90948
Feb 12, 2018, updated at Feb 13, 2018 (UTC)
4111
11
0
Ubiquiti UAP-AC-PRO und IPSec
Hallo Leute,
ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist auch vorhanden und alle Accesspoints sind Parametriert.
Eingestellt ist ein WLAN-Netzwerk welches in einem separaten VLAN angelegt ist. Clients können sich mit diesem auch verbinden und bekommen dann von einem Mikrotik Router eine IP-Adresse zugewiesen. Die interne und externe Kommunikation in dem WLAN funktioniert soweit ohne Probleme.
Nun soll bei uns Wifi-Calling mit unseren Smartphones eingesetzt werden um Bereiche in denen kein Empfang ist abzudecken. Ich habe dazu wie bei Vodafone beschrieben die entsprechenden Ports freigegeben (Standard IPSEc mit udp 500 + 4500). Am MIkrotik Router logge ich auch ein Verbindungsversuch mit. Dies hat bis vor kurzem auch funktioniert aber jetzt überhaupt nicht mehr. Die Firmware der AP's ist auf dem aktuellsten Stand. Auch der Controller ist auf dem aktuellsten SW-Stand.
Ich habe dann einen Versuch gestartet mit einem Windows 10 Laptop einen IPSec Tunnel ins Internet aufzubauen. Schließe ich diesen mittels LAN-Kabel am Switch an sehe ich am Mikrotik den Verbindungsversuch. Melde ich diesen am WLAN an tut sich nichts am Mikrotik. Um das VLAN des WLAN-Netzes auszuschließen legte ich ein temporäres WLAN-Netz an dass in dem selben Netz operiert wie der Laptop. Wieder sehe ich nichts am Mikrotik.
Firewall-Regeln am MIkrotik habe ich bereits geprüft. Nur daran kann es nicht liegen da ich nicht einmal einen Verbindungsversuch zum Mikrotik sehe.
Hat jemand einen ähnlichen Aufbau im Einsatz bzw. mir einen Schlag auf den Hinterkopf verpassen das mein Hirn wieder geht.
Danke im Voraus
ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist auch vorhanden und alle Accesspoints sind Parametriert.
Eingestellt ist ein WLAN-Netzwerk welches in einem separaten VLAN angelegt ist. Clients können sich mit diesem auch verbinden und bekommen dann von einem Mikrotik Router eine IP-Adresse zugewiesen. Die interne und externe Kommunikation in dem WLAN funktioniert soweit ohne Probleme.
Nun soll bei uns Wifi-Calling mit unseren Smartphones eingesetzt werden um Bereiche in denen kein Empfang ist abzudecken. Ich habe dazu wie bei Vodafone beschrieben die entsprechenden Ports freigegeben (Standard IPSEc mit udp 500 + 4500). Am MIkrotik Router logge ich auch ein Verbindungsversuch mit. Dies hat bis vor kurzem auch funktioniert aber jetzt überhaupt nicht mehr. Die Firmware der AP's ist auf dem aktuellsten Stand. Auch der Controller ist auf dem aktuellsten SW-Stand.
Ich habe dann einen Versuch gestartet mit einem Windows 10 Laptop einen IPSec Tunnel ins Internet aufzubauen. Schließe ich diesen mittels LAN-Kabel am Switch an sehe ich am Mikrotik den Verbindungsversuch. Melde ich diesen am WLAN an tut sich nichts am Mikrotik. Um das VLAN des WLAN-Netzes auszuschließen legte ich ein temporäres WLAN-Netz an dass in dem selben Netz operiert wie der Laptop. Wieder sehe ich nichts am Mikrotik.
Firewall-Regeln am MIkrotik habe ich bereits geprüft. Nur daran kann es nicht liegen da ich nicht einmal einen Verbindungsversuch zum Mikrotik sehe.
Hat jemand einen ähnlichen Aufbau im Einsatz bzw. mir einen Schlag auf den Hinterkopf verpassen das mein Hirn wieder geht.
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364504
Url: https://administrator.de/contentid/364504
Printed on: April 19, 2024 at 21:04 o'clock
11 Comments
Latest comment
Zitat von @90948:
Hallo Leute,
Moin...Hallo Leute,
ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist auch vorhanden und alle Accesspoints sind Parametriert.
Eingestellt ist ein WLAN-Netzwerk welches in einem separaten VLAN angelegt ist. Clients können sich mit diesem auch verbinden und bekommen dann von einem Mikrotik Router eine IP-Adresse zugewiesen. Die interne und externe Kommunikation in dem WLAN funktioniert soweit ohne Probleme.
