UDM Pro Firewall (Verständnisfrage) - Mit FB6590

Es gibt 43 Antworten in diesem Thema, welches 35.287 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronny1978.

    Hallo zusammen,


    hab ein Verständnisproblem mit der UDM Pro.

    Bin sehr neu im Thema und beschäftige mich für unseren Neubau mit UniFi Geräten, dort sind Switches, AP's,... geplant (teilweise schon gekauft).


    Ich habe bei Ubiquiti zwei Skizzen zur Firewall gefunden die mich verwirren, auch die Doku hilft mir da nicht eindeutig weiter, möchte ganz sicher gehen.

    Laut der Erklärung hat die UDM Pro eine Firewall "Advanced firewall with VPN".

    Laut einer Skizze im Datasheet ist die Firewall "davor".


    Hat die UDM Pro nun eine Firewall (mind. so gut wie eine FritzBox)?

    Also die Firewall ist integriert und du kannst WAN in/Out , interne LAN und Gastrichtlinien konfigurieren.

    Zusammen mit dem integrierten Threads Management mit IDS/IPS sehr gut brauchbar.

    https://www.google.com/search?…d=chrome-mobile&ie=UTF-8#

    Und wen du die Fritte als Firewall Referenz nimmst: Ja die UDM (Pro) hat eine FW und diese ist besser als deine Referenz.

    Noch etwas zum Schluss: Deine gewählte Lösung ist keine "klickundvergessen" Sache, bis alles funktioniert bedarf Arbeit, danach kannst du das System dann rennen lassen

    Gefällt mir 3

    Ja das es "Arbeit" sein wird ist mir klar und das ist auch ok.

    Hatte auch überlegt etwas mit OPNsense aufzusetzen aber dagegen ist die UDM Pro vermutlich doch einfacher (langfristig) und wird regelmäßiger mit Updates/Sicherheitspatches,... versorgt.

    Oder liege ich damit falsch?


    Ein Punkt warum ich am Neubau komplett auf UniFi setzen möchte ist die Verwaltung.

    Heute habe ich zig Webinterfaces (Netgear Orbi, 4 Managed Switches, Router,...) zur Verwaltung.

    Konnte mir bei jemandem das UniFi System ansehen und die Verwaltung ist sehr zentralisiert, macht weniger Arbeit, wenn es mal läuft.

    Und die Stabilität der Komponenten ist, vermute ich, besser da es kein System ist von zig Herstellern.


    Laut Beschreibung hat das UDM Pro System 2 WAN-Ports (1x RJ45 und 1x SFP+) die auch als Failover genutzt werden können.

    Das Thema ist bei uns auch relevant weil wir recht häufig Ausfälle beim Provider haben und daher eine Zusatzlösung über LTE (Prepaid, kein "direktes" Failover) etablieren möchten. Muss eben manuell "zugeschaltet" werden, aber die kurze Ausfallzeit ist ok. Unsere Providerausfälle dauern 1/2 - 4 Tage zur Zeit, alle 2-3 Monate 1x, prima im Homeoffice :pouting_face:

    Dafür bräuchte ich aber 2 RJ45 Ports, sollte ja aber über ein 10G SFP+ auf RJ45 Modul gehen oder?

    Später könnte an den SFP+ die Glasfaserleitung des neuen Providers, aber die kommt erst Ende 2021.

    Der Punkt mit der Konfiguration und dem WEB Interface geht eindeutig an Unifi, habe kaum etwas so komplexes so einfach gesehen ( wobei es hier und da auch Mal klemmen kann)


    Das mit dem Failover kannst du so nutzen, in den zweiten WAN Port kannst du dann ein günstiges SFP 1Gb Modul stecken.

    Ehrlich gesagt finde ich gar kein SFP 1 Gb Modul bei Amazon.

    Und mit Blick auf die kommende Glasfaser-Leitung tendiere ich auch eher zum 10 GB Modul.

    Theoretisch wäre bei Glasfaser ja mehr als 1 Gb möglich. Ob das jemals kommt ist unklar und ob es nötig ist, aber so ist es möglich.

    Der RJ45 WAN Anschluss hat ja "nur" 1 Gb das wäre dann der LTE Anschluss, dort hätten wir nur 150 Mbit, was als Failover absolut ausreichen würde.

    Für Homeoffice bei 2 Personen (rein Bürotätigkeiten, Videocall und VOIP) reichen 150 Mbit aus.

