UCG Ultra transparent mit externem Gateway/DHCP

Es gibt 5 Antworten in diesem Thema, welches 369 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hi!

    Ich habe einiges zu ähnlichen Themen im Forum gefunden, aber es fällt mir schwer, das auf mein Szenario zu übertragen:

    Ich hatte für ein kleines Netzwerk mit 6 APs hier einen Controller auf einem Laptop laufen, den ich ersetzen wollte.

    Der Controller hat nur die APs verwaltet. Wir bekommen vom Provider ein eigenes privates /24 Subnetz und dort steht auch der zentrale DHCP-Server dafür, der die .1 im Subnetz hat. Der Controller lief auf der .240

    Wenn ich jetzt auf dem UCG Ultra in Network das Backup einspiele, nimmt es sich selbst die .1, sodass das echte Gateway für die Clients nicht mehr erreichbar ist. Ich finde irgendwie keine Option, ihm eine andere IP zu geben.

    Und mir ist auch nicht ganz klar, was es in der Standardkonfiguration macht und was ich ihm stattdessen sagen sollte. Ich bilde mir ein, dass es jetzt selbst DHCP auf dem gleichen Subnetz ausliefert, das es auch im Uplink hat, und dann versucht, darauf NAT zu machen.

    Ich würde ihm gern beibringen, dass es DHCP entweder ganz sein lässt oder als Relay macht, NAT sein lässt, selbst auf der .240 sowohl LAN- als auch WAN-seitig läuft und trotzdem den Traffic zwischen Clients und Gateway routet/analysiert.

    Ist das irgendwie verständlich ausgedrückt? Und kann ich ihm das beibringen?

    Das wird absolut nicht gehen. Das ist ein Router und die mögen es überhaupt nicht WAN und LAN oder allgemein zwei oder mehr Interfaces im gleichen IP Subnet zu haben, denn dann können die nicht mehr routen.


    DHCP Relay geht in dem Konstrukt auch nicht. Eigentlich selbsterklärend wenn man sich mal anschaut was da genau passiert.


    Wenn Du nur einen Controller benötigst, dann solltest Du auch nur einen Controller einsetzen. Was da jetzt passiert ist, ist vollkommen korrekt. Die Konfig wurde übernommen und der alte IP Bereich vom Controller für das Defaultnetz übernommen.


    Du kannst mit diesem Gerät nur eine Routerkaskade machen in deinem Fall. Also WAN ist das Providernetz und LAN wäre ein komplett neues Subnet. Bringt Dir einmal zusätzliches NAT, da du vermutlich das Provider Gateway nicht konfigurieren kannst.


    Ich denke das geht an deinem Ziel vorbei.

    Danke für die Klarstellung, das hilft mir auf jeden Fall, den Knoten in meinem Kopf zu lösen.


    Routerkaskade wäre nicht das Schlimmste. Das Subnetz vom Provider ist zwar schick, aber eigentlich benutzen wir das für nichts. Hoffe nur, dass uns das Doppel-NAT nicht die VoIP-Telefonie zerschießt. Das würde ich mangels Alternativen ausprobieren.


    Was ich noch nicht ganz klar habe, ist, wie ich die Änderung am elegantesten mache. Meine erste Idee wäre die hier:

    1. In der Konfig, wie sie jetzt ist, erstmal die APs adoptieren, in der Hoffnung, dass sie auch die Gateway-IP statt ihrer gewohnten Controller-IP akzeptieren oder das UCG das ihnen trotzdem über die SSH-Credentials verklickert bekommt.

    2. Default-Netz ändern

    3. Den APs neue IPs im Default-Netz geben


    Kann das so hinhauen? Oder verlieren die APs da zwischen Schritt 2 und 3 die Kommunikation mit dem Controller? Übersehe ich sonst was Wichtiges?

