogelfrei_2: Uh, mit USGs kenne ich mich nicht aus. Der einzige Vorteil dieser Dinger scheint zu sein, dass man sie über den Unifi-Controller im gleichen netten Web-GUI verwalten kann. Aber da auch dort drauf scheints ein abgespecktes EdgeOS läuft, probier mal dich per SSH drauf zu verbinden und dann den erwähnten Befehl auszuführen. Ansonsten gehts wohl nur mit dem EdgeMax.

---

 

Wenn dich die Einstellung für SCTV2 interessieren, kann ich sie hier posten.

Lieber Roli

..mich würden die Einstellungen für SC TV interessieren..könntest du diese posten?

grüsse

Oliver

@BurningRoli 

Lieber Roli

..mich würden die Einstellungen für SC TV interessieren..könntest du diese posten?

grüsse

Oliver

Hallo zusammen,

werde ich morgen Abend machen.

Gruess

Roli

Hallo zusammen,

Hier die 2 Config Files für die USG3P,  für die USG Pro-4 sind die Interfaces in der Sektion Protocols anzupassen. 

Bei der USG Pro-4 ist WAN1=eth2, LAN1=eth0,  LAN2=eth1 , WAN2=eth3 .

Die USG 3P hat folgende Zuordnung: WAN=eth0, LAN=eth1, VOIP=eth2.

Gruess

Roli

config.properties

config.system_cfg.1=switch.igmp.header_checking=false

 config.gateway.json

{
	"firewall": {
		"group": {
			"address-group": {
				"IPTV_Source": {
					"address": [
						"224.0.0.0/4",
						"239.0.0.0/8",
						"195.186.0.0/16"
					],
					"description": "IPTV Source"
				},
				"SCTV2_Source": {
					"address": [
						"213.3.72.0/24"
					],
					"description": "SCTV2 Multicast Source"
				}				
			}
		},
		"name": {
			"WAN_IN": {
				"rule": {
					"3100": {
						"action": "accept",
						"description": "allow IPTV Multicast UDP",
						"destination": {
							"group": {
								"address-group": "IPTV_Source"
							}
						},
						"log": "disable",
						"protocol": "udp",
						"source": {
							"group": {
								"address-group": "SCTV2_Source"
							}
						}
					},
					"3110": {
						"action": "accept",
						"description": "allow IGMP",
						"log": "disable",
						"protocol": "igmp"
					}
				}
			},
			"WAN_LOCAL": {
				"rule": {
					"3100": {
						"action": "accept",
						"description": "allow IPTV Multicast UDP",
						"destination": {
							"group": {
								"address-group": "IPTV_Source"
							}
						},
						"log": "disable",
						"protocol": "udp",
						"source": {
							"group": {
								"address-group": "SCTV2_Source"
							}
						}
					},
					"3110": {
						"action": "accept",
						"description": "allow IGMP",
						"log": "disable",
						"protocol": "igmp"
					}
				}
			}
		}
	},
	"protocols": {
		"igmp-proxy": {
			"interface": {
				"eth0": {
					"alt-subnet": [
						"0.0.0.0/0"
					],
					"role": "upstream",
					"threshold": "1"
				},
				"eth1": {
					"alt-subnet": [
						"0.0.0.0/0"
					],
					"role": "downstream",
					"threshold": "1"
				}
			}
		}
	}
}