2 Standorte mit WLAN versorgen

Es gibt 3 Antworten in diesem Thema, welches 1.999 mal aufgerufen wurde. Der letzte Beitrag () ist von usr-adm.

    Hallo zusammen,

    folgendes kleines Projektchen haben wir vor:

    2 Firmenstandorte sollen mit WLAN ausgerüstet werden. Das WLAN ist unabhängig vom Firmennetz und soll den Kollegen für die private Hardware zum Surfen etc. dienen.

    Meine bisherige Idee:

    • VDSL-Anschluss mit fester IP, bekommen wir von der Firma automatisch, vermutlich beide Standorte jeweils mit 100mbit hoch, Upload keine Ahnung, werden wohl 40 oder 30mbit werden.
    • Router ist standardmäßig ne Fritzbox 7590.
    • eine UDM pro als Controller, Firewall etc. an jedem Standort
    • Authentifizierung der Kollegen mittels Radius
    • Unifi PoE-Switch zur Speisung der APs
    • irgendwelche APs, erstmal wohl um die 5 pro Standort

    Eine Kommunikation der Endgeräte vom einen Standort zum anderen ist eigentlich nicht notwendig. Auch ist keine Nutzung eines NAS oder ähnlichem geplant, insofern sehe ich die reine Geschwindigkeit vom AP zum Endgerät als unkritisch an.

    Schön wäre es, wenn ich eine Radius-Tabelle hätte, um nicht die Daten zwei Mal pflegen zu müssen, da die Kollegen von Standort 1 auch das WLAN am Standort 2 nutzen können sollen und umgekehrt.


    In einem anderen Forum kam die Frage auf, warum ich nicht die beiden Standorte per VPN verbinde und nur eine UDM nutze. Grundsätzlich keine schlechte Idee, aber was passiert, wenn der eine Standort mit der UDM warumauchimmer mal nicht erreichbar ist, können sich dann die Kollegen noch am anderen Standort authentifizieren?

    Das würde aus meiner Sicht auch bedeuten, dass ich ein Management-VLAN anlegen müsste, worüber die Unifi-Komponenten miteinander reden, aber die Clients über ein anderes VLAN laufen lasse, damit deren Traffic nicht erst vom einen Standort zum anderen läuft um dann ins öffentliche Netz zu gehen, oder? Ließe sich sicherlich auch über Routingtabellen lösen, aber das erscheint mir alles sehr komplex für eine eigentlich simple Aufgabe.

    Wie man möglicherweise gemerkt hat, ich bin nicht der absolute Netzwerk-Pro, aber ich lerne grundsätzlich gerne dazu. Auf der anderen Seite spricht aus meiner Sicht vieles dafür, das ganze Projekt nicht allzu komplex zu gestalten.

    So, jetzt freue ich mich, von euch etwas Input zu meinen Überlegungen zu erhalten.

    Ich bin, auch wenn der Ort hier vielleicht dafür nicht ideal ist, übrigens nicht zwangsläufig auf UI festgelegt. Wenn jemand ne andere gute Empfehlung hat, dann bin ich da auch offen.


    Vielen Dank für eure Unterstützung!

    • Offizieller Beitrag

    Guten Abend kermit_t_f , herzlich willkommen an Bo(a)rd und Glückwunsch zu Deinem ersten Posting.


    Ich für meinen Teil werde Dich hier nicht verteufeln, nur weil Du auch für andere Lösungen offen bist.

    Allerdings kann ich Dir mangels Erfahrung keine anderen Geräte empfehlen.


    Nun aber zu Deinem Vorhaben:

    Da ich nicht weiß, ob es soetwas wie Auto IPsec VTI wie bei mir (siehe Signatur) auch bei den UDMs gibt, kann ich Dir nicht sagen, ob Du beide UDMs in einem Controller verwalten und dann schön via VPN verbinden kannst. Was ich bisher gelesen habe lässt sich eine UDM in keinem anderen Controller als dem "eingebauten" verwalten. Damit wird das mit dem VPN etwas aufwändiger, falls Du keine statischen öffentlichen IPs bekommen / haben solltest.

    Um das Thema mit der Anmeldung und Authentifizierung via RADIUS von einem zum anderen Standort "mitnehmen" zukönnen bedarf es einer gemeinsamen (externen) Datenbasis, denn ich denke nicht, dass die UDMs diese Informationen untereinander austauschen können --> separater Service müsst dafür bereitgestellt werden (online oder on-premise). Falls Du das on-premise hosten solltest, dann empfehle ich unbedingt eine VPN-Verbindung zwischen beiden Standorten, z.B. via WireGuard auf einem RasPi oder eine beliebige andere Lösung, um die Informationen auszutauschen.

