UDM Pro: Routing /Firewall abschaltbar?

Es gibt 13 Antworten in diesem Thema, welches 2.891 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Ich möchte gerne 4 neue Unify AP´s verwalten. Dazu habe ich entweder die Auswahl zwischen Cloud Key2 oder einer UDM Pro. Allerdings will ich anfangs das Routing / VPN über einen Lancom laufen lassen, nicht über die UDM Pro.
    Da beide Möglichkeiten aktuell ungefähr gleich teuer sind, tendiere ich zur UDM pro, würde aber gerne dann, um doppeltes NAT zu vermeiden, Firewall und Routing ausschalten und die UDM pro NUR für die AP Verwaltung nutzen. Geht das?

    Und wenn Nein: Gibt es eine Möglichkeit, dem Lancom weiterhin die Einwahl zu ermöglichen, und vor allem dessen VPN LAN-To-LAN zu einem weiteren lancom weiter zu nutzen? Und trotzdem dann die UDM Pro zur Verwaltung zu nutzen?


    Vielen Dank für Tipps!

    Holger

    Hallo Holgi20 und herzlich willkommen in unserer Runde.


    Wenn es Dir tatsächlich nur um die Verwaltung der genannten APs geht, dann könnte es sich lohnen sich die Windows-/ Linux-/ Mac-Variante des Controllers anzusehen - im "schlimmsten Fall" sogar nur die Mobile-App (klar KEINE Empfehlung von mir).

    Damit kannst Du dann alles verwalten - nur eben keine UDM/UDM-Pro/UDR, vielleicht auch keine Switches.


    Das müsste doch Deinen Anforderungen entsprechen, oder? :thinking_face:

    Vielen Dank für diesen Tip- das hatte ich gar nicht im Blickfeld. ich dachte das geht nur mit Ubiquity Hardware..

    Bekomme ich damit auch Netzwerkdurchsatz etc angezeigt? Ich hatte eigentlich vor auch Ubiquity Switches dranzuhängen, aber das brauche ich eigentlich auch nicht unbedingt.

    Ich habe jetzt mal nachgelesen, aber ganz so einfach scheint das doch nicht mit dem Softwarecontroller zu sein: Er kann wohl nur auf auf 1 PC laufen, nicht auf zweien, und wenn er nicht läuft, verliert man wohl auch alle Statistiken etc.

    Damit müsste ich ihn entweder auf der Synology NAS laufen lassen (gibts wohl keine Software?) oder auf einem noch nicht vorhandenen Windows Server.

    Da tendiere ich doch wieder zu einer UDM, und meine Fragen sind doch wieder aktuell…schwierig für einen Ubiquity Anfänger wie mich…

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Holgi20 mit diesem Beitrag zusammengefügt.

    Zitat von Holgi20

    Damit müsste ich ihn entweder auf der Synology NAS laufen lassen (gibts wohl keine Software?) oder auf einem noch nicht vorhandenen Windows Server.

    Eine kurze Suche hat zum Beispiel dieses Tutorial ergeben: https://www.wundertech.net/sel…roller-on-a-synology-nas/

    Zitat von Holgi20

    Firewall und Routing ausschalten und die UDM pro NUR für die AP Verwaltung nutzen

    Ausschalten nicht, aber du must es fast nicht nicht nutzen. Unifi Geräte möchten gerne

    im „default“ Vlan sein. Da kann man die IP ändern aber das ding is festgenagelt auf die UDM

    Aber es hindert dich nicht daran ein „Vlan Only / Third Party Gateway“ Vlan zu konfigurieren

    und an dem Unifi Router vorbei auf dein LANCom zu gehen.


    Richtige VLAN Config auf deinem Lancom natührlich vorausgesetzt. Nicht unbedingt

    etwas für Anfänger, grade bei Unsicherheiten von VLAN / TAG, Gateway Config,

    aber auch keine Raketenwissenschaft.


    Zitat von Holgi20

    verliert man wohl auch alle Statistiken etc.

    Plottwist, ohne UNIFI Gateway, das auch benutzt wird, hast du nur minimale Stats:

    „Port 2 -> 100MB DOWN, 10UP“, "Auslastung Port 3 30%“


    Kein DPI (1500MB zu Amazon von dem Partners Tablet, 2000Mb zu UI.com from eignen pc,

    50gb in den letzen 4 Stunden zu Pornhub von des Pubertierenden Handy)

    Alle "schicken" Sachen laufen oder werden auf einem UNIFI Gateway erfasst und dann ausgewertet.


