Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ubiquiti UAP-AC-PRO und IPSec

Mitglied: Reini82

Reini82 (Level 1) - Jetzt verbinden

12.02.2018, aktualisiert 13.02.2018, 351 Aufrufe, 11 Kommentare

Hallo Leute,

ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist auch vorhanden und alle Accesspoints sind Parametriert.
Eingestellt ist ein WLAN-Netzwerk welches in einem separaten VLAN angelegt ist. Clients können sich mit diesem auch verbinden und bekommen dann von einem Mikrotik Router eine IP-Adresse zugewiesen. Die interne und externe Kommunikation in dem WLAN funktioniert soweit ohne Probleme.

Nun soll bei uns Wifi-Calling mit unseren Smartphones eingesetzt werden um Bereiche in denen kein Empfang ist abzudecken. Ich habe dazu wie bei Vodafone beschrieben die entsprechenden Ports freigegeben (Standard IPSEc mit udp 500 + 4500). Am MIkrotik Router logge ich auch ein Verbindungsversuch mit. Dies hat bis vor kurzem auch funktioniert aber jetzt überhaupt nicht mehr. Die Firmware der AP's ist auf dem aktuellsten Stand. Auch der Controller ist auf dem aktuellsten SW-Stand.

Ich habe dann einen Versuch gestartet mit einem Windows 10 Laptop einen IPSec Tunnel ins Internet aufzubauen. Schließe ich diesen mittels LAN-Kabel am Switch an sehe ich am Mikrotik den Verbindungsversuch. Melde ich diesen am WLAN an tut sich nichts am Mikrotik. Um das VLAN des WLAN-Netzes auszuschließen legte ich ein temporäres WLAN-Netz an dass in dem selben Netz operiert wie der Laptop. Wieder sehe ich nichts am Mikrotik.

Firewall-Regeln am MIkrotik habe ich bereits geprüft. Nur daran kann es nicht liegen da ich nicht einmal einen Verbindungsversuch zum Mikrotik sehe.

Hat jemand einen ähnlichen Aufbau im Einsatz bzw. mir einen Schlag auf den Hinterkopf verpassen das mein Hirn wieder geht.

Danke im Voraus
Mitglied: Vision2015
LÖSUNG 12.02.2018 um 15:30 Uhr
Zitat von Reini82:

Hallo Leute,
Moin...

ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist auch vorhanden und alle Accesspoints sind Parametriert.
Eingestellt ist ein WLAN-Netzwerk welches in einem separaten VLAN angelegt ist. Clients können sich mit diesem auch verbinden und bekommen dann von einem Mikrotik Router eine IP-Adresse zugewiesen. Die interne und externe Kommunikation in dem WLAN funktioniert soweit ohne Probleme.
ok..

Nun soll bei uns Wifi-Calling mit unseren Smartphones eingesetzt werden um Bereiche in denen kein Empfang ist abzudecken. Ich habe dazu wie bei Vodafone beschrieben die entsprechenden Ports freigegeben (Standard IPSEc mit udp 500 + 4500). Am MIkrotik Router logge ich auch ein Verbindungsversuch mit. Dies hat bis vor kurzem auch funktioniert aber jetzt überhaupt nicht mehr. Die Firmware der AP's ist auf dem aktuellsten Stand. Auch der Controller ist auf dem aktuellsten SW-Stand.
für Wifi-Calling brauchst du keine extra Port freigabe.... ich habe hier 2 UAP-AC-PRO am laufen, ohne das etwas extra einegrichtet werden muss...

Frank
Bitte warten ..
Mitglied: Reini82
13.02.2018 um 07:30 Uhr
Moin Frank,

Danke für die Antwort schon mal hilfreich dass die es auf jedenfall nicht an der Firmware der AP's liegt. Dann muss doch irgendwo zwischen Router und AP liegen. Danke mal soweit
Bitte warten ..
Mitglied: aqui
13.02.2018, aktualisiert um 11:13 Uhr
Die Beschreibung ist ja auch etwas wirr. Die WLAN APs werden ja vermutlich gar nicht in die IPsec Kommunikation eingebaut sein, in der Beziehung, das sie irgendwie die Tunnelendpunkte bedienen. Sprich also aktiver IPsec Client oder Server zu sein, oder ?
Sie sind vermutlich also nur reiner und simpler Transporteur dieser Pakete. Ein WLAN AP arbeitet immer als simple Layer 2 Bridge, also auf Mac Adress Basis des Ethernet Paketes. Aktiv nimmt ein AP in der regel NIE an einer IP Kommunikation teil !
Folglich haben die WLAN APs also keinerlei Ahnung was über dem Layer 2 da transportiert wird. Ihnen ist also vollkommen Latte ob das IP, UDP, TCP, HTTP oder IPsec oder was auch immer ist. Sie wissen ja nicht einmal mehr das IP über sie transportiert wird !!!
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.

