Netzwerkeinbindung eines Stromspeichers im Heimnetz

Eisix · 20 Dezember 2019, 22:55:49

Hallo Reinhard,

Ich habe das Unifi UGS im Einsatz. Hängt bei mir hinter der FritzBox am LAN Port. Die ausgehenden Ports sind bei der FritzBox und beim UGS in der Standardkonfiguration offen. Beim UGS kannst du aber auch ausgehend filtern.
Wenn du Fragen hast melde dich ich werde versuchen sie zu beantworten.

Gruß Eisix

Rewe2000 · 21 Dezember 2019, 10:54:56

Hallo Eisix,

habe mir eben das USG bestellt, sicherlich wird bei der Konfiguration noch die ein oder andere Frage auftauchen.
Ich denke, wenn ich schon tausende für eine PV-Anlage mit Stromspeicher ausgebe, sollte ich bei der Internetsicherheit nicht zu sparsam sein. Ich will da keinem Hersteller böse Absichten unterstellen und denke bei einer renomierten Firma ist da die Gefahr deutlich geringer als wie bei manchen IP-Kameras, aber für die Sicherheit in seinem Hausnetzes sollte jeder selbst sorgen.

Vorab schon mal vielen Dank für dein Hifsangebot.

Schöne Feiertage und ein paar geruhsame Stunden.
Gruß Reinhard

Eisix · 21 Dezember 2019, 15:41:42

Hallo,

Ich hoffe dir ist bewußt das du auch den Controller für Unifi irgendwo laufen lassen mußt? Zumindest für die Konfiguration, danach geht glaube ich auch ohne.

Dir auch schöne Feiertage.

Gruß
Eisix

Rewe2000 · 25 Dezember 2019, 20:36:53

Hallo Thorsten,

nachdem Weihnachten (für mich) wie geschaffen für solche Tätigkeiten ist, kam mein USG gerade noch rechtzeitig.
Den Unifi Controller habe ich im LAN in Betrieb, das USG sollte jedoch auch ohne diesen (nach der Konfiguration) funktionieren.

Der Weg war für mich ein wenig holprig, aber zumindest jetzt läuft es soweit. Als nächstes mach ich mich an die Aufteilung der Netze.

Eine Frage stellt sich mir dennoch:
Muss ich alle Netzwerkteilnehmer (LAN/WLAN) "nach" dem USG betreiben, damit ich diese verwalten kann, darf über die FritzBox selbst kein Teilnehmer mehr angeschlossen sein? Wäre blöd, denn dann brauche ich noch einen Access Point für WLAN.

Oder reicht es aus, wenn ich nur den Stromspeicher im Netz sichern will, nur diesen "nach" dem USG zu betreiben.

Meine Netzaufteilung ist derzeit wie folgt:
FritzBox LAN / WLAN = 192.168.050.xxx (an diesem LAN hängt das USG mit dem WAN1 Anschluss)
USG LAN1 = 192.168.002.xxx (USG LAN1 Anschluss über VLAN Switch)
USG LAN2 = 192.168.001.xxx (USG LAN1 Anschluss über VLAN Switch) - (für Stromspeicher)

Wie hast du es bei dir gelöst?

Fröhliche Weihnachten
Gruß Reinhard

Eisix · 26 Dezember 2019, 10:05:22

Hallo,

alles was du mit dem USG filtern willst muss zwangsläufig auch die Datenpakete durch den USG schicken. Ich gehe mal davon aus das du nicht dein ganzes Netz auf Unifi umbauen willst. Somit sollte das USG an der FritzBox hängen und dahinter der Stromspeicher.

Die wahrscheinlich einfachste Variante dürfte sein:
- FritzBox "Gastzugang für LAN 4 aktiv" aktivieren. Da USG anschließen.
- USG LAN1 in dein 192.168.1.XXX Netz verbinden
- USG LAN2 ein neues Netz 192.168.2.XXX für deinen Stromspeicher
- Controller im 192.168.1.XXX

Damit hast du dann eigentlich logisch 2 Ausgänge ins internet, physisch gehen aber beide natürlich doch über die Fritzbox.
Auf dem LAN2 des USG kannst du den DHCP für den Stromspeicher aktivieren oder mit statischen Adressen arbeiten. In deinem 192.168.1.xxx Netz bleibt alles beim alten. Vermute die FritzBox macht das da. Bei deinem Fhem Server musst du eine Route in das Stromspeicher-Netz 192.168.2.xxx wenn du da Daten abgreifen willst. Die externe Kommunikation des Stromspeichers läuft dann von 192.168.2.xxx --> USG --> FritzBox Port 4 ins Internet.
Der Rest deines Netzwerks bleibt wie er ist.

Hoffe ich habe nichts vergessen und es ist verständlich und nachvollziehbar.