Nun soll bei uns Wifi-Calling mit unseren Smartphones eingesetzt werden um Bereiche in denen kein Empfang ist abzudecken. Ich habe dazu wie bei Vodafone beschrieben die entsprechenden Ports freigegeben (Standard IPSEc mit udp 500 + 4500). Am MIkrotik Router logge ich auch ein Verbindungsversuch mit. Dies hat bis vor kurzem auch funktioniert aber jetzt überhaupt nicht mehr. Die Firmware der AP's ist auf dem aktuellsten Stand. Auch der Controller ist auf dem aktuellsten SW-Stand.
Moin Frank,
Danke für die Antwort schon mal hilfreich dass die es auf jedenfall nicht an der Firmware der AP's liegt. Dann muss doch irgendwo zwischen Router und AP liegen. Danke mal soweit
Danke für die Antwort schon mal hilfreich dass die es auf jedenfall nicht an der Firmware der AP's liegt. Dann muss doch irgendwo zwischen Router und AP liegen. Danke mal soweit
Die Beschreibung ist ja auch etwas wirr. Die WLAN APs werden ja vermutlich gar nicht in die IPsec Kommunikation eingebaut sein, in der Beziehung, das sie irgendwie die Tunnelendpunkte bedienen. Sprich also aktiver IPsec Client oder Server zu sein, oder ?
Sie sind vermutlich also nur reiner und simpler Transporteur dieser Pakete. Ein WLAN AP arbeitet immer als simple Layer 2 Bridge, also auf Mac Adress Basis des Ethernet Paketes. Aktiv nimmt ein AP in der regel NIE an einer IP Kommunikation teil !
Folglich haben die WLAN APs also keinerlei Ahnung was über dem Layer 2 da transportiert wird. Ihnen ist also vollkommen Latte ob das IP, UDP, TCP, HTTP oder IPsec oder was auch immer ist. Sie wissen ja nicht einmal mehr das IP über sie transportiert wird !!!
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.
Bleiben also mal wieder die üblichen Kardinalsfragen:
Ob in dem Tunnel Voice oder was auch immer transportiert wird ist auch vollkommen egal. Deshalb stellt sich zusätzlich die Frage was Voice und IPsec miteinander zu tun haben ??
Alle das beantwortet der obige Thread nicht so das es mal wieder schwer wird für eine zielführende Hilfe
Grundlagen zu diesen Thema im IPsec VPN Umfeld findet man hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sie sind vermutlich also nur reiner und simpler Transporteur dieser Pakete. Ein WLAN AP arbeitet immer als simple Layer 2 Bridge, also auf Mac Adress Basis des Ethernet Paketes. Aktiv nimmt ein AP in der regel NIE an einer IP Kommunikation teil !
Folglich haben die WLAN APs also keinerlei Ahnung was über dem Layer 2 da transportiert wird. Ihnen ist also vollkommen Latte ob das IP, UDP, TCP, HTTP oder IPsec oder was auch immer ist. Sie wissen ja nicht einmal mehr das IP über sie transportiert wird !!!
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.
Bleiben also mal wieder die üblichen Kardinalsfragen:
- WO sind die IPsec Tunnelendpunkte und
- welchen Weg gehen die IPsec Pakete dahin ?
- Ist in dem EWeg irgendwo eine Firewall oder ein NAT (IP Translation) Router ?
Ob in dem Tunnel Voice oder was auch immer transportiert wird ist auch vollkommen egal. Deshalb stellt sich zusätzlich die Frage was Voice und IPsec miteinander zu tun haben ??
Alle das beantwortet der obige Thread nicht so das es mal wieder schwer wird für eine zielführende Hilfe
Grundlagen zu diesen Thema im IPsec VPN Umfeld findet man hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Moin..
sag mal hast du...
ein Smartphone, das WiFi Calling unterstützt
eine WLAN-Verbindung
einen WiFi Calling-fähigen Tarif
einen Internet-Anschluss über DSL oder Kabel mit 16Mbit oder mehr?
es braucht auch kein IPSEc mit udp 500 + 4500 etc... also mach das dicht, was du da aufgemacht hast!
sondern einfach nur WLAN & Internet!
nicht mehr und nicht weniger...
Frank
sag mal hast du...
ein Smartphone, das WiFi Calling unterstützt
eine WLAN-Verbindung
einen WiFi Calling-fähigen Tarif
einen Internet-Anschluss über DSL oder Kabel mit 16Mbit oder mehr?
es braucht auch kein IPSEc mit udp 500 + 4500 etc... also mach das dicht, was du da aufgemacht hast!
sondern einfach nur WLAN & Internet!
nicht mehr und nicht weniger...
