Unifi grundlegende Fragen

Es gibt 32 Antworten in diesem Thema, welches 12.360 mal aufgerufen wurde. Der letzte Beitrag () ist von RaeuberHotzenklotz.

    Moin,

    ich bin neu hier und spiele aktuell mit dem Gedanken unser Firmennetz komplett auf Unifi umzurüsten. Leider stehen auch nach langer Recherche noch einige Fragen im Raum und ich hoffe, ihr könnt mir da behilflich sein.


    Disclaimer: Ich beschreibe erstmal mein Problem, was für meine Fragen aber nicht zwingend notwendig ist, wen es also nicht interessiert, darf das überspringen :winking_face:


    Aktueller Stand:

    Wir sind ein sozialer Verein, der sich um Menschen mit Behinderungen kümmert. Insgesamt haben wir 10 Zweigstellen, welche alle über eine FB an das Internet angeschlossen sind. Jede Zweigstelle hat im Schnitt 5 PCs. In der Geschäftsstelle haben wir einen Host stehen der mehrere virtuelle Server bereitstellt. Somit haben wir in der Geschäftsstelle zwei FB für getrennte Internetanschlüsse. An der einen FB hängen alle PCs in dem Haus, an der anderen FB die Serversysteme. Die Zweigstellen sind dann über Site-Site-VPN mit der FB der Serversysteme verbunden um auf das Netzwerk zugreifen zu können.


    Wir bieten unseren Klienten zusätzlich WLAN und teilweise LAN Anschlüsse an um das Internet mitnutzen zu können. Dies ist teilweise auch vertraglich zugesichert.

    Das alles ist absoluter Müll! Ich habe das gesehen als ich da angefangen habe und die Hände über den Kopf zusammengeschlagen. Ich würde ja einen Plan posten wie das Netz aussieht, aber ich glaube dann redet keiner mehr mit mir, auch wenn ich nicht dafür verantwortlich bin :grinning_squinting_face:

    Ich würde diesen Mist nun also gerne beseitigen, schön getrennte Netze aufbauen, DMZ einrichten, Bandbreite des Klientennetzes limitieren damit wir nicht ständig leer gezogen werden, weil die meinen zu viel P* schauen zu müssen usw. Leider verfügt ein solcher Verein nicht über große Geldmittel und kann sich Cisco Switches und Router hinstellen. Geschweige noch in jeder Zweigstelle. Zumal das völlig überzogen wäre.


    Als ich von den Unifi Geräten gehört habe dachte ich: "Boa, das löst fast alle meine Probleme und das wäre Finanziell sogar machbar."


    Mein Plan...

    ist dann also jeder Zweigstelle bekommt ein DrayTeck Vigor 165 Modem, einen USG, einen entsprechenden Switch mit POE und ein paar APs.


    Dann kamen die Fragen...

    Kann der Controller auch einfach auf einem virtuellen System laufen und ebenfalls die Geräte in den Zweigstellen verwalten? Laufen sollte der schon dauerhaft, zwecks Statistik.


    Kann auch ein Site-to-Site-VPN mit einer FB hergestellt werden? Zwei Zweigstellen haben einen PC und mehr nicht, da muss nicht zwingend ein ganzes Unifi Setup hin.


    Wie sieht das erfahrungsgemäß mit dem Routing aus? Klappt das gut, wenn ich z.B. mit einem USG-Pro 4 und einem 24Port Switch (von Unifi) ~6 verschiedene Netze aufbaue.


    Über die APs würde ich auch gerne 2 Netze zur Verfügung stellen. Eines mit Anbindung an unser Server-Netzwerk und ein anderes für die Klienten. Ich habe schon gesehen, dass das gehen soll, aber vielleicht habt ihr ein paar Erfahrungsberichte wie gut das klappt.


    Am Ende habe ich noch einige Fragen oder Probleme mit den Bezeichnungen der Geräte, die eigentlichen Unterschiede zwischen den verschiedenen APs usw. aber das stelle ich mal hinten an :winking_face:. Ich finde, da hat Unifi nicht so gut Dokumentiert.


    Ich würde mich freuen, wenn ihr mir da helfen könntet und wünsche allen Vätern hier einen schönen Vatertag. Allen anderen einfach auch einen schönen Feiertag.

    Hallo,


    So wie du das beschrieben hast, ist es technisch ohne Probleme umsetzbar. Die USG kann sehr wohl ein Zeitungsseite Tunnel unter anderem zu einer FRITZ!Box oder sonstigen Endgeräten die IB Sek können aufbauen. Controller kann auf einem virtuellen System unter Windows Linux oder sonstigen Virtualisierung laufen. Auch kann ein Controller mehrere Sites verwalten, wie viel genau weiß ich jedoch nicht. Ich denke jedoch die Anzahl die für dich infrage kommt wird das Ding locker stemmen. Roding ist für die USG kein Problem, auch komplexe Netze gehen damit. Ich selbst hatte zehn Frau Lands damit betrieben ein anderer hier im Forum hat sogar 15 am laufen. Auch zwei Netze für die APS also WLAN Netze sind keine Herausforderung für die USG. Hier käme gegebenenfalls auch ein Gäste WLAN mit Voucherverwaltungg infrage. Funktioniert bei mir wunderbar.

