Fritzbox-UDM-Pro-Netzwerk Projekt

Es gibt 10 Antworten in diesem Thema, welches 4.184 mal aufgerufen wurde. Der letzte Beitrag () ist von noexpand.

    Hallo Unifi Freunde,


    Ich bin ein Unifi Newbie und muss sagen, die Produkte sind auf den ersten Blick schon mal Super. Was Netzwerke und Routing angeht, bin ich kein anfänger, dennoch habe ich aktuell ein Problem, welches ich in meiner Konstellation nicht hin bekomme.


    Ich habe die bisherige Fritzbox mit einer weiteren Fritzbox und einem Fritz Repeater 3000 in betrieb gehabt, jedoch habe ich ständig Wlan ausfälle gehabt, obwol alle Komponenten mit Kabel 1 GB verbunden waren. Nun habe ich mit dazu entschieden, mal eine Profi Lösung zu nutzen. Leider gibt es hier auch einen Wehrmutstropfen. Der Filter der Fritzbox, den ich bisher für meinen Sohn nutzen musste, damit er nicht 24/7 am Zocken ist, geht so nicht mehr. Daher habe ich mir einen besonderen Aufbau überlegt. Im meinem Netzplan (Anhang) werde ich das versuchen zu verdeutlichen.


    Zum Aufbau (ist Zustand):


    Meine Fritzbox macht wie bisher das Gateway ins Internet (1&1) mit VoIP an S0 und Auerswald TK Anlage (Konstellation Unverändert)

    Ich betreibe auch einen DynDNS Dienst über die Fritzbox um auf Interne Mails der Synology zugreifen zu können.


    Die Geräte die bisher an der Fritzbox waren, habe ich alle entfernt, und direkt am Port 1 die UDM-Pro an den Wan-Port verbunden. Noch ist auf der Fritzbox der DHCP (Default) aktiviert, somit hat auch die UDM-Pro eine DHCP Addresse der FB bekommen. Aktuell ist der Uplink zu meinem USW-16 Port PoE Switch im Hobbykeller über eine 1 GB Kupferkabel Anbindung realisiert, wird aber per 2x LWL im Channel getauscht, sobald alles läuft. An der UDM-Pro hängt ebenfalls auf einem Port ein Unifi FlexHD Accesspoint.


    Am USW-16-PoE Switch sind per Link Aggregation meine Synology Diskstation angeschlossen, die beiden Computer meiner Kinder sowie ein weiterer Unifi FlexHD Accesspoint.


    Für den aktuellen Betrieb habe ich alles in einem Flachen Netzwerk mit dem Nachteil, mein Sohn kann treiben was er will, ebenso die Gäste, welche zu mir kommen und sich in mein Wlan Verbinden.


    Meine Ziele:

    1. Auf der Fritzbox habe ich das Gäste Netzwerk aktiviert, welches nur per Kabel über Port 4 der Fritzbox genutzt werden kann. Die FB aktiviert hierfür ein eigenen DHCP Server mit dem Netzwerk 172.168.179.0/24.
      Dieses Netzwerk würde ich gerne nutzen um auf dem Unifi Netz das Gästenetzwerk zu betreiben. Meine Vorstellung ist, ein Vlan 100 für Gäste zu aktivieren, DHCP Relay auf die Fritzbox (192.168.179.1) zu machen damit ich auf der Fritzbox dann auch die Geräte erkennen kann, welche das Netz nutzen und ich die Filterlisten hierfür einstellen kann.
    2. Per VPN möchte ich später auf meine Daten auf der Synology zugreifen können. Hier habe ich noch keine Kongrete Planung erstellt, evtl. ist es aber sinnvoll, diese ebenfalls in ein eigenen Vlan zu stecken, wobei die Verwaltung hierfür auf der UDM-Pro passieren kann.
    3. Der Zugriff auf die Unifi Umgebung per App oder Browser sollte dann evtl. auch funktionieren!?
    4. Ich betreibe auf der Synology einen Mailserver, welchen ich bisher per Port-Forwarding und DynDNS auf der Fritzbox betrieben hatte, dieser soll dann auch wieder aktiviert werden. Wobei die Synology nun hinter der UDM-Pro steht.