Frank
Moin,
hier eben so. Routerkaskade mit KD Fritte --> pfSense --> LAN & WLAN mit UAP Pro, am Telefon Wifi Calling aktiviert nix, Telefon neu gestartet fertig, funktioniert ohne weitere Einstellungen am Netzwerk.
-teddy
hier eben so. Routerkaskade mit KD Fritte --> pfSense --> LAN & WLAN mit UAP Pro, am Telefon Wifi Calling aktiviert nix, Telefon neu gestartet fertig, funktioniert ohne weitere Einstellungen am Netzwerk.
-teddy
Servus,
Die Ports sind wieder dicht soweit. War ne Beschreibung von vodafone in der.es hieß man soll diese öffnen. ich hab auch jetzt daheim mal wifi callin getestet und es funktioniert ohne probleme.
Bei dem Aufbau wie ich es oben beschrieben habe kommen die pakete nicht einmal am router an. Zwischen dem AP und dem router sind 2 Switche. Habe mich heute mal mit wireshark an den switch gehängt an dem auch der AP hängt und sehe kein einziges paket vom.smartphone. Der switch ist, ein ubiquiti es-48-500W. Scheint als ob es da hängen bleibt.
Die Ports sind wieder dicht soweit. War ne Beschreibung von vodafone in der.es hieß man soll diese öffnen. ich hab auch jetzt daheim mal wifi callin getestet und es funktioniert ohne probleme.
Bei dem Aufbau wie ich es oben beschrieben habe kommen die pakete nicht einmal am router an. Zwischen dem AP und dem router sind 2 Switche. Habe mich heute mal mit wireshark an den switch gehängt an dem auch der AP hängt und sehe kein einziges paket vom.smartphone. Der switch ist, ein ubiquiti es-48-500W. Scheint als ob es da hängen bleibt.
Zitat von @aqui:
Die Beschreibung ist ja auch etwas wirr. Die WLAN APs werden ja vermutlich gar nicht in die IPsec Kommunikation eingebaut sein, in der Beziehung, das sie irgendwie die Tunnelendpunkte bedienen. Sprich also aktiver IPsec Client oder Server zu sein, oder ?
Die Beschreibung ist ja auch etwas wirr. Die WLAN APs werden ja vermutlich gar nicht in die IPsec Kommunikation eingebaut sein, in der Beziehung, das sie irgendwie die Tunnelendpunkte bedienen. Sprich also aktiver IPsec Client oder Server zu sein, oder ?
Richtig die sind lediglich als Zugangspunkt
Folglich haben die WLAN APs also keinerlei Ahnung was über dem Layer 2 da transportiert wird. Ihnen ist also vollkommen Latte ob das IP, UDP, TCP, HTTP oder IPsec oder was auch immer ist. Sie wissen ja nicht einmal mehr das IP über sie transportiert wird !!!
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.
Bleiben also mal wieder die üblichen Kardinalsfragen:
Brauchen sie ja auch gar nicht zu wissen bei einer Bridge Funktion.
Bleiben also mal wieder die üblichen Kardinalsfragen:
- WO sind die IPsec Tunnelendpunkte und
- welchen Weg gehen die IPsec Pakete dahin ?
- Ist in dem EWeg irgendwo eine Firewall oder ein NAT (IP Translation) Router ?
Genau das ist es. Es sind lediglich 2 Layer 2 Switche zwischen AP und dem oben beschriebenen Mikrotik Router dazwischen wird nichts anderes das den Verkehr blockieren könnte. Aber am Router kommt schon nichts mehr an. In erster Linie ging es mir mal darum ob mit den AP's alles in Ordnung ist soweit da es ja schon einmal funktioniert hat jedoch mit einer älteren Firmware auf den AP's.
Ob in dem Tunnel Voice oder was auch immer transportiert wird ist auch vollkommen egal. Deshalb stellt sich zusätzlich die Frage was Voice und IPsec miteinander zu tun haben ??
Vodafone benutzt dies für Wifi-Calling
Danke auf jedenfall mal für die Antwort ich werde mir den Switch jetzt mal vornehmen muss ja dann dort irgendwo hängen bleiben
Richtig die sind lediglich als Zugangspunkt
Wieder so ein Wischi- Waschi Ausdruck Zugangspunkt kann auch der Tunnelendpunkt sein den man als Client connected....
Macht das design nicht gerade klarer...aber egal. Verstehen wir es jetzt mal so das die APs KEIN aktives IPsec am laufen haben. (Weil sie es auch gar nicht supporten !)