    Vielen Dank für deine Antwort!

    Das hört sich sehr gut an und freut mich sehr.

    Mir ist noch eine Sache eingefallen:

    Wir haben zwei Internetleitungen in der Geschäftsstelle, der USG Pro hat 2 WAN Ports soweit ich gelesen habe soll der WAN 2 für VOIP verwendet werden (was wir auch haben). Für VOIP haben wir eine AGFEO Anlage, die das erledigt.

    Ich würde gerne beide Internetanschlüsse an das USG anschließen und entweder Loadbalancing betreiben oder weiterhin trennen wie bisher, VOIP muss dabei natürlich immer noch Priorität haben. Ist das möglich?

    • Offizieller Beitrag

    Wan2 kann nur load oder failover. Meine Erfahrung zu load eher für normal haushalte unbrauchbar. Oley habe es auch mit lte probiert. Würde es eher getrennt machen.


    das Problem ist man kann nicht wirklich einstellen was zu wan 2 soll oder zu wan 1


    oder ich war damals zu dumm es einzustellen 🤣

    Loadbalancing geht , macht aber nur Sinn wenn beide Leitungen die gleiche Bandbreite haben. Getrennte Verwaltung geht leider nicht , wenn kein LB dann ist der 2. WAN Port einfach nur Failover wenn die erste ausfällt. Genau das war der Hauptgrund für mich die USG wieder in den Schrank zu legen und zu Sophos UTM zurück zu kehren. Allerdings sind das Welten (Preislich wie auch vom Umfang her) Da Ihr ein gemeinnütziger Verein seit könnte aber die Sophos UTM Freeversion denkbar sein. Die kostet nix, ist aber auf 50 IP / Firewall beschränkt. Allerdings hast Du da unendliche Möglichkeiten. Ich habe mein kpl. Netzwerk zuhause mit Unifi aufgebaut (WLAN, Kameras, CK2plus, 24 Ports POE Switche, etc, nur die USG musste weichen obwohl die auch wirklich super ist. Aber letztendlich hat Sie meinem Anforderungsprofil doch nicht gereicht.


    Egal wie, die Investition , die bei Euch dann doch einiges Sein wird ist vollkommen gerechtfertigt da es einfach läuft.

    Danke auch euch beiden!

    Ja, das liebe Geld ist hier wirklich das Problem... Insgesamt stehen mir, wenn ich Glück habe 5000 zur verfügung... Habe es mal für alle durchgerechnet (wie in meiner Überlegung) und komme auf knapp 6000, ohne Arbeitszeit, Kleinteile und ggf. Fremdfirmen zum Kabel legen usw.

    Die Leitungen sind leider unterschiedlich, aber ein Failover ist auch nicht schlecht. Vielleicht kann man das auch anders lösen, dass die zweite Leitung bestehen bleibt und alle Klienten darüber laufen mithilfe einer Route im USG. Das kann ich dann aber sehen. Failover klingt aber schon akzeptabel für mich. Sofern eine Bandbreitenbegrenzung möglich ist, damit die Klienten nicht alles leer ziehen.

    Bandbreitenbegrenzung geht wunderbar und funktioniert top. Aber irgendwas über eine Route auf WAN 2 laufen zu lassen, keine Chance. Die USG kann (leider) kein policybased routing ohne an diversen configfiles rum zu pfuschen und davon rate ich dringend ab. Zu einem ist das verschwunden wenn ein update eingespielt wird und zum anderen ist das meiner Meinung nach eine Krüppellösung. Du kannst die Bandbreite aber wunderbar pro Netzwerk einstellen, das ist sehr gut gelöst.

    Achso, das mit der Route war nicht über WAN2 gedacht, ich dachte vielleicht lasse ich an der einen Leitung (die auch kleiner ist) die FB dran, lege ich auf einen Port am Switch, und leite das gesamte Netz der Klienten einfach auf die FB. Sofern die FB da mitspielt. Dann können die sich gegenseitig den Traffic klauen. Ich dem Haus würde das auch lohnen, denn der Klienten-Anteil ist deutlich größer als in den anderen Zweigstellen (bitte nicht fragen warum... :face_with_rolling_eyes:) Sorry da habe ich mich unklar ausgedrück vorhin.

    Das wird nicht wirklich klappen, Unifi ist da mit dem USG etwas rigoros :smiling_face: Der sagt entwerder alles über mich oder gar nicht. Wenn doch ist es auch eine Krüppellösung die ich nicht empfehlen würde. MAch doch einfach eine Bandbreitenbeschränkung auf dem Klientelnetzwerk und gut ist. DIe 2. Leitung als Failover und Du hast Ruhe.

    Du kannst das entsprechende json file bearbeiten, ist aber kein von Unifi unterstützter Weg. Ich würde da auch die Finger weglassen...Deswegen habe ich auf die Sophos UTM zurück gegriffen, die macht das egal wie Du es willst.

