Adoption nightmare

Hallo erstmal ...

Wechsle grad meine AVM-Hardware aus und stelle nach und nach auf Ubiquiti um. Wenn umgestellt, dann geht die Fritzbox in den bridge-mode (wegen Kabelinternet) und ist nur noch ein Modem und DECT-server.

Bin klein eingestiegen, um zu schauen, ob ich mit den neuen Produkten klarkomme. Vermutlich zu klein eingestiegen...

Ich Kürze: ich bin zu blöd. Ich kapier es nicht. Es soll doch so einfach sein. Was? Natürlich die "Adoption". Gruselig. Na gut: solange alles in einem Netz ist es wirklich easy.

Ich habe also:

Allgemeine Netztopologie: AVM FB als Cablemodem, default Netzwerk. Darin Netgear XS708T. OpnSense firewall im Netz der FB mit WAN, LAN, opt1-opt4.

1. Schritt : Im Netz der FB läuft ein Windows Server 2016 mit "Unifi Network Server" in der Version 8.0.26, also die momentan aktuelle Version, als Windows Service installiert (Ja: "nicht supported"). Nach den wohl üblichen Problemchen mit Java-version, Path env var, etc läuft der Service sauber auch über Server restarts hinweg. (Leider aktuell mit admin-Rechten)

2. Schritt: Unifi U6+ und USW-Flex gekauft und in das LAN der FB gesteckt, adopted, konfiguriert: 3 WLANs, 2 VLANs: ich bin happy.

3. Schritt: Drei USW-Mini gekauft und im Haus verteilt. Und direkt mit den Netzen der OpnSense opt1 und opt2 verkabelt und einige Endgeräte angesteckt. Alle Geräte inklusive der Unifi minis bekommen eine IP und funktionieren. Fast ... denn keiner der drei USW-Minis taucht in der Liste der zu adopierenden Devices auf. Klar: firewall...

4. Schritt: Firewall: port 8080 TCP aufgemacht, DNS eintrag für "unifi" gesetzt, DHCP option 43 gesetzt, ... minis resettet. versuche: ssh mit set-inform ... ah geht ja nicht bei "mini"s... also nochmal resettet: "Es tut ned"

5. Schritt: Analyse: ping von subnetz der OpnSense auf Server klappt. traceroute klappt. nslookup unifi klappt.

6. Schritt: Fenster aufmachen .. nein halt: ich kann nicht der Erste sein, der es nicht blickt. Hoffe ich...

6. Schritt: im Forum anmelden und hoffen...

So richtig transparent ist ja wohl nicht, welche Kommunikation da zwischen den Devices und der "Unifi Network"-Software abgeht...

Irgendne Idee? Irgendwer?

Vielen Dank für die schnelle Reaktion und klare Ansage.

Das ist ... schade. Heisst dann aber wohl auch, dass ich in jedem (sub)Netz der Firewall einen Controller installieren müsste. hmmm... mach ich eher nicht.

Eigentlich bin ich jetzt ziemlich enttäuscht. Wozu dieses hübsche UI mit zentraler Verwaltung (statt vieler Web UIs) wenn nur Geräte im lokalen Netz des Controllers provisioniert werden können. Das kann man auch "von Hand" machen.

Na immerhin funktionieren die Minis noch unmanaged...

Zitat von defcon

Sind die switchports richtig konfiguriert?

Sowohl in der opn als auch im UI controller?

Informhost passt?

Nun ... die Ports im USW-Flex sind richtig konfiguriert und dieser Switch und auch der U6+ funktionieren wie gewünscht. Die Ports der Minis kann ich ja nun nicht konfigurieren, weil ich diese nicht "adoptiert" habe. Sie agieren aktuell als unmanaged switches.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Passt denn dein Routing?

Statische Routen auf der FB zur den Netzen der Opn sind eingerichtet.

Zitat von swag

Du hast eine Fritz vor (außerhalb) Deiner Netzwerke der OpSense und die Freigabe geht durch ein NAT?

Richtig. Doppel-NAT. (Wird irgendwann auf umgestellt auf "FB im bridge-modus ohne Doppel-NAT)

Zitat von swag

Oder ist der Windows Host auch hinter der OpSense?

Nein, der Win-server ist direkt im Netz der FB. Also vor der Opn. Damit liegt er aus Sicht der Opn hinter deren WAN-port, also deren "internet".

