Ubiquiti im Unternehmen einsetzen

Es gibt 8 Antworten in diesem Thema, welches 4.322 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo zusammen,


    macht es Sinn als Firma über eine Ausstattung mit Ubiquiti nachzudenken? Wir wollen ca. 40 Standorte untereinander vernetzen, bislang läuft das über ein Provider-MPLS. Wir würden aber gerne normale Internetzugänge verwenden da deutlich günstiger und als Failover LTE dazu. Wichtig wäre uns, dass alle Standorte auf einer zentralen Firewall landen und wir bestimmen können, welcher Traffic eben zur zentralen Firewall geht und welche lokal ausbricht. AutoVPN wäre auch schön, damit ich nicht jeden Standort einzeln einstellen muss und bei einem Leitungsausfall noch was herumkonfigurieren muss, damit bspw. das LTE Backup greift. Wichtig wäre alles über ein Dashboard = Cloud Controller zu verwalten.

    Wäre sowas mit Ubiquiti möglich? Dachte an USG-Pros in den Standorten und Zentral die UXG-Pro wg. Performance bei IPS/IDS. In den Standorten noch jeweils Switches und APs ebenfalls von Ubiquiti dazu.


    LG

    Bei meinem letzten Job haben wir viel Unifi-WLan's aufgebaut, dafür ich die Technik gut, weil gutes P/L-Verhältniss ( Kunden wollen ja nie viel ausgeben ), schnell installiert und remote zu warten.

    Die Switche dafür waren auch von Unifi, eben wegen Remote-Adminstration und PoE.


    Aber: Firewalls,Switche für große Netze usw. haben wir von anderen Herstellern genommen, weil die einfach stabiler laufen.


    Ich persönlich würde z.b. keiner Firma einen UDMPro ins Netz hängen, dafür läuft das Teil nicht stbail genug und bietet auch keine großen Möglichkeiten, Loadbalancing geht schon mal garnicht.

    Addiere mal die Internetbandbreiten von 40 Standorten, das muss deine Firewall an Mindest-Durchsatz mit allen Firewall-Funktionen liefern.

    Und bei Standort-Vernetzung würde ich grundsätzlich schon mal nur VPN-Verbindungen nutzen, da bedarf nochmal deutlich mehr Performance an der zentralen Firewall.


    Wir haben für sowas Juniper benutzt, dann kann man die passende HArdware nach Anforderung aus dem Programm nehmen, das P/L-Verhältniss ist recht gut, aber die Teile sind nicht so einfach zu konfigurieren, das bedarf entsprechendes Netzwerk-Knowhow.

    Alternativ haben wir, wenn Kunden das wollte Sophos eingesetzt, die sind aber deutlich teurer als Juniper.

    eigentlich sind es noch zu wenig Informationen, aber mal nen ersten Wurf als Empfehlung:


    SD WAN Architektur zwischen den Standorten (Cisco)

    Firewall One

    Zentraler Proxy für lokalen Netztransfer

    Lokal könnte man Unifi APs bereitstellen, wenn dies notwendig ist. Ich würde im Business Bereich eher davon abraten.

    + noch einige andere Dinge


    ... aber im Prinzip wäre erstmal eine genau Analyse notwendig, was ihr im Detail braucht:

    z.B.


    - welche Clients, wieviele, Bandbreite ....

    - welche Dienste (aucn Telefonie)

    - welche Securitystages

    - welchen Durchgriff brauchen die Clients

    - welche Netze werden benötigt


    undundund


    Nachdem das aber DEUTLICH das Forum hier sprengt und sowas üblicherweise das Business von einigen Firmen ist, würde ich es auch bei diesen beauftragen.

    Wenn ich sowas dimensioniere, dann sind wir üblicherweise nur für die Planung mindestens im 4stelligen Bereich :winking_face:

    ------

    vg

    Franky

    Gefällt mir 2
    Zitat von Samhain
    .....

    SD WAN Architektur zwischen den Standorten (Cisco)

    ....

    und bereits da braucht es Experten, die das planen, aufbauen, konfigurieren.


    Bei uns in der Firma wird gerade aus SDWan mit Cisco umgestellt, da sind einige Leute Fulltime beschäftigt.

    Moin Moin,


    Zum Nachdenken und grübeln.

    just my two cents.



    Mittlere Standort Größe in Geräte ?

    Telefonie ?

    Irgendwelche Ansprüche an QoS die dann dann wegfallen über normale INET Leitungen (z.b für Telefonie)


    Interner Traffic (von Standort A und Standort B) ist über MPLS kein großes Thema (dafür ist es ja)

    (Garantiere Bandbreiten, QoS, Carrier Monitoring, fall back Leitung wenn die Verträge es hergeben)


    Das hast du bei normalen Internet und VPN nicht. Da kümmerst du dich 100% das Routing.

    Wenn jeder mit jedem Kuscheln soll hast du bei einer 1zu1 Relation 40^40 Tunnel.

    Das kann ne Horde Menschen einen schönen Job bescheren das zu Warten.....

    Aber ok das macht Keiner :smiling_face:

    n+1 als Quasi Zentrale Routing Instanzen wobei n=0 zu vermeiden ist (wenn der dann mal weg ist ist alles WEG)

    Ist trotzdem ein nettes Setup und bedarf ein paar Routing Skills. Bedarf natürlich auch DICKE Leitungen an den

    Exchange Punkten.


    LTE bekommst man darüber auch eine Feste Adresse (oder sogar die gleiche) der braucht dann noch

    eine Dynamische DNS Struktur die erreichbar ist damit die IPs bekannt werden ?