    Da ich nun mit der Unifi Umgebung noch nicht so vertraut bin, habe ich ein Problem, die Konfiguration von Punkt 1 einzurichten.

    Kann mir hier jemand einen Tip geben? Wie ist die richtige / beste vorgehensweise?



    grüße


    Euer Newbie Quax

    Der Aufbau oben macht grundsätzlich so keinen Sinn, da Du die Funktionalitäten der UDM pro (IPS/IDS bzw. DPI uvm.) so nicht sauber nutzen kannst.


    Die FB 7590 macht aktuell in deinem Aufbau das Managing des Netzwerktraffics. Das kann die UDM pro besser. Allerdings ergibt sich die Diskrepanz des Doppelnattings, da die FB VOR der UDM pro hängt.


    Da wir einen sehr ähnlichen Aufbau (1&1) haben, schlage ich Dir einen anderen Weg - der auch leichter support/betreibbar ist - vor:


    Du besorgst Dir noch ein DSL Modem (Vigor 130 oder besser Vigor 165), dass den "full bridged modus" kann und baust dein Netz wie folgt auf:


    DSL Provider <-> Vigor 165 <-> UDM pro (WAN1)


    UDM pro (LAN) <-> FB 7590 & Unifi Switche

    1. Gästenetz wird vollständig in der UDM pro eingerichtet (ww. via Voucher oder Password). Dieses wird komplett von den restlichen LANs isoliert. Logging ist damit ebenfalls möglich.
    2. Eigenes VLAN für Sohn wird in der UDM pro eingerichtet (inkl. Netzwerkfilter = DPI)
    3. APs werden via UDM pro eingerichtet (inkl. Gästenetzwerk WLAN & WLAN Netzwerk für Sohn mit eigener SSID). Mit eigener SSID ergibt sich die Möglichkeit das WLAN auch zeitlich zu begrenzen.
    4. Weitere Restriktionen sind nachgelagert leicht realisierbar.
    5. Telefonie läuft dann wie gewohnt via 7590. Ansonsten macht die FB keinerlei LAN/WLAN
    6. DHCP läuft auf UDM pro
    7. DNS via UDM pro (könnte man noch restriktiver realisieren mittels PiHole z.B. als Docker auf der Synology oder Raspi).

    ------

    vg

    Franky

    Gefällt mir 3

    Meinem Vorschreiber nichts zuzufügen.


    Eine Anmerkung noch, die 2x 1GBIt LWL zum Switch kannst du dir sparen. Die UDMPro hat nur eine intere Switch-Kapazität von 1 GBit, zudem ist der zweite SFP-Port für WAN2 reserviert, der lässt sich meines Wissen nichts umkonfigurieren ( zumindest nicht in der Konfig )


    Da der interne Switch nur 1 GBit liefert, würde ich 1 GBit von der UDMPro zum Switch legen und den WLan-AP links mit der zweiten Leitung ( da reicht auch Cat6 ) direkt an den Switch rechts anschliessen, macht mehr Sinn dann.

    Dann hast du den Flaschenhals der UDMPro umgegangen und alle verfügbare Bandbreite fürs Internet verfügbar.

    Zitat von Tuxtom007

    Die UDMPro hat nur eine intere Switch-Kapazität von 1 GBit

    Irgendwo anders habe ich letztens einen Wert von 2,5 GBit gelesen. Hast du dafür einen Beleg? Wo kommt der Wert her? In dem Datenblatt zur UDMP habe ich nichts finden können.

    Hallo,

    erst mal danke für die Zahlreichen Ideen und Ansätze


    Ich habe gestern mal die ersten Konfig Tests gemacht. gleich mehr dazu. Die Thematik mit Vigor als Modem hatte ich auch Überlegt, jedoch habe ich paar beiträge gelesen, die hier sehr wiedersprüchlich waren. Letztlich hate ich ich doch für die FB entschieden, diese weiter zu nutzen, zumindest möchte ich Sie im späteren Verlauf ziemlich kastrieren.


    Warum die Fritzbox weiterhin....