    Zitat von Holgi20

    doppeltes NAT zu vermeiden

    Das böse Wort, nach meiner Meinung negativer dargestellt als es wirklich ist. Aber auch dafür

    gibt es eine einfache und praktikable Lösung. Auch die UDM mit alter FW oder die SE mit der

    neueren FW (da ist nur einfacher) können Scripte bei booten ausführen.


    iptables -t nat -I POSTROUTING 1 -o eth8 -j ACCEPT


    und schon ist da NAT auf der UDM Geschichte (sofern WAN an Port 9 angeschlossen ist)

    Aber auch da musst du deinem LANCom beibringen mit den Netzen klarzukommen und diese

    nach draußen zu lassen.

    2 Mal editiert, zuletzt von gierig ()

    Gefällt mir 1 Haha 1

    Danke für die Super-Tipps, die helfen auf jeden Fall weiter.

    Insgesamt bin ich ein bisschen skeptisch, wenn schon die Grundinstallation Netzwerkzugang mit viel Nachbessern läuft, wird es natürlich schwieriger, die echten Fallstricke zu bearbeiten. Diese sind in dem Fall nämlich noch etwas anders lokalisiert, nämlich im Site-To-Side VPN mit dem Versuch, in ein weiteres geschütztes , mit VPN angebundenes Netz auf der Gegenseite zu Routen.

    Daran sind bisher 2 externe Firmen gescheitert, weil sie schon 2 Lancoms nicht dazu bewegen konnten, wenn da jetzt noch etwas diffiziles an Ubiquity davor sitzt, wird’s noch komplexer.

    Ich hatte kurz daran gedacht, den Lancom ganz zu ersetzen und per UDMPro mit deren VPN an den 2. Lancom ein Site-To-Side aufzubauen. Aber dazu gibt es nirgends verlässliche Daten (gehen wirklich 20mB durch das VPN durch - ein Muss), welche Verschlüsselung wird unterstützt, wie sieht die Stabilität 24/7 aus etc.

    Vielleicht hat da ja jemand Erfahrung damit?

    Ohne den genauen Hintergrund, Details, Wichtigkeit, Protokoll und so weiter zu wissen.

    Sprich ohne vollständiges Lastenheft, wird schwer bis unmöglich wirkliche eine Ansage zu treffen

    die nicht auf Bauch oder kruden Erfahrungen aufsetzen.


    Zitat von Holgi20

    nämlich im Site-To-Side VPN mit dem Versuch, in ein weiteres geschütztes , mit VPN angebundenes Netz auf der Gegenseite zu Routen

    Das hier alleine lässt schon Interpetations Spielraum, einfach ein zweiter Tunnel der woanders hinführt ? oder

    doch ein Tunnel im Tunnel (was so mit Unifi ohne Basten nicht gehen wird)


    Zitat von Holgi20

    Daran sind bisher 2 externe Firmen gescheitert, weil sie schon 2 Lancoms

    Spricht nicht für die Firmen, aber wenn es mit einem Ordentlichen LANCOM router nicht geht

    gehts erst recht nicht mit UNFI. Unifi is SOHO, „einfache“ Strukturen gerne auch größer Client Anzahl,

    aber trotzdem „einfach“. WAN bedeutet hier auch Internet und nicht was anderes.

    Deine Anmerkungen kann ich sehr gut verstehen.

    Ohne eine Lösung zu erwarten, skizziere ich kurz das Problem:

    Home A (lancom) - Standort B (lancom) ist ein Side-To-Side VPN1


    Standort B- verfügt über einen weiteren VPN-Connector (Secunet), der bestimmte Adressen über sein VPN2 in ein geschütztes Netz routet.


    Ziel:

    Von Home A aus bestimme IP-Adressen im geschützen externen Netz zu erreichen.

    Es muss also per VPN1 auf den Standort B und von dort per VPN2 ins geschützte Netz.


    Prinzipiell funktioniert das , wenn man statt per Lan-2-Lan VPN sich direkt mit der Lancom Client Software auf Standort B einwählt; d.h., das Side-2-Side muss falsch konfiguriert sein. Allerdings kriegt es bisher keine Firma hin - ein Trauerspiel, aber so ist das nun mal. Das Routing am Lancom Home A für die speziellen IP-Adressen auf den Secunet am Standort 2 einzustellen (was alle gemacht haben incl. mir selbst) reicht jedenfalls nicht, die Pakete kommen nicht an.

    Wie gesagt, ich erwarte hier keine Antwort, ich will nur vor einem teuren UDM Pro Fehlkauf auf Nummer sicher gehen und tendiere dazu, nur per Software die APs zu verwalten und alles weitere dem Lancom zu überlassen. ich habe eh auf die Ubiquity Überwachungskameras verzichtet und lasse Lupus-Kameras über eine Synology laufen. Insofern bin ich kaum von Ubiquity abhängig. Stellt sich noch die Frage, ob es dann Ubiquity POE Switches sein müssen oder einfach DLINKs oder Netgear Smart Managed Layer 2

    Zitat von Holgi20

    Stellt sich noch die Frage, ob es dann Ubiquity POE Switches sein müssen oder einfach DLINKs oder Netgear Smart Managed Layer 2

    Ein AP Braucht Strom sollte mehr als eine SSID abgestrahlt bzw. auf mehr als ein VLAN zugreifen werden

    VLAN Fähige Switch und Natürlich ein Routing „Dings“ das die Gateway IP Adressen bereitstellt und Routing

    macht. Und halt den Controller zum einstellen. der muss nichtmal die ganze zeit laufen


    Das braucht also kein Unifi switch / gateway / Zeugs.

