Standleitung auf einzelne Ports splitten

Es gibt 24 Antworten in diesem Thema, welches 9.595 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

    Hallo Leute,


    ich bin im Unifi Game noch blutiger Anfänger und dementsprechend noch recht ratlos.

    An Hardware habe ich eine USG-Pro-4 und ein US-24 Switch. Diese konnte ich schon miteinander verbinden und über meinen auf dem Mac gehosteten Controller Online bringen.


    Die Aufgabe ist nun folgende. Wir haben eine Standleitung der Telekom mit 255 festen IP Adressen. Nun soll es möglich sein, eine Adresse genau auf einen Ausgang des Switches mit gewissen Portfreigaben zu routen. Meine Idee war nun, die Standleitung in den WAN Port zu stecken und aus dem Lan Port in den Switch zu gehen.


    Final soll also z.B. an Ausgang 1 des Switches nur die IP Adresse x.x.x.10 mit den Ports x, y, z anliegen und an Ausgang 2 dann die nächste Adresse mit entsprechenden Ports usw.


    Mir ist glaube ich die Aufgabe des USG-Pro-4 noch gar nicht so recht klar, da werde ich jetzt auch nochmal recherchieren.
    Ich hoffe ihr könnt mir bei meinem Anliegen helfen.


    Julian

    Hallo Julian,


    also nach meine Grundlegenden Verständnis von Unifi müsstest du 255 Netzwerke anlegen, entsprechende Firewallregeln schreiben die halt alles droppen bis auf die zugelassenen Ports und dann an jedem Switchport das Netzwerkprofil hinterlegen.

    So grob zusammen gefasst, jetzt kommen wir aber mal zum Eingemachten.


    Ersten bist du dir sicher dass ihr 255 feste IPv4/IPv6 Adressen habt? Wenn ja wer hat die Bedarfsanalyse der Hardware gemacht?

    Denn mit dem USG-Pro-4 werdet ihr hier keine Freude haben. Mal unabhängig von der Frage ob du überhaupt so viele Netzwerke anlegen könnt wird es auch Hardwaretechnisch schnell ins Limit reinlaufen je nachdem wieviel Traffic durchgehauen wird.

    Und Unifi ist in der Größenordnung einfach der falsche Partner, da sucht man sich in der Regel einen richtigen Firewallhersteller (Watchguard/PaloAlto/Fortigate/etc.) und in aller Regel kommt dann auch nicht nur eine Appliance zum Einsatz sondern mehrere.


    defcon  Grendelbox korrigiert mich bitte wenn ich mit meiner Aussage bezüglich der Umsetzung und der Einschätzung falsch liege.


    JulianW bitte den Post erstmal mit Vorsicht genießen und die Fragen beantworten.

    Es sollen natürlich nicht alle Ports geroutet werden. Das würde bei 23 verfügbaren Ports ja auch wenig Sinn machen.

    Habe ich bei der Einrichtung denn überhaupt alles richtig gemacht. Irgendwie habe ich das Gefühl, dass ich über diese Controller Seite fast nichts einstellen kann und wenig Zugriff in die tiefe habe. Wenn ich mich per IP auf dem Pro aufschalte, funktionieren meine Zugangsdaten allerdings nicht. Habe gerade gesehen, dass man mit dem ssh Passwort drauf kommt, aber da kann man ja auch fast nichts einstellen.


    Das Problem geht aber auch schon los, wie ich an die IP Adressen komme. Dies liegen ja aktuell einfach alle von dem Modem auf einem Switch. Und von dort geht ein Kabel in den WAN Port.

    2 Mal editiert, zuletzt von JulianW ()

    Moin,


    Auszubildender ? Möglicherweise will dich irgendwer zum nachdenken bringen mit der Aufgabenstellung.


