Ubiquiti Cloud Gateway Ultra (UCG-Ultra) im LAN ohne Routing

Es gibt 14 Antworten in diesem Thema, welches 1.287 mal aufgerufen wurde. Der letzte Beitrag () ist von zak.

    Hallo Ihr lieben,


    ich würde gerne ein Ubiquiti Cloud Gateway Ultra (UCG-Ultra) im bestehenden LAN das durch meine z.B. Fritzbox "versorgt" wird betreiben.

    Ich würde untern folgendes machen: ISP -> FIRTZBOX -> Ubiquiti Cloud Gateway Ultra (UCG-Ultra) -> PCs & Co.

    Ich würde gerne das umsetzen ISP -> FRITZBOX _________________________- > LAN mit PC's & Co.

    ______________________________ |->Ubiquiti Cloud Gateway Ultra (UCG-Ultra) ->

    ______________________________VPN

    Ich würde gerne die FritzBox als DHCP Server belassen aber das UCG als VPN Server, Unifi Protect, etc. im Netzwerk betreiben. Man soll aber über den VPN-Tunnel vom UCG auf gesamte LAN und deren Geräte gleich (mit der Firtzbox) zugreifen können.


    Wenn sowas geht: Wie ist dann die Netzwerk-Verkabelung in die UCG (Lan / WAN) von der Firtzbox etc. ?


    Leider muss ich so eine Lösung realisieren, da ich nicht von ca. 200 Geräten die IPs neu vergeben bzw. zuordnen möchte.


    Ich möchte das Wireguard Feature mit Site-to-Site der UCG nutzen.


    Hoffe meine Frage ist verständlich und mir kann jemand helfen

    Danke im voraus

    Vollkommener Blödsinn das so umzusetzen.

    Wird auch vermutlich nur Probleme machen.

    Gruß

    defcon

    Danke 1

    Ich würde an deiner Stelle die Fritzbox rausschmeißen und alles von der UCG erledigen lassen.

    Gefällt mir 1
    Zitat von binio

    Hoffe meine Frage ist verständlich und mir kann jemand helfen

    Nicht ganz Offensichtlich, befürchte ich.


    Wenn ich dich Richtig verstehe willst du das UCG in dein bestehendes Netzwerk einstecken

    und dann quasi nur den VPN Server verwenden. Warum nicht einen der 200 Privaten Clients

    die du besitzt nicht dazu verwenden VPN Server zu spielen ? bzw.

    wireguard ist doch auch in FritzOS drinnen ?


    Zitat von binio

    Seht ihr eine Möglichkeit ?

    Och Ja:

    UCG über den WAN Port als DHCP / Statisch in dein FB Universum.

    Schnapp dir eine Rechner für den LAN Port um Config abzuschließen und schalte

    Remote access ein, damit du über die WAN IP auch auf das UCG kommst.


    Die Lan Seite bekommt ne andere IP Bereich als der WAN sonst ist doof.

    LAN steckst du dann in einen extra Router der dann ein Full NAT macht zurück in

    Fritzbox LAN (full NAT in beide Richtungen).

    Auf der FB dann die Portweiterleitungen auf die WAN Seite des UCG nicht vergessen

    für den VPN server.

    + ein paar Routen auf der FB (wie erreiche ich die VPN IPs über NAT)

    + ein paar Routen auf der UCG(wie erreiche ich FB)

    + ein paar Routen auf den NAT (der Vollständigkeit halber)



    Tatsächlich nicht wirklich ein gangbarer weg, selbst wenn du genau wüstest wie es funktioniert.

    Das ist mehr was für Scheiße der Service brauch länger als 8 Stunden bevor das

    Ersatzteil hier ist und 200 Menschen kommen in 4 Stunden und wollen arbeiten.

    Danke für deine schnelle Antwort gierig . Ich kann leider nichts im FB-Netzwerk "anfassen", da ich nicht einmal Zugang oder Login-Daten dafür besitze (FB). Daher musste ich auf diesen "dreckigen" Lösungsansatz zurückgreifen.


    Die Lösung mit dem FB-LAN -> WAN(UCG)LAN -> Router -> FB-LAN ist jedoch interessant, auch wenn man dann zwei Router benötigt.


    Die 200 Clients im FB-LAN umfassen nicht ausschließlich PCs, sondern auch Drucker, VoIP-Geräte, Telefone, Sprechanlagen, Videoüberwachung und einige Produktionsmaschinen. Nur sehr wenige PCs bzw. ein Server sind darunter. Jedoch kann ich nicht auf all diese Komponenten zugreifen, da sie von jemand anderem administriert werden.


    Ich habe nun einen ersten Ansatz. Vielen Dank für eure Unterstützung.

    OK. Nur habe ich über die Jahre das gesamte Management und den Online Einblick gern gewonnen. Es macht das Konfigurieren so einfach. Mit nur einem Login alles auf dem "Schirm". Wollte unbedingt ein Ubiquiti Lösung einführen.

    Ich glaube, du solltest nochmal darüber nachdenken, dass man die Netzwerkstruktur grundsätzlich neu überdenken sollte. Wenn ich es richtig verstanden habe, hat das Netzwerk eine Größe erreicht, dass es neu aufbauen sollte. Das Netzwerk wird in Zukunft bestimmt nicht kleiner werden, sondern eher noch wachsen. Ich würde da nochmal mit den Verantwortlichen in die Diskussion gehen.

