Umbau Netzwerk Schule

Zitat von Krea-IT

Wüsste nur nicht wozu solange noch ein USG-Pro 4 vorhanden ist.

Also wenn 120 iPads, 50 Notebooks, 50 Smartphones und 100 Desktop-PCs gleichzeitig ins Netz wollen, wird Deine USG-Pro 4 aber schnell die Hufe werfen. Denn mit der versprochenen "Powerful Firewall Performance" kann es mit einer 1Ghz Dual-Core CPU und 2 GB RAM nicht allzuweit her sein. Interessanter Weise wird ja im Datenbaltt nicht einmal der Firewall-NAT-, geschweige denn so etwas, wie der IPS-Durchsatz angegeben. Das nimm mal lieber die Hälfte Deines Synology-Budgets und kauf (miete) was richtiges. Á propos Synology, was macht man in der Schule mit so einem 4 kilo € Teil?

Zitat von Krea-IT

Ich muss da kein Budget kürzen. Geld ist nicht das Problem.

Ja klar, ist ja nur unser aller Steuergeld ... für € 4.000,-- muss ne alte Frau jedenfalls ziemlich lange stricken.

Zitat von bic

Ja klar, ist ja nur unser aller Steuergeld ... für € 4.000,-- muss ne alte Frau jedenfalls ziemlich lange stricken.

Kann ja auch privat finanzierte Schule sein, das wissen wir ja nicht, bitte denke dir deinen Teil dazu, danke.

Gruß hommes

Zitat von hommes

auch (eine) privat finanzierte Schule

bekommt staatliche Zuschüsse und die kommen woher? Und an sonst mache ich genau das, nämlich mir meinen meinen Teil dazu denken, wenn jemand über von anderen verdientes Geld (gern auch von privaten Finanzies) schreibt, dies "ist nicht das Problem" und dahinter noch ne Grinsefratze klebt. Das ist illoyal gegenüber den Steuer- oder Privatzahlern und zeugt zumindest von Gedanken- und Respektlosigkeit, wenn nicht gar von Überheblichkeit.

Kann natürlich sein, dass ich mich irre und der TE hat es nicht so gemeint, nur dann kann er dies selbst kund tun, da musst Du nicht voreilend als Ordnungsmacht versuchen und mich zurechtzuweisen - das gelingt Dir ohnehin nicht, denn dazu bin ich schon zu lange auf dieser Welt.

Ok? Frieden?

Ich habe vorweggegriffen, wie du sagst, um genau diese Diskussion zu unterbinden. Den letzten Satz hättest du dir auch sparen können, denn das ist das, was ich meine und ab hier mache ich es wie ich es in meinem vorigen Post gemeint habe, ich denke mir meinen Teil.

Gruß hommes

Ps.: Zurück zum Thema hier.

Zitat von hommes

ich denke mir meinen Teil.

Na dann haben wir wenigsten etwas gemeinsam.

Zitat von Krea-IT

Aktuell läuft es ja gerade so. Was empfiehlst du als USG-Pro 4 Ersatz? Etwas in der Unifi Welt? Die neuen Next Gen Gateways?

USG-Pro 4 könnte knapp werden und die Anzahl an Geräten wird eher steigen.

Dann lieber eine UXG-Pro.

UDM-Pro (SE) würde ich abraten, hat (gefühlt) weniger Leistung als USG-Pro 4. Zwar sind die technischen Daten höher, aber die USG ist ein reiner Router ohne die ganzen Zusatzprogramme der UDM. (Hat bei mir nur Probleme gemacht und ist nach einer Woche wieder raus geflogen.)

Weitere Möglichkeit wäre ein EdgeRouter (z.B. ER-6P oder ER-12).

Habe an einer meiner Schulen mit 1.500 Geräten alles getestet und bin jetzt bei einer OPNsense Lösung. Der EdgeRouter lief ohne Probleme, diesem fehlten aber ein paar Möglichkeiten die OPNsense bietet.