    (und sind es auch IP auf denen in VPN eingehend machen kann , oder GNAT IP wie üblich in Mobile Bereich)


    Die USG Dinger können sogar BGP oder OSPF als Routing Protokolle, freilich nicht über die

    Web Oberfläche sondern nur direkt und der config.gateway.json ums reboot sicher zu machen.

    (es sind Quasi EDGE Router mit einer UNFI Maske drüber)
    Dann kann man aber auch gleich die EDGE Router nehmen wenn Ubiquiti sein soll.


    UXG ? im early access und und noch nie Offiziell in EU gesehen. Bin gespannt ob das ding noch kommt.


    IDS/IPS. Ja ist eingebaut in Unifi. Wenn man ein wenig selber kuckt bekommt man auch raus das das

    die Lösung von https://suricata.io ist (open source IPS) schaut man weiter so werden aufjedefall

    die Community Regel Sätze benutzt (https://rules.emergingthreats.net/open/suricata/rules/)

    + ein paar eigne + evt. auch gekaufte oder Lizensierte.


    Aber das ist super schlecht Dokumentiert, willst du irgendwas mit PCI/PII in der Firma machen

    und benötigst ein Audit fliegen die Büchsen als ersten raus.

    Wann Warum und wie Wie lange weis nur UI selber. Wenn die morgen keine Lust mehr haben

    fliegt der Kram halt raus beim nächsten update (wer kenn noch Unifi Voip PBX was NICHT das Talk ist)


    Service und Wartung ? Morgen Fällt die USG am Standort 4 aus. Wie schnell ist

    dein Reserve Gerät da und wie schnell hast du ein Neues ? Wie lange dürfen die ohne

    Netz bleiben ? Montag ist schon Standort 1 ausgefallen und die doofe Firma liefert einfach nicht

    mein Ersatz gerät das ich mit Express losgeschickt habe. faseln was von Zweiten zustellVersuch

    oder morgen in der Filiale...


    Große WAN Installationen und UNIFI passen IMHO nicht wirklicih zusammen.

    Zitat von gierig

    Große WAN Installationen und UNIFI passen IMHO nicht wirklicih zusammen.

    Auch kleine WAN-Installation würde ich damit nicht aufbauen, ich würde Unifi-Geräte in den Bereich der SoHo-Geräte einordnen.

    Hi, danke für eure Einlassungen. Das hört sich jetzt aber nicht unbedingt vielversprechend an...


    Unsere WAN Installationen finde ich jetzt nicht wahnsinnig exotisch. 40 Standorte die per VPN zu einem zentralen Breakout müssen, ein paar VLANs in den Standorten und AccessPoints um Kunden WLAN und ein internes WLAN bereitzustellen, welches nur bei Inventuren oder von gelegentlichen internen Besuchern genutzt wird.


    Die Router müssen nichts können außer Traffic von A nach B, vlt. noch etwas QoS um Voice am Router zu priorisieren und auf der zentralen Firewall einige Regeln um bestimmte Webseiten zu sperren. Ansonsten sollte eben noch IPS vorhanden sein und die zentrale Firewall sollte ein paar Ports nach innen Richtung DMZ aufmachen können.

    Wir haben auch Kassensysteme und sind PCI geprüft, aber ich sehe jetzt nicht, warum PCI nicht mehr zertifiziert werden sollte wenn wir auf Ubiquiti setzen? Alle relevanten Verarbeitungssysteme sind beim Mutterunternehmen im Ausland, dort konnektieren bspw. auch die Kassen hin mittels MPLS Strecke vom zentralen Breakout aus und die EC Automaten brechen direkt ins Internet zur Clearingstelle aus.


    Bzgl. LTE: da würden wir fixe IPs bekommen.


    Aber wenn ich das so richtig verstehe würdet ihr eher Switches+APs von Ubiquiti empfehlen und die Router/Firewalls dann doch lieber von einem Dritthersteller der da gute Kisten hat (Palo Alto etc.)? Würde halt dem entgegenstehen, was ich mir zur Verwaltung wünsche, nämlich alles über eine Oberfläche und AutoVPN.

    Zitat von drsnuggles

    aber ich sehe jetzt nicht, warum PCI nicht mehr zertifiziert werden sollte wenn wir auf Ubiquiti setzen?

    Weil der Prüfer sowas sagen wird. "Zeig mir mal das die Firewalls PCI Compliance ist"

    Und du dann sagen wirst, also ja ahm die kann Ipsec ganz prima wenn ich ein wenig suche

    dann kann ich auch sagen mit welchen Schlüssel Stärke...Hersteller kennt ihr doch oder ?

    Ne der hat keine Doku, kein BCM, kein Security Managment das Transparent ist. SLA ?

    SLA...SLA...nein haben die auch nicht nicht gehört... aber Blaue LED...?

    Nein Doku sind nur tote Bäume in PDF form, da reicht uns die QuickStart Anleitung

    und Community.


    Kennst du bei dem IDS den Ablauf wann wie welche Regeln reinkommen ?

    Oder kann jeder in der Community regeln vorschlagen die ggf DEIN Netzwerk Kicken.

    Bzw eine ausnahme von "BösenHost" zu erlauben wegen "false Positiv" der dann

    unbehelligt benutzt werden kann um von euch Daten zu zapfen ?

    Zitat von drsnuggles

    Unsere WAN Installationen finde ich jetzt nicht wahnsinnig exotisch.

    Ohne Tiefe Kenntnisse eh nicht abschätzbar. Aber üblicherweise wird der aufwand und die Struktur

    völlig unterschätzt....