    Zitat von JulianW

    Wir haben eine Standleitung der Telekom mit 255 festen IP Adressen

    Mus eine sehr alte Leitung sein und ihr ein großer Laden der gegenüber dem RIPE erklären kann warum

    er soviel IP benötigt. Neue (seit 10 Jahren ?) Standleitungen kommen üblicherweise mit

    einem /29 oder /30 Netz, bei den aber 1-3 auf dem/den Router bleiben als Gateway/Failover..



    Anyways Spielen wir mit:

    255, also sagen 254 weil ein Gateway auf dem Telekom Router.

    Die USG hätte gerne mindestens 1 davon den sie macht von Intern auf Extern (p)NAT welches nicht

    vorgesehen ist abzuschalten (auch wenns geht). Damit ist es dann schon mal nicht möglich die IPs direkt

    zu verfügung zu stellen. Nun gut, auf den WAN Interface lassen sich „zusätzliche“ IP einstellen. Die

    jeweilige lässt sich dann in den Lokalen Netzwerken auswählen als Weg raus..


    24 Ports ein Uplink macht dann 23 Mögliche Ports,

    Also 23 Netze eingerichtet in 23 unterschiedlichen VLAN, diese dem jeweiligen Port

    zu weisen. Jetzt nur noch mit Portweiterlitungen und Firewall Regeln alles

    voneinander abschotten. Wobei ich garnicht weis ob die Portweiterungen bei UNFI

    mit den ganzen externen Adressen umgehen kann...


    Fertig is eine eher fragwürdige Konstruktion mit Lehrcharakter.

    Wie alt die Leitung ist, weiß ich nicht. Aber ich habe es getestet. Es funktioniert auf der IP Range und ich kann alles von außen anpingen.


    Wie erweitere ich denn den IP Bereich meines WAN Ports und gibt es eine Anleitung wie das Routing dann funktioniert?

    Ich dachte ich setzte einfach meine Submaske auf 255.255.255.0, somit müsste ich doch alle IPs haben.


    Außerdem habe ich noch nicht ganz verstanden, wie ich das Netz einrichte. Wenn ich einfach eine statische IP wähle habe ich das Problem, dass ich ja immer im IP Bereich von WAN1 liege und es somit nicht speichern kann.


    Ich kann natürlich einfach ein Netzwerk mit nur einer Ip erstellen und auf Port legen, aber wie route ich dann die gewünschte IP?

    Moin,


    Nochmal Deutlich: Das geht nicht mit UNIFI, UNIFI Router (USG, UDM) sind (p)Nat Router

    die immer Nat machen zur WAN IP (die man sich dann aber aussuchen dürfte wenn mann mehrere hat)

    Intern muss es IMMER ein anderes (privates) Netz sein.


    Jeglicher andere Router ohne zwangs NAT wird so aber auch nicht helfen.

    Ein Router verbinden zwei Unterschiedliche Netze miteinander, gleiche Netze werden nicht geroutet

    und es geht auch nicht (jedenfalls nicht ohne NAT und andere hässliche tricks)


    Wenn du also ein Netzwerk hast mit einer Gateway IP ist genau der Router mit der Gateway IP für

    das Netz entscheidend/verantwortlich. Dein Provider wird dir gerne behilflich sein, wenn du sagst ich will

    mein eignes Ding mit dem IP Bereich und die statt dem Gateway für deine IP ein Transfer Netz

    konfigurieren. Stelle dich aber ggf drauf ein dein IP Kreis selber Annoncen zu müssen (Routing Protokolle für

    BGP/OSPF) muss aber nicht geht auch statisch.


    PLUS und das ist noch viel schlimmer:


    Man legt keine IP Adressen auf einen Switch PORT, mit der Hoffnung das das Gerät daran angeschlossen diese benutzt.

    Klar mit DHCP, Firewall, Portisolation, eignen VLANS und Verschwendung von IP Adressen für die ganzen Subnetze

    ist das das Technisch denkbar. Das das ist aber maximal Akademisch sinnvoll und fern jeglicher Realität.


    Und vor allem nicht in ein Forum in drei Sätzen erklärt grade weil das keiner so macht.

