TS251A: Nach Installation Container Unifi Controller kein Zugriff mehr auf NAS

    Guten Tag,

    nachdem ich seit Anfang des Jahres den Unifi Controller in einer VM problemlos laufen habe, sollte der Controller nun in einen ressourcensparenden Container umziehen.


    Ausgangssituation:

    Virtualization Station über Switch 1 mit (statische IP A) und Adapter 1 verbunden
    Container Station über Switch 2 (statische IP B) mit Adapter 2 verbunden -> Grafana läuft hier seit April fehlerfrei

    Ich habe dann gemäß dieser Anleitung den Unifi-Controller im Bridge-Modus (statische IP C) installiert, was auch fehlerfrei erfolgte. Allerdings konnte ich den Controller nicht starten, da das Link-Symbol fehlte und auch über die vergebene IP:8443 war das UI des Controllers nicht erreichbar.


    Also NAS neu gestartet und seitdem komme ich nicht mehr auf das UI der QNAP. Anscheinend wurde eine Art Dauerschleife angestoßen, denn im QFinder erscheint das Gerät immer mal wieder für kurze Zeit, um nach ein paar Minuten wieder zu verschwinden. Auch die VM läuft jetzt natürlich nicht mehr.


    Was habe ich falsch gemacht und wie komme ich wieder auf das UI der QNAP?

    Dann mache mal den 3 Sekunden Netzwerk Reset, da scheinst du dir was gekillt zu haben.


    Frage aber bitte nicht, warum, die Conti Station mag z.B. noch keine VLANs und wenn man da ein wenig abgedrehtes Zeugs mit macht, dann fliegts einem um die Ohren.

    Evtl. die GUI vom NAS auf Port 8443 eingestellt? Doppelte Port Vergabe kommt auch nicht gut ...

    Als Anfängerin habe ich nur die grundlegenden Apps installiert, keine Besonderheiten oder ausgefallene Konfigurationen.


    Der erste Reset blieb erfolglos; aber als ich dann beim zweiten Mal das Netzwerk-Kabel von Port 2 entfernt habe, kam ich wieder auf das UI.


    Also gehe ich jetzt noch mal zurück zu den Anfängen und lösche Container und alle angelegten Ordner. Danach versuche ich es erst mit der Installation vom Controller.


    Und sicherheitshalber habe ich vorhin noch ein neues Backup angelegt, frau weiß ja nie! ;)



    Azrael783: Nein, Systemport ist weder Standardeinstellung noch der vom Controller.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Azrael783

    Evtl. die GUI vom NAS auf Port 8443 eingestellt? Doppelte Port Vergabe kommt auch nicht gut ...

    Noch einmal zum besseren Verständnis für mich:


    In der Systemeinstellung des NAS ist der Port auf 8945 eingestellt.

    NAS läuft über Switch 1 an Port 1 mit fester IP A.

    Ich erreiche die GUI ergo über IP A:8945


    VM läuft auch über Switch 1 mit IP B und ist über IP B:8443 erreichbar.


    Container sollte auf Switch 2 mit IP C auf Port 2 laufen, wäre dort über IP C:8443 erreichbar.


    DIe IP von VM und Container sind innerhalb meiner Router-Einstellung als feste IP festgelegt.


    Also hätte ich im Container einen neuen Port wählen sollen?

    Warum NATest du hier überhaupt?

    Kannst die auch sauber mit eigener IP laufen lassen, oder hast du zu wenige interne IPv4?

    Aus der Not heraus ist ja NAT überhaupt erst entstanden.

    Du meinst, warum ich über meinen Router diesen beiden eine feste IP zugewiesen habe?


    Ich greife verschiedene Informationen ab, um diese z.B. in der Hausautomation zu visualisieren. Da in der Vergangenheit bei jedem Neustart der VM eine neue IP vergeben wurde, waren meine Verlinkungen dann unbrauchbar.


    Und als total fauler Mensch war die feste IP über Router für mich die naheliegendste, einfachste und schnellste Lösung.


