Wartunng DG 28.05.2020

Gegen 16 Uhr den DG Support gebettet den Anschluss in den BridgeMode zu versetzen. Dies geht laut Mitarbeiter nur Nachts. Zudem hat er mehrfach versichter, dass man am Router nichts einstellen muss. Lediglich Lan 1 des DG Modems mit WAN (1) des Routers verbinden. Recht kommt von alleine. Auch ipv6 soll einfach so funktionieren, ohne VLAN ID oä Die SIP Zugangsdaten sollten am nächsten Tag erfragt werden.

• APC Easy UPS 650VA
• Ubiquiti USG UniFi Security Gateway
• Einfacher Mehrfachstecker
• Cisco SPA112
• TP-Link TL-SG1008D 8-Port (wird sehr wahrscheinlich noch durch Unifi Switch ersetzt)
• diverse Lankabel

Der Unifi USG wurde hier bereits an Port LAN 1 des DG Modems gesteckt, damit die Konfiguration in der Nacht bereits klappt. Ebenfalls wurde direkt die USV, der Cisco SPA 112 und der Switch installiert. Der Fernseher wurde am DG Router ausgezogen und dort wie bereits erwähnt die USG eingesteckt. ALle übrigen Kabel blieben bis zum nächsten morgen im DG Router. Naming: Der DG Router wurde über Nacht zum DG Modem.

Da ich dem Mitarbeiter nicht vertraut habe, habe ich die VLAN ID, welche ich laut Internet gefunden habe. VLAN ID 362. Ebenfalls wurde einige Wochen zuvor in der Firewall der Server freigeschaltet & Netzwerke mit DHCP hinzugefügt.

Wie erwartet kein Internet, da noch kein Gerät mit der USG verbunden ist. Die USG hatte ebenfalls kein Internet. Es stellt sich raus, dass die VLAN ID falsch ist. Nach dem entfernen der VLAN ID hat die USG sehr schnell eine IPv4 Adresse bekommen und auf dem WAN Port auch eine IPv6 Adresse. Nun funktioniert das Internet IPv4 only.

Hier wurde mehrfach mit Mitarbeitern von DG gesprochen. Der erste sagte, es muss so klappen, keine Ahnung. Der zweite gab mir die VLAN ID 362, wie im Internet. Nach dem Eintragen der VLAN ID war direkt das Internet weg. Also wieder entfernt. Der dritte Mitarbeiter hat mir eine IPv6 Adresse gegeben: 2a00:6020:15e8:bf00::/56 (Okay es ist ein ganzes Netz, aber er sagte Adresse :-D ). Diese solle ich eintragen. Wo auch immer. Es wurde sich immer rausgeredet mit wir leisten keinen Support für Kunden Router. Das ist ja auch verständlich. Ich möchte nur eine Erklärung haben wie ich das ganze Konfiguriere wenn ich keine Fritz!Box besitze (diese Supporten sie ein bissen, da viele diese haben). Konnte mir keiner geben. Daher wurde die Konfigurationsdatei (Unifi-ipv6-gateway-json)

Diese Datei ist aktuell ohne die Firewall Einstellungen deployt. Diese waren alle Standardmäßig aktiv, bis auf icmpv6. Diese wurden manuell hinzugefügt. Zukünftig soll eine Konfiguration ohne Datei versucht werden.

Unifi nutzt "nur" ein /64 Netzwerk bei IPv6 Prefix Delefation. Dies ist soweit ich das beurteilen kann nicht schlimm. ALlerdings bekommt zB der Server so eine andere Adresse als wenn ein /56 Netz in der Gateway konfig steht.

Der lokale DHCP(v4) vom Server hat Probleme gemacht. Zuerst falscher Gateway, später falsche / nicht existente DNS Server. Schlussendlich wurde er deaktiviert, da ein stoppen nach einen Neustart erneut ausgeführt werden müsste.

Gegen 11.30 fühlte sich das Netzwerk soweit halbwegs stabil an. Es werden IPv6 und IPv4 Adressen vergeben. Auf den DG Support wurde verzichtet. Ebenfalls war der Server erreichbar (lokal). DNS Einträge und die Feste-IP Konfiguration wurde angepasst. Der RDP Server wurde komplett ausgelassen, da nicht so relevant.

Zwischenzeitlich habe ich ein "sudo ifdown enp7s0 && sudo ifdown enp7s0" auf dem Server abgesetzt, anschließend diesen abgeschossen. Keine Probelem anschließend. Einzig nahezu alle Docker Container sind aus mir unerklärlichen Gründen nicht gestartet, ist aber unproblematisch.

Der Server war nicht von außerhalb erreichbar. Ab hier wurde es sehr zäh. Gegen 14 Uhr bemerkte ich, dass die Firewall nicht auf dem Gerät genutzt wird: mca-ctrl -t dump-cfg

show liefert ganz nebenbei sehr coole Informationen vom Gerät, alles per Tab zur Autovervollständigung.

Hierzu wurde wie oben erwähnt die Firewall aus dem config-gateway.json entfernt. Anschließend hätte die Firewall funktioniert. Aber durch das entfernen der Firewall aus der konfig hat sich Unverständlicherweise auch das Subnetz für IPv6 PD auf /64 geändert (dank Unifi). Dadurch auch die IP vom Server, da sich nur 2 zeichen geändert haben, wurde dies erst spät bemerkt. Nach Anpassung der Firewall, des DNS und Feste-IP ging es dann.

Aktuell sind 22, 80, 443, 3389, 15922 (git ssh), 25565, 25566 freigeschaltet auf TCP und UDP (evtl kann man das noch aufsplitten. Um noch weniger Ports zu öffnen. Ebenso ist 10533 offen solange es keinen lokalen DNS als Abkürzung gibt. Dort läuft ein Node.js Programm für Alexa.

Gegen 17.00 Uhr wurden Speedtest vollzogen. Hier fiehl aus dem Keller eine 100Mbit Begrenzung auf. Zunächst hatte ich Angst, dass der Anschluss zurück gestellt wurde auf 100/100 da ein Support Mitarbeiter etwas komisches diesbezüglich sagte. Ein Speedtest auf der USG selber ergab ca. 200/200. Das ist aber immer noch nicht 400/200. Die USG schafft leider einfach nicht mehr. Später stellt sich heraus, dass das Kabel zwischen Wohnzimmer Switch und Anbau Switch auf "Pin" 7 kein Signal bekommt und auch die Switche nur 100Mbit durchlassen/erkennen. Nach austausch des Kabels wurde mittels Iperf 1000/1000 zwischen Wohnzimmer und Server festgestellt. Ebenso bestätig Iperf zwischen Server und Contabo Server einen 200Mbit Upload und einen 400 Mbit download.