    Wäre es nicht zielführender den öffentlichen Range auf den WAN-Port zu legen und dazu div. LAN-Netze(VLan) anzulegen?
    Die bekommen dann verschiedene/mehrere öffentliche IP-Adressen per NAT zugewiesen. Dann kann man für jedes der LAN-Netze die Fw-Regeln anlegen, die zu den Aufgaben passen. Wenn mehrere öffentliche IP-Adressen auf ein LAN zeigen, kann man dann ja auch noch diese auf bestimmte LAN-Adressen routen. Und man kann dann die VLAN auf die Ports verteilen.
    Dies sollte mit der USG-Pro-4 funktionieren. Um so komplexer das Regelwerk wird, um so eher wird sie aber an ihre Performensgrenzen kommen.

    Zitat von bic

    Och, kann man alles kaufen:



    :grinning_face_with_smiling_eyes:

    Ahh https://www.aipi.de so wegen quellen Nennung...


    Legacy oder „freie" Netzadressen...Ja da kann man Geld ausgeben/ verdienen.


    Da kommt trotzdem der RIPE Zettel mit der nötigen Begründung und be den „Legacy“ ggf. die Herausforderung

    das Ripe und co werden evt. versuchen bei dem Transfer eine No property clauses

    im Vertrag einzufügen.

    Denn mit RIPE (oder dem Zuständigen NIC) wirst du auf jeden fall sprechen müssen die das Routing eintragen zu

    lassen in dein AS oder von deinem Carrier der dir hilft das in Betrieb zu nehmen


    Aber genau für den ganzen ärger bit es ja die Brooker...:-)

    Aber dies ist doch nicht das Problem, es ist doch offensichtlich schon alles auf seinen Anschluss geroutet, da es ja grundsätzlich funktioniert.
    Er benötigt doch nur noch Unterstützung für das interne "Routing" auf die verschieden Ports zu den entsprechenden Clients mit einer USG-Pro-4 und einem US-24 Switch.

    Zitat von phino

    Aber dies ist doch nicht das Problem

    Ja bekannt, aber zwei Herren Philosophieren an ein davon abgeleitetes Thema. Ist Offtopic, tatsächlich sogar.


    um die kurve zu bekommen:

    Zitat von TO:

    Zitat

    Final soll also z.B. an Ausgang 1 des Switches nur die IP Adresse x.x.x.10 mit den Ports x, y, z anliegen und an Ausgang 2 dann die nächste Adresse mit entsprechenden Ports usw.


    Und genau is „advance Akademische Configuration“ die sich nicht MIT Unifi so umsetzen lässt.

    dafür wird auch kein NAT benötig denn es sind ja die externen Adressen gewünscht.


    Und dazu bedarf es die Kontrolle des ganzen Netzes, inclusive Gateway IP und auf de einen Router Vlans und

    ACL/Firewall listen zu etablieren die alles voneinander blocken.

    Bei dem Wissensstand des Fragestellers bin ich mir nicht sicher, ob er wirklich die öffentlichen IP-Adressen am Client haben will, gerade im Gaming-Bereich. Ein Gaming-Client auch noch mit einer hochwertigen Software-FW auszustatten, erscheint mir etwas kontraproduktiv.
    Abgesehen von dem Administrationsaufwand. Ich würde eher die USG-Pro 4 zum Routen/NAT/VLAN einsetzen, dann danach eine kleines Sophos (geringe Einarbeitungsaufwand) und dann erst den Switch mit den passenden VLAN zu Port.
    Damit wäre auch ein rudimentärer Schutz seiner Clients und des gesamten Internets gegeben. :winking_face: Sonst wird noch einer seiner Clients zu Spamschleuder.
    Aber zugegeben, jedes Ubiquiti-Gerät ist dafür nicht ausgelegt, dies ist nicht ihr Zielgebiet.

    Zitat von phino

    dann danach eine kleines Sophos

    Naja, ob klein oder groß, es ist ja erst einmal die Software.


