Mehrere Subnets über einen Port / VLANs / Routing?

Es gibt 6 Antworten in diesem Thema, welches 4.788 mal aufgerufen wurde. Der letzte Beitrag () ist von ste6677.

    Moin Moin,


    UDM PRO Neuling hier. Und zwar ein ziemlich verzweifelter :winking_face:


    Ausgangssituation:

    • Bestehendes Netzwerk, einige Switche (ca 10, diverse Hersteller - nicht Ubiquiti)
    • UDM pro aktuell, Rev 1.9.3
    • UDM derzeit während des Testbetriebes noch als Client hinter der Fritte, soll aber später natürlich Router hinter einem Kabelmodem werden.


    Die UDM soll nun als Router mehrere Subnetze verwalten:

    • LAN-1 192.168.0.0/24
    • LAN-2 192.168.1.0/24
    • LAN-3 192.168.2.0/24


    VLANs möchte ich gerne außen vor lassen, doch anscheinend ist die Vergabe beim Anlegen von Netzwerken wohl Pflicht.

    Die Grundidee war: Die UDM nur via SFP+ an den Hauptswitch, Uplink für 0.0.0.0 über den RJ45 WAN Port.


    Die Netzwerke habe ich angelegt und ein entsprechendes "Profil" (im Unifi-Jargon) erzeugt, welches sagt: über den Port darf alles. Zumindest habe ich das so verstanden. Leider funktioniert das nicht.


    Problem: Ich komme von einer Maschine mit e.g. 192.168.2.x (LAN-3) nur auf die UDM, wenn ich ein Kabel in einen UDM-Port stecke und diesem ein Profil zuweise, in dem als "native Network" LAN-3 definiert ist.


    Dies würde dann aber bedeuten, daß ich für jedes Subnet oder VLAN einen physischen Port benötige. Das kann doch nicht sein und wäre auch praktisch gar nicht machbar.


    Ich bitte um Entschuldigung, falls die Frage etwas konfus formuliert ist. Noch immer versuche ich, das UDM-Konzept bzgl Routing zu verstehen.


    Ein gutes, eigentlich identisches Beispiel für das, was ich umsetzten möchte, gibt es hier: Multiple subnets with USG without VLANs


    Wo könnte das Problem liegen?


    Viele Grüße & herzlichen Dank!


    PS: Die UDM Pro zickt übrigens ganz schön rum. Alle paar Minuten oder Stunden ist ein Neustart fällig, ansonsten kein Zugriff mehr - nicht einmal anpingen mehr möglich.

    VLAN Tagging müssen die - nicht Unifi - Switche unterstützen, sonst wird es nicht klappen.


    Die alleinige Anbindung via SFP+ zum Zielswitch ist erstmal kein Hindernis, wenn der Zielswitch in der Lage ist alle VLANs auf seine lokalen Ports weiter zu leiten.


    Ich vermute - da Du nicht auf deine komplette Hardware eingegangen bist - dass deine nicht Unifi Switche Kompatibilitätsprobleme aufweisen.


    Die Tatsache, dass Du nur mit LAN Verbindungen auf die Switchports der UDM pro kommst sagt mir, dass deine SFP Verbindung nicht korrekt arbeitet.


    Ich würde systematisch vorgehen:


    1. SFP Verbindung ohne VLANs in Betrieb nehmen (dies reduziert auf ein IP LAN Subnetz)
    2. Ein weiteres VLAN einrichten und dann versuchen ob VLAN Tagging dieses einen VLANs auf den nicht Ubi Switchen möglich ist.

    ------

    vg

    Franky

    • Offizieller Beitrag

    Hallo ste6677 ,

    ohne Routing (oder mehrere NICs / Host - schlechte Idee mMn) kommst Du von keinem Netz ins andere. Das ist mal Fakt.

    Wie in dem von Dir verlinkten Artikel beschrieben könntest Du von /24 auf /22 wechseln. Damit wäre IPs von 192.168.0.1-192.168.3.254 möglich. Das entspräche dann 1022 Hosts (vs. 4*254=1016 abzgl. jeweils einer IP für das Gateway / Netzwerk).

    Hast Du versucht die Netzwerke OHNE VLAN-ID anzulegen? Ich habe das gerade gemacht (Setup in meiner Signatur): geht. Allerdings nur ein Netzwerk OHNE VLAN-ID pro LAN-Port - ist auch klar. Was ich nicht weiter probiert habe ist, wie die Clients, falls Du die IPs via DHCP verteilen willst, automatisch (!) eine Adresse aus dem richten Subnetz erhalten. Ja, mit MAC-Adressreservierung könnte das klappen. Berichte gern von Deinen Erfahrungen. Mit statischen IPs (am Client konfiguriert) wird das wunderbar funktionieren. Das könnte beim Management allerdings etwas aufwändig werden und könnte potentiell am Client jederzeit umgestellt werden (#Sicherheit). Ein VLAN, wenn es einem Port zugewiesen ist, kann der Client normalerweise (!) nicht ändern.

    VLAN-IDs bis 4096 sollten alle managed Switches können - korrigiert mich, wenn ich falsch liege. Es gibt keine technische Notwendigkeit, dass VLAN-ID und IP-Adresse irgendwie zusammen passen müssen.


    Bin auf Deine Rückmeldung gespannt.

    Guten Morgen,


    Vielen Dank für die Hinweise. Vor dem Kauf war die UDM in meinem Kopf ein vollwertiger Router und für die Ausstattung / Performance recht günstig.