    Na gut, mir reicht es, wenn es einen Failover gibt, wir haben eine 100k Anbindung und eine 50k. Dann ist die 50k halt nur Backup und alles ist tutti. Auf der 50k läuft aktuell auch das VOIP... da müsste ich dann mal mit dem Anbieter sprechen wie wir das lösen, aber das ist ja alles machbar. Die Leitungen sind zwar beim gleichen Anbieter, laufen aber über unterschiedliche KVMs die wieder Rum über unterschiedliche Hardware und ein anderes Glasfaser laufen. Ist nicht ideal, aber das beste was ich rausschlagen konnte bei meinem Chef... Der würde am liebsten alles so lassen wie es ist, damit es nichts kostet. Nur ich stehe jedes Mal wieder da und sehe, dass sich irgendein Klient umgesteckt hat, weil er auf dem anderen Port eine bessere Leitung hat... klar liegt auch die 100k Leitung... Und ja, Absicherung gibt es keine! Noch nicht... jeder kann da walten und schalten wie er will...

    Zitat von Applehorsti

    Du kannst das entsprechende json file bearbeiten, ist aber kein von Unifi unterstützter Weg. Ich würde da auch die Finger weglassen...Deswegen habe ich auf die Sophos UTM zurück gegriffen, die macht das egal wie Du es willst.

    Ich habe kein Problem damit, die Konfiguration via SSH oder auch via JSON Files zu machen. GUI ist natürlich schöner. Wenn es funktioniert ist ja gut, nur wenn jedes Update das zerschießt ist natürlich doof. Und wenn die GUI dann ggf. da auch noch drin umbastelt hat man ein Problem. Das sehe ich ein. Ich muss da dann erstmal überlegen was genau mir wichtig ist und ich denke, die zentrale Steuerung aller Netze über den Controller und USG sind mir schon recht wichtig, das nimmt mir einiges an Arbeit ab.

    Die Entscheidung zu zwei FB war zum Teil von mir. Die FB an sich nicht, aber die zweite Internetleitung. Ich wollte das Netz im Haus und den Internetzugang im Haus vom Internet des Servers (Hosts) welches alle 10 Zweigstellen versorgt trennen. Damals war für die eine Leitung nur eine 2k Leitung möglich. Eine Aufrüstung war technisch schwierig. Das wollte Chef nicht. Jetzt habe ich ihn aber überreden können auf 50k aufzurüsten und eine neue Telefonanlage mit VOIP zuzulegen.

    • Offizieller Beitrag

    Du könntest nur 1 Wan nutzen und per Unifi Vlan ein anderes netz einbauen. Und die Telefon FB als normale Telefon Leitung nutzen nicht als Wan.


    Vlan 1 : Computer

    van 2 : Server

    van 3 : Telefon


    und per Firefwall Alles sperren.


    FB Telefon wird als Normale Client weiter geleitet. Und Wan1 wird alles gefiltert.


    Ansonsten würde ich irgend wie auf Pfsense oder so setzten.. Werden die VOIP per Sip angemeldet? Tekeom?

    Ist schon etwas älter, aber ich habe mal meinen Plan, den ich damals gezeichnet habe herausgesucht.

    Der Bildet jetzt nur die Serverstruktur ab.


    Ziel soll es sein, ein VLAN nur mit den Servern und der Backup-Struktur (ggf. die auch noch rausziehen).

    Ein VLAN nur die PCs der Mitarbeiter in dem Haus.

    Ein VLAN mit dem WLAN für die Klienten und ggf. LAN für Klienten.

    Ein VLAN nur VOIP Telefone (sofern überhaupt möglich)

    Manchmal sollen Klienten auch drucken können, kann sein, dass noch ein VLAN mit öffentlichen Druckern dazu kommt welches dann von Klienten und Mitarbeitern erreichbar sein soll, das ist aber Zukunftsmusik.


    Das VOIP hat eine Fremdfirma eingerichtet. Aber ich denke ja, wir haben SIP Zugangsdaten vom Anbieter erhalten, die Telefonanlage (AGFEO ES 546, wenn ich es richtig im Kopf habe) ist dann per LAN an die FB angeschlossen und nimmt sich von da automatisch die Leitungen.


    Edit: Achso an der unteren FB (im Bild) hängt dann noch eine FB die über den LAN 4 angeschlossen ist damit die Klienten im Gast-Lan unterwegs sind :thinking_face:

    • Offizieller Beitrag

    Moin was ist Zeus?


    Man könnte es so lösen via Vlan.


    Wenn Computer z.b ins vlan 2 müssen dann könnte per man MAC frei schalten damit sie Kommunizieren können.


    Telefon wäre eine eigende Leitung. Die server würden über haupt Leitung gehen und alle andere geräte bis auf Telefon die würde direkt ins vlan1 ins internet kommen.



    optimale lösung wäre einfach "internet" Server auf zulösen und alles über eine WAN zu schicken. und ggf eine Fritzbox hinter usg setzen und das als reine VOIP zu regeln..


    aktuell ist es sehr verwirrent. Warum müssen die Server und telefon getrennt sein? ist doch beides selbe anbieter? Wenn eins ausfällt fallen beide aus?