    Zitat von Holgi20

    Stellt sich noch die Frage, ob es dann Ubiquity POE Switches sein müssen oder einfach DLINKs oder Netgear Smart Managed Layer 2

    Der Vorteil wäre, dass Du nicht noch eine Oberfläche für die Verwaltung hast.

    Wenn das für Dich / euch aber kein Nachteil dar stellt, dann ist es wie gierig oben schrieb.


    OT:

    Ich lese hier zum ersten Mal überhaupt etwas von Secunet - auch auf andere Foren bezogen. LOL.

    Habe bisher nur dienstlich im weitesten Sinne damit zu tun. :grinning_squinting_face:

    Tja, sei froh - Secunet ist der Horror.

    Ich sag´ nur KVSafenet und TI...


    Zu den Switches: Ja noch eine zusätzliche Oberfläche ist halt nicht optimal. Andererseits kann ich ja wohl auf die Ubiquity nur mit einem daran als Softwarecontroller gekoppelten PC zugreifen; komme ich von einem anderen, so las ich es , muss ich ja wohl zuerst mal per remote auf den Controller zugreifen. Das ist natürlich Mist, deshalb tendiere ich fast weg von Ubiquity zu einem DLink (natürlich, vorhin falsch geschrieben..) POE-Layer2-Smart-Switch. Alternativ doch den Cloud-Key als Controller, macht es wohl insgesamt am Einfachsten. Die Firewall + Einwahl etc samt VPN bleiben dann auf dem Lancom.

    Ist echt knifflig, wenn man jenseits des Mainstreams unterwegs ist..

    Zitat von Holgi20

    Andererseits kann ich ja wohl auf die Ubiquity nur mit einem daran als Softwarecontroller gekoppelten PC zugreifen; komme ich von einem anderen, so las ich es , muss ich ja wohl zuerst mal per remote auf den Controller zugreifen

    Evt. verstehe ich deine Ausführung nicht ganz richtig aber nur ums klar zu sage: Du greift auf den Controller per Webbrowser zu.

    Von wo ist dabei egal solange Du halt den Rechner erreichst auf den der Controller läuft. Es gibt kein Fatcleint(wie bei den alten

    LANCOM Kisten) oder eine Text Console. Das ist alles 100% Browser only. Auch wenn er auf einem PC installiert ist

    greift der Lokale Broker dann halt über die eigne Ip bzw. über localhost zu.

    Danke für die Klarstellung, dann habe ich das richtig verstanden Dann scheidet die Softwarelösung sowieso aus, da ich nur noch Notebooks im Netz laufen habe (ausser der NAS) und ich für kein Notebook gewährleisten kann, dass dieses immer vor Ort ist.

    Weiss Jemand, ob die Ubiquity Switches eine eigene eingebaute HTML-Oberfläche haben, also einen Webserver, so dass ich unabängig von Key Cloud oder UDM immer direkt per IP-Adresse auf die Switches zugreifen kann, wie das bei normalen verwalteten Switches anderer Firmen der Fall ist? Oder geht das auch nur über den Controller?

    Zitat von Holgi20

    Weiss Jemand, ob die Ubiquity Switches eine eigene eingebaute HTML-Oberfläche haben, also einen Webserver, so dass ich unabängig von Key Cloud oder UDM immer direkt per IP-Adresse auf die Switches zugreifen kann, wie das bei normalen verwalteten Switches anderer Firmen der Fall ist? Oder geht das auch nur über den Controller?

    Die Dickeren Switche haben wen aktiviert ein SHH Zugang und darüber eine Konsole.

    (flex mini z.b nicht)

    Aber zum einstellen / Konfigurieren ist das eher was für „Kenner“ denn das Unifi system möchte

    das du alles über den Controller einstellst. der würde auch ggf. deine manuellen Einstellungen überschreiben.


    Oben gab nen link um die Software nebenbei auf dem NAS laufen zu lassen, das Ding läuft auch

    ganz gut auf einem Rapi oder einen alten Toaster der noch im Keller steht.

    Die UCK2+ ist auch nicht anderes als ein Mini PC


    Der nun folgende Vergleich hinkt sehr gewaltig, aber du baust ja nicht aus einem Porsche den Motor

    aus, scheidest ein Loch ins Bodenblech und machst einen auf Fred Feuerstein Fußantrieb.


    Unifi is und bleibt nunmal ein SDN (software defined network) und hat dafür den Controller.