Docker auf Synolgy sollte funktionieren, ich persönlich würde mir aber einen (z.B. Debian) Server aufsetzen, z.B. in einer virtuellen Maschine, wenn schon ein Server vorhanden ist.

Zitat von Krea-IT

Ich muss da kein Budget kürzen. Geld ist nicht das Problem.

Durch Fördergelder wie "Gute Schule 2020" und "Digitalpakt" haben einige Schulen, je nach Anforderung und vorhandenen Geräten, einiges an Geld zur Verfügung, welches auch ausgegeben werden MUSS.

Zitat von Krea-IT

Gibt es Einschränkungen beim den Netzwerk-Eigenschaften wenn man das über ein Lokalen Controller + USG-Pro 4 hostet? VLANs etc?

Nein, da der Controller ja nur für die Konfiguration der Geräte zuständig ist. Die VLANs laufen ja auf den Switchen.

Zitat von bic

Ja klar, ist ja nur unser aller Steuergeld ... für € 4.000,-- muss ne alte Frau jedenfalls ziemlich lange stricken.

Ganz ehrlich, was sind schon 4.000€ in diesem Bereich. Viele Schulen werden z.B. komplett mit Digitalen Tafeln, z.B. SmartBoards, ausgestattet. Da reden wir von 8.000€ - 10.000€ Pro Gerät x 20-30 Klassen und die Geräte müssen nach 5-8 Jahren erneuert werden.

Zitat von Krea-IT

Ja sorry das Budget hier nicht das Thema ist.

Ich würde mich gar nicht rechtfertigen. Führt nur zu unnötigen Diskussionen.

Zitat von Krea-IT

Ich gebe jetzt für ein Server, der so gut wie keine Wartung benötigt, Kinderleicht zu bedienen ist und ca 128 GB RAM, 4x8 TB Speicherplatz hat und ne 10 Gig Netzwerkkarte und 3 Jahre 24h Stunden Vollausstausch (inkl. HDDs) ...

Dann würde ich dort den Controller virtualisieren, so ist dieser auch leicht erweiterbar. Weitere Tipps findest Du HIER (UniFi - How to Tune the Network Application for High Number of UniFi Devices).

Docker (bzw. Linux Container) und virtuelle Maschinen sind grundverschiedene Dinge.

Um einen einzelnen Prozess/Service zu betreiben, der kein UI hat und über das Netzwerk angesprochen wird, ist ein Container die effizientere Variante.

Also ich würde dir auch zum UXG Pro raten in Verbindung mit dem Controller als LXC, das hat definitiv mehr Performance als ne UDM SE bei den Anzahl an Clients und UI Geräten. Außerdem hast du den Vorteil, dass du immer skalieren kannst!

Wenn du keine Dinge wie Protect oder so nutzt, wäre das meine erste Wahl.

Zitat von Krea-IT

Kurz mal ne Hintergrundfrage. Dachte immer Docker ist da besser auf Grundlage der eingesetzten Ressourcen . Ist eine VM so überlegen gegenüber Docker? Wenn ich eine VM mache auf einem Synology muss ich da extra nochmal lizenzieren bzw für VM-Backup-Replikation noch ein Cluster aufmachen. Sind die Unterschiede bei Docker und VM gravierend?

Beides hat Vor- und Nachteile. Bei mir ist es eher historisch bedingt, da ich vor Jahren, als ich den Controller installiert habe, noch wenig Erfahrung mit Docker hatte. Weiterhin habe ich einige Dinge gerne getrennt um beim Fehlern, Wartung, Erweiterung, etc. flexibler zu sein. Dies ist mit Docker natürlich auch möglich und nur meine persönliche Meinung / Vorgehensweise. Es hängt natürlich auch mit Deinen Fähigkeiten zusammen, für welche Variante Du Dich entscheidest.

Zitat von Krea-IT

Lassen sich die Edge-Systeme in ein Unifi-Umgebung (wenn auch passiv out of the Controller) integrieren? Hab mit der Edge Reihe bis jetzt kaum Erfahrungen.