    Ich bin Anfängerin und hangle mich durch die Materie, daher mache ich sicher vieles falsch oder umständlich. Lerne aber gerne dazu!

    Ok dann kam das einfach ein wenig wirr rüber.


    Interne IPs kannst du ruhig angeben, die kann keiner von uns erreichen.

    Was du meinst ist also eine DHCP Reservierung.


    Nein dann brauchst keinen anderen Port wählen, mein Unifi Controller läuft mit dem https default Port, wie meine GUI vom NAS auch, warum soll ich das intern ändern und mir damit das leben selber nur schwerer gestalten, wenn hier individuelle IPs verwendet werden.


    Sicherheit erreicht man damit keine, denn der Dienst dahinter ist genauso verwundbar, wenn kein Patch installiert ist.


    Pro IP kann halt jeder Port nur für einen Dienst verwendet werden, hast du mehrere Dienst die den gleichen Port verwenden wollen, ist das beim Neustart round robin wer ihn zuerst bekommt.

    Hatten so was in der Firma mal und das hat uns einiges Kopfaua bereitet bis wir dahinter gekommen sind und dann pro Dienst auf Virtuelle IPs gewechselt sind.

    Crazyhorse danke für

    Nach meiner Denke: Standardports sind - weil Standard - den bösen Buben ja bekannt, also nehme ich wenn möglich etwas außerhalb des Standards.


    Aktuell habe ich sehr wenige Dienste, daher ist das mit den Ports überschaubar.


    Du sprichst von "virtueller IP", was ist das denn?

    Na du kannst einer MAC doch mehrere IPs zuweisen und dann laufen hier als auf einer MAC x IPs zusammen.


    Der Böse Bube der durch meine Firewall rein kommt, dem ist es dann auch scheiß egal ob ich Port 443 oder 56789 für das Management verwende, der knackt das NAS in weniger als 1 Minute.

    Verstecken hat noch nie gut funktioniert, zumindest nicht in der IT.


    Im realen Leben ist das was anderes, da kann der Dieb nur das klauen was er auch findet in der kurzen Zeit die er im Objekt verbringt.

    IT funktioniert aber anders, da sind auch Angriffe automatisiert und dauern nur Sekunden oder sind gar beim ersten Versuch von durchschlagender Wirkung. Da machst dir selber das Leben nur komplizierter.


    Vor allem meldet sich so ein NAS ja sogar selber im Netz und teilt den Clients mit welche Dienste es wo anbietet.

    Nichts ist sicher, dass ist mir schon klar. Aber wie gesagt -> Anfängerin mit solidem Basiswissen und learning by doing!

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Crazyhorse

    Na du kannst einer MAC doch mehrere IPs zuweisen und dann laufen hier als auf einer MAC x IPs zusammen.


    Verstehe ich dich richtig:

    MAC=Netwerkkarte=eine einzige IP

    Dahinter sorgt der virtuelle Switch dafür, dass die einzelnen Dienste eine eindeutige IP erhalten und koordiniert die jeweiligen Anfragen der unterschiedlichen IP über die MAC-IP.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Crazyhorse

    Vor allem meldet sich so ein NAS ja sogar selber im Netz und teilt den Clients mit welche Dienste es wo anbietet.


    Intern ist das doch gewünscht oder verstehe ich da etwas falsch?

    Eine Netzwerkkarte hat einen MAC, der kannst du eine IP zuweisen, oder zwei oder drei oder vier usw.

    Ggf. nicht in deiner Win Gui, aber das funktioniert.


    Dann gibt es noch Virtuelle IPs, die gehören nicht auf einer Netzwerkkarte (NIC) sondern sind Global nutzbar, meine Firewall hat z.B. eine Virtuelle IP für den pfBlockerNG, wenn DNS Anfragen an eine IP raus gehen, die auf der Blockliste steht, dann bekommt der Client diese IP zurück und die Anfrage landet in der Tonne.