    Die Fritzbox besitzt eine Whiteliste, welche ich mit Webseiten Füttern kann, die ich explizit zulassen will. Leider brauche ich genau das für die Seiten der Schule.


    Der Filter der UDM Pro, kann das so nicht. Ich müsste hier explizit die IP Adressen ermitteln welche die Webserver nutzen, bei Webserver Farmen wird das sehr aufwendig und teilweise schwierig.


    Meine Aktuelle Lösung (noch Verbesserungswürdig)

    Ich habe auf der Fritzbox das Gastnetz (Port4) IP 192.168.179.1 mit DHCP aktiv. Dieses geht auf der UDM Pro auf Port 2.

    Dann habe ich ein Gastnetzwerk auf der UDM Pro angelegt, welches mit der IP 192.168.179.2 /24 (VLAN100) den DHCP habe ich als Relay auf die Fritzbox verwiesen.

    Nun auf dem 16 Port PoE Switch den Client per Lan angeschlossen. Er bezieht nun eine IP aus dem Netz.

    Den Port habe ich dann in das Gast Netz gestellt.

    Zu guter letzt noch eine Firewall Regel zum Test mit Any-Any aus Gastnetz richtung Fritzbox.


    => Mein Imac meines Sohnes bekommt IP und wird auf der Fritzbox als Host aufgelistet. Nun kann ich die Whiteliste auf der FB wieder nutzen. Er kommt nur auf die Seiten der Schule. Wenn er nun Zocken Darf stelle ich den Port am Switch vom Handy aus auf LAN um und er kann Zocken, so habe ich volle Kontrolle. Leider muss ich das bei meinem Sohn machen, da er ansonsten 24/7 Zocken würde.



    Ich wollte noch ein Aspekt bringen, warum FB auch als Modem. Ich bin niemand der auf jede mWatt schaut und Strom bis zum letzen Watt Sparen oder Zählen möchte. Jedoch sollte mann solche dinge in der heutigen Zeit mit einbeziehen. Der Vigor würde ein weiteres Gerät bedeuten, da ich um die FB erstmal nicht herum komme. Meine Ursprüngliche Idee war, dass ich ein Virgor Modem betreibe, dahinter die UDM Pro.. Hinter dieser nutze ich meine Auerswald 5020 VoiP Anlage und stelle diese vom S0 auf VoIP um, damit Sie die Regisitrierung der Rufnummern macht, nicht mehr die Fritzbox. Habe ich aber bisher nicht hinbekommen. Bis Dahin brauche ich die FB.

    Der zweite Grund die Fritzbox weiter zu nutzen ist der Filter der Fritzbox, wie beschrieben, mit UDM Pro so nicht lösbar. Alternative muss ich mir anschauen ist das PiHole, welches ich mir ganz sicher anschauen werde. Sofern ich damit dass machen kann. Perfekt!


    So, werde dann mal weitere Test machen und bin auf weitere Kommentare gespannt.

    Zitat von noexpand

    Irgendwo anders habe ich letztens einen Wert von 2,5 GBit gelesen. Hast du dafür einen Beleg? Wo kommt der Wert her? In dem Datenblatt zur UDMP habe ich nichts finden können.

    Ich hab sogar schon was von 3,7 GBit gelesen - das mit 1 GBit Switchkapazität stand mal im Datenblatt drin, allerdings in den aktuellen Datenblätter steht dazu garnichts mehr, nur eben 3,7 GBit Internet-Througput.
    Aber selbst 3,7 GBit währe bei einen 8x 1GBit + 1x 10 GBit Port-Switch zuwenig - aber das Teil ist eben nicht als Switch vorgesehen, sondern Router/Firewall.


    Vielleicht trauen die sich nicht mehr, das ins Datenblatt zu schreiben :smiling_face:

    Ich kenne das aber von Mikrotik, ein 24-Port GBit-Switch ( sogar Core-Switch genannt ) hatte intern 3 Switchboards verbaut, die jeder nur 1 GBit/s konnten. Man konnte also mit 2 Client an Port 1 + 24 den Switch ans Limit bringen, weil der Traffic dann durch alle 3 Switchboards musste.