Gruß
Eisix

PS: Mit dem Setup könntest du wahrscheinlich sogar alles über die USG routen indem du als default gateway der clients die USG einträgst aber das würde ich erst einmal nicht machen um unnötige Komplikationen zu vermeiden.

Rewe2000 · 30 Dezember 2019, 20:37:48

Hallo Eisix,

irgendwie hänge ich nun fest und ich komme da keinen Millimeter mehr weiter.

Mein USG habe ich mit dem WAN Port an die Fritz Box (derzeit Port 3, kein Gastnetz) angeschlossen und fest auf eine IP im Adressbereich der Fritz Box gestellt.
Am LAN1 Port des USG habe ich meinen Netgear VLAN 8 Port Switch angeschlossen, Konfiguration wie im Anhang Netzaufbau S2.pdf.

Grundsätzlich muss der VLAN Switch funktionieren, denn die Rechner bekommen immer den passenden IP-Bereich (des VLANS) über DHCP zugewiesen, je nachdem in welches VLAN ich diese einstecke. Im Unifi Controller wird das USG auch als "Verbunden" angezeigt.

Pingen kann ich von den beiden Rechnern jeweils das USG und die Fritz BOX, auch ins Internet gehts problemlos. Egal was ich aber im USG unter Firewall einstelle (Akzeptieren alles) ich kann die beiden Rechner nicht gegenseitig anpingen. Auch wollte ich den Internetzugriff über die Firewall verbieten, auch hier, egal was ich in die Firewall schreibe (Verwerfen alles) ich kann von jedem Rechner immer ins Internet.

Guck doch bitte mal in meine Konfig, ob dir da etwas auffällt. Ich wollte zunächst mal ein wenig mit den Firewall- Regeln spielen, aber davon bin ich noch Meilenweit entfernt.

Noch ein Hinweis zu meiner USG Konfiguration:
Die Firewall- Regel im Anhang steht jeweils ganz oben, in allen IPv4 Regeln (WAN Eingehend, WAN ausgehend, WAN Lokal, LAN eingehend, LAN ausgehend und LAN Lokal) im Gastnetz habe ich nichts eingetragen, da ich bisher kein Gastnetz erstellt habe.
So dürfte doch kein Internetzugriff über WAN mehr möglich sein?

Entweder ich steh da total auf dem Schlauch oder mein Netgear will nicht mit dem Unifi USG
Gruß Reinhard

Eisix · 30 Dezember 2019, 22:37:15

Hallo,

Ping in die verschiedenen Netze geht soweit ich weiß nur wenn du routen setzt.
Habe gerade getestet, wenn ich in WAN lokal die Block Regel Eintrage konnte ich nicht mehr ins Internet pingen.

Gruß
Eisix

Rewe2000 · 31 Dezember 2019, 13:07:33

Hallo Eisix,

entweder stelle ich mich absolut blöd an, oder mein neues USG hat einen Defekt.

Meine Tests mit Minimalkonfiguration (ohne Switch, DHCP Server überall enable, keine festen IP-Adressen mehr vergeben), USG Reset und Unifi Controller neu istalliert, mit standard Konfiguration. Der Windows Rechner mit dem Unifi Controller steckt alleine am LAN1 Port, der WAN Port ist mit dem Port 4 der Fritz Box (Gastnetz) verbunden.

Einen Ping ins Internet gesetzt, dieser läuft problemlos.

Unter "Routing & Firewall", bei WAN ausgegend, WAN eingehend und WAN lokal jeweils die folgende Blockregel (Siehe Anhang Firewall.jpg) gesetzt. Ganz bewusst so lange gewartet, bis Provisionieren beendet ist.
Unter Quelle und Ziel kann ich nur LAN wählen, da dies ja derzeit mein einziges Netzwerk ist, auch IPv4 Subnetz sollte passen, wenn ich das gesamte Netz blockieren will.

Der Ping ins Internet läuft unbeirrt weiter. Erst wenn ich die Blockregel in LAN lokal schreibe, steht der Ping und mein USG ist nicht mehr erreichbar. Zumindest dies funktioniert

Was mir noch auffällt, unter Netzwerk steht bei mir in der Tabelle keine IP-Adresse mehr bei WAN (siehe Anhang Netzwerke.jpg), seit ich die Adressen über DHCP vergeben lasse, ist das bei dir genauso?

Ich bin nun mit meinem Latein am Ende, ich werde mein Glück noch im Netzwerk Forum versuchen und wenn da keiner eine Idee hat, werde ich den Router umtauschen.

Gruß Reinhard

Eisix · 31 Dezember 2019, 14:13:37

Hallo,

bei mir wird die interne IP des USG gezeigt.

Hier noch ein paar links zur Erklärung, das Controller Handbuch hast du sicher schon zu Rate gezogen

https://help.ubnt.com/hc/en-us/articles/115003173168-UniFi-USG-Firewall-Introduction-to-Firewall-Rules

https://help.ubnt.com/hc/en-us/articles/115010254227

Falls du nicht weiterkommst, hast du schon den Support Kontaktiert? Chat 24/7 allerdings in Englisch kannst du links unten in der Leiste starten.