Die Edge-Reihe ist eine eigene Produktschiene von Ubiquiti und lässt sich nicht in UniFi integrieren. Der Edge ist ein reiner Router, funktioniert aber problemlos mit UniFi und bietet mehr Möglichkeiten bei der Konfiguration als z.B. eine UDM-Pro, ist aber nicht so intuitiv. Auf der anderen Seite funktionieren einige Dienste, die es im UniFi-Controller gibt, nicht ohne ein UniFi-Gateway. Beispiel wäre der DHCP-Server, dieser kann aber auf dem Edge laufen.

Ich bin vom EdgeRouter zu OPNsense gewechselt, da ich an Schulen weitere Funktionen wie Jugendschutz-Filter etc. benötige. Weiterhin läuft das Gastportal von OPNsense besser als das von UniFi.

Weiterer Vorteil ist, dass ich OPNsense auf (fast) beliebiger Hardware installieren kann und und diese in der gewünschten / benötigten Hardwareausstattung konfigurieren und erweitern kann. USG-4 und UXG-Pro waren von der Hardware bei mir nicht ausreichend.

Zum Thema Synology:

Was hast Du denn genau vor? Welche Server-Dienste, außer Synology, willst Du bereitstellen?

128GB RAM und 32 TB bzw. 24 TB bei RAID 5 sind schon eine Hausnummer. Auf deren anderen Seite finde ich die Verteidigung von RAM zu CPU etwas unausgewogenen und es sind keine SSDs vorhanden.

Ich würde Server und Synology trennen. Alles auf einem Gerät laufen zu lassen ist keine gute Idee. Wie sieht es denn mit Backups aus? Hast Du ein zweites NAS für Deine Backups?

Besser wäre vermutlich:

• Server für Virtualisierung, z.B. mit ESXi oder Promox und SSDs und HDDs.
• Ein "kleineres" Synology für die Synology-Dienste mit SSDs.
• Zweites Synology / NAS nur für die Backups des Servers und des "Produktiv"-NAS. Hier können auch normale HDDs verwendet werden.

Zitat von Krea-IT

Huhu. Du hattest meine Antwort darauf leider ignoriert.

Selber Huhu. Und woher willst du denn eigentlich wissen, ob ich nun Deine Antwort ignorierte oder nicht? Daraus, dass ich darauf nicht geantwortet habe, sicher nicht. Ich wüsste auch nicht, was ich dir darauf antworten sollte, denn Du hast ja am Ende lediglich erklärte, wessen fremdes Geld Du ausgibst und das andere noch mehr fremdes Geld ausgeben oder gar verfallen lassen (als wenn dies eine Entschuldigung wäre). An meiner Meinung in der Sache ändert dies jedoch nichts und dies kennst Du ja - was soll ich diese wiederholen?

Zitat von Krea-IT

Was würdest du den nehmen? Auch ein UXG-Pro? Oder anderen Hersteller?

Letzteres. Zwar nennt sich die UXG-Pro "Next Generation Firewall" und kann zwar auch DPI und IDS/IPS, aber das war es dann auch schon. Keine Rede von Emai-Protection, Web Security and Control, Application Control, Web-Malware-Protection, Zero-Day-Schutz und den ganzen vielen anderen Kram, welche heutzutage eine NGFW können sollte. Auch ist dem Gemischtwarenladen Unifi kaum zuzutrauen, das alles dann auch noch tagesaktuell zu halten. Dazu kommt dann auch noch dass, auch die UXG-Pro immer noch ziemlich schwach auf der Brust ist, SSL-Inspektion dürfte die nicht können.