    Als Zwischenlösung solltest du tatsächlich einen separaten VPN-Server im Netz einrichten. Nur dafür eine UCG zu nehmen erscheint mir nicht zielführend, weil sie neben VPN ja auch noch ein Eigenleben hat mit weiteren Diensten. Die müsste man ja kastrieren.

    Da kann binio nichts für, aber hier wird scheinbar der Bock zum Gärtner gemacht. Ich hätte unter den gegebenen Bedingungen dort in der Firma sicherlich nicht den Job als Teilzeit- und Hobbyadmin mit äusserst beschränkten Zugangsmöglchkeiten übernommen. Zum Schluss ist man dann oft selbst der Gearschte.

    Danke, DoPe. Du scheinst mich zu verstehen. Es ist nicht so, dass ich nicht wüsste, wie Netzwerkarchitektur funktioniert. Manchmal ist man jedoch aufgrund von Auftragsbindung gezwungen, "unsauber" zu arbeiten.

    Zitat von binio

    von Auftragsbindung gezwungen, "unsauber" zu arbeiten.

    Unsauber Arbeiten is eine Sache, mit dem 5 Kg Mottek eine M3 Schraube lösen zu wollen ein andere.

    Oder anders: Kartoffel schälen klappt mit vielen Messern erstaunlich gut auch mit den Großen langen


    Ne spalt Axt mit ist aber völlig daneben auch wenn die ne scharfe Schneide hat.


    200 Clients inklusive Produktions anlagen, die alleine über eine FB Box verwalten werden nenne ich unsauber.

    (eigentlich nenne ich das sogar Fusch, aber nun ja ich kenn den Rest ja nicht ob eleganter dinge wie

    daher bleibe ich bei unsauber)


    Da was zwischen zu „hexen" offensichtlich nur weil "gern gewonnen, Es macht das Konfigurieren so einfach, Wollte unbedingt“ Klingt dann eher nach groben Unfug. (klingt härter als da ich das meine)


    BTW und um nicht ganz als „Becker Arsch“ dazustehen.


    Der Unifi Kram kann natürlich auch die gleichen IP verwenden / behandeln/ verwalten wie die FB aktuell.

    Du kannst das Default Netz auch zum 192.168.178.0/24 machen (wenn es das Default von FB ist)

    Der kram der Statisch Konfiguriert ist würde dann Weiterlaufen und der DHCP Kram bekommt dann halt ne neue IP

    Man Kann also auch „Sanft migrieren“.


    Oder extra Modem und FB in Expoed hist, währe dann nur die IP der FB zu ändern weil die muss anders sein

    für den WAN Port als der LAN Bereich.

    • Neu

    ich frage mich warum ein UCG.

    Du scheibst nix vom WLAN, also im Prinzip kann dass doch jede "bessere" Firewall, als Beispiel eine Sophos XG.

    Also Fritzbox stellt den Internetzugang, den IP Bereich auf etwas anders ändern als es jetzt der Fall ist in den Netzwerkeinstellungen, z.b. 192.168.199.0/24, dann einen "exposed Host" auf das Gateway der Firewall einstellen, in der Firewall nutzt Du dann den IP Bereich, den deine Fritzbox vorher hatte.

    Je nachdem wie deine Einwahl funktioniert, könntest Du auch die Firewall die Einwahl übernehmen lassen.


    Wenn das ein Unternehmensnetzwerk ist, solltest Du dringend eine Firewall einsetzen, ich wette, jeder Nutzer kann sich aktuell "Pornoseiten" ansehen und Filesharing nutzen, solche Filterfunktionen gehen nur mit "professionellen" Geräten und die sind auch deutlich teurer ...


    PS:

    besorge dir eine Firewall für den LAN2WAN Verkehr, da gibt es viele, würde mich bei Fortigate und Sophios umschauen, die sind dann Auch VPN Server/Client und können mit entspr. Appliance wirklich alles abdecken.

    Wenn Du WLAN sicher implementieren möchtest, und Du eh in einem Windows Netzwerk mit Windows Servern sein solltest, kannst Du recht einfach, ein WAN mit Ubiqiti implementieren, womit Du dein lokales LAN (über WLAN) ansprechen kannst und diverse getrennte WLAN Netze für Gäste oder Mitarbeitergeräte/IOT Geräte bereitstellst.


    Nur mal als Beispiel, Du lässt die Controller Software auf eine VM laufen.

    Du willst deinen Laptops (Domain Mitglieder) automatischen Zugriff auf dein Firmennetzwerk ermöglich und noch ein isoliertes Gastnetzwerk für Kunden bereitstellen, kein Problem, so gehts (ganz grob):


    Radius (Netzwerkrichtlinien Rolle) auf einem Windows Server installieren und konfigurieren.

    Netzwerke (mit VLAN IDs) einrichten in der Ubiquiti Controller Software, an den Switchen, an denen die APs hängen und dem "gesamten" Weg, also auch den Uplink Ports und auch an der Firewall, die den Internetzugang bereitstellt.

    DHCP konfigurieren (