Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Doorbird und Unifi USG 3P - VLAN Probleme

Mitglied: gerd.schadler

gerd.schadler (Level 1) - Jetzt verbinden

29.05.2020, aktualisiert 08.06.2020, 384 Aufrufe, 7 Kommentare

Vorweg, ich bin kein Netzwerkprofi... Der Doorbird-Support scheint nicht wirklich helfen zu wollen und Unifi-Support konnte keine Misskonfiguration etc. feststellen...

Das Problem: Wenn das Smartphone mit der Doorbird-App in einem VLAN ist, kann die Tür nicht geöffnet oder das IR-Licht eingeschaltet werden. Die App zeigt die Verbindung "Cloud" an. Die Doorbird befindet sich momentan im VLAN1 (LAN) - Ist das Smartphone im selben VLAN wie die Doorbird funktioniert alles.

Der Setup mit den VLANs habe ich getestet und es hat zu Beginn auch funktioniert... Nun seit, ca. mitte November 2019 besteht das Problem...

In der Zwischenzeit wurde herausgefunden, dass wenn die Doorbird nicht via HTTPS das Problem nicht besteht. Wie es scheint, muss es irgendetwas mit dem Inter-VLAN-Verkehr zu tun haben... Das Problem besteht auch wenn keine Firewall-Rules gesetzt sind... im Unifi USG sind alle VLANs als "Corporate" gesetzt, es gibt keine anderen Probleme im Inter-VLAN-Verkehr, sprich z.B. Drucker, DNS-Server, etc. (Nur die Doorbird will irgendwie nicht).

Gibt es hierzu Erfahrungen? Oder wie kann sowas gelöst werden?
Besten Dank!

**
Video-Doorstation (Doorbird) not functioning if client (Doorbird App) is in VLAN2 (or any other VLAN) and the Doorbird-Device itself is in VLAN1 (LAN).
Important: This only happens when HTTPS is used (for testing HTTPS was turned off and any communication via HTTP (unsecure) did work without any problems.
Setup:
USG (UniFi Security Gateway) --> Switch Main --> Swtich UG --> Doorbird 192.168.1.100

USG = UniFi security Gateway 3P
Swtich Main = UniFi Swtich 16 POE-150W
Switch UG = UniFi Switch 8 POE-150W

The Doorbird is shown as online in the app and the video-stream is working. Triggering the door-relay or turning the IR-light on is not working, also logging in as an administrator is not working.
The Doorbird-App shows only the cloud connection symbol (a cloud), correctly it should show the local connection symbol (a house).

Only the Doorbird App (communication via HTTPS) is affected by this problem, if the HTML5 Widget (local: http://192.168.1.100/bha-api/view.html) is used on a VLAN everything works smoothly.
Smartphones in use are Android-Phones (mostly Samsung) - the App is called “Doorbird” (running newest version). iPhones do not have the same issue, meaning triggering the relay and turning on IR seems to be working - but no local connection symbol.

I can ping from the smartphone the Video-Doorstation locally!
Mitglied: StefanKittel
29.05.2020 um 13:11 Uhr
Hallo,

klingt so, als ob das Ding nach einem Update entschieden hat ein Teil der Kommunikation über Broadcast abzuwickeln oder eine Sicherheitsfunktion im Geräte Verbindungen aus anderen IP-Bereichen schlicht zu ignorieren.

Stefan
Bitte warten ..
Mitglied: aqui
29.05.2020, aktualisiert um 18:47 Uhr
wurde herausgefunden, dass wenn die Doorbird nicht via HTTPS das Problem nicht besteht.
Nachts ist's kälter als draußen... Den Satz versteht doch kein Mensch !
Kein Wort davon welches Transport Protokoll die Doorbird App nutzt geschweige denn mit einem Wireshark Trace mal selber überprüft.
Wie soll man da zielgerichtet helfen ? Unmöglich ohne diese Information !
Da hilft auch uns dann nur der Blick in die berühmte Kristallkugel !
Wie Kollege @StefanKittel schon richtig vermutet ist das vermutlich irgendwein Broad- oder Multicast Verfahren was dann einen UDP Helper und oder Multicast Routing oder Proxying erzwingt.
Aber da sind wir schon wieder mitten drin im Raten und Spekulieren im freien Fall...! Ohne entsprechende Infos keine Chance.
Bitte warten ..
Mitglied: gerd.schadler
30.05.2020 um 06:39 Uhr
Danke für Deine Antwort. Das ist mein Fehler, in diesem Satz fehlen einige Worte... So hier das Zitat von Doorbird: "Sobald Ihr Gerät per HTTP kommuniziert, geht es. Sobald es per HTTPS kommuniziert, blockiert es."