Gruß
Eisix

Rewe2000 · 01 Januar 2020, 15:20:06

Hallo Eisix,

der Fehler ist gefunden, er war vor dem Bildschirm gesessen

.

Da ich bei Quelle und Ziel im USG nur LAN anwählen konnte ("Beliebig" war immer ausgegraut), dachte ich, ich müsste hier auch LAN wählen. Das war aber der Fehler, lasse ich den Eintrag leer, so bezieht sich die Regel auf alle Netzte und das Pingen wird verhindert.

Jetzt kann ich zumindest mal mit den Einstellungen spielen, damit ich die Funktionen kennenlerne.

Aln nächstes muss ich mich noch mit dem Routing beschäftigen, damit ich vom Heimnetz auch den Stromspeicher über den VLAN Switch, hinter dem USG erreichen kann, ggf. brauche ich da noch einen Tipp von dir.

Vielen Dank für deine Mühe.
Gruß Reinhard

Eisix · 01 Januar 2020, 20:02:54

Hallo Reinhard,

freut mich zu hören.
Wenn deine FritzBox weiter das Defaultgateway bleiben soll dann sollte der Eintrag in der FritzBox reichen.

https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/

Ansonsten kannst du auch nur auf dem Rechner der auf den Stromspeicher zugreifen soll ein lokal route setzen.

Gruß
Eisix

Rewe2000 · 22 März 2020, 13:00:30

Hallo Eisix,

nachdem nun meine Einbindung des Stromspeichers, über das USG (hinter der Fritz!Box, im eigenen Netzwerksegment) problemlos klappt, und ich auch darauf, aus meinem Heimnetz zugreifen kann, habe ich noch ein Problem.
Hierzu benötige ich noch einen Tipp.

Zum Test (bis ich den Stromspeicher bekomme) habe ich eine WAGO Steuerung mit WEB-Oberfläche (HTTP Port 80, 192.168.15.30) angeschlossen, auf diese Weboberfläche kann ich von dem freigegebenen Rechner (192.168.50.103) über LAN problemlos zugreifen.

Versuche ich aber, die WEB-Oberfläche (192.168.15.30) vom Internet aus (über VPN zu erreichen) so klappt das nicht, egal welche Freigaben ich im USG in die Firewall eintrage.

Folgende IP-Adressen und Ports habe ich freigegeben:
Mein Handy kommt z.B. in der FritzBox über VPN mit der IP-Adresse 192.168.50.201 an, diese IP-Adresse trage ich in LAN eingehend als Quelle ein. Als Ziel trage ich die IP-Adresse 192.168.15.30 der WEB-Oberfläche der WAGO Steuerung ein.
Zusätzlich erlaube ich HTP und UDP und öffne folgende Ports, 50, 53, 500, 4500, plus "auf eingehende IPsec-Pakete ansprechen"

Die notwendigen Ports habe ich von der AVM-Hompage: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/126_Firewall-fur-FRITZ-Fernzugang-einrichten/

Wo liegt da mein Fehler?
Nutzt du das auch, klappt das bei dir?

Gruß Reinhard

Eisix · 22 März 2020, 19:07:33

Hallo Reinhard,

Ist der letzte Netzplan noch aktuell? Sehe ich das Richtig das du über FritzVPN rein kommst?
Ich nutze nur das Unifi VPN.

Gruß
Eisix

Rewe2000 · 22 März 2020, 19:44:40

Hallo Eisix,

ja mit Fritz VPN komm ich von außerhalb problemlos in mein Heimnetz 50'er Netz "Rot" aber nicht durch die Firewall des USG zu meinem Stromspeicher (192.168.15.30). Innerhalb des Heimnetzes 50'er Netz komm ich aber ohne VPN problemlos mit dem gleichen Handy auf das Gerät im 15'er Netz.

Das Problem muss eindeutig in den Firewall - Freigaben im USG liegen.
Wenn ich mich über VPN in die Fritzbox einwähle, komme ich ja da mit dem Handy mit einer anderen IP-Adresse an (192.168.50.201), aber wenn ich auch diese in die Berechtigungen eintrage klappt es nicht. Entweder hab ich da noch einen Port oder Dienst vergessen mit freizugeben.

Ich denke vom Grundsatz her, sollte mein Ansinnen nicht unmöglich sein.

Ich hab noch den derzeitigen Netzwerkaufbau, zur Übersicht mit angehängt.

Gruß Reinhard

Eisix · 22 März 2020, 23:36:15

Vermute die Route zurück ins VPN ist das Problem. Wenn ich das richtig verstehen kriegt der vpn Client eine nat adresse im 50er Netz. Kannst du den verbundenen Client aus dem 50er Netz pingen?