    Für bestimmte Dienste, die Hochverfügbarkeit ermöglichen, gibt es auch virteulle MACs. So einer Virtuellen MAC, die von mehreren Geräte im Cluster genutzt werden kann, je nachdem welches Gerade aktiv ist, wird dann noch eine IP zugewiesen und fertig ist ein Gateway mit Ausfallschutz.



    Ja intern ist mDNS basiertes bekanntmachen von Diensten völlig unbedenklich, doch das bleibt im Netzwerksegement. Sprich es wird erst gar nicht ins WAN geroutet, weil die dafür verwendeten IPs nicht so ohne weiteres routbar sind. Klar kann man auch hier mit Relaydienste usw. arbeiten, aber das ist nicht für jeden @home etwas.

    Magenta TV z.B. nutz so etwas, hier wird Multicast verwendet um den TV Stream zu übertragen, dazu benötigt man dann aber auch Multicast Routing im Router. Im Speedport ist das in der Firmware hinterlegt und er leitet das gleich einfach so weiter.

    Man kann es aber auch selber umsetzen mit einer Firewall und den passenden Paketen zur Erweiterung.


    Ist ein Angreifer aber durch die Firewall deines Routers durch ist es aus, er wird alles dahinter übernehmen können.

    Also den Router nicht vernachlässigen, hier war erst die Tage ein Bericht bei Heise, wo Homerouter überwiegend nicht gut weg kamen.



    Wichtig ist, dass man nicht einfach Ports aus dem Internet auf den Port des NAS weiter leitet, denn dann muss der Angreifer erst gar nicht durch eine Firewall durch, die Statefull (Jede Verbindung bekommt 2 States, einmal out und in, mit der Quell/Ziel IP, dem Port oder den Ports und ggf. abweichenden Ports für den Rückweg, Sip ist da ein Beispiel) arbeitet, sondern kann sich direkt am NAS austoben.

    Und das dieses keine gute Idee ist, zeigte sich in den letzten 2 Jahren gleich mehrfach.


    Ich hoffe ich konnte dir ein wenig die Grundlagen der Netzwerksicherheit vermitteln.

    Verstecken ist keine Grundsicherung.

    Das erreicht man durch Firewalling, Segmentierung und harte Dienste.

    Also alles was man nicht braucht abschalten und hoch patchen was die Firmware angeht.

    Updates regelmäßig einspielen gehört ebenso dazu.


    Ja letztes führt dazu, das es hier und da mal knallt, da muss man leider durch und hat dafür ein oder mehrere Backups seines NAS Datenbestands.

    Danke für die sehr ausführliche und informative Information, da muss ich mich noch stückchenweise mit auseinander setzen.


    Portweiterleitung habe ich bewusst nicht eingesetzt, Magenta nutze ich nicht


    Aktuell sollte ich doch relativ sicher sein, theoretisch:

    Fritzbox als DECT, Unifi USG als Exposed Host in Fritzbox, VLAN für bestimmte Konstellationen. Aber auch hier gibt es bestimmt Verbesserungspotential.


    Bis auf die QNAP-Aktualisierungen - da warte ich ab, ob negative Erfahrungsberichte veröffentlich werden - halte ich alle Systeme, Firewalls und Virenscanner schnellstmöglich aktuell.


    Für einen Laien ist das schon recht ordentlich, denke ich.


    NAS wurde bisher primär als Datenspeicher für Fotos genutzt; da es 24/7 läuft, bietet sich die Nutzung von ständig verfügbaren Diensten wie Unifi Controller, Hausautomation usw. an. Und da möchte ich schon, dass nicht jeder darauf zugreifen kann.


    Also ist der Einsatz mit den Standard-Ports innerhalb meines häuslichen Netzwerkes unproblematisch.


    Mal sehen, ob ich den Unifi Coltroller in einem Container zum Laufen bekomme

    Bei mir läuft der problemlos im Conti, wichtig ist die Pfade raus zu führen, sprich die Daten liegen auf dem NAS direkt in einer Freigabe und der Conti arbeitet direkt mit diesen.