    Da Du hinter der FB eine UDM nebst UniFi PoE-Switch zur Speisung der UniFi-APs betreiben möchtest, könntest Du an den Standorten jeweils das Standard-LAN für Verwaltungszwecke beibehalten und die z.B. RasPis in ein eigenes VLAN mit jeweils unterschielichen IPs packen, um dann hierüber die RADIUS-Daten auszutauschen. Du könntest einen solchen Service mit Sicherheit auch auf eben jenen RasPis oder auch anderen Geräten betreiben. Ein eigenes Windows-AD wäre mir für diesen Zweck zu fett.

    Ein zusätzliches pi-hole (watt 'ne geile Erfindung :smiling_face: ) könnte auch noch einiges an Traffic "sparen", auch wenn das vielleicht nicht direkt im Fokus ist.

    Du könntest das WLAN möglicherweise sogar als GAST-Netzwerk erstellen, wobei ich nicht weiss, ob da / dann RADIUS noch funktioniert.


    Just my 2 cent...

    Danke für die nette Begrüßung!

    Ich stelle fest, dass ich mich scheinbar etwas missverständlich ausgedrückt habe. Wenn eine VPN-Verbindung besteht, dann mit dem Sinn, nur eine UDM einzusetzen. Genau dann wäre aber die Frage, ob sich noch ein Benutzer im Netz anmelden kann, wenn die UDM mal nicht erreichbar sein sollte.


    Das Firmennetz wird völlig unabhängig vom WLAN bleiben, da gibt es keine Verschneidung.

    Eine eigene AD etc. will ich nicht aufbauen. Mir wäre es am liebsten, doof gesagt, es gibt eine zentrale User-DB, wegen mir bei UI in der Cloud, der sich die eine oder beide UDMs bedienen und ich kann die Nutzer per CSV rein oder raus kriegen.

    Die zentrale Frage für mich ist derzeit, ob zwei völlig getrennte Netze an den beiden Standorten mit zwei UDMs, oder eine Verbindung über VPN?

    Da ich bisher gar keine Erfahrung mit UI habe, die nächste doofe Frage: Die Administration läuft doch über die Cloud, oder? Und da kann ich mehrere UDMs verwalten?

    Wie viele Mitarbeiter sollen denn das WLAN nutzen?


    Die UDM-Pro macht eigentlich nur Sinn, wenn Du auch UniFi-Access Points verwendest.


    Für Deinen Wunsch gibt es viele verschiedene Wege.


    Evtl. wäre auch der folgende Weg eine Möglichkeit, wenn es ohne VPN funktionieren soll. (Abhängig von der Mitarbeiterzahl)


    UDM-Pro an einem Standort. UniFi Access Points an beiden Standorten. Die UDM-Pro-Firewall so konfigurieren (Port Freigabe), dass die APs vom entfernten Standort den Controller über das Internet erreichen können. Somit kannst Du die APs und SSIDs zentral verwalten.


    Anstatt dem Radius-Server könntest Du auch mit MAC-Filter arbeiten. Hierbei kannst Du den WLAN-Key rausgeben, dieser bringt aber nichts, wenn die Mac-Adresse nicht hinterlegt ist. Anstatt einen Benutzer im Radius einzutragen, trägst Du einfach die Mac-Adresse ein, die Zugriff erhalten soll. Genauso kannst Du den Zugriff auch wieder entziehen.


    Somit sparst Du Dir den Radius-Server, VPN und weitere Hardware.


    -----------


    Alternativ: UDM-Pro auf einer und ein Edge-Router auf der anderen Seite. Site-to-Site VPN und ein zentraler Radius-Server, z.B. ein Synology NAS.


    Grundsätzlich würde es auch ohne VPN funktionieren, da Du den Controller und auch den Radius-Server über das Internet erreichbar machen könntest, diesen Weg würde ich aber nicht empfehlen.



    Zitat

    Ich stelle fest, dass ich mich scheinbar etwas missverständlich ausgedrückt habe. Wenn eine VPN-Verbindung besteht, dann mit dem Sinn, nur eine UDM einzusetzen. Genau dann wäre aber die Frage, ob sich noch ein Benutzer im Netz anmelden kann, wenn die UDM mal nicht erreichbar sein sollte

    Wenn Du mit Radius arbeitest, dann nicht. Ohne Radius ist es kein Problem.


    LG

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Gefällt mir 1