UDM-Pro als reiner WLAN Controller in bestehendem Netz betreiben

Es gibt 44 Antworten in diesem Thema, welches 4.567 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

  • Ist wie gesagt alles ein wenig tricky und mir hat jedoch das Preis-Leistungs-Verhältnis von Ubiquity gefallen und uns war aber auch bewusst dass hier wohl das Know How von Menschen benötigt wird, die sich mit dem Produktportfolio und der Materie auskennen. Daher der Weg über dieses Board. Trotzdem schon mal vielen Dank für die Hilfe!!!

    Ich kann mich jkasten nur anschliessen.

    Wenn ein Kunde bei uns ankommt und so eine Konfiguration haben will, gibt es nur zwei Möglichkeiten:

    • wir machen es so wie wir es für richtig halten und d.h. niemals eine UDM hinter einer vorhandenen Firewall, die Probleme sind vorprogrammiert.
    • er macht es selber und braucht auch bei Problemen nicht zu kommen und Hilfe erwarten, die würde nämlich zum einen verdammt teuer und zum anderen als erstes daraus bestehen, den Mist rauszureissen.

    Vergiss die UDM, stellt 'nen Controller auf 'ner VM dahin und konfiguriere dein WLAN damit, die VLAN, DHCP usw. lasse die Sophos machen, die kann's eh besser, alles andere ist Mist.

  • Die letzten zirka 10 UDMs hatten alle OS 1.x drauf. Hab ich noch nie anders gesehen bei ner frisch ausgepackten und die sind aus verschiedenen Quellen gewesen. Die haben sich allerdings immer und ausnahmslos bei der Inbetriebnahme Updaten lassen ... halt mit 3 bis 4 Zwischenschritten von OS 1.x auf OS 2.x usw. Setzt natürlich voraus, dass die UDM auch so angeschlossen wird, dass Sie vollstänfig funktionierenden Internetzugriff hat.

    Ok, habe ich schon lange nicht mehr gesehen. Wir haben allerdings auch nur einen Distributor bei dem wir Unifi einkaufen. Da die Kiste hinter einer Sophos steht, ist nicht auszuschließen das da in der Firewall einiges geblockt wird.


    Ja das trifft es ziemlich gut. Haben grad selber so einen Kunden, da gabs von mir jedes mal die Ansage entweder den supporteten richtigen Weg oder selber machen. Da sind wir dann raus. Da handelt man sich mehr Arbeit und Ärger mit ein als das man daran Geld verdient.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von jkasten mit diesem Beitrag zusammengefügt.

  • Der Cloudkey Gen2 Plus oder halt die kostenlose Softwareversion für Win, Linux, MacOS.

    Oder auch als Docker-Container - aber nicht direkt von Ubiquiti.

  • Ist die UDM mit WAN Port am Internet und funktioniert das Internet auch auf der UDM inkl. Namensauflösung??? Habt ihr die "Offline" in Betrieb genommen mit nur lokalem Admin?!?


    Ich klinke mich an dieser Stelle aus. Da ist von Kunden die Rede und von wir brauchen da aber Leute die sich auskennen. Preis Leistung ist wichtiger als eine solide Lösung. Kunde oder wer auch immer sagt es darf nix geändert werden und ansonsten ist alles egal. Der Hinweis doch einfach die Gerätschaft zu nutzen die dafür gedacht ist wird ignoriert.


    Ich wünsche viel Erfolg beim Basteln.

    Nein so war es nicht gemeint und da hast du mich wohl falsch verstanden bzw. ich habe mich falsch ausgedrückt. Aber ist in Ordnung. Vielen Dank für die Hilfe und dann dir ein fröhliches ausklinken.


    Ok, habe ich schon lange nicht mehr gesehen. Wir haben allerdings auch nur einen Distributor bei dem wir Unifi einkaufen. Da die Kiste hinter einer Sophos steht, ist nicht auszuschließen das da in der Firewall einiges geblockt wird.


    Ja das trifft es ziemlich gut. Haben grad selber so einen Kunden, da gabs von mir jedes mal die Ansage entweder den supporteten richtigen Weg oder selber machen. Da sind wir dann raus. Da handelt man sich mehr Arbeit und Ärger mit ein als das man daran Geld verdient.

    Jetzt weiß ich auch nicht was ich getriggert habe. Aber es ist ok. Ich bitte trotzdem sachlich zu bleiben. Wer ehrlich ist, ist meist der dumme. Nächstes mal "Privat" ankreuzen und das ganze nicht mit offenen Karten spielen und das Forum dann die Arbeit machen lassen. Den Weg bin ich glaub nicht gegangen. Aber trotzdem danke für die schnelle und unkomplizierte Hilfe.