Ich habe schon mehrmals ein tcpdump für den Unifi-Support erstellt .... nur ich selber kann eben den Inhalt nicht wirklich interpretieren...

Folgend Link zu:
test.pcap und Doorbird Ports und Protokolle

Wie gesagt, ich bin kein Profi und eben wenn Du von "Broad- oder Multicast Verfahren was dann einen UDP Helper und oder Multicast Routing oder Proxying erzwingt" sprichst, verstehe ich nicht mehr viel.

Danke.
Bitte warten ..
Mitglied: aqui
30.05.2020, aktualisiert um 11:59 Uhr
nur ich selber kann eben den Inhalt nicht wirklich interpretieren...
Du kannst doch ganz einfach mal einen Wireshark Trace mit HTTP mit dem eines HTTPS vergleichen. Anahnd des Paket Flows kannst du dann doch sofort sehen wo es kneift.
Es ist auch NICHT davon auszugehen das es beim Protokoll HTTP und HTTPS an sich liegt denn beide sind vollkommen problemlos routebar. Wären sie das nicht würde das Internet gar nicht funktionieren.
Also wird das ganz sicher auch bei dir über die VLAN Segmente vollständig routebar sein.
Der Knackpunkt bei solchen Geräten ist immer die Frage WIE machen die sich im Netzwerk bekannt, damit sie von den Konfig Clients DAU sicher erkannt werden und von Usern mit maximaler Technikferne bedient werden können.
Hierzu nutzen sie in der Regel Broadcast oder Multicast Technologien die automatisch diese Devices und ihre Präsenz ins Netz blasen an alle Teilnehmer.
Das wiederum geht aber nicht immer ohne Hilfsmittel wie UDP Helper Adressen, PIM usw. usw. auf dem Router denn bekanntlich gehen Broad- und Multicasts nicht so ohne weiteres über Router Grenzen.
Da wir aber diese Mechanismen vom Doorbird Produkt nicht kennen kann man hier nur im freien Fall raten.
Erschwerend kommt noch dazu das wenn der Router mit Accesslisten arbeitet oder er eine Firewall mit Regeln ist und ein Anwender das nicht weiss diese Regeln dann noch blockierend dazukommen.
Ob du z.B. komplett offen und transparent routest über deine VLANs oder da auch ACLs oder Firewalls im Spiel sind hast du auch noch mit keinem Wort erwähnt.
In der Beziehung ist das für alle hier ohne diese wichtigen Informationen wie russiches Roulette.

Nur so viel:
Sieh dir mal das Doorbird Produktblatt an. Dort steht doch die Lösung des Problems und das sollte der Doorbird Produkt Support eigentlich wie aus der Pistole geschossen wissen:
Für das Bekanntmachen im Netz nutzt das Doorbird Produkt Bonjour sprich also den mDNS Standard:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
mDNS nutzt einen nicht routebare Link Local Multicast Adresse. Nicht routebar, weil deren TTL fest auf 1 gesetzt ist in dieser MC Gruppenadresse.
Die Lösung ist aber kinderleicht und man verwendet einen mDNS Proxy. In vielen besseren WLAN Accesspoints ist sowas schon fest implementiert wie z.B. hier bei einem Ruckus AP:
ruckap - Klicke auf das Bild, um es zu vergrößern

Du kannst es aber auch ganz einfach und preiswert im LAN oder WLAN mit einem Raspberry Pi lösen. Guckst du hier:
https://administrator.de/wissen/netzwerk-management-server-raspberry-pi- ...
Das ist schnell erledigt !
Sprich den Doorbird Support darauf an !!! Das sollten die eigentlich wissen wenn sie mDNS Techniken in ihren Produkten nutzen !!