Es sind lediglich 2 Layer 2 Switche zwischen AP und dem oben beschriebenen Mikrotik Router
OK, also reine Netzwerk Infrastruktur die NICHT partizipiert am IPsec ! Richtig ?Tunnel Endpunkt für die VPN Verbindung ist dann der Mikrotik ? Oder wer ist der VPN Server ?
Aber am Router kommt schon nichts mehr an.
Oha...dann hast du ein grundsätzliches Problem irgendwo !!Falsches Routing oder irgendwo eine Firewall oder einen NAT Router im Pfad ??
Wenn schon gar kein Traffic dort ankommt ist es ja klar das es niemals klappen kann. Was sagt denn ein Pathping oder Traceroute ?? Kannst du den MT wenigstens IP seitig erreichen ?
Vodafone benutzt dies für Wifi-Calling
Was auch immer das sein mag ???IPsec wäre ja Blödsinn, denn dann müsste Vodafone dir ja Schlüsselpasswörter usw. nennen. Das würde ja eine IPsec Kopplung ad absurdum führen, denn sicher ist dann nix mehr wenn die ganze Welt die Schlüsselpasswörter kennt ?! Wozu dann noch IPsec.
Der tiefere Sinn hinter so einem Unsinn wäre unverständlich.
Wieder so ein Wischi- Waschi Ausdruck
Zugangspunkt kann auch der Tunnelendpunkt sein den man als Client connected....
Macht das design nicht gerade klarer...aber egal. Verstehen wir es jetzt mal so das die APs KEIN aktives IPsec am laufen haben. (Weil sie es auch gar nicht supporten !)
Zugangspunkt kann auch der Tunnelendpunkt sein den man als Client connected....
Macht das design nicht gerade klarer...aber egal. Verstehen wir es jetzt mal so das die APs KEIN aktives IPsec am laufen haben. (Weil sie es auch gar nicht supporten !)
Sorry. Ja die AP's haben mit der IPSec-Verbindung nichts am Hut.
Hab mittlerweile nochmal einen Versuch mit Wireshark gestartet. Das Paket kommt am 1. Switch an (Der Ubiquiti ES-48) bleibt aber an diesem hängen. Hab jetzt mal testweise eine HP 1910 ans Netz anstelle des Ubiquiti genommen, diesen ebenso an den 2. Switch angeschlossen und alles funktioniert wunderbar. Also liegt es am Ubiquiti
bleibt aber an diesem hängen.
Und du bist dir sicher das das ein reiner L2 Switch ist ??Dann würde der Switch seine Forwarding Entscheidung rein nur auf Layer 2 also der Mac Adresse fällen. Er wüsste noch nichtmal das die höheren Layer IP geschweige denn IPsec transportieren.
Er dürfte dann an genau das Ziel auch kein ICMP (Ping, Traceroute) oder jeglichen anderen IP Protokolle forwarden.
Zeigt das du generell irgendwo ein Problem hast. Da es mit der HP Gurkle klappt ist es klar das der Ubiquity ein Problem hat.
Hast du da irgendwelche Mac Filter oder Protokoll Filter aktiv ?
IPsec nutzt ESP mit der Protokoll Nummer 50 statt 80 wie für "klassisches" IP. Wäre ein möglicher Grund aber recht ungewöhnlich.
Auch im Hinblick das es, wie du sagst, ein reiner L2 Switch ist. Der weiss nix von IP und auch nicht der IP Protokoll Nummer da das teil des IP also L3 Headers ist. Aber wer weiß was Ubiquity da verbrochen hat als Switch. Die sind ja nicht gerade als Infrastruktur Hersteller bekannt.
Ggf. den Ubiquity mal auf einen Werks Reset setzen und nochmal probieren.
Aktuellste Firmware solltest du natürlich auch zwingend auf dem Ubiquity installiert haben ?!
Hatte mich in der Hinsicht auch falsch ausgedrückt. Der switch ist ein layer 3 switch der aber grundsätzlich nur layer 2 ausführt.
Aber genau am Protokoll war das problem. Es war eine Denial of Service protection eingestellt die pakete verwirft wenn der Quellport gleich dem Ziel port ist.
Kam ich erst drauf als ich mit wireshark die protokolle gesehen hab.
Danke an alle für die Unterstützung.
Aber genau am Protokoll war das problem. Es war eine Denial of Service protection eingestellt die pakete verwirft wenn der Quellport gleich dem Ziel port ist.
Kam ich erst drauf als ich mit wireshark die protokolle gesehen hab.
Danke an alle für die Unterstützung.
