Umstieg von Unifi UDM SE auf CloudKey (genau in diese Richtung ):-) - Fremdfirewall

    Guten Morgen zusammen,

    aufgrund von betrieblichen Anforderungen, "darf" ich auch privat auf eine Frimen-Firewall umstellen.

    Da ich nicht 2 Firewalls hintereinander betreiben möchte Firma und UDM SE - aber nahezu nur im Unifi Universum unterwegs bin (Switch/Protect usw.), habe ich einen Cloud Key Plus Gen 2 hier liegen und möchte (vorab) schon möglichst viel von der SE auf den Key übertragen.

    Wie kann ich das im Betrieb am sinnvollsten Lösen?

    Was kann ich alles übernehmen (den DNS Server wird die zukünftige Firewall übernehmen - was passiert z.B. mit den festen Zuordnungen?)?

    Was geht vorab schon, was erst beim harten Cut?

    Was muss ich unbedingt bedenken?


    Vielen Dank für Eure Hilfe vorab - gerne auch mit Links

    IP Listen / DNS Einträge / Netze usw. habe ich mich natürlich sicherheitshalber notiert :-)

    P.S.: Die Firmenfirewall oder beides hintereinander zu betreiben steht nicht zur Diskussion :-)

  • Erbacher November 18, 2025 at 8:53 AM

    Changed the title of the thread from “Umstieg von Unifi UDM SE auf CloudKey (genau in diese Richtung :-) - Fremfirewall” to “Umstieg von Unifi UDM SE auf CloudKey (genau in diese Richtung ):-) - Fremdfirewall”.

    Der Cloudkey übernimmt die Aufgabe des Controllers und Protect (damit kenne ich mich nicht aus). Mehr nicht... das bedeutet also er stellt die Konfiguration für Switche und Accesspoints bereit. Letzten Endes ist der Cloudkey nur ein Netzwerkclient wie jeder andere PC.

    Da kein Unifi Gateway nehr vorhanden sein wird, greift auch alles was das Gateway tut nicht mehr. Sprich DNS, DHCP mit IP Reservierungen sowie die VLANs mit ihren IDs wirst Du händisch ins neue Gateway übernehmen müssen.

    Die VLANs in der Unifi Welt müssten dann im Prinzip auch alle auf 3rd Party Gateway.

    Manchmal ist es einfach sinnvoll privates Hobby und Arbeit sauber getrennt zu halten, gerade wenn man nur Arbeitnehmer ist. Darfst und kannst Du das Gateway überhaupt konfigurieren wie du möchtest? Wenn ja, verstehe ich allerdings die betrieblichen Anforderungen nicht, zumindest nicht in Puncto Sicherheit.

    Ich hatte auch ein Setup mit Cloud Gateway Max -> Unifi Universum. Habe dann auch mein System umgebaut da ich eine Securepoint Firewall davor einsetze. War überhaupt kein Problem die Umstellung. Bin dann vom CGM auf den CloudKey2 wieder zurück. Backup erstellt und im CK eingespielt ein paar Anpassungen noch erledigt bezüglich VLANs etc. und alles lief wie gehabt. Natürlich musst du noch ein paar Regeln auf der FW erstellen damit auch dann Protect etc. alles von extern erreichbar ist aber sonst kein großer Aufwand.


    Da musst du dich nicht verrückt machen :)

    Technisch ist mir die Prozedur eigentlich klar ;)

    Die neu Firewall wird ja DNS Server (erst einmal) und muss dementsprechend die Reservierungen übernehmen. Auch müssen natürlich die Netzsegment (VLans), VPN Verbindungen usw. neu eingerichtet werden. Mit den "Zuordnungen" meinte ich die Unifi Geräte.

    Die Frage war eher in die Richtung - was kann der Key von der SE im Unifi Umfeld übernehmen? (habe ich falsch formuliert) :-(

    Z.B. Übernimmt er im Protect Bereich - Kameras mit Namen/IP/Zeitpläne usw. - würde wenigstens das Segment vereinfachen (Zeit der Umstellung verkürzen).

    Übernimmt er alle Einstellung der Unifi Einstellungen der WLAN's aus der SE (Die APs mit IP usw.)

    Soweit ich gelesen habe muss man die Unifi Geräte beim Umzug an der SE deaktivieren und Richtung Key verschieben.... (würde keine neue Provisionierung erforderlich machen? - aber eher gefährlich wenn man aus irgendwelchen Gründen zurückschwenken muss)

    Es geht mir daher eher darum - was kann ich Unifi technisch vorbereiten - nicht netzwerktechnisch an sich.

    Sorry für die Verwirrung.


    Clastron

    Verrückt machen eher nicht - da es aber produktiv ist, sehe ich ein rein zeitliches Problem (auch seitens der Regierung) :-)

    Danke für die Infos


    Auch wenn es kein Thema ist:

    Es ist aber nicht immer technisch einfach dies zu trennen:

    Vorher Privat = Fritz / dienstlich = gemanagte Forti der Telekom (das halte ich sowohl für technisch als auch aus Datenschutzgründen für eher suboptimal. Hat auch die Praxis gezeigt - Die Telekom lässt bei gemanagten System keine Fremdeingreifen zu - 99,9% Verfügbarkeit - sieht aber gleichzeitig Teile deines privaten Netzes und will natürlich auch nicht dein vorhandenes Netz mit betreuen :-) Änderungen (Firewall usw.) daher auch nur über die Telekom.

