beste Kombination / Device Auswahl für Internetanbindung und dahinterliegende Firewall

Quote from AlexW

Wie sind bei Euch die Erfahrung, die UDM direkt ans "Internet" zu stöpseln, also über Modem.

Problemlos (in meinem Fall Kabelmodem vor UDM Pro)

Ne, ne FRITZ!Box Cable 6660 im Bridge Modus.

Willkommen in der aktiven Nutzerschaft AlexW !

Es ist natürlich grundsätzlich gar kein Problem, einen Unifi Router direkt ans Internet zu hängen. Zu beachten ist aber, dass Anschlüsse mit DS-Lite derzeit noch nicht unterstützt werden. Reguläres Dual Stack oder v4-only sind natürlich kein Problem.

Euer geplantes Netz ist so wie beschrieben aber tatsächlich nicht ideal. Ich würde in so einem Fall auf den Unifi Router verzichten und alle Switches und APs per Software (Network Server oder Unifi OS Server) verwalten. Notfalls über einen CloudKey (kostet aber unnötig Geld).

Wenn man einen Unifi Router vor dem Securepoint betreibt und eigentlich alles über Unifi verwalten möchte, müsste man zwei Firewalls parallel managen, weil die Securepoint in Deinem Beispiel ja nur das eine Netz kennen würde.

Quote from Networker

Wenn man einen Unifi Router vor dem Securepoint betreibt und eigentlich alles über Unifi verwalten möchte, müsste man zwei Firewalls parallel managen, weil die Securepoint in Deinem Beispiel ja nur das eine Netz kennen würde.

So wie es sich liest, kommt die securepoint mit dem Netz des externen Dienstleistern. Für mich stellt sich die Frage ob man die SP nicht direkt/parallel zum Unifi Netz betreibt.

Quote from AlexW

Reicht die UNIFI Software Lösung auch für das GuestPortal ?! mit VLAN Unterstützung?

Der Controller hat immer denselben Funktionsumfang. Egal ob als Software, als UDM/UCG oder als CloudKey.

Quote from AlexW

Daher ja die Frage, wie "andere" diese "Problem" angehen würden (Frage für einen Freund )

Wie gesagt, ich würde den Unifi Router weglassen oder zumindest hinter dem "Fremdrouter" betreiben. Kommt bei Letzterem natürlich darauf an, was genau dessen Aufgabe ist und wie die Kommunikation zwischen diesem und den Endgeräten angedacht ist. Da gibt es ja 1001 Szenario und nicht alles wird sich vernünftig mit einer Routerkaskade abbilden lassen.

Quote from AlexW

Hallo Phino,

ja, war auch schon ein Gedanke.
Da es Möglich ist, auf der z.B. UDM das Netz der SP anzulegen und ein DHCP-Relay einzutragen. Somit wäre man auch "drin" aber nur als Gast
Der Rest vie VoIP, CAMs etc. würde die UDM selbst managen...

Das hab ich jetzt überhaupt nicht verstanden ... und macht vermutlich auch keinen Sinn.

Übrigens ist es egal was die anderen ITler für eine Hardware nutzen wollen um den Betrieb zu garantieren. Wenn Du irgendwas anderes davor hängst, ist daddeldu mit Garantie und Funktion wenn dein Zeug abnippelt.

Die Frage ist hier eigentlich erstmal zu klären, was ganz konkret erreicht werden soll ... VLANs ja schön was, wofür, Das produktive Netz ist genau was? Hat das was mit den V und WLANs zu tun? Wer muss mit was kommunizieren und wer darf mit was nicht? Da stehen Hausaufgaben an um sich erstmal ein klares Bild zu machen.

Vielleicht beschreibst du Mal, was das Netz hinter SP machen soll. Mich würde da das Sicherheitslevel interessieren.

Bei Securepoint ist es ja so, das erst einmal gar nichts geht und man alles einzeln aufmachen muss. Somit scheint es da einen hohen Sicherheitslevel zu geben. Daher mein Tip eher 2 getrennte Internet Zugänge und die SP lässt nach Vorgaber des Dienstleister den Zugriff aus dem Unifi Netz zu.

Quote from phino

Bei Securepoint ist es ja so, das erst einmal gar nichts geht und man alles einzeln aufmachen muss. Somit scheint es da einen hohen Sicherheitslevel zu geben

Aussagen dieser Art liest man hier immer wieder. Leider, denn alle sind falsch.

Es hat 0,0 mit Qualität oder Sicherheit zu tun, ob eine Firewall ab Werk als Whitelist oder Blacklist konfiguriert ist.

Du kannst eine Securepoint mit einer einzigen simplen Regel vollständig öffnen, genauso wie Du eine Unifi mit einer einzigen simplen Regel vollkommen schließen kannst.

Es gibt für beide Ansätze gute Gründe und die IT einer Organisation muss lediglich für sich festlegen, welchen sie für besser beherrschbar hält.

Immer wenn dieses Thema in irgendeiner Form mit bewertenden Aussagen vermengt wird, ist es ein Zeichen, dass "Firewalling" nicht wirklich verstanden wurde.