    Subito die Antwort lautet, kommt drauf an :winking_face_with_tongue: könntest mal schauen per ssh wie die inform-url bei den Accesspoints aktuell ist. Kannst Du mit dem Befehl info ziemlich am Ende sehen. Möglicherweise musst Du auch sudo info eingeben, bin gerade nicht sicher :thinking_face: wenn die inform-url http://unifi:8080/inform ist, könntest Du Glück haben.


    1. Ich würde als erstes mal checken ob die APs auf dem alten Controller mit festen IPs versehen wurden. Die sind dann wirklich fest im Gerät und werden nicht per DHCP Reservierung zugewiesen. Sprich die wären dann in einem falschen IP Subnet. Die solltest Du dann vorher auf Dynamisch umstellen.


    2. Das UCG in Betrieb nehmen. Die Konfig reinkippen, muss nicht sofort im ersten Schritt sein. Kann man auch machen wenn die UCG durch ist.

    3. Die IP des Default Netzes auf den neuen Bereich ändern inkl. DHCP Server

    4. Jetzt die Accesspoints in das Default LAN des UCG patchen und Neu Starten falls nicht durchs Patchen ohnehin neu gestartet wird (POE). Mit etwas Glück kommen die dann von ganz alleine Online - hängt davon ab was die als inform URL gefressen haben. Wenn nicht wirds etwas tricky ODER halt APs resetten, aus Controller werfen (der neue) und neu Adopten und Einstellen.


    Wie muss man sich denn den Internetanschluss bei euch vorstellen und was für ein Netzwerk stellt der Provider? Habt ihr einfach nur einen LAN Anschluss irgendwo für das Internet?!? Doppeltes NAT kann für VoIP ein Problem sein, hängt von der Umsetzung ab. Was benutzt ihr für Telefone/Hardware für Telefonie?!? Da ja dieses private Providernetz ohnehin vor der UCG bleibt, könnte man die Telefonie notfalls in diesem Netz belassen wie bisher - nicht optimal aber eine Möglichkeit.

    Danke! Das hat funktioniert mit

    1. Alle APs auf DHCP umstellen

    2. Default-Netz ändern

    3. Ein paar Mesh-APs, die es nicht kapiert haben set-inform über ssh geben.


    Irgendwas ist noch komisch in der Topologie, doch dazu an anderer Stelle mehr.


    Was mir dabei aber aufgefallen ist:

    Wenn ich ein neues Netzwerk anlege, kann ich auswählen, ob der Router das UCG oder ein "Third-Party Gateway" sein soll. Müsste das nicht genau das sein, was ich ursprünglich wollte? Dafür müsste aber das Gateway des Providers einen VLAN-Tag ausliefern, oder?

    Subito

    Ich konnte jetzt nicht sehen, ob Du überhaupt Unifi Switche einsetzt oder ob Du da Dritthersteller Switche hast. Bei letzterem wird Dir die Topology immer Unfug anzeigen, da einfach mal die Informationen der Switche fehlen um die Topology halbwegs zu ermitteln. Die Funktioniert auch manchmal bei reinen Unifi Netzen nicht zuverlässig.


    Wenn Du ein neues Netzwerk mit "Third Party Gateway" anlegst, dann vergibst Du dort eine VLAN ID aber keine IP Adressen. Das ganze wird dann ein VLAN in dem das UCG keine IP Schnittstelle besitzt und sich dafür auch ansonsten in keinster Weise interessiert. Da ist also kein IDS/IPS Routing und Firewalling durch das UCG möglich. Die Switche und Accesspoints behandeln diese VLAN ID völlig normal, daher kannst Du dieses "Fremdnetz" über die Switche laufen lassen und auch ein WLAN dafür aufspannen. DHCP und IP Subnet usw. muss dann aber vom Fremdrouter gehandelt werden und wird auch dort verwaltet. Dieser Router kann, muss aber nicht getaggtes LAN bereitstellen. Du musst diesen ja über einen Unifi Switch anschliessen und diesen Port kann man für beide Varianten anpassen.


    Macht aber 0 Sinn in deinem Fall.