    Denn Contis wirft man beim Update weg und zieht den neu und startet ihn wieder.


    Noch besser würde es laufen, wenn du die Fritz hinter das USG packen würdest und rein als DECT Station nutzen würdest.

    Denn das USG kann deutlich mehr Sessions verwalten als die Fritz, da ist bei 3k Ende.

    Ich schaffe hier mit einem PC, wenn ich meine Games anwerfe und die ihre Updates ziehe auch mal eben so 6-7k Sessions.


    Da läuft bei der Fritz nix mehr, die alte 6490 ist mir bei viel Last auch gern mal komplett hängen geblieben was das Internet angeht.

    Du kamst noch drauf und intern war auch alles grün, aber Internet hat einfach nicht mehr funktioniert.


    Das ist jetzt mit der Netgate ganz anders, wenn da alles grün ist, rennt es.


    Zudem hast du mit dem USG die Möglichkeit, so wie ich mit der pfSense, das Netzwerk zu Segementieren.

    Sprich ein IoT Netzwerk, wo nur einzelne Kisten ins Internet dürfen, weil die Cloud basiert arbeiten.

    Aber sonst dürfen die nirgends hin.


    Mein TV ist da auch drin, nur das der nicht ins Internet darf, denn die Drecksteile übermitteln ja alles.


    Gehe da langsam und strukturiert dran, denke lieber ein wenig länger drüber nach und dann setze es sauber um.

    Ein Managed Switch fehlt noch, da du nur hier Clients VLANs zuweisen kannst. Dann brechen die Clients pro SSID auch in anderen VLANs aus.

    Oder du setzt sogar 802.1x ein und kannst dann beliebige VLANs (aaa override) über eine SSID verknüpfen.


    Wenn du da auch einen Unifi wählst, kannst du alles über den Controller steuern.


    Da sind die Möglichkeiten zwar auch eingeschränkter als würde man das alles in Reinform machen, aber selbst das ist noch mega viel für den normalen ITler.

    Umstellung auf Unifi läuft, USG, Switch und AP vorhanden. Vielleicht kommt die Fritzbox iwann mal hinter das USG, aber dazu benötige ich wohl ein anderes Modem. Habe mir natürlich vorher einen Plan gemacht, was auf unsere Verkabelung aufbaut und wie die VLAN organisiert sein sollten.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Crazyhorse

    Bei mir läuft der problemlos im Conti, wichtig ist die Pfade raus zu führen, sprich die Daten liegen auf dem NAS direkt in einer Freigabe und der Conti arbeitet direkt mit diesen.

    Ich habe für Zweck auch einen Freigabeordner angelegt und bei der Erstellung des Containers diesen damit verknüpft. Schien auch ordnungsgemäß verbunden zu sein.


    Dein Ansatz mit pfSense gefällt mir; Hausautomation soll intern bleiben, maximal lasse ich mich über Telegram über Zustände informieren.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Crazyhorse

    Oder du setzt sogar 802.1x ein und kannst dann beliebige VLANs (aaa override) über eine SSID verknüpfen.

    DAS ist mir grad echt mehrere Hausnummern zu hoch, aber soweit bin ich noch nicht.

    Bei Kabel gibts im grunde nur das TC4400-EU, bei DSL gibt ein gutes Modem von Zyxel.

    Viel Auswahl bleibt da leider nicht mehr.

    Es läuft!

    Woran lag es? Der Router hat den vollen DHCP-Bereich zugeordnet bekommen und die IP, die ich für den Container genommen habe, bereits einem Gerät zugeordnet.

    Jetzt hat Router den bereich xxx.10 bis xxx.150, Nas xxx.151 bis xxx.180, alles darüber hinaus ist jetzt "Sicherheitspuffer", den ich vermutlich nie brauchen werde.

    Danke für die Unterstützung und die hilfreichen Informationen!