Was den Trace anbetrifft kann man das mDNS auch sehen. Allerdings redet das Teil nach seinem Broadcast hier schon direkt mit dem DNS Server:
door - Klicke auf das Bild, um es zu vergrößern

Sehr gruselig ist aber das hier:
cfgbroad - Klicke auf das Bild, um es zu vergrößern

Damit bläst das Teil irgendeine Konfig von sich oder was auch immer ins Netz. Warum dort eine IP Gateway Adresse des US Postal Services in Raleigh (NC) angegeben wird mit einer syntaktisch völlig falschen und wirren Subnetzmaske weiss wohl auch nur der Hersteller selber.
Sieht aber gruselig aus und spricht nicht gerade für das Produkt, denn es erweckt den Eindruck als ob hier mit der sehr heissen Nadle gestrickt wurde und schlimmer noch das irgendwas "nach Hause" telefoniert wird. Für ein Security Produkt ein absolutes NoGo !
Auch dazu solltest du den Support mal auf den Zahn fühlen...
Bitte warten ..
Mitglied: gerd.schadler
02.06.2020, aktualisiert um 13:06 Uhr
Hallo - Danke für die Ausführungen... Ich habe die Config vom Router nochmals geprüft... igmp-proxy und mdns reflector, repeater sind konfiguriert.

Es scheint alles zu funktionieren... Alle anderen Geräte haben keine Probleme (z.B. Chromecasts über VLAN).

Es bestehen Firewall-Regeln... das Problem besteht aber auch wenn die Firewall nicht aktiv ist... also alle VLANs untereinander kommunizieren können.
Bitte warten ..
Mitglied: gerd.schadler
03.06.2020, aktualisiert 04.06.2020
Wenn ich den mDNS Reflector ausschalte und dem USG via gateway.config.json den mDNS Repeater mit den Interface angebe kann ich die Doorbird bedienen... Ich kenne leider den unterschied zwischen Reflector und Repeater nicht.

Dennoch habe ich auch mal das ganze dem Doorbird-Support wissen lassen... das ganze scheint etwas wackelig zu sein. Doorbid mag nicht wirklich in einem VLAN setup zu sein...

Denn die Doorbird verbindet sich nicht lokal - wenn nicht "secure" (ohne HTTPS) dann scheint es keine Probleme zu geben. Wie würde man sowas analysieren...?
Bitte warten ..
Mitglied: gerd.schadler
08.06.2020, aktualisiert um 07:31 Uhr
Hier noch die Rückmeldung vom Doorbird-Support:

Wireshark erkennt an der Stelle ein Paket des ADwin-Protokolls und versucht es dementsprechend zu parsen. Dieses Protokoll verwenden wir nicht.

Wir versenden verschlüsselte Pakete bei Events und als Keepalive, siehe Kapitel "EVENT MONITORING (UDP BROADCASTS)" in unserer API-Dokumentation (https://www.doorbird.com/downloads/api_lan.pdf).

Wir verwenden/broadcasten also NICHT die von Wireshark an der Stelle dargestellten MAC-Adresse, IP und Netzmaske. Mehr lässt sich dazu von unserer Seite aus nicht sagen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Unifi USG VLAN Isolierung via Firewallregeln

Frage von mexxNetzwerkmanagement2 Kommentare

Hallo zusammen, ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 ...

Netzwerkmanagement

Routing mit Unifi USG

Frage von Der.ITlerNetzwerkmanagement5 Kommentare

Hallo Ihr, ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet. Problem: Gäste die sich mit einer ...

LAN, WAN, Wireless

Unifi USG und Switches

Frage von jo23487LAN, WAN, Wireless13 Kommentare

Hallo zusammen, ich möchte mein Netzwerk erweitern/verbessern und vor allem VLANs anbieten. Aus diversen Gründen möchte ich Unifi Produkte ...

Firewall

UniFi USG - CIFS Freigabe

gelöst Frage von KodaCHFirewall5 Kommentare

Guten Abend Ich hätte nochmals eine Frage zur USG von UniFi Ich versuche die SMB/CIFS Verbindung freizugeben. Ich habe ...

Neue Wissensbeiträge
Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 21 StundenOff Topic3 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 1 TagRouter & Routing10 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Anleitung von aqui vor 1 TagNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 4 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

Heiß diskutierte Inhalte
Windows Server
Domäne nach Ausfall eines DC komplett gestört
Frage von thaddaeus93Windows Server43 Kommentare

Hallo Zusammen, wir haben hier zwei DC's (einen 2011 SBS und einen 2016 Standard) - ursprünglich sollte die Migration ...

Windows Server
GPO Kennwortrichtlinie wird nicht angewandt
Frage von SabSchapWindows Server36 Kommentare

Hallo, ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert. Das Kennwort soll nach 365 Tage ...

VB for Applications
VBS wird nach Anmeldung (Aufgabenplanung) nicht richtig ausgeführt
gelöst Frage von MrLabelVB for Applications30 Kommentare

Hallo, ich habe ein VB Script geschrieben, welches morgens mit der Aufgabenplanung gestartet wird. (Ich weiß die Lösung ist ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid25 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...