    Oha.... Wenn ich das richtig verstehe existiert als Firewall eine Sophos und dahinter soll jetzt die UDM Pro nur als WLAN Controller? Total quatsch und nicht vernünftig umsetzbar, egal was der Kunde sagt. EInzige sinnvolle Lösung, dem Controller als VM aufsetzen und damit die WLAN Netzer erstellen und verwalten. Die VLANs wie gehabt auf der Sophos anlegen und entsprechend auch im Controller für die WLANs. Alles andere ist quatsch und würde ich mich weigern auch nur eine Minute Arbeit reinzuinvestieren.


    Was das Thema Update angeht, die Kiste lag wohl Jahre im Schrank so wie es aussieht. Da musst du nun erstmal manuell ran und dich durch diverse Updates kämpfen. Aber davon ab, ist das für dein Vorhaben eh nicht relevant da so nicht umsetzbar.

    Nein das hast du falsch verstanden. Wie schon geschrieben haben wir das WLAN Szenario bisher mit einer UTM gelöst (allerdings - auch mit angepasster Lösung). Hier gab es workarounds (und ja ich gebe zu manchmal sind es würgarounds)


    Aber das Leben besteht manchmal eben nicht nur aus den BestPractice Lösungen aus der Box. Mit einer jung an krebs gestorbenen Frau und mit 2 kleine Kindern kann ich ein Lied davon singen. Da gibts oft angepasste Würgarounds um mit dem Leben klarzukommen. Und wie gesagt es war ein Versuch evtl. mit Ubiquiti eine Lösung zu kreieren die bestimmt nicht die Plug&Play Version ist aber das Leben gibt einem manchmal Rahmenbedingunen oder Voraussetzungen zum knabbern die die Standardlösung übersteigen.


    Trotzdem allen vielen Dank für die Mühe und euren Job den ihr hier macht.


    Spendiere gerne einen zweckgebundenen Kasten Bier, falls das möglich ist. Bzw. will ja hier niemand auf die Füße treten und gerne auch eine Kiste vegane Limo.


    Grüße gehen raus!

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 3 Beiträge von bastelbenderr mit diesem Beitrag zusammengefügt.

  • Alles gut, hier ist keiner sauer auf dich oder so... Es ging schlicht darum das dieses Vorhaben mit hoher Wahrscheinlichkeit nicht zum Erfolg führt und dafür die Zeit einfach zu schade ist. Deswegen die Empfehlung das ganze mit einem Controller zu machen und nicht mit einem kompletten Gateway, was wie der Name schon sagt immer ein Gateway sein möchte.


    Wir haben solche Lösungen, also Controller für das WLAN und Sophos als Firewall, sehr oft im Einsatz. Das funktioniert hervorragend. Denkt also lieber darüber nach das ganze so zu lösen.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von jkasten mit diesem Beitrag zusammengefügt.

  • Wir haben solche Lösungen, also Controller für das WLAN und Sophos als Firewall, sehr oft im Einsatz. Das funktioniert hervorragend. Denkt also lieber darüber nach das ganze so zu lösen.

    Vielen Dank. Ja bei anderen Kunden haben wir öfters UTMs von Sophos im Einsatz die einwandfrei funktionieren. Allerdings haben wir bei keinem der Kunden das Problem dass wir hinter einer FW einer Universität uns befinden welche uns ein bestimmtes Netz zur Verfügung stellt aber wir keinerlei Möglchkeiten haben FW & Routing zu ändern (wenn du spürst was ich meine :winking_face: ). Bisher hatten wir das mit einer UTM gelöst die nur als WLAN Controller "missbraucht" wurde. Für usn ein NoGo und realtiv ekelhafte Arbeit. Für den Kunden aber eine Lösung die das was er wollte geliefert hat. Wie gesagt Spaß macht es nicht und schön es auch nicht. Wir gingen davon aus dass sich die UDM von Ubiquiti auch so hinbiegen lässt. Aber scheitert ja schon bei den Updates, was dann ja eigentlich direkt ein Showstopper ist.


    Aber dann werde ich den Ansatz von Dir mal weiterverfolgen und es über die Controller Lösung zu versuchen. Sorry wollte keinem die Zeit stehlen.