Bleiben also mal wieder die üblichen Kardinalsfragen:
  • WO sind die IPsec Tunnelendpunkte und
  • welchen Weg gehen die IPsec Pakete dahin ?
  • Ist in dem EWeg irgendwo eine Firewall oder ein NAT (IP Translation) Router ?
usw. usw.
Ob in dem Tunnel Voice oder was auch immer transportiert wird ist auch vollkommen egal. Deshalb stellt sich zusätzlich die Frage was Voice und IPsec miteinander zu tun haben ??
Alle das beantwortet der obige Thread nicht so das es mal wieder schwer wird für eine zielführende Hilfe

Grundlagen zu diesen Thema im IPsec VPN Umfeld findet man hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Bitte warten ..
Mitglied: Vision2015
13.02.2018 um 11:34 Uhr
Moin..

sag mal hast du...
ein Smartphone, das WiFi Calling unterstützt
eine WLAN-Verbindung
einen WiFi Calling-fähigen Tarif
einen Internet-Anschluss über DSL oder Kabel mit 16Mbit oder mehr?

es braucht auch kein IPSEc mit udp 500 + 4500 etc... also mach das dicht, was du da aufgemacht hast!
sondern einfach nur WLAN & Internet!
nicht mehr und nicht weniger...

Frank
Bitte warten ..
Mitglied: magicteddy
LÖSUNG 13.02.2018, aktualisiert um 13:31 Uhr
Moin,

hier eben so. Routerkaskade mit KD Fritte --> pfSense --> LAN & WLAN mit UAP Pro, am Telefon Wifi Calling aktiviert nix, Telefon neu gestartet fertig, funktioniert ohne weitere Einstellungen am Netzwerk.

-teddy
Bitte warten ..
Mitglied: Reini82
13.02.2018 um 17:32 Uhr
Servus,

Die Ports sind wieder dicht soweit. War ne Beschreibung von vodafone in der.es hieß man soll diese öffnen. ich hab auch jetzt daheim mal wifi callin getestet und es funktioniert ohne probleme.
Bei dem Aufbau wie ich es oben beschrieben habe kommen die pakete nicht einmal am router an. Zwischen dem AP und dem router sind 2 Switche. Habe mich heute mal mit wireshark an den switch gehängt an dem auch der AP hängt und sehe kein einziges paket vom.smartphone. Der switch ist, ein ubiquiti es-48-500W. Scheint als ob es da hängen bleibt.
Bitte warten ..
Mitglied: Reini82
14.02.2018 um 07:22 Uhr
Zitat von aqui:

Die Beschreibung ist ja auch etwas wirr. Die WLAN APs werden ja vermutlich gar nicht in die IPsec Kommunikation eingebaut sein, in der Beziehung, das sie irgendwie die Tunnelendpunkte bedienen. Sprich also aktiver IPsec Client oder Server zu sein, oder ?

Richtig die sind lediglich als Zugangspunkt

Folglich haben die WLAN APs also keinerlei Ahnung was über dem Layer 2 da transportiert wird. Ihnen ist also vollkommen Latte ob das IP, UDP, TCP, HTTP oder IPsec oder was auch immer ist. Sie wissen ja nicht einmal mehr das IP über sie transportiert wird !!!
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.

Bleiben also mal wieder die üblichen Kardinalsfragen:
  • WO sind die IPsec Tunnelendpunkte und
  • welchen Weg gehen die IPsec Pakete dahin ?
  • Ist in dem EWeg irgendwo eine Firewall oder ein NAT (IP Translation) Router ?

Genau das ist es. Es sind lediglich 2 Layer 2 Switche zwischen AP und dem oben beschriebenen Mikrotik Router dazwischen wird nichts anderes das den Verkehr blockieren könnte. Aber am Router kommt schon nichts mehr an. In erster Linie ging es mir mal darum ob mit den AP's alles in Ordnung ist soweit da es ja schon einmal funktioniert hat jedoch mit einer älteren Firmware auf den AP's.

Ob in dem Tunnel Voice oder was auch immer transportiert wird ist auch vollkommen egal. Deshalb stellt sich zusätzlich die Frage was Voice und IPsec miteinander zu tun haben ??

Vodafone benutzt dies für Wifi-Calling

Danke auf jedenfall mal für die Antwort ich werde mir den Switch jetzt mal vornehmen muss ja dann dort irgendwo hängen bleiben
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.02.2018 um 09:16 Uhr
Richtig die sind lediglich als Zugangspunkt
Wieder so ein Wischi- Waschi Ausdruck
Zugangspunkt kann auch der Tunnelendpunkt sein den man als Client connected....
Macht das design nicht gerade klarer...aber egal. Verstehen wir es jetzt mal so das die APs KEIN aktives IPsec am laufen haben. (Weil sie es auch gar nicht supporten !)
Es sind lediglich 2 Layer 2 Switche zwischen AP und dem oben beschriebenen Mikrotik Router
OK, also reine Netzwerk Infrastruktur die NICHT partizipiert am IPsec ! Richtig ?
Tunnel Endpunkt für die VPN Verbindung ist dann der Mikrotik ? Oder wer ist der VPN Server ?
Aber am Router kommt schon nichts mehr an.
Oha...dann hast du ein grundsätzliches Problem irgendwo !!
Falsches Routing oder irgendwo eine Firewall oder einen NAT Router im Pfad ??
Wenn schon gar kein Traffic dort ankommt ist es ja klar das es niemals klappen kann. Was sagt denn ein Pathping oder Traceroute ?? Kannst du den MT wenigstens IP seitig erreichen ?
Vodafone benutzt dies für Wifi-Calling
Was auch immer das sein mag ???
IPsec wäre ja Blödsinn, denn dann müsste Vodafone dir ja Schlüsselpasswörter usw. nennen. Das würde ja eine IPsec Kopplung ad absurdum führen, denn sicher ist dann nix mehr wenn die ganze Welt die Schlüsselpasswörter kennt ?! Wozu dann noch IPsec.
Der tiefere Sinn hinter so einem Unsinn wäre unverständlich.
Bitte warten ..
Mitglied: Reini82
14.02.2018 um 11:34 Uhr
Zitat von aqui:


Wieder so ein Wischi- Waschi Ausdruck
Zugangspunkt kann auch der Tunnelendpunkt sein den man als Client connected....
Macht das design nicht gerade klarer...aber egal. Verstehen wir es jetzt mal so das die APs KEIN aktives IPsec am laufen haben. (Weil sie es auch gar nicht supporten !)

Sorry. Ja die AP's haben mit der IPSec-Verbindung nichts am Hut.
Hab mittlerweile nochmal einen Versuch mit Wireshark gestartet. Das Paket kommt am 1. Switch an (Der Ubiquiti ES-48) bleibt aber an diesem hängen. Hab jetzt mal testweise eine HP 1910 ans Netz anstelle des Ubiquiti genommen, diesen ebenso an den 2. Switch angeschlossen und alles funktioniert wunderbar. Also liegt es am Ubiquiti
Bitte warten ..
Mitglied: aqui
14.02.2018 um 15:53 Uhr
bleibt aber an diesem hängen.
Und du bist dir sicher das das ein reiner L2 Switch ist ??
Dann würde der Switch seine Forwarding Entscheidung rein nur auf Layer 2 also der Mac Adresse fällen. Er wüsste noch nichtmal das die höheren Layer IP geschweige denn IPsec transportieren.
Er dürfte dann an genau das Ziel auch kein ICMP (Ping, Traceroute) oder jeglichen anderen IP Protokolle forwarden.
Zeigt das du generell irgendwo ein Problem hast. Da es mit der HP Gurkle klappt ist es klar das der Ubiquity ein Problem hat.
Hast du da irgendwelche Mac Filter oder Protokoll Filter aktiv ?
IPsec nutzt ESP mit der Protokoll Nummer 50 statt 80 wie für "klassisches" IP. Wäre ein möglicher Grund aber recht ungewöhnlich.
Auch im Hinblick das es, wie du sagst, ein reiner L2 Switch ist. Der weiss nix von IP und auch nicht der IP Protokoll Nummer da das teil des IP also L3 Headers ist. Aber wer weiß was Ubiquity da verbrochen hat als Switch. Die sind ja nicht gerade als Infrastruktur Hersteller bekannt.
Ggf. den Ubiquity mal auf einen Werks Reset setzen und nochmal probieren.
Aktuellste Firmware solltest du natürlich auch zwingend auf dem Ubiquity installiert haben ?!
Bitte warten ..
Mitglied: Reini82
14.02.2018 um 21:36 Uhr
Hatte mich in der Hinsicht auch falsch ausgedrückt. Der switch ist ein layer 3 switch der aber grundsätzlich nur layer 2 ausführt.
Aber genau am Protokoll war das problem. Es war eine Denial of Service protection eingestellt die pakete verwirft wenn der Quellport gleich dem Ziel port ist.
Kam ich erst drauf als ich mit wireshark die protokolle gesehen hab.

Danke an alle für die Unterstützung.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Ubiquiti UAP-AC-Lite vs. Mikrotik hAP AC
Frage von gansa28LAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich plane grade ein neues Controller gestützes WLAN in meinem Haus zu integrieren, ich habe seit einiger ...

LAN, WAN, Wireless

Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite

gelöst Frage von TimMayerLAN, WAN, Wireless6 Kommentare

Hallo, ich suche nach einem PoE af AP mit AC-Wlan. Ich habe jetzt eine FB 7490, brauche etwas mit ...

LAN, WAN, Wireless

UAP-AC-LR vs. UAP-AC-LITE

gelöst Frage von Winfried-HHLAN, WAN, Wireless25 Kommentare

Hallo Experten! hat jemand Erfahrungen mit dem UniFi-AccessPoint AC-LITE? "Lite" deutet ja immer auf Einschränkungen hin. Sind das nur ...

LAN, WAN, Wireless

Unifi Ac ac pro

Frage von mirocosmoLAN, WAN, Wireless18 Kommentare

Hallo Hab mir das 1 Unifi AP‑AC Pro und 2 Ubiquiti UAP-AC-M Wireless Access Point UniFi AP AC Mesh ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 23 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...