    Ähnliches Verhalten habe ich bei de UDMPro auch schon festgestellt, mein NAS war mit 2x 1GBit Port-Aggregation angeschlossen, wenn ich darüber große Daten weggeschrieben habe, waren anderen Client an den verbleibenden Ports deutlich eingeschränkt, auch Richtung Internet. Ich habe die NAS nun an meinem 8-Port Switch hängen und den Unterschied merkt man deutlich.

    Zitat von noexpand

    Irgendwo anders habe ich letztens einen Wert von 2,5 GBit gelesen. Hast du dafür einen Beleg? Wo kommt der Wert her? In dem Datenblatt zur UDMP habe ich nichts finden können.

    Das hängt meine ich mit der Board Revision zusammen - die älteren Boards haben wohl noch 2.5 Gbit die neuen nur noch 1



    Zitat von quaxf

    Der Filter der UDM Pro, kann das so nicht. Ich müsste hier explizit die IP Adressen ermitteln welche die Webserver nutzen, bei Webserver Farmen wird das sehr aufwendig und teilweise schwierig.

    was ist mit nem PiHole zur Filterung (neben IPS/IDP der UDMP) ?

    Damit Legst du ne Gruppe für dein Sohn an und kannst auf DNS basis filtern.


    Das PiHole läuft in ner VM oder auf nem Raspberry


    Damit kann dann die FB auch raus und du kannst ein Vigor einsetzen :winking_face:

    Mein Projekt

    PiHole, hatte ich bisher nicht im Einsatz, da ich aber seit Kurzem auch eine DS1520+ habe und hier VMs laufen lassen kann, werde ich das ganz sicher Testen.


    Hat wer erfahrung mit Auerswald und VoIP über 1&1?

    Besonders bei der Einrichtung der Auerswald?

    Zitat von quaxf

    PiHole, hatte ich bisher nicht im Einsatz, da ich aber seit Kurzem auch eine DS1520+ habe und hier VMs laufen lassen kann, werde ich das ganz sicher Testen.


    Hat wer erfahrung mit Auerswald und VoIP über 1&1?

    Besonders bei der Einrichtung der Auerswald?

    Pihole ist kein Hexenwerk, der ist gut dokumentiert und auf einem RasPi oder eine Linux-VM in wenigen Minuten aufgesetzt.

    Danach etwas Zeit in die Filter investieren und das Teil rennt im Hintergrund - Updates kann man automatisieren ( mache ich z.b. so , da kümmere ich mich nicht mehr drum )

    Zitat von quaxf

    PiHole, hatte ich bisher nicht im Einsatz, da ich aber seit Kurzem auch eine DS1520+ habe und hier VMs laufen lassen kann, werde ich das ganz sicher Testen.

    Kannst auch locker als Docker Container auf deiner Synology laufen lassen spart zusätzliche Hardware.
    Läuft bei mir auch auf der DS1517+ . Nur mal so als Info...

    Zitat von Tuxtom007

    Ich hab sogar schon was von 3,7 GBit gelesen - das mit 1 GBit Switchkapazität stand mal im Datenblatt drin, allerdings in den aktuellen Datenblätter steht dazu garnichts mehr, nur eben 3,7 GBit Internet-Througput.

    Ah, da kann ich noch ne Zahl in den Hut werfen: 3,5 GBit. Die steht sogar im offiziellen Datenblatt und gibt den Throughput mit aktiviertem DPI und IDS/IPS an. Ohne IDS/IPS also nur mit DPI sollen 8 GBit möglich sein. Aber dabei gehts ja nicht um die Switching Kapazität, sondern um die Leistungsfähigkeit des Prozessors ...

    Zitat

    Aber selbst 3,7 GBit währe bei einen 8x 1GBit + 1x 10 GBit Port-Switch zuwenig - aber das Teil ist eben nicht als Switch vorgesehen, sondern Router/Firewall.

    Vollkommen richtig.


    Aber wenn es so ist, dann ist es so. Ich hätte es nur einfach mal gerne gewusst. So richtig mit offiziellen Zahlen.