Bei den heutigen Sicherheitsanforderungen (oder besser Gefahrenlage), vielleicht 400 experimentierfreudigen Schülern, 100 Lehrer-Daus und der damit einhergehenden Haftungsgefahr (Du wirst kaum meinen können, als Verantwortlicher bei einem erfolgreichen Cyberangriff ungeschoren davon zu kommen) würde ich auf ein Sicherheits-Gateway eines spezialisierten Anbieters setzen - welchen, das fällt Dir als ITler sicher selbst ein

bic

Ich würde dich bitten, deine Art und den Umgang mit den anderen Mitgliedern auf eine sachliche Ebene zu beschränken, Danke! Es geht hier um Informationsaustausch und ansonsten nichts.

Zitat von defcon

Ich würde dich bitten, deine Art und den Umgang mit den anderen Mitgliedern auf eine sachliche Ebene zu beschränken, Danke! Es geht hier um Informationsaustausch und ansonsten nichts.

Ich muss hier zustimmen. In anderen Posts waren die Antworten von bic sachlicher und thema-dienlich. Hier geht vieles unter die Gürtellinie und hat überhaupt nichts mit dem Thema zu tun. Krea-IT hat ordentliche Fragen gestellt und die verdienen ordentliche Antworten!!!

Hierzu noch mein Beitrag:

1. Meine Kinder gehen auch auf eine Privatschule. Und je nach dem wie der Träger aufgestellt ist, wie Spendengelder fließen und wie willig die Schule ist, gibt es eben mal mehr und mal wenig Budget für IT. Das hat weder etwas mit öffentlichen Mitteln zu tun, welche hier mal gesagt, noch mit Verschwendung dieser Mittel. Es sollten eigentlich in Deutschland noch mehr Mittel zur Verfügung gestellt werden. Und Hochachtung dafür, dass es Schulen gibt, die technisch vorwärts gehen wollen.

2. Die Docker Variante sollte eigentlich funktionieren. Ich würde aber vom Router her nicht unbedingt bei Unifi landen wollen, wenn es solchen Größen annimmt. Meine Empfehlung geht hier eher zu einem Server oder Mini PC mit einer PfSense oder OpnSense Firewall. Der Controller könnte dort auch auf der OpnSense selbst laufen, oder eben also Docker auf der Synology.

3. Ich halte die gewählte Synology für sehr gut geeignet und wurde auch bereits bei Synology Live Events, welche Erfahrungsberichte von Nutzern (eben Schulen!!!) geschildert hatten, eingesetzt. Ich gehe davon aus, dass hier evtl. der datenkonforme Chatclient, evtl. Mailserver und der Fileserver laufen, wo die Schüler/Lehrer ihre Dokumente ablegen und aus der Ferne zugreifen können, was dann eben nicht in der Cloud ist, sondern direkt in der Schule. Gleichfalls sehe ich hier den Einsatz der Synology bei VM's/Docker Containern/evtl. VPN Server/Radius Server/evtl. Synology Office/Synology Drive und so weiter. Die Datenkapazität muss halt für Schüler und Lehrer bereitgestellt werden und auch der RAM geht für mich in Ordnung.

4. Eine sehr schöne Seite ist hier. Ich habe diese Seite benutzt, um privat von der Unifi UDM Base auf eine OpnSense Firewall umzuziehen. Der Controller läuft auf meiner DS918+ im Docker. Ich denke für Krea-IT könnte das Konzept etwas sein. So kann das Modem, die Synology und auch der Controller und die Unifigeräte weiter verwendet werden.

Zitat von usr-adm

Zum Thema Synology:

Was hast Du denn genau vor? Welche Server-Dienste, außer Synology, willst Du bereitstellen?

128GB RAM und 32 TB bzw. 24 TB bei RAID 5 sind schon eine Hausnummer. Auf deren anderen Seite finde ich die Verteidigung von RAM zu CPU etwas unausgewogenen und es sind keine SSDs vorhanden.

Ich würde Server und Synology trennen. Alles auf einem Gerät laufen zu lassen ist keine gute Idee. Wie sieht es denn mit Backups aus? Hast Du ein zweites NAS für Deine Backups?

Alles anzeigen

Hat er weiter oben schon mal geschrieben, Domaincontroller, VMs, Drive, Backups, File Server, Images ausrollen, Backup for Business etc.