    Aber die Sophos XG kann genau das, was der TE sich wünscht. Bei dieser kann man den Wan-Port(s) (Anzahl ist definierbar und hängt von der Anzahl der NICs ab) zusätzliche IP-Adressen als Aliase hinzufügen und mit diesen dann auf die übliche Weise verfahren, daher mittels Destinations-(D)NAT die IPs im LAN den einzelnen Server mit den entsprechenden Ports zuweisen: klick! Augenscheinlich würde dies auch mit Zonen und Vlans funktionieren, Sophos ist hier ja sehr flexible.


    Daher - die Sophos gehört an die Netzwerkkante, die USG jedoch in die Tonne :winking_face_with_tongue:

    Zitat von JulianW

    Das Problem geht aber auch schon los, wie ich an die IP Adressen komme. Dies liegen ja aktuell einfach alle von dem Modem auf einem Switch. Und von dort geht ein Kabel in den WAN Port.

    Lieber Julian, ich glaube bei deiner verschrobenen Beschreibung :smiling_face: ist es sehr hilfreich, wenn du dir jemand dazu holst, der einen Bestandsaufnahme und dann einen Netzwerkplan mit Hardware-Vorschläge macht.
    Eine Netzwerkkonfiguration aus der Ferne wird auf reichlich Kommunikationsprobleme stoßen. Sorry. :smiling_face_with_heart_eyes:

    Zitat von bic

    Naja, ob klein oder groß, es ist ja erst einmal die Software.

    Ich finde grundsätzlich die Sophos XG schon übersichtlich und anwenderfreundlich, aber man sollte trotz allem schon einige Zeit sich mit Netzwerke auseinandergesetzt haben, um die hier in rede stehende Netzwerkstruktur sicher zu administrieren.
    Wobei die private Softwareversion ja ausscheidet aufgrund der IP-Adressbeschränkung, und die großen mit genügend Ports sind schon eine Investition.

    Zitat von phino

    Wobei die private Softwareversion ja ausscheidet aufgrund der IP-Adressbeschränkung,

    Von einer derartigen Beschränkung ist mir nichts bekannt:



    Im Gegenteil, bis auf den Enhanced Plus Support ist alles dabei. Einschränkungen bzgl. der Home-Version bestehen in anderer Hinsicht:

    1. Beschränkung auf vier Prozessorkerne
    2. Beschränkung auf 6 GB RAM
    3. keine Unterstützung der Sicherheitsarchitektur der Sophos-Appliancen

    Dafür läuft die Home-Version aber auch auf (beinahe) jeden x86-64 Rechner, selbst auf den originalen (auch den älteren) Sophos-Appliancen. Außerdem werden die Updates bzgl. des OS und der Filter und Scanner genau so unterstütz, wie bei den Kaufversionen und selbst die Einbindung in Sophos Central (Cloud) ist möglich.


    Ich selbst habe die Home-Version auf zwei älteren Sophos SG135 Appliancen (8 NICs, davon 3 in Nutzung) am Laufen und kann über die Einschränkungen nach Punkt 1. und 2. nichts Negatives berichten (diese entsprechen genau der serienmäßigen SG135 Hardware), hier mal CPU und Ram Auslastung für den August:



    Anders sieht es jedoch bzgl. Punkt 3. aus. Durch die fehlende Unterstützung spezielle Ver-/Entschlüsslung Hardware muss dies dann der Prozessor selbst übernehmen - Intel mit AES-Unterstützung ist daher Pflicht. Allerdings schlagen sich hier die alten Atom C2558 mit 2,4 GHz der SG135 recht gut, von Einschränkungen bei Scannen habe ich noch nicht bemerkt (ist sicher vom Traffic-Aufkommen abhängig). Etwas enttäuscht war ich jedoch anfangs von der erzielbaren IPsec-VPN Bandbreite, von den versprochenen 1 Gbit/s blieben nur ca. 120 Mbit/s übrig - da machte dann der alte Atom doch die Grätsche. Das hat sich allerdings seit dem Update auf die OS-Vers. 19 fast erledigt, die brachte neuartige IKE-Profile mit und damit kommen ich z.Z. auf immerhin knapp 500 Mbits/s. Dies langt mir im Moment, denn damit sind auch Vollbackups miitels SSH über VPN (Veeam) in akzeptabler Zeit möglich.


