Project "UDMPro ersetzen mit OPNSense" - es stockt etwas

Hallo,

Der Plan war eigentlich, meine Urlaubstage zwischen den Feiertagen zu nutzen, um meinen heiß geliebt UDMPro in Rente zu schicken und durch eine funktionierendes System zu ersetzen.

Geplant war erst auf PfSense zu setzen, nach einer Unterhaltung mit einem Kollegen bin ich aber zu OPNSense geschwenkt, da diese als Fork von PfSense hier in Europa weiter entwickelt wird ( Niederlande / Deutschland ) und in meinen Augen auch das moderne Design hat.

Zudem bietet OPNSense einen weiter aus tiefere Einbindung der Community was Modulentwicklung usw. angeht. Da ist Netgate als kommerzielles Anbieter der PfSense-Produkte deutlich konservativer, um n

Stand: OPNSense ist soweit installiert und konfiguriert bis auf diverse Firewallregeln, die ich erst im Betrieb machen werde.

Geplanter nächster Schritt war nun, die Netzwerkgeräte aus dem UDMPro Controller zu löschen und auf einen Linux-basierten Software-Controller zu verlagern. Und genau an dem Punkt hat mit Unifi wieder mal einige Fallstricke geboten.

- Einspielen des Backups von der UDMPro auf das linux-System hat wiederholt nicht funktioniert.

- Löschen der Geräte in der UDMPro und import auf dem neuen Controller - schlägt jedesmal fehl, die UDMPro bindet die Geräte nach kurzer Zeit wieder neu ein.

( vermutlich weil der Linux-Controller im anderen VLan hängt und ich bekomme den da gerade nicht raus )

Also werde ich die harte Tour machen:

Ich lösche alles von der UDMPro und schalte das Teil dann aus, der Linux-Controller wird dann eben auf einem RaspberryPi laufen, packe den ins Management-VLAN.

Ich musste allerdings noch ein paar Teile nachbestellen musste die heute oder morgen geliefert werden ( ordentliche Gehäuse, SSD ). Da dies nur eine temporäre Lösung sein wird und ich den RasPi4 später für was anderes nutzen werde ( Server für 3D-Drucker), baue ich den direkt richtig auf, daher auch mit SSD statt SDCard und einem entsprechenden passendem Metall-Gehäuse.

Es bleibt spannend.

Blöde Frage Tuxtom. Wenn es, wie es dein Nickname schliessen lässt, ein Linux-Fan bist, warum frickelst du dir nicht das was du brauchst mit Linux zusammen? Das ist doch die Paradedisziplin für Linux was die UDM-P macht.

Oder nimmst gleich Freebsd, was meines Wissens die Pfsense-Jungs benutzen. Freebsd ist noch recht "einfach" und Hardwarefreundlich.

Zitat von mbe

Blöde Frage Tuxtom. Wenn es, wie es dein Nickname schliessen lässt, ein Linux-Fan bist, warum frickelst du dir nicht das was du brauchst mit Linux zusammen? Das ist doch die Paradedisziplin für Linux was die UDM-P macht.

Oder nimmst gleich Freebsd, was meines Wissens die Pfsense-Jungs benutzen. Freebsd ist noch recht "einfach" und Hardwarefreundlich.

Könnte ich, aber warum soll ich mir was zusammenfrickeln, was es schon fertig und sicherlich aus ausgereift und besser gibt

Wesentlich teurer hast du vergessen

Zitat von mbe

Wesentlich teurer hast du vergessen

Hardware hätte ich für beides benötigt und die OPNSense / PfSense ist frei verfügbar - selberbauen hättte mich viel Zeit gekostet, das ja

Nächster Schritt erfolgreich erledigt:

Switche und Access-Points werden nun nicht mehr von der UDMPro verwaltet, sondern von Controller auf einem RasPi.

Das war ein Krampft, die da rüber zu bekommen.

Zitat von hYtas

Warum nutzt du den Pi und nicht Proxmox?

Ich hab die Geräte nicht auf dem Proxmox angemeldet bekommen, vermutlich weil der im anderen VLan hängt und bevor ich da jetzt lange rumbastel, hab ich einen RasPi genommen, den in VLan 1 gehangen und gut ist - ist eh nur eine Übergangslösung.

War auch der einzige Pi, den ich noch rumliegen hat, sogar ein 4er - aber brauche ich demnächst wieder für meinen 3D-Drucker, daher auch direkt eine ordentliches Gehäuse + SSD da drin.

Gefühlt ist das Dashboard auf dem PI dreimal schneller als auf der UDMPro

Jetzt dümpelt die UDMPro mit sich selber rum

Hallo,

eigentlich war ich sicher, das der Umzug meiner Geräte auf den neuen Controller erfolgreich war, bisher funktionierte ja alles einwandfrei.

Jetzt gerade aber hab ich ein komischer Verhalten. Ich habs MacBook vom Netzwerk getrennt und wollte per WLan rein, aber das MacBook bekommt in alle 3 WLan's keine Zugang mehr ( kein DHCP ). Einzig das Gäste-WLan geht.

iPhone funktioniert einwandfrei, genauso auch mein FireTV-Stick am TV, beide haben WLan und funktionieren, auch die Amazon-Echos haben WLan.

Werde mir heute Abend mal ansehen müssen, was das wieder ist.

EDIT: keine Ahnung was die Ursache war, einfach mal freundlich alles rebootet und schon geht es wieder.

Zitat von uboot21

Hallo Tuxtom, ich habe mir für Proxmox eine zusätzliche 4 Port LAN Karte gekauft.

