Zwei Baustellen ISC->KEA / old FW Rules versus new

Started by 0zzy, February 17, 2026, 03:55:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 17, 2026, 03:55:58 PM
Moin zusammen,
also es ist völlig egal was ich anstelle ich bekomme es nicht gebacken.

Zur Migration von ISC -> KEA (aktuell nur v4) habe ich das Tool aus dem Forum hier genommen (https://github.com/EasyG0ing1/Migration).

Das funktioniert soweit auch.

Soweit so gut.

Nun deaktiviere ich jegliches DHCP auf ISC (vorher dafür gesorgt das ich mich nicht aussperre ;)) und aktivere KEA.

Das läuft soweit teilweise, als dass ich auf konfigurierten VLANs nur noch eine APIPA bekomme. Lediglich mein LAN welches ich statisch konfigiert habe leistet noch seine Arbeit.


Wenn ich nun noch den EX- Import für die neuen FW Regeln mache geht garnichts mehr.


Wo ist mein Denkfehler bzw. was muss ich tun um das mit den aktuellen Möglichkeiten wieder ans fliegen zu bekommen?
Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
February 17, 2026, 04:00:32 PM #1
Das Tool migriert ja nur deine statischen Mappings. Hast du denn die Subnetze und die Bereiche in Kea alle manuell angelegt? Ohne die gehts nicht :-)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 17, 2026, 04:52:23 PM #2
Du solltest erst mal die Subnetz anlegen.

Die DHCP-Reservations hab ich mir exportiert in eine CSV, nachbearbeitet und dann in KEA importiert, das lief problemlos.
Gestern hab ich ISC komplett rausgeworfen über die AddOns, was praktischerweise ja nun möglich ist.


Die neuen FW-Rules sind mir derzeit noch nicht so klar, muss ich mich noch informieren, vor allen was der Migrations-Assistent  überhaupt macht
February 17, 2026, 04:59:36 PM #3
Ja ich vergas zu erwähnen: natürlich hab ich die Subnetze erst in KEA angelegt :)
Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
February 17, 2026, 05:21:50 PM #4
Vergiss auch nicht, alle benötigten Interfaces am Settings Tab zu aktivieren.
February 17, 2026, 08:05:00 PM #5
Hab ich auch:
General Settings -> Interfaces alle bisherigen drin.
Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
February 17, 2026, 09:10:39 PM #6
Also mir fallen nur 4 Einstellungen ein, die nötig sind, um KEA zum Arbeiten zu bewegen:
- Settings > enabled - anhaken
- Settings > Interfaces - die gewünschten auswählen
- Settings > Firewall rules - anhaken
- Subnets > die entsprechenden Subnets mit den passenden Pools hinzufügen

Versichere dich auch, dass ISC auf allen Interfaces deaktiviert ist.

Wenn du damit keine IP bekommst, mach mal ein Packet Capture auf einem betroffenen Interface mit Portfilter "67". Das soll zeigen, ob vom Client überhaupt eine Anfrage kommt, und wenn, ob KEA auch antwortet.
Ist damit nichts zu sehen, besteht wohl ein Problem in der Netzwerkkonfiguration.
February 17, 2026, 11:01:07 PM #7
Bei mir war es so, dass KEA nicht laufen wollte, solange ISC auch nur auf einer Schnittstelle gelaufen ist.
Ich musste ISC wirklich komplett abdrehen, damit KEA angefangen hat, zu arbeiten.

Das hat meinen Plan, Schnittstelle für Schnittstelle langsam umzustellen, schön durcheinandergebracht ...
February 17, 2026, 11:04:45 PM #8
Quote from: Swtrse on February 17, 2026, 11:01:07 PMBei mir war es so, dass KEA nicht laufen wollte, solange ISC auch nur auf einer Schnittstelle gelaufen ist.
Ich musste ISC wirklich komplett abdrehen, damit KEA angefangen hat, zu arbeiten.

Das ist so. ISC bindet an alle Interfaces, selbst wenn er nur an einem aktiv ist.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:21:26 PM #9
Quote from: Patrick M. Hausen on February 17, 2026, 11:04:45 PMDas ist so. ISC bindet an alle Interfaces, selbst wenn er nur an einem aktiv ist.
Die Erfahrung hab ich damals auch gemacht, weil ich den schrittweise umziehen wollte - hatte sich damit erledigt.
KEA läuft super bei mir, daher war der Umstieg das beste was ich machen konnte.

ISC hab ich komplette deinstalliert.

Gestern abend hab ich auch auf die neuen FW-Rules umgestellt, gingt auch recht entspannt in wenigen Minuten
Today at 07:12:12 PM #10
Oh das ist zum Mäusemelken....

Was ich hin bekomme:
Firewall von alt zu new --> check
isc -> kea check

Alles funktioniert bis auf der AP. Leckofatzi!

Lustigerweise habe ich alles ex und wieder importiert, danach kommt etwas lustiges zustande:

Ich bekomme an WIFI Clients ein lease -> yiaaay
Aber im unifi-control server und via ping keine Verbindung zum UFO U6+

Setze ich alles per snapshot zurück funktioniert alles wie gewohnt.

Der unterschied:

ISC einmal WIFIMGMT auf opt 1 GW: 192.168.12.252/29 AP hat die IP 192.168.12.2
ISC WIFI vlan0.20 GW: 192.168.13.252/24 -> da bekommen die clients dann wifi

In Kea alles händisch eingetragen, rein ne va plus!

Nach Recherche brauche ich wohl die Möglichkeit die option 43 zu vergeben weil der AP sonst blind ist.
Ich hab es per Unbound DNS override probiert, nope will einfach nicht.

Ich gebs für heute auf... Ratschläge / Erklärung sehr willkommen.
Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
Print
Go Up Pages1
User actions