    Alles in allem ist die Sophos XG auch in der Home-Version zumindest für den SOHO-Bereich sehr zu empfehlen und wenn man nicht auf eine Appliance setzt (ich suche z.Z nach einem preisgünstigen Nachfolger für die SG135), kann man ja bzgl. der Einschränkung nach Punkt 1. zu etwas schnellleren als meine alten Atom greifen, dann wird wohl auch die VPN-Bandbreite noch ansteigen.

    Zitat von bic

    Von einer derartigen Beschränkung ist mir nichts bekannt:

    Im Gegenteil, bis auf den Enhanced Plus Support ist alles dabei. Einschränkungen bzgl. der Home-Version bestehen in anderer Hinsicht:

    1. Beschränkung auf vier Prozessorkerne
    2. Beschränkung auf 6 GB RAM
    3. keine Unterstützung der Sicherheitsarchitektur der Sophos-Appliancen

    Dafür läuft die Home-Version aber auch auf (beinahe) jeden x86-64 Rechner, selbst auf den originalen (auch den älteren) Sophos-Appliancen. Außerdem werden die Updates bzgl. des OS und der Filter und Scanner genau so unterstütz, wie bei den Kaufversionen und selbst die Einbindung in Sophos Central (Cloud) ist möglich.

    Sorry bic, da hänge ich wohl etwas in der Zeit hinterher.
    Ich hatte jahrelang die Sophos UTM betrieben. Dies hat die Beschränkung auf 50 IP-Adressen. Beim wohnlichen Umzug hatte ich mich genau aus diesen Gründen von Sophos verabschiedet.
    Die Sophos XG kenne ich nur von der Arbeit und da haben wir 2 große Appliance mit Erweiterungen und Lizenzen.
    Dass Sophos bei der Home-Version über ihren Schatten gesprungen ist, damit hatte ich nicht gerechnet bei ihrer sonstigen Geschäftspolitik nach dem Wechsel von Astaro zu Sophos.

    Also ich probiere es nochmal zu Beschreiben:

    255 (254) IP Adressen liegen aktuell auf einem ungemanagedem Switch. Ohne DHCP o.ä.
    Davon sollen nun 23 Adressen Stumpf durchgeroutet werden. Es soll also die öffentliche IP Adresse an einem Client ankommen und das ganze an genau einem Port. x.x.x.240 kommt also an Port 1 an, x.x.x.241 an Port 2 usw. Am liebsten halt auch nur festgelegte Ports.

    Die Frage ist also geht das mit den zwei Geräten? Wenn nein, was kann das und kostet nicht so viel wie ein Kleinwagen (Kann auch ein Fremdhersteller sein, sonst gibt es hier keine Unifi Geräte)? Reicht ein klassischer Layer 3 Switch? Eigentlich scheint mir das Security Gateway genau das zu übernehmen

    Zitat von JulianW

    255 (254) IP Adressen liegen aktuell auf einem ungemanagedem Switch.

    Da fängt es schon an, auf einem SWITCH (vor allem ungemanaged) liegen keine IP Adressen.

    Ein Switch ist ein Layer 2 Gerät und hat von IP keine Ahnung. Die Burschen machen Ethernet

    und leiten leiten anhand von MAC Adressen weiter. Der Inhalt der Ethernet Frames (der payload)

    kann dann IP dein, aber auch IPX/SPX oder AppleTalk, oder irgendwas anderes

    (ok außer IP ist wohl alles andere tot). Damit ein Gerät das du anschließt die IP benutzen kann,

    wirst du neben einer freien IP und der passenden Maske ein GATEWAY IP eingeben müssen.