    Daher zur Sicherheit noch einmal eine kurze Frage:


    Ohne VLAN (Tagging) ist auf der UDM nur 1 Netz möglich?


    Noch zwei Hinweise zu den Posts oben:

    • SFP+ funktioniert. Es spielt auch keine Rolle, über welche Ports ich Versuche starte oder ob ein Rechner direkt in der UDM oder an einem Zwischen-Switch hängt.
    • Nein, die bestehenden Switche kann ich nicht wegen der UDM tauschen, zu viel preisintensiver 10G Kram dabei.
    • VLANs bringen mir leider gar nichts.


    Viele Grüße & herzlichen Dank,

    Stefan

    • Offizieller Beitrag

    Moin Stefan,

    warum bringen Dir VLAN nichts? Funktioniert hervorragend, wenn man Switche hat, die das auch können (managed sind).

    Magst Du das vielleicht etwas ausführen?

    Welches andere Gerät kann das von Dir gewünschte auf einem (!) LAN-Port realisieren:thinking_face:? Wie bist Du auf die UDM-P gekommen?

    Erstes Update: Lösungsansatz und weitere Probleme gefunden :winking_face:


    Zunächst: Auf die UDM Pro bin ich gekommen, da ich nicht ganz Unifi-fremd bin. Bislang beschränken sich meine Erfahrungen allerdings auf die APs mit Software-Controllern (als VM). Funktioniert toll und bis auf einen warum auch immer gegrillten AP gab es bislang nie Probleme (war jedoch per SSH fixbar). Ich bin also eigentlich schon ein bisschen Fan.


    Am derzeitigen Standort möchte ich schon länger die Fritte durch einen anderen Router ersetzen und Wifi muss hier auch neu aufgebaut werden. Die UDM Pro erschien mir daher als perfekte Lösung, da die Performance (auf dem Papier sowie Reviews) im Bridging/Routing und VPN richtig gut ist. Sie hat zwei 10G-Ports, was sie für mich auch im LAN Router-tauglich macht (worum es hier geht). Und natürlich könnte ich sie gleich als Video-Recorder und Unifi-Controller nutzen.


    Wir haben hier eine ganze Menge diverser Geräte im Netz und daher möchte die Broadcast-Domains keinesfalls über ein /24er Netz erweitern, sondern das eher reduzieren. Daher die Aufteilung auf mehrere Subnetze.


    In den vergangenen Tagen habe ich mich gelegentlich an die UDM gesetzt und die Kiste unter der Haube näher betrachtet - Linux.


    Warum Ubquiti das Subnetz-Routing auf 1 "natives" (UDM/UB-Sprache) Netz sowie weitere getaggte VLANs begrenzt, ist mir nicht schlüssig - es wird eine Philisophiefrage sein. Wenn ich das richtig verstehe, sind VLANs bei anderen / älteren UB Geräten, wie der USG, wohl auch fakultativ.


    Die UDM legt pro Netzsegment Linux Bridges (brNNN) an. Außer br0 werden alle mit VLAN IDs getaggt. Man könnte also br0 als root-bridge bezeichnen (was aber nicht wirklich korrekt ist). Die Nummern der bridges entsprechen den VLAN-IDs.


    Daher die Quick-And-Dirty-Lösung - nicht im Sinne des Unifi-Universums:


    IP Alias(e) auf br0 setzen.


    Für das Beispiel im Ursprungs-Post:


    Code
    # ifconfig br0:2 192.168.2.1 up
# ifconfig br0:3 192.168.3.1 up


    Funktioniert. Inter-Subnet-Sicherheit (wie ebtables für VLAN) ist hier natürlich nicht gegeben - in meinem Fall auch nicht nötig oder gewünscht.


    Falls die Netze vorher via GUI angelegt werden, funktioniert das nicht ohne weiteres. Die UDM versucht dann natürlich, über die jeweilige VLAN-Bridge zu routen. Auch das ist fixbar, in dem man die jeweilige Route löscht und nur die Route über br0 bestehen lässt.


    Im Performance-Test folgende komplette Route:


    ClientSubnetA <-> Switch1 <-> Switch2 <-> UDM[eth10 <-> br0 <-> eth10] <-> Switch2 <-> ClientSubnetB


    iPerf liefert ~5Gbit. Besser als erwartet. 5GBit bidirektional über das SFP+ Interface der UDM sind schließlich bereits das theoretische Limit.


    Problem 1: Die Konfiguration wird bei jedem Neustart oder Änderung der Netzwerkkonfiguration über die GUI überschrieben. Das ist aber sicher durch weiteres basteln lösbar - anscheinend gibt es Pakete für persistente Datenhaltung auf der UDM via Github. Ich habe da jedoch noch nicht weitergemacht,


    DENN:


    Problem 2: Unabhängig von der Konfiguration, Factory Reset, Neustart - whatever: Die UDM hängt sich auf / verliert Verbindungen. Heute bereits 6 mal. Die Vermutung SFP+ Port (LAN) kann ich bislang weder bestätigen noch sicher verneinen. Daher bin ich mir einfach noch nicht entgültig sicher, wie viel Bastelzeit ich investieren möchte. Der Router im Netz muss stabil laufen und darf nicht rumzicken.


    Ich werde daher dieser Tage zunächst einmal beobachten, wie das Ausfallverhalten der UDM ist. Eigentlich wirklich schade. Natürlich bin ich auch für diesbezügliche Tips äußerst dankbar :smiling_face:


    Viele Grüße,

    Stefan

    2 Mal editiert, zuletzt von ste6677 ()