    Da ich danach nicht wieder auf die Fritz umsteigen wollte, sondern auch privat eine Firewall nutzen und mich näher mit den Funktionen beschäftigen wollte, die Unfi privat als "Kompromiss" und nur noch eine VPN Anbindungen Firma (Config durch Telekom)- funktioniert und ist somit getrennt.

    Danach neuer ERP Anbieter VPN direkt ins Rechenzentrum - Sicherheitsvorgaben - wieder anderes Produkt, auf Wunsch kann ich aber selber eine entsprechende Firewall (über den Arbeitgeber) beziehen und für mein Netz konfigurieren. Die VPN Anbindung wird durch das RZ umgesetzt.

    (P.S.: Kommt mir zusätzlich tatsächlich gelegen, da ich das Produkt gerne einmal testen möchte - ich war nicht in allen Belangen zufrieden mit der SE - daher kann ich es testen- wenn es gar nicht passt, muss ich sehen....)

    DIE Lösung gibt es meiner Ansicht nach nicht (außer getrennter Anschluß und getrennte Geräte) - Mehr aber eher nicht zu dem Thema, da es natürlich viel mehrschichtiger ist, als hier zusammengefasst :-)

    Edited 3 times, last by Erbacher (November 18, 2025 at 10:05 AM).

    Quote from Erbacher

    Die neu Firewall wird ja DNS Server (erst einmal) und muss dementsprechend die Reservierungen übernehmen. Auch müssen natürlich die Netzsegment (VLans), VPN Verbindungen usw. neu eingerichtet werden. Mit den "Zuordnungen" meinte ich die Unifi Geräte.

    Die neue Firewall muss zwangsläufig alles machen, was Gateway/Router-Funktion bedarf, sprich DNS. DHCP, Routing, Firewalling, VLAN's usw.
    Dein Cloudkey verwaltet nur noch die Switch-Konfiguration ( z.b. Zuordnung VLAN zu Switchport ) und alles was WLAN ist.
    ( plus Protect wenn du nutzt )

    Das funktioniert sehr gut, ich mache das schon fast 4 Jahre bei mir und hab das auch bei Bekannten so eingerichtet, Unifi Switche + WLAN und Firewall eines anderen Herstellers.

    Funktionieren tut es natürlich 1a. VLANs sind halt Standardzeugs, wo ausnahmsweise mal nicht jeder Hersteller sein eigenes Zeugs frickelt (die eigentliche Konfiguration ist da natürlich wieder herstellerspezifisch). Letzten Ende Interessiert das Gateway nicht was da so dran hängt und was die Geräte mit den Paketen treiben. Das gleiche gilt auch für die Switche und Accesspoints. Jeder macht seinen Job halt für sich und leitet die Pakete so wie es entsprechend der Spezifikation sein soll. Stimmt was nicht ist wohl eher der Faktor Mensch schuld und hat da was mit den VLANs in den Systemen "vergeigt".


    Wenn man die Geräte nicht neu anlernen will, ist prinzipiell das wichtigste, dass die Unifi Geräte mit dem Cloudkey kommunizieren können. Die Herausforderung ist also die wechselnde IP und der Umstand, dass der Cloudkey in EINEM VLAN steht und nicht wie vorher der Controller auf dem Gateway praktisch am Zentralen Punkt aller VLANs steht. Du kannst ja mal via ssh schauen, was in den Switchen und APs als inform url drin steht.

    Wenn es perfekt läuft, musst Du nur die Unifi Geräte Neustarten und sie sind wieder Online. Das mit dem Verschieben, dürfte wohl die Umzugsfunktion von den Multisite Controllern sein. Die Gateways mit Controller sind Singlesite Controller ... Bei den Multisite Controllern kann man eine Site exportieren, diese wird dann auf dem neuen Controller importiert und anschließend wählt man die umzuziehenden Geräte aus und gibt die neue inform url an. Dann wechseln die Geräte wie von Zauberhand (wenn sie den neuen Controller erreichen). Wichtig ist aber zu prüfen ob es ein inform override gibt, da steht dann ggf. der alte Controller drin (das muss dann raus oder wenigstens angepasst werden) und die Geräte wechseln einmal hin und wieder zurück. Letzten Endes müsste das Mit Backup und Restore und dem händischen setzen der neuen inform url auch klappen.

    Quote from Erbacher

    DIE Lösung gibt es meiner Ansicht nach nicht (außer getrennter Anschluß und getrennte Geräte)

    Wenn das Geld für einen zweiten Internetanschluss da ist, würde ich es so konfigurieren, dass alle Deine Geräte hinter dem Unifi-Router hängen, dieser auf WAN1 dann direkt am privaten Internetanschluss anliegt und auf WAN2 am Firmenrouter hinter dem betrieblichen Internetanschluss.

    Somit musst Du auf nichts verzichten, nichts umstellen und kannst über Routing Policies festlegen, welches Deiner Geräte für welche Dienste den Weg ins Firmennetz wählen sollen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login