Ich hatte am Anfang auch ein CloudGateway Ultra fürs Internet gehabt, habe mich aber dann im Nachhinein doch zu einer Securepoint Firewall entschieden. Ich habe dann das Gateway verkauft und habe folgenden Aufbau erstellt.

FritzBox (hatte ich noch bezüglich Telefonie übrig) - Securepoint Firewall - Switch - Cloudkey - APs - Cams etc.

Im Auslieferungszustand ist der komplette Trafic nach außen offen bei der Securepoint, ich habe dann erst einmal alles blockiert und dann Stück für Stück einfach die Dienste für Ubiquiti freigegeben, was eben benötigt wird. Die FritzBox macht jetzt eben Internet und Telefonie, das Internet wird komplett an die Securepoint durchgeschleift und die SP übernimmt dann den Rest. Habe damit keine Probleme, alle Geräte von Unifi sind extern sowie intern erreichbar und mein Netzwerk ist sicher.

Clastron kann nach dem Urlaub Mal schauen welche Modelle wir haben. Aber bei allen mussten wir erst einmal explizit jeden Port überhaupt für Netzwerkverkehr (auch intern) öffnen.

Die sind aber alle aus dem Bereich 2500€ aufwärts.

Aber ich findest sie sehr spröde. Zum Glück in meinem Bereich Sophos.

Quote from Networker

Aussagen dieser Art liest man hier immer wieder. Leider, denn alle sind falsch.

Es hat 0,0 mit Qualität oder Sicherheit zu tun, ob eine Firewall ab Werk als Whitelist oder Blacklist konfiguriert ist.

Du kannst eine Securepoint mit einer einzigen simplen Regel vollständig öffnen, genauso wie Du eine Unifi mit einer einzigen simplen Regel vollkommen schließen kannst

Natürlich kann man jede fw so killen/ausschalten.

Aber hier wird ja die SP von einem externen Dienstleister gestellt für das besondere Netz. Die sollte wissen was sie tun. Der wird kein Zugriff auf die SP zulassen.

Quote from phino

Die sollte wissen was sie tun. Der wird kein Zugriff auf die SP zulassen.

Das war doch gar nicht mein Punkt.

Mich stören einfach diese falschen Aussagen, wenn eine Firewall als "besonders sicher / hohes Sicherheitsniveau" bezeichnet wird, weil sie ab Werk den Whitelist-Ansatz fährt. Oder andresherum etwas als "Scheunentor offen", wenn die Firewall ab Werk als Blacklist konfiguriert ist. Das ist halt beides einfach Quatsch.

Ich kenne die Dinger ja nicht. Aber da es unterschiedliche Aussagen zu offen oder zu gibt, wird evtl. bei der Grundeinrichtung danach gefragt was die Default Policy sein soll? Son Mini Assistenten ?!?

Ich würde jedenfalls keine UDM hinter oder vor eine Firewall packen. Genauso wenig würde ich Netzwerktechnik "vermischen" koppeln oder wie immer man das nennen mag, wenn dann hinterher für jede Änderung zig Admins benötigt werden und Kompetenzgerangel vorprogrammiert ist. Das macht keinen wirklichen Sinn.

Da die benannten VLANs (bis auf das WiFi) wohl eher nichts mit dem Produktionsnetz zu tun haben, würde ich vermutlich meine Gedanken daran verschwenden, das Produktionsnetz als third party VLAN in das Unifi Management zu integrieren. Dann hat man defacto in der Unifi Welt nichts an IP Schnittstellen aus dem Produktionsnetz und dort somit auch kein Problem mit der Sicherheit. Das Produktionsnetz erhält DHCP usw. von der Fremdfirewall ... Ob denen das so gefällt ist natürlich eine andere Frage. Allerdings ist es mir auch noch rätselhaft, wer da wessen Kunde/Auftraggeber/Teil einer Unternehmensgruppe/ das sagen hat und welche Rolle der TO da eigentlich bei spielt.

Quote from DoPe

Allerdings ist es mir auch noch rätselhaft, wer da wessen Kunde/Auftraggeber/Teil einer Unternehmensgruppe/ das sagen hat und welche Rolle der TO da eigentlich bei spielt.

Das kann ich Dir für diesen konkreten Fall natürlich auch nicht sagen, aber möglicherweise Verständnis dafür erzeugen, wie solche Situationen in der Praxis entstehen: Ein Ex-Kollege von mir betreut als externer Dienstleister die IT einer größeren Zahnarztpraxis, war hier auch einige Jahre für alles verantwortlich. Nun ist diese Praxis aufgekauft und in eine größere Unternehmensstruktur eingebunden worden. Es arbeiten dieselben Ärzte und Mitarbeiter in denselben Räumlichkeiten mit derselben IT-Struktur wie die Jahre zuvor - nur das Sagen haben im Zweifel jetzt andere.

Der Mutterkonzern regiert in Sachen IT nun teilweise rein. Z.B. gibt es auch dort eine fremdgemanagte Firewall, aber mein Ex-Kollege kümmert sich weiterhin um fast alles andere. Ich hätte wenig Lust, ein Netzwerk zu administrieren, bei dem ich gar keinen Zugriff auf den zentralen Baustein habe, aber auf diese oder ähnliche Weise rutscht man manchmal in solche Situationen hinein.