    Bin gespannt wie viel wir in der alten Wohnung davon noch abbekommen, der Neubau steht nicht weit weg vom Mast.


    Wenn WAN 1 (RJ45) für LTE konfiguriert ist, aber das LTE Modem via SmartHome aus ist wäre das ein Problem?

    Klar kommt eine Fehlermeldung aber stört es den Betrieb?

    Geplant wäre Lidl Connect (Prepaid, Vodafone hat bei uns das beste Netz). Dort lässt sich ein Tagestarif und ein Monatstarif wählen. Könnte via Handyapp (im Mobilnetz) bei Bedarf gebucht werden. Router via SmartHome nach Buchung eingeschaltet und WAN 1 wäre versorgt.

    Sollte ich mal nicht da sein könnte meine Frau das auch unproblematisch umstellen ohne in die Unifi Config zu müssen.

    Kein echtes Failover, es gäbe schon eine kurze Ausfallzeit aber hier geht es um Minuten nicht Stunden oder Tage. Für einen LTE Vertrag zur seltenen Nutzung bin ich einfach zu geizig, gebe ich ja zu :face_with_rolling_eyes:

    Würde das klappen?

    Es gibt glaube ich auch SFP+ Module wo Glasfaser direkt rein geht. Bei einem 10GB Modul kann es passieren daß du im Controller per Hand auf 1GB stellen musst, sollte aber auch gehen.

    Bei deinem Failover Vorhaben könnte es passieren da du immer einen Alarm bekommst wenn du das LTE Modem erst per Hand aktivierst, da ja immer geprüft wird ob beide WAN vorhanden, zur Not halt Alarm dafür deaktivieren.

    Habe vorhin mal die Dream Machine Pro, einen nano HD AP und einen UniFi 24 Port Switch bestellt.


    Wie müsste ich die FB 6590 Cable konfigurieren um sie in der Dream Machine zu nutzen,

    da es Cable ist gibt es kein anderes Modem das zur Verfügung steht?

    Kabelboxen vom Provider soll man in diesen Bridge Modus setzten können. AVM Geräte nicht. Software wurde vom Kabelnetzbetreiber angepasst.

    Ich habe kein Kabel - nur DSL und da musste ich ein Modem kaufen.

    Hatte mit die FB selbst gekauft da Unitymedia mir zu viel auf deren Gerät verändert hatte.

    Soll nicht paranoid klingen aber die haben ständig am Web rumgeschraubt und seltsame Updates eingespielt.


    Beim Provider bringt ja vermutlich auch nichts da die keinen Zugriff auf die FB haben oder?

    Zitat von cyberhai

    Hatte mit die FB selbst gekauft da Unitymedia mir zu viel auf deren Gerät verändert hatte.

    Soll nicht paranoid klingen aber die haben ständig am Web rumgeschraubt und seltsame Updates eingespielt.


    Beim Provider bringt ja vermutlich auch nichts da die keinen Zugriff auf die FB haben oder?

    Vodafone stellt keine gekauften FritzBoxen auf Bridge-Betrieb ( Stand Mitte Dezember 2020, Info von einem Ex-Kollegen von mir, war lange selber bei Vodafone )


    Wenn du die selber aktivierst, hast du nur eingeschränkte Funktion.


    Ich habe mir daher kürzlich eine FB6591 von Vodafone gemietet, hatte eh die Telefonkomfort-Funktion, somit war das bis auf die 10,- EUR Versandkosten kostenlos für mich.

    Die Box hat die Bridge-Funktion, das wurde direkt von der Hotline bei der Bestellung hinterlegt.

    Damit kann ich die Bridge-Funktion nutzen aber auch weiterhin die Telefonfunktion der FB, die dafür eine weitere IP-Adresse bekommt und das geht bei Kaufboxen nicht, dann ist Telefonie tot.


    Wenn man Telefonie über die FB nutzen will, macht es mehr Sinn, direkt ein reines Kabelmodem zu kaufen und die FB dann als Client ins Netz hinter die USG / UDM zu hängen.

    Klar geht auch Exposed Host, hast dann aber doppeltes NAT.

    Bei einem USG kannst du das über die config.gateway.json ändern.

    Musst Mal googeln ob das auch bei der UDM geht.

    Doppeltes NAT ist zB nicht gut bei VPN oder aber manche Spielkonsolen mögen das nicht , außerdem ist die Ping Zeit erhöht, was generell beim Onlinezocken stört.

    Manche arbeiten aber mit doppelten NAT ohne Probleme.