Mein Netzwerk, mit 2 APs, UDM, Switch, Doorbell, Azure VPN, Azure AD und On-Premises Hybrid und einem coolen Monitorgerät :)

Es gibt 1 Antwort in diesem Thema, welches 2.955 mal aufgerufen wurde. Der letzte Beitrag () ist von Noob123.

    Moin


    ich dachte ich stelle auch mal mein Projekt vor und vielleicht hat es ja so die ein oder andere "inspirative" Komponente.


    Vielleicht als erstes:
    Das "Herz" im Dachgeschoß: Meine zwei Server (Seitdem es Richtung Azure geht ist ein Server weg gekommen) und die neue UDM, welche die Interneteinwahl macht, Firewall, Unifi Protect, Site-To-Site VPN usw... eine Fritz.Box oder so ein Zeug gibt es bei meinem Netzwerk nicht mehr :smiling_face:, es ist quasi alles "rein Ubiquiti".


    Dann haben wir als nächstes den Switch im Erdgeschoß, welcher das Internet zur Einwahl an die USG switcht und von der USG den lokalen Netzwerktraffic erhält um ihn dann in das Haus zu verteilen.

    An dem Switch hängen dann so Sachen wie:

    Einer von zwei APs (Ein AC Lite und ein Pro). Ich habe vier WLANs:

    1. Client-WLAN, welches mit Radius Authentifzierung und Windows NPS funktioniert. Für den Zugriff auf das WLAN werden Zertifikate benötigt, welche meine PKI über NDES und Microsoft Intune an verwaltete Windows-, Android- und iOS Geräte verteilt (Bedeutet, nur von mir geschützte Geräte können in dieses WLAN).
    2. WLAN zum Debuggen mit Zugriff auf die Server
    3. WLAN für Smarthome-Geräte, welches von dem Client und Serverwlan durch die UDM isoliert ist.
    4. Gäste-WLAN mit einem Captive Portal, wo man halt mit dem UniFi Hotspot Manager Gastzugriff erstellen kann.


    Außerdem ein mit Microsoft Intune verwaltetes Shared Multiuser Device, ein PC, der so optimiert ist, dass er wechselnde Benutzer hat und z.B. Azure Oauth Login unterstützt, Gästelogon (ohne Useraccount) oder Biometrie mit externen Fingerabdrucksensor.

    Außerdem natürlich mein Azure Gateway, welches via Site-to-Site VPN mit der UDM verbunden ist. Mein Point-To-Site VPN wird ebenfalls über das Azure Gateway durchgeführt und nicht durch die UDM selbst. Die VPN-Authentifizierung erfolgt auch hier - wie beim WLAN - über Zertifikate, um nur verwaltete Geräte mit dem VPN zuzulassen. Das VPN ist außerdem Always On, bedeutet, dass jedes meiner Geräte, egal wo es sich befindet, ohne eine extra VPN Einwahl in das lokale Netzwerk kommt. Für Mobilgeräte verwende ich Microsoft Tunnel, welches ebenfalls in Azure gehostet wird und über das Site-To-Site-VPN in die On-Premises kommt.


    Aber zurück zu Ubiquiti, da habe ich mir jetzt so eine coole Doorbell gekauft, die noch angebohrt werden muss:


    Aber was ich auf jeden Fall habe ist ein kleiner Monitor, was quasi ein Smartphone ist, welches nur darauf ausgelegt ist, die Kamera der Türklingel anzuzeigen und das Klingelgeräusch weiterzuleiten. Da ich mein Handy doch nicht immer bei mir auf der Tasche habe, empfand ich das praktisch :smiling_face:. Hierbei handelt es sich um ein billiges Nokia 2.2, welche mit Microsoft Intune und Android Enterprise in einem sogenannten Single-App Kiosk Modus nur die Unifi-Protect App startet und diese mit einem Viewer-Account verbindet. Wie das aussieht könnt ihr hier sehen (Auf Youtube):

    Mein Unifi Kiosk Gerät


    Und zu guter letzt: Meine Topologie :). Nicht ganz so spannend, vor allem weil der Azure Teil ja auch so ein bisschen fehlt :).


    Was so auf den Servern läuft, für Leute die es interessiert:

    • Active Directory Domaincontroller,
    • Network Policy Server
    • Druckerserver (im Moment eine Mischung aus Microsoft Univeral Print und Papercut NG... mit keinem vom beiden bin ich gerade so richtig glücklich).
    • interne Zertifizierungsstelle
    • Network Device Enrollment Server für Zertifikatsausrollung mit Microsoft Intune
    • System Center Configuration Manager Server im Current Branch und Co-Management
    • Azure AD Connect Server für die Synchronisation von lokalen Benutzeraccounts in die Azure Active Directory Cloud
    • Azure Application Proxy, der die lokalen Webanwendungen über die Cloud mit Azure AD Authentifizierung zugänglich macht.
    • Dateiserver, der aber nicht so richtig viel macht... Dateien usw. sind alle schon über OneDrive For Business abgefrühstückt.


    Wer sich jetzt fragt, wer baut denn sowas :): ich bin Cloud Consultant für Microsoft 365, Azure, Microsoft Intune mit einem starken On-Premises Background. Das hier ist quasi das Netzwerk meiner Träume, das sich meinen Kunden versuche näher zu bringen :smiling_face:...

    Quasi: Das modernste Cloud Hybrid Netzwerk... nur in Klein :smiling_face:.