Zwei Gebäude mit jeweils einer UDM pro und eigener Glasfaser verbinden

    Hallo zusammen.

    toll das ich dieses Forum gefunden habe. Ich habe schon etwas rumgestöbert, allerdings bin ich nicht ganz fündig geworden. Ich habe ein Theme bei mir im Gebäude und hoffe ihr habt ein paar Ansätze.

    Ich habe ein Vorderhaus und ein Hinterhaus. Beide sind mit jeweils zwei Single mode Fasern verbunden.

    Im Vorderhaus habe ich folgende Hardware:

    1 x UDM Pro Max

    1 x USW Pro Aggregation

    1 x USW Pro HD 24 PoE

    1 x USW Pro Max 16 PoE

    Und noch ein paar weitere switch die aber nicht ganz so relevant sind.

    Im Hinterhaus habe ich nur folgende Technik:

    1 x UDM Pro Max

    1 x USW Pro HD 24 PoE

    Wie gesagt sind beide Gebäude nicht weit voneinander entfernt und mit jeweils zwei single Mode Fibern verbunden. Beide Locations haben eine eigene Glasfaser Internetanbindung. Ich weiss das ich das natürlich mit site magic machen kann. Aber das ist nicht das was ich will da ich ja zwei Glasfasern zur freien verfügung habe. Zumal der delay etwas zu hoch ist da ich gerne ndi über beide standorte verteilen will, neben verschiedenen storage Themen wie NAS usw.

    Am liebsten würde ich also gerne die Glasfasern an die beiden UDM stecken. Mir ist klar das ich VLANs und Netze nicht von der einen auf die andere bekomme aber das muss ich jetzt auch nicht wirklich. Ich muss nur die Netze von UDM-A aus UDM-B erreichen und umgekehrt.

    Ich hoffe ich hab das jetzt nicht zu wild erklärt.

    Ich entschuldige mich vorab wenn ich doofe Fragen stelle. Ich habe rudimentäre Kenntnisse von Netzwerktechnik und rund eine Woche steile Lernkurve mit ubiquiti Technik.

    Vielleicht jemand da der mir an dieser Stelle etwas helfen kann?

    Edited once, last by janK (May 21, 2025 at 8:38 PM).

    Hallo und willkommen hier im Forum!

    Du willst zwei prinzipiell getrennte Netze mit jeweils eigener Internetverbindung über die Singlemode-Kabel verbinden, richtig verstanden?

    Du besorgst Dir zwei Module Singlemode-Duplex-SFP+ mit passender Buchsenform (musst schauen, welchen Steckertyp Deine Faser verwendet, sehr verbreitet ist LC). Alternativ kannst Du auch zwei BiDi-Module kaufen, wenn Du nur eine Faser benutzen und die zweite als Reserve lassen oder für etwas anderes nehmen möchtest.

    Oder ging Deine Frage jetzt eher in die Richtung, wie Du Dein Netzwerk konfigurieren solltest?

    Guten morgen Networker :-) Die Module habe ich hier. Ich habe in vorauseilendem Gehorsam und auf Verdacht einige gekauft und das sollten passen. Mir ist eher der Konfigurations teil unklar. Stecke ich die in den WAN Port oder Konfiguriere ich den WAN Port zum switching Port?? Und wie bekomme ich es konfiguriert das jeder Client hinter jeder UDM nur seine Internetvebindung nimmt und die route zur gegenüberliegenden UDM nur genommen wird wenn der Client eine destination sucht die an der anderen UDM anliegt. Vielleicht ist das in meinem Kopf auch nur so kompliziert aber ich weiss tatsächlich grade nicht wie ich das angehen soll.

    Wie gesagt, sorry für die vermutlich sehr dusseligen Fragen.

    Geht im Prinzip mit LAN oder WAN und in unterschiedlichen Varianten und Möglichkeiten was die Konfig dann angeht.

    Die Querverbindung wird ein eigenes Netz mit eigenem IP Bereich. Nennt man Transfernetz. Jeder UDM hat darin ein Interface mit einer IP des Transfernetzes. Dazu kommen dann in die UDMs jeweils Routen für die Netze, die hinter der anderen UDM sind. Statisch oder per policy based routing, je nach Variante.

    Bissl Zonen und Firewall anpassen und das wars im Prinzip.

    DoPe & Networker ok, trocken verstehe ich das. Ich sage mal was ich bisher gemacht habe und vielleicht kann das jemand von euch korrigieren weil ich irgendwie das Gefühl habe das es nicht so richtig ist.

    UDM M habe ich folgendes Transfer Netz konfiguriert:

    172.16.1.29/30

    VLAN 131

    DHCP none

    UDM P

    habe ich folgendes Transfer Netz konfiguriert:

    172.16.1.30/30

    VLAN 131

    DHCP none

    Ich habe auf beiden UDM ein SFP Frei. Bei einem war es ein WAN das ich zu nem LAN gemacht habe.

    Ich versuchte eben auf UDM M eine statische route anzulegen.

    Device Type: Gateway

    Distance 10

    Destination Network 172.168.178.0/24

    Egal ob ich jetzt als next hop 172.16.1.29 oder interface das transfernetz eingebe ... ich bekomme immer ein "There was an error updating settings. This action could not be completed."

    Es ist offensichtlich das ich was falsch mache aber so ganz komme ich nicht drauf. Hat jemand noch einen tip für mich?