Den Standard Port des PC habe ich VLAN tauglich gemacht ("All" mit Angabe der VLAN Nummer im Proxmox Container), 2 Ports habe ich mir Fest auf ein VLAN aufgelegt, hier kann ich den Servern direkt das LAN über die Hardware zuordnen und 2 Ports habe ich genau für diesen Zweck wie PFSense nur für diesen frei gegeben. So habe ich 2 feste Ports als WAN und LAN nur für die Pfsense (allerdings nutze ich die PFSense noch nicht als Alternative zur UDMPro, ich spiel nur damit rum ab und zu)

Das kommt später, in meinen IntelNUC kann ich keine LAN-Karte einbauen - passt nicht rein

Ich werde den Proxmox eh auf neue Hardware verschieben, entweder das gleiche System wie ich schon für OPNSense gekauft habe, dann mit i7 oder ich kauf mir einen gebrauchten, generalüberholten Tower-Server.

Das weiss ich allerdings noch nicht, kommt erst später.

Nachdem ich beruflich bedingt wenig Zeit und Muse hatte, das OPNSense Thema weiter anzugehen, ist es nun vollbracht.

Derzeit steht der OPNSense Rechner noch auf meinem Schreibtisch und ist direkt an der FritzBox ins LAN eingeschleift, die UDMPro rausgepatcht im Serverrack. Das baue ich am Wochenende noch richtig um.

Bandbreite aktuell 874 MBIt/s bei einer 1000 Kabelinternet Leitung, das passt für diese Uhrzeit sehr gut.

Noch offene Punkte:

- IPv6 für die VLan ist noch nicht komplett fertig, da weiss ich noch nicht ob einen eigenen DHCPv6 aktiviere

- Austausch PiHole gegen AdGuard, AdGuard läuft dabei direkt mit auf der OPNSense und kann deren Unbound nutzen. Installation ist bereits erfolgt, nur die Konfig fehlt noch und die entsprechenden DNS-Einträge im DHCP. Das will ich aber erst mal einige Zeit testen, früher hat mir AdGuard nicht so zugesagt.

- Feinschliff bei ben Firewall-Regeln, mal sehen was so alles geblockt wird im Log.

- testen ob alles weiterhin funktioniert und ins Internet darf oder auch nicht-darf.

Und weiter geht die Reise:

- IPv6 konfiguriert, Prefix-Delegation vom WAN aktiv, DHCPv6-Server auf allen VLAN aktiviert und eingerichtet

- schon die ersten Host mit static IPv6 versehen

- Adguard upgedatet und konfiguriert aber noch nicht aktiviert

- NTP-Server konfiguriert und aktiviert, wird bereits per DHCP verteil und einige Clients haben sich schon angemeldet

- Kleine Konfigfehler beseitigt, man sollte kein "Static-ARP" aktivieren und sich wundern, warum das Firmennotebook zwar IP usw. bekommt aber nirgendwo hin darf - klassisch ausgesperrt. Besser als jeder MAC-Filter

Ich muss sagen, OPNSense läuft super, der Rechner langweilt sich aktuell, obwohl ich bereits diverse Blocklisten und GeoFilter aktiv habe.

letztes Update:

- OPNSense läuft seit Inbetriebnahmen absolut stabil, gestern noch ein Update auf die neue Version 22.1 durchgeführt

- IPv6 DHCP konfiguriert per PrefixDelegation auf allen VLAN's

- NTP-Server wieder von Chrony auf ntpd umgestellt, weil ntpd als Widget für das Dashboard verfügbar ist und zudem den Anschluss von GPS oder DFC77-Receivern ermöglich, letzteren will ich noch testen.

Und ein NTP-Server der funktioniert

- Monitoring per Prometheus Exporter eingerichtet, Daten werden später mit Grafana dargestellt - warum kann Unifi das nicht, ist sowas von lächerlich.

- Wake-On-Lan Modul eingerichtet, damit lässt sich meine NAS direkt per Dashboard einschalten

- Unbound-DNS aktiviert in Verbindung mit meinen vorhandenen PiHoles, Umstellung auf Adguard muss ich mir noch mal überlegen, PiHole ist mir einfach sympatischer

- NGINX Proxy eingerichtet inkl. Lets-Encrypt Certifikate

- WireGuard eingerichtet

- DynDNS eingerichtet - 1 min Konfigaufwand, Dienst gestarttet und funktioniert ( mit No-IP.com )

- MDNS Repeater für alle Netze aktiviert

- 2FA Authorisierung für User-Account aktiviert

- LACP vorbereitet, das spielt der unifi-Switch nur noch nicht mit.

finale Aktion:

- UDMPro ist offline und ausgebaut, die wird noch resettet und dann geht die in den Verkauf

NRG Systems IPU882 System, 32 GB Ram, 240 GB SSD, 8 x 1GBit LAN

war das einzige System, was zu dem Zeitpunkt lieferbar war, auch wenn es nicht die aktuellste Hardware ist, der läuft extrem stabil und wird kaum warm

- LACP nun auch aktiviert, war total entspannt und ohne Unterbrechungen.

Am Switch zur OPNSense ist nun

Port 1 = Admin LAN für das Unifi-Zeug

Port 2-4 = Link-Aggregation mit alle VLAN's und eigenes Port-Profil

Es geht weiter:

- Grafana Dashboard gebaut und per Telegraf-Agent Datenübertragung von der OPNSense in meine InfluxDB eingerichtet.

Für ersten Step noch mal brauchbar, aber da ist weit aus mehr möglich