    Genau diese Gateway IP befindet sich auf einem Router (Layer 3)


    Zitat von JulianW

    Es soll also die öffentliche IP Adresse an einem Client ankommen und das ganze an genau einem Port. x.x.x.240 kommt also an Port 1 an, x.x.x.241 an Port 2 usw

    Das ist das nächste, es kommen keine IP Adressen an einem Client an. Ein Gerät

    wird mit einer IP konfiguriert (automatisch oder Manual) die dann benutzt wird.


    Und nun fängt wieder die Akademische Spielerei an:

    Jeder deiner 24 Ports benötigt ein eignes VLAN, jedes VLAN benötig seinen eignen

    IP address Bereich.


    ein 10.0.0.0/24 (also deine 255) kannst du in 64 Teilnetze Aufteilen.


    Vlan1: 10.0.0.0/30 nutzbare IP 10.0.0.1 und 10.0.0.2

    Vlan2: 10.0.0.4/30 nutzbare IP 10.0.0.5 und 10.0.0.6

    ..

    Vlan10: 10.0.0.40/30 nutzbare IP 10.0.0.41 und 10.0.0.42

    usw.


    Die Eine IP ist das Gateway für das VLAN, die andere die nutzbare Adresse.


    Damit kann dein Port 10 auf dem Switch Vlan10 haben

    der Client darf sich die 10.0.0.42/30 schnappen und benutzt 10.0.0.41 als Gateway

    das als VLAN Interface konfiguriert ist.


    Auf dem Router musst nun die 10.0.0.41 auf das Internet Gateway geroutet werden.

    (im einfachsten fall das Default Gateway des routers)


    Bastelst du noch ein DHCP dazu mit den ganzen VLAN Scops

    können die Clients sich selber konfigurieren. Und dann siehst es so aus

    als wenn an einem Port nur die eine IP funktioniert oder Client dann auch bekommt.



    Benötigt:

    Zugriff auf den Internet router um auch da das Routing einzurichten

    bzw. aus dem /24 auch erstmal ein /30 als Transfer zu deinem Router zu machen.

    (oder halt gleich alles auf den Internet router)


    Nachteil:

    Jede Öffentliche IP hat eine Router IP die dann nur dafür ist und „verloren“ ist (plus Broadcast)

    Sprich aus deinen 255 bleiben nur noch 64 über (evt. nur 63 weil ein VLAN als Transfer zum Router)


    Vorteil:

    Sehe ich nicht ,mus ich aber auch nicht :smiling_face:


    Mit UNIFI:

    Der L2 Part ja klar, sind ja nur ein paar VLANs.

    der L3 Part, also Routing und Vlan Interfaces, nein dazu ist der Kram

    nicht da und zu unflexibel. USG/UDM wollen immer p(nat) zum WAN Port

    Selbst mit händischen Routen zwischen VLAN wird’s nicht gehen weil

    du keine Default (0.0.0.0) anlegen kannst übers system.


    Du brauchst halt einen VLAN fähigen Router.

    Ne L3 switch könnte reichen wenn du auch deine 24-26 vlan Interfaces anlegen darfst

    +dhcp und geraffelt natürlich


    Produkt:

    Datenblätter sind zum selberledes. Achte drauf das genügen VLAN Interfaces, oder

    L3 Interfaces einstellen kannst.. die üblichen los Price Eimer von tp oder Dlink

    haben of nur 16 Interfaces.....

    Also grundsätzlich ließe sich das mit einem Cisco Switch (z.B. WS-C3650-48TQ-S) und ACLs auf den Netzwerk Ports lösen. Da brauchst du keine VLANs. Pro Netzwerk Port eine ACL in der Festgelegt ist welche IP erreichbar ist und welche Ports freigegeben.


    Ob das nun die schöne sichere Lösung ist, sei mal dahingestellt. Grundsätzlich suchst du hier nach einer Lösung für Rechenzentren und nicht für den Heimgebrauch.