    Welche IP Bereiche nutzt Du hinter der UDM M und der UDM P jeweils? Ich hoffe mal, dass Du nur was falsch machst und es da nicht wieder so wirre Plausibilitätsprüfungen im Hintergrund gibt. Mit next-hop wäre es im Prinzip richtig. Ich hab bisher immer Distance 1 genommen, daran sollte es aber nicht liegen, dass die network App das nicht schlucken mag.


    Noch ein Hinweis zusätzlich. Die beiden SFP Ports der Querverbindung auf beiden Seiten hast Du auf nativ das Transfer LAN und Block All gestellt? Nicht das sich da später mal Traffic über die Querverbindung mogelt, der da nichts zu suchen hat weil da zufällig gleiche VLAN IDs verwendet werden.

    DoPe danke für dein Feedback.

    ja genau, ich habe die SFP Ports auf beiden Seiten nativ auf das Transfernetz gestellt und Block all.

    Netze auf UDM M: 10.2.0.0/24 und 10.2.1.0/24

    Das Transfernetz (transfer) auf UDM M; 172.16.1.30/30 und VLAN ID 131

    Statische Route auf UDM M: Gateway, Distance 1, 192.168.1.0/24, next hop 172.16.1.30 (die Seite auf UDM P)

    Netze auf UDM P: 192.168.1.0/24 und 192.168.178.0/24

    Das Transfernetz (transfer) auf UDM P; 172.16.1.29/30 VLAN ID 131

    Statische Route auf UDM M: Gateway, Distance 1, 10.2.0.0/24, next hop 172.16.1.29 (die Seite auf UDM M) UND nochmal für 10.2.1.0/24

    Zonen und FW habe ich noch net gemacht. Da weiss ich nicht so wirklich wie es da weitergehen soll.

    Edited once, last by janK (May 23, 2025 at 8:39 PM).

    Sieht soweit okay aus (bis auf einen Vertipper 2mal statische Route auf UDM M). Ließ sich das jetzt ohne Fehlermeldung einstellen?

    Ich denke ich würde auf beiden UDMs eine neue Zone erstellen und dann jeweils das Transfernetz da reinpacken. Anschliessend in der Matrix internal - Transfer und transfer - internal das erlauben was gewünscht ist. Ggf. auch noch zur Zone Gateway wenn man da über kreuz zugreifen möchte.

    Praktisch hab ich das mit UDMs noch nicht gemacht. Ich würde dann immer testen mit Pingen lokale udm lan ip, lokale udm tranfernetz ip, remote udm transfernetz ip, remote udm remote lan ip, irgendeine ip aus dem remotenetz (bei Windows PCs aufpassen, nix Antwort auf Ping aus anderem IP Bereich bei default der Windows Firewall). Dann kann man sich vorarbeiten mit Regeln in den entsprechenden Zonen.

    Dann hast Du vermutlich noch das alte Firewallschema mit lan_in lan_local lan_out usw.

    Ping erstmal durch und schau mal was geht und was nicht. Und auch was geht aber nicht gehen soll. Am besten ne Tabelle von - nach machen und abchecken. Die hilft dann auch als Vorgabe für die Firewall.

    ah i see. hab da grade mal upgrade gemacht.

    ich hab mal an monkey UDM folgendes gemacht:

    Source internal, Network, management und trusted (sind die beiden netze vonen denen ich von UDM M auf UDM P grefen möchte). Port any. Action allow. Destination Zone External, IP, Specific (die beiden netzte auf UDM P die ich erreichen will). Port any. IP Version both. Protocol all.

    Ist das so wie du es meinstest?

    puh ok... ich denke ich hab das mit der Zone gerafft. Ich hab dann auch ne policy erstellt aber das klappt nicht. ich kratze mir den kopf...

    Auf UDM M:

    Source internal, Network, (management und trusted), Port any

    Action Allow, Auto allow return traffic

    Destination zone, Transfer. Any, Port any.

    IP Version both, Protocol all, connection state all, schedule always.

    Auf UDM P:

    Source internal, Network, (default, old_monkey), Port any

    Action Allow, Auto allow return traffic

    Destination zone, Transfer. Any, Port any.

    IP Version both, Protocol all, connection state all, schedule always.

  • janK May 24, 2025 at 9:19 AM

    Set the label from offen to erledigt

    Es ist vollbracht. Hier nochmal als kurze Referenz für andere wenn mal danach gesucht wird.

    Die beiden SFP Ports die ich verwendet habe auf beiden UDM standen aus LAN. Auf beiden UDM habe ich ein Transfernetz angelegt. Im Detail ein gemeinsames /30 mit der 172.16.1.30 auf der einen udm und der 172.16.1.29 auf der anderen.

    Auf jeder UDM habe ich eine statische route angelegt. Destination jeweils das Netz das ich erreichen will auf der anderen UDM. Next Hop die IP Adresse des Transfernetzes auf der anderen UDM.

    Anschliessend habe ich auf der Firewall eine Zone mit dem Namen Transfer angelegt. Da drin befindet sich unter networks das zuvor angelegte Transfernetz.

    Auf jeder UDM müssen jetzt 2 Policys angelegt werden. Eine mit source der Netze auf meiner lokalen Maschine zu mit der anderen UDM kommunizieren müssen. Actin allow natürlich. Als Destination dann die Transfer Zone.

    Und jetzt noch den umgekehrten weg. Also eine zweite Policy source Transfer und destination internal.

    Ich hoffe ich hab das halbwegs erklären können.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login