  • Ok, wenn ich das nun korrekt verstehe... Ihr sitzt da hinter einer Sophos die von der Uni verwaltet wird und euch nur ein Netz zur Verfügung stellt, korrekt? Dann wäre eine andere Möglichkeit (sowas haben wir auch im Einsatz bei ähnlichen Gegebenheiten), an den Uplink zur Sophos wo ihr euer Netz bekommt die UDM Pro mit dem WAN Anschluss dran zu hängen, dann die Uni bitten auf dem Netz keinen Proxy usw zu schalten und alles ein und ausgehend frei zu geben da ihr eine eigene Firewall nutzen wollt. Dann hinter der UDM euer Netz inkl WLAN und allem weiteren aufbauen.

  • Ok, wenn ich das nun korrekt verstehe... Ihr sitzt da hinter einer Sophos die von der Uni verwaltet wird und euch nur ein Netz zur Verfügung stellt, korrekt? Dann wäre eine andere Möglichkeit (sowas haben wir auch im Einsatz bei ähnlichen Gegebenheiten), an den Uplink zur Sophos wo ihr euer Netz bekommt die UDM Pro mit dem WAN Anschluss dran zu hängen, dann die Uni bitten auf dem Netz keinen Proxy usw zu schalten und alles ein und ausgehend frei zu geben da ihr eine eigene Firewall nutzen wollt. Dann hinter der UDM euer Netz inkl WLAN und allem weiteren aufbauen.

    Nein, wie ganz am Anfang steht, sie hängen in dem Uni-Netz und können an dem Routing nix ändern. Um trotzdem ein WLAN für das Arbeitsnetz und ein Gastnetz zu realisieren, haben bisher dafür Sophos (FW plus AP) genutzt. UND jetzt laufen die Lizenzen aus und sie wollen ANSTELLE der Sophos Ubiquiti einsetzen.
    Hat man in solchen Einrichtung häufig, es gibt für den Campus ein Gerüst für das Netzwerk, in ihrem Subnetz kann dann die Abteilung/Labore selber werkeln.

  • Ok, wenn ich das nun korrekt verstehe... Ihr sitzt da hinter einer Sophos die von der Uni verwaltet wird und euch nur ein Netz zur Verfügung stellt, korrekt? Dann wäre eine andere Möglichkeit (sowas haben wir auch im Einsatz bei ähnlichen Gegebenheiten), an den Uplink zur Sophos wo ihr euer Netz bekommt die UDM Pro mit dem WAN Anschluss dran zu hängen, dann die Uni bitten auf dem Netz keinen Proxy usw zu schalten und alles ein und ausgehend frei zu geben da ihr eine eigene Firewall nutzen wollt. Dann hinter der UDM euer Netz inkl WLAN und allem weiteren aufbauen.

    Nein. Wir sitzen in einem Netz welches die Uni uns zur Verfügung stellt inkl. Gateway der Uni welche uns dann ins internet routet. Welche Systeme hier im Einsatz sind können wir nicht sagen da wir in diese "heilige Hallen" keinen Zugriff haben. Wir betrieben in diesem Netz was uns zur Verfügung gestellt wird eine Sophos welche als reiner WLAN Controller umgebogen ist (Da die Sophos allerdings bald EOL ist und das ganze WLAN über Sophos Central zukünftig läuft, sind wir auf der Suche nach einer Alternative für die Sophos und daher auf Ubiquiti gestoßen. Leider können wir nicht so einfach neue Netze implementieren da uns hier ja Rückrouten auf den Routern der Uni gesetzt werden müssten was aber nicht möglich ist. Sprich unser Handlungsspielraum ist positiv gesagt sehr sehr "überschaubar" :frowning_face: . Sonst wäre das alles eine relativ einfach Geschichte. Aber ITs der Behörden sind eben einfach ITs von Behörden :winking_face:

  • Oha, ok also noch etwas komplizierter. Also macht die Sophos aktuell auch nicht eure Firewall, sondern die Uni davor. Dann ist die ursprüngliche Idee meinerseits das ganze mit einem Controller und Unifi APs umzusetzen doch die bessere Lösung. Ihr seid dann allerdings, wie auch jetzt, davon abhängig welche VLANs bzw Netze euch zur Verfügung stehen da diese ja nicht von euch änderbar sind.

  • Nein, wie ganz am Anfang steht, sie hängen in dem Uni-Netz und können an dem Routing nix ändern. Um trotzdem ein WLAN für das Arbeitsnetz und ein Gastnetz zu realisieren, haben bisher dafür Sophos (FW plus AP) genutzt. UND jetzt laufen die Lizenzen aus und sie wollen ANSTELLE der Sophos Ubiquiti einsetzen.
    Hat man in solchen Einrichtung häufig, es gibt für den Campus ein Gerüst für das Netzwerk, in ihrem Subnetz kann dann die Abteilung/Labore selber werkeln.

