UDM-Pro als reiner WLAN Controller in bestehendem Netz betreiben

Es gibt 44 Antworten in diesem Thema, welches 4.564 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

    Guten Tag.


    Ich melde mich heute zum ersten Mal in diesem Board und bin gespannt, ob uns jemand weiterhelfen bzw. auf vorhandene Lösungswege führen kann. Leider konnte ich über die Suche keinen Ansatz zu unserem nicht alltäglichen Problem finden.


    Wir haben eine UDM-Pro im Neu- bzw. Testbetrieb und wollen mit dieser die Zielsetzung erreichen 2 WLAN Netze aufzuspannen (UniFi U7-Pro sind im Einsatz) Ein WLAN Netz welches auf das vorhanden interne Netz kommt und zusätzlich ein klassischer Hotspot. Was die Sache ein wenig spannend ist die bereitgestellte Umgebung in der die UDM-Pro sich bewähren muss.


    Wir haben es hier mit einem bestehenden Netz zu tun, was uns von einem übergeordneten Institut zur Verfügung gestellt wird. Sprich wir haben einen IP-Range inkl. Eines bestehenden Gateways welches zum übergeordneten Institut gehört und von dort verwaltet wird. Hier wird auch Firewall und Routing bereitgestellt auf welche wir keinerlei Zugriff haben.


    DNS sowie DHCP wird von uns intern über ein W2019 DC betrieben und bereitgestellt. Hinzu kommt noch, dass das Netz über mehre Gebäude und Datenverteiler aufgespannt ist. Bei der beschriebenen Umgebung wird wohl jeder sagen, dass dies so nicht möglich ist, da theoretisch die UDM-Pro nur als reiner WLAN Controller betrieben werden soll und WAN und LAN Netz hierzu quasi im gleichen Netz fungieren (was jedoch von der UdM-Pro nicht zugelassen wird (macht ja auch kein Sinn weil sonst das ganze Routing/ Firewalling Konzept kein Sinn macht.


    Aktuell ist die UDM-Pro konfiguriert mit WAN Port im bestehenden Netz und im LAN Port mit einem neu angelegten Netz. Allerdings haben wir mit diesem Szenario keinen Kontakt zu den APs da diese sich eine IP vom vorhandenen DHCP holen, welche das Netz bedient in welchem die UDM-Pro mit dem WAN Port verbunden ist.


    Da das Netz über mehrere Räume - DVs und Switche verteilt ist (welches zur Verfügung gestellt wird jedoch von uns nicht konfigurierbar ist) fällt die Möglichkeit weg die APs direkt in die LAN Ports der UDM-Pro anzuschließen und somit zu gewährleisten dass sie eine IP im internen LAN der UDM-Pro erhalten.


    Uns ist bewusst, dass wir hier nicht den Best Practice gehen und wir die UDM-Pro ein wenig zweckentfremden müssen bzw. ein wenig mit Kanonen auf Spatzen schießen, da wir die meisten Features, welche die DUM-Pro mitbringt, gar nicht nutzen. Leider können wir bei den Rahmenbedingungen nichts ändern. Bisher haben wir das Szenario erfolgreich über die Jahre mit einer Sophos UTM XG realisiert (jedoch auch hier mit Anpassungen). Die Sophos UTM ist allerdings EOL und wir benötigen einen neuen Lösungsansatz.


    Vielen Dank für alle Hilfe und falls es das Thema schon irgendwo gibt und ich es über die Suche nicht gefunden habe, bin ich dankbar für den Link.

    Ich vermute mal, dass ihr in dieser Umgebung einige Server und Dienste laufen. Wenn ihr eine Docker mit der Network-Controller Software 24/7 laufen habt, würdet ihr die UDM Pro nicht benötigen.

    Wenn ich es richtig verstehe, geht es euch nur um die Vorgaben/Regeln für die WLAN-Netze. Da reicht die reine Controller-Software, muss halt nur durchlaufen. Sollte sie mal aussetzen, wird WLAN weiterlaufen, aber z.B. im Gastnetz sind dann keine neuen Anmeldungen möglich.

    Natürlich kann man auch die UDM nutzen, ist aber da wohl etwas mit Kanonen auf Spatzen geschossen, wenn sie nicht einmal Router ist.

    Warum nehmt ihr keinen Controller wenn ihr einen Controller benötigt?


    WAN und LAN im gleichen Netz hat nicht nur keinen Sinn, es funktioniert schlicht nicht.


    Die Accesspoints müssen LAN seitig aus Sicht der UDM sein. Das Defaultnetz ist Pflicht und dort sollten die Accesspoints drin sein. Ihr könnt also nur die IP der UDM an euer Netz anpassen, den DHCP deaktivieren und einen LAN Port der UDM in euer Netz patchen.


    Weitere VLANs und WLANs wird ohne Konfiguration der Switche nicht machbar.


    WAN könnte man mit einem "Transfernetz" erschlagen.


    Alles in allem eine Bastellösung und absolut nicht empfehlenswert, schon gar nicht gewerblich.

    Vielen Dank für die schnelle Antwort. Darüber müsste ich mir mal Gedanken machen. Wie gesagt die Kanonen und Spatzen sind für uns aktuell das kleinste Problem ;-). Das größere ist eher die UDM-Pro dahin zu bewegen und somit zu konfigurieren dass sie "nur" als WLAN Controller betrieben werden kann und ihre APs findet.

    Vielen Dank. Gibt es einen reinen controller von Ubiquiti?

    Wobei es mit der neuen Funktion des NAT-losen Betrieb in der EA-Software für die UDM gehen sollte.
    ALSO den WAN-Port mit dem Netzwerk-Segment / VLAN verbinden, den ihr für WLAN vorgesehen habt. Und dann die UDM als Router ohne NAT nutzen und damit 2 Netze nur für WLAN aufspannen.
    Gastnetz ist simpel, für das eigene WLAN müssen dann sicher einiges an Routen in der UDM gesetzt werden. Ich habe aber den Eindruck, dass Netzwerk kein Fremdwort bei euch ist. :winking_face:

    Zitat von DoPe

    Der Cloudkey Gen2 Plus oder halt die kostenlose Softwareversion für Win, Linux, MacOsx

    Vielen Dank für den Hinweis. Ich habe den Server aktuell mal auf einem Windows client installiert für einen Test. Sehe hier auch jetzt den AP. Gibt es bei der Software nun auch die Möglich die WLAN Clients in das vorhandene Netz einzubinden bzw. ihnen einen vorhandenen DHcP zur Verfügung zu stellen. Diese Einstellmöglichkeiten kann ich leider nirgends finden. Evtl. versteckt.

    Zitat von phino

    Wobei es mit der neuen Funktion des NAT-losen Betrieb in der EA-Software für die UDM gehen sollte.
    ALSO den WAN-Port mit dem Netzwerk-Segment / VLAN verbinden, den ihr für WLAN vorgesehen habt. Und dann die UDM als Router ohne NAT nutzen und damit 2 Netze nur für WLAN aufspannen.
    Gastnetz ist simpel, für das eigene WLAN müssen dann sicher einiges an Routen in der UDM gesetzt werden. Ich habe aber den Eindruck, dass Netzwerk kein Fremdwort bei euch ist. :winking_face:

    Danke!! Leider finde ich die Funktion nirgends in der Benutzeroberfläche wo ich das NAT deaktiveren kann auf auf der Schnittstelle.

    Zitat von bastelbenderr

    Vielen Dank für den Hinweis. Ich habe den Server aktuell mal auf einem Windows client installiert für einen Test. Sehe hier auch jetzt den AP. Gibt es bei der Software nun auch die Möglich die WLAN Clients in das vorhandene Netz einzubinden bzw. ihnen einen vorhandenen DHcP zur Verfügung zu stellen. Diese Einstellmöglichkeiten kann ich leider nirgends finden. Evtl. versteckt.

    Der Controller ist lediglich Controller. Der routet nicht, ist kein dns oder dhcp, stellt keine VLANs und WLANs. All das übernehmen andere Geräte im Netzwerk. Router, Server, Switche, Accesspoints. DER Controller ist dafür da Unifi Hardware zu Konfigurieren und zu Kontrollieren um mit Unifi Hardware die oben stehenden Funktionen zu bieten.

    Zitat von phino

    ALSO den WAN-Port mit dem Netzwerk-Segment / VLAN verbinden, den ihr für WLAN vorgesehen habt. Und dann die UDM als Router ohne NAT nutzen und damit 2 Netze nur für WLAN aufspannen.

    IP Kreise müssen trotzdem unterschiedlich sein, ohne NAT (genauer PAT) bedarf es dann aus dem "Institut Netz" noch Routen auf

    die "neuen" Netze sonst gibts kein Zugriff raus oder rein.


    Herrscht den zugriff auf "Institut Netz" für Anpassungen ? oder ist das so eine "ne also lieber nicht, da können wir nicht dran weil ist so aber

    wir müssen trotzdem" Gefühlt fehlen hier auch ein paar Scheiben von der Wirst für den Gesamten überblick.


    Ansonsten kann man auch aus UDM ne LAN Ip geben und den AP auch ohne auch nur ein Blick auf den WAN Port der UDM

    zu verschieden, der is dann eh unnützt und Kontraproduktiv.

    Zitat von gierig

    ...

    Ansonsten kann man auch aus UDM ne LAN Ip geben und den AP auch ohne auch nur ein Blick auf den WAN Port der UDM

    zu verschieden, der is dann eh unnützt und Kontraproduktiv.

    Das ist ja in etwa die Vorgehensweise wie früher, wenn man aus einem 0815 WLAN Router einen Accesspoint machen wollte. In der Konstellation ist dann glaube ich aber essig mit Updaten der UDM und Remotezugriff.

    Das ginge dann vermutlich nur indem man an den WAN irgendeinen Router vorschaltet um das IP Subnetproblem auf 2 Interfaces zu verhindern. Also Institut Netz - WAN Zusatzrouter - LAN Zusatzrouter mit nicht existierendem IP Netz x - WAN UDM mit dem nicht existierendem IP Netz x - UDM LAN wieder das Institut Netz.


    oder einfach aus dem bestehenden Gateway eine Schnittstelle mit nicht existierendem IP Netz x für den WAN der UDM


    Da würde ich in der UDM aber in jedem Fall sämtlichen Traffic von den LANs zum WAN und umgekehrt blocken, soll ja kein 2. Internetzugang für die LANs werden.


    Man müsste aber in jedem Fall an die Switche ran um dann auch die VLANs hin zu bekommen für die 2 WLANs und die Verteilung in die anderen Gebäude.

    Zitat von DoPe

    Konstellation ist dann glaube ich aber essig mit Updaten der UDM und Remotezugriff.

    remote, updates, Fehlermeldungen und nen Haufen anderes wird nicht gehen...

    Aber wer mit dem Sportwagen nen Flugschar über den Acker ziehen will...

    der darf dann auch leiden...


    Mein Bauch sagt immer noch:

    "Institut" weis nichts von dem vorhaben, bzw. es ist wie es ist Änderungen werden nicht durchgeführt.

    "Untergeordnete" basteln sich dann halt was daran vorbei.



    Bauchgefühl geht schon mal in die richtige Richtung. Wie schon am Anfang erwähnt, ist es nicht das BestPractice und schon gar nicht das was wir dem Kunden gerne bieten würden. Aber wie das im Leben oftmals so ist, führen manche Umstände und Rahmenbedingungen dazu (welche nicht geändert werden können ohne weiteres) dass die Lösung von der Stange nicht klappt. Quasi ganz nach dem Motto "Einfach kann jeder". Und uns ist natürlich bewusst dass mit so einer Konstellation noch ganz andere Problem wie Updates / Remote etc etc. mit einhergehen. Wird allerdings in Kauf genommen und die Zielsetzung liegt wie bei der Sophos UTM damals hingebogen ein WLAN Netz aufzubauen was aus dem internen Netz per vorhandenem DHCP bedient wird und dann noch ein Gastnetz was ausschließlich dazu dienen soll "Kunden" den Zugriff aufs Internet bzw. das vorhandene Gateway vom Institut zu gewährleisten. Ist wie gesagt alles ein wenig tricky und mir hat jedoch das Preis-Leistungs-Verhältnis von Ubiquity gefallen und uns war aber auch bewusst dass hier wohl das Know How von Menschen benötigt wird, die sich mit dem Produktportfolio und der Materie auskennen. Daher der Weg über dieses Board. Trotzdem schon mal vielen Dank für die Hilfe!!!

    Zitat von DoPe

    Udm auf aktuelles OS und network aktualisieren.

    Dann Settings - Routing - NAT

    Hi laufen wir schon in das erste Problem dass die UDM meldet sie sei Update to date (hängt evtl. mit der Konfig zusammen). Gibt es die Möglichkeit die Updates manuell einzuspielen? Meines Wissens sind wir hier bei Version 4.0.6

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von bastelbenderr mit diesem Beitrag zusammengefügt.

    Ist die UDM mit WAN Port am Internet und funktioniert das Internet auch auf der UDM inkl. Namensauflösung??? Habt ihr die "Offline" in Betrieb genommen mit nur lokalem Admin?!?


    Ich klinke mich an dieser Stelle aus. Da ist von Kunden die Rede und von wir brauchen da aber Leute die sich auskennen. Preis Leistung ist wichtiger als eine solide Lösung. Kunde oder wer auch immer sagt es darf nix geändert werden und ansonsten ist alles egal. Der Hinweis doch einfach die Gerätschaft zu nutzen die dafür gedacht ist wird ignoriert.


    Ich wünsche viel Erfolg beim Basteln.

    Oha.... Wenn ich das richtig verstehe existiert als Firewall eine Sophos und dahinter soll jetzt die UDM Pro nur als WLAN Controller? Total quatsch und nicht vernünftig umsetzbar, egal was der Kunde sagt. EInzige sinnvolle Lösung, dem Controller als VM aufsetzen und damit die WLAN Netzer erstellen und verwalten. Die VLANs wie gehabt auf der Sophos anlegen und entsprechend auch im Controller für die WLANs. Alles andere ist quatsch und würde ich mich weigern auch nur eine Minute Arbeit reinzuinvestieren.


    Was das Thema Update angeht, die Kiste lag wohl Jahre im Schrank so wie es aussieht. Da musst du nun erstmal manuell ran und dich durch diverse Updates kämpfen. Aber davon ab, ist das für dein Vorhaben eh nicht relevant da so nicht umsetzbar.

    Klingt nach Klassiker:

    Kunde will Netzwerk kram, IT affine Firma ohne solide Netzwerk Kenntnisse soll liefern.

    Das große Basteln beginnt und die Community soll es (umsonst) richten.

    Noch Schlimmer..."Institut" hat keine Ahnung was "Abteilung x" da macht...

    sonst würde sie ja mitmachen und das sauber aufsetzen...


    Dann wird ne UDM aus den Keller gezogen die noch auf 1.2.x läuft und "Fachfirma" muss sogar nachfragen

    wie man da updates drauf bekommt....


    HIER ist nen Hersteller Link...


    Viel spaß dabei.


    UDM und Bastellösung bringen wohl mehr Geld und sehen auf der Rechnung besser aus

    als ein paar AP und einen Controller hinzustellen was dann out of the box im bestehend Netz läuft.



    Einmal editiert, zuletzt von gierig ()

    Zitat von jkasten

    ...

    Was das Thema Update angeht, die Kiste lag wohl Jahre im Schrank so wie es aussieht. Da musst du nun erstmal manuell ran und dich durch diverse Updates kämpfen.

    ...

    Die letzten zirka 10 UDMs hatten alle OS 1.x drauf. Hab ich noch nie anders gesehen bei ner frisch ausgepackten und die sind aus verschiedenen Quellen gewesen. Die haben sich allerdings immer und ausnahmslos bei der Inbetriebnahme Updaten lassen ... halt mit 3 bis 4 Zwischenschritten von OS 1.x auf OS 2.x usw. Setzt natürlich voraus, dass die UDM auch so angeschlossen wird, dass Sie vollstänfig funktionierenden Internetzugriff hat.