Also: Kabelanschluss <--- FB (mit default-Netz in dem auch der Win-server, USW-Flex, U6+ liegen) <--> Opn <--> subnetze <==> diverse USW Minis

Zitat von swag

Der Informrequest geht ja vom Device zum Controller

Ja, so hab ich es auch verstanden. Und da der Controller (auf dem Win Server) ausserhalb/vor der Opn legt, sollten ja Unifis aller Netze der Opn nach aussen zum Controller Kontakt aufnehmen können. Statische Route in der FB verausgesetzt, ports (z.b. 8080) der Firewall nach aussen offen, DNS Eintrage für "unifi".

Und ja: ich habe auch die benötigten Ports in der Software-firewall des Win-servers geöffnet. So konnte ich den FLEX und den U6+ "adopten".

Ich versteh das ganze wohl einfach nicht vollständig. Werde mal wireshark bemühen und hoffe, den relevanten Traffic herausfiltern zu können. Hatte gehofft, das vermeiden zu können...

Vielen Dank fürs "mithirnen".

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

freste erster Eintrag bei google: ...

Ich mach diesen IT-Mist nun schon so viele Dekaden, dass ich sicher erst "das Netz" durchsuche, bevor ich irgendjemanden persönlich belästige.

Und es gilt wie immer: wenn ich die Antwort vermeintlich kenne, kann ich auch eine Suchanfrage formulieren, die genau diese Antwort liefert.

In diesem Fall ... : "ssh und set-inform". Geht aber nicht, weil ich ja Minis adopten möchte, die kein ssh anbieten.

Ich versuche jetzt mal Folgendes: Minis aus dem OPN-netz rausnehmen, ins Netz der FB nehmen. Dort adopten (tut hoffentlich) und dann wieder in das OPN-Netz zurück. Dann sollte der Mini den Controller ja kennen... Ist das abwegig/sinnfrei?

Wenn das nicht funktioniert und ich aus dem Wireshark-mitschnitt nicht schlau werde, überdenke ich mein Leben und das ganze Setup.

Nochmals Danke fürs Helfen ... Kann man hier irgendwo Kaffee spenden?

Zitat von jkasten

Der ganze Netzaufbau ist etwas fraglich.

Vollkommen richtig. Ist auch im Umbau. Letzlich soll (bis auf FB als Modem) alles hinter der Opn liegen. Das muss ich halt hinbekommen, ohne den laufenden Betrieb groß zu stören: am offenen Herzen ... das ist natürlich nicht professionell, aber für privaten Umfeld sind die Mittel (Zeit) beschränkt. Also Schritt für Schritt.

Zitat von jkasten

Grundsätzlich gilt, Unifi Endgeräte sollte immer im selben Netz sein,

Ok. Dann überlege ich auch in diese Richtung. Könnte also einen freien LAN-port der Opn nutzen und dort den Controller und alle Unifis unterbringen. Die Subnetze der Opn dann über die Portkonfiguration (VLANs der Unifi-switche) einbinden. Hmmm...

Das erscheint mir letztlich einfacher, als das aktuelle Routing, Portfreigaben, DNS-Einträge, etc ... Danke für den Tipp!

Hab auch kurz überlegt, einen Hardwarecontroller einzusetzen und bin über den "Unifi Express" gestolpert. Interessantes Produkt, aber wohl etwas "schwach auf der Brust", wenn es nur 4 Unifi-geräte verwalten kann. Da wäre es ja mit meinen U6+, Flex und 3 Minis schon überfordert. Schade.

Zitat von defcon

kannst den controller auch einfach auf der opnsense installieren.

Auch verlockend ... will aber eigentlich die OpnSense möglichst wenig durch "Fremdsoftware" potentiell kompromitieren. Muss schon CPU microcode als "tuneable" beim Systemstart laden lassen, weil das BIOS/EFI die Alder Lake CPU nicht mit den benötigten Fixes versorgt. (BIOS update lässt auf sich warten...)

Aber die Idee ist trotzdem gut ... Dann halt den Controller unter proxmox in einem container.

Die wesentliche Erkenntnis ist für mich, dass es einfach sinnvoll zu sein scheint, alle Unifi-devices in ein eigenes Netz zu stecken und die Endgeräte mithilfe der Portkonfigurationen "geeignet" auf die Subnetze zu verteilen.

Vielen Dank an alle für die Anregungen!