    Lizenzen laufen nicht aus! Die reine WLAN Funktionalität benötigt keine Subscription. Allerdings ist die Hardware (Appliance und APs) nächste Jahr EOL und bekommt keinen Support mehr von Sophos.


    Das andere stimmt leider :frowning_face:


    So virtuelle Kiste Bier für die Kollegen phino und jkasten wurde gespendet. Keine Ahnung wie ihr an die Kiste kommt - da müsst ihr euch mit dem Boardinhaber schlagen :winking_face:


    Nicht das es heißt man will hier nur billige Lösungen vom Board abgreifen :winking_face:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von bastelbenderr mit diesem Beitrag zusammengefügt.

  • Alles gut, deswegen machen wir das ja hier aus Spaß an dem Produkt. Wir haben alle mal irgendwann angefangen und lernen auch immer noch dazu.

  • Ich würde ja fast noch mal eine Rolle Rückwärts machen.
    Du hattest ja noch nicht geschrieben, welche Sophos Hardware ihr nutzt.
    Für die meisten Hardware-Teile von Sophos gibt es alternative Software für EOL.
    z.B. für APs gibt es OpenWRT und die Fw OPNsense, die meisten Fw haben ja einen Intel Unterbau.


    So virtuelle Kiste Bier für die Kollegen phino und jkasten wurde gespendet. Keine Ahnung wie ihr an die Kiste kommt - da müsst ihr euch mit dem Boardinhaber schlagen

    Benötige ich unbedingt bei hier 32° plus. :clinking_beer_mugs:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von phino mit diesem Beitrag zusammengefügt.

  • a possible solution:


    need:

    Irgend ein Netzwerk Port als Direkt access (Rechner daran bekommt sein DHCP und kann arbeiten)

    UDM gerne mit updates.


    Default Vlan1 nach wünschen anpassen (eigner IP Bereich der nicht stört)

    Thirdparty VLAN einrichten (nannte sich damals "VLAN Only") sagen wir mal 100 weil ne schöne zahl ist.


    Port 1 und 2 als native ins VLAN 100, keine Tagged VLAN.

    Port 1 Uplink zum "Institut", Port zwei zum Wan Port.


    WAN per DHCP einrichten damit kann die Kiste raus für Updates und co und andere "Schweinerein")

    Access Points and die anderen Ports (native vlan1, rest tagged ist default)

    AP werden dann über das Default VLAN verwaltet.

    WLAN Einrichten als Ziel Netz das zuvor geschaffene ThirdParty VLan 100


    Damit sind die Clients ins normal Netz gebridged und bekommen über das Institut Netz per

    DHCP das was sie brauchen.


    Wahl der Qual, Gäste WLAN genau so einrichten, oder eignes VLAN über die UDM

    was dann darüber und einem NAT rauskann aber eher nicht rein.


    Dreckig geht aber...


    a possible solution 2

    UDM wegwerfen, Controller wie UCK2 oder als Software installieren, AP einstellen

    und direkt im gleichen Netz betreiben. Nachteil ist weniger Abschottung bei Gäste..

    das wird aber vorher wohl auch nicht besser gewesen sein.

  • a possible solution 2

    UDM wegwerfen, Controller wie UCK2 oder als Software installieren, AP einstellen

    und direkt im gleichen Netz betreiben. Nachteil ist weniger Abschottung bei Gäste..

    das wird aber vorher wohl auch nicht besser gewesen sein.

    Hier könnte man vielleicht für die Gäste ein kleineres Segment erstellen und etwas über Fw-Regeln lösen.

    Oder die UDM doch als Router laufen lassen, wobei für internes WLAN ohne NAT und das Gastnetz mit eigenem Range.

  • Was mir noch etwas unklar ist, ist die Verkabelung. Das Netz ist über mehrere Gebäude verteilt. Die Switche sind vermutlich auch tabu für etwaige Änderungen und die Datendosen werden entsprechend aktiv zur Verfügung gestellt?


    Wie kommen dann die Netze Default, vlan100 und gastnetz bis zu den Accesspoints? Man kann zwar die 3 Netze über 3 ports untagged in ein physikalisches Netz kippen und die sind dann nur durch die Subnetze logisch getrennt. Aber zum einen ist das schlecht wegen dhcp und die APs erwarten getaggte Pakete wenn VLANs im Spiel sind.


    Ist das Ganze nicht nur mit Anpassung der Switche in den Gebäuden machbar, also eigenverwaltete?


    Oder hab ich gerade einen Denkfehler?

  • Oder hab ich gerade einen Denkfehler?

    Nein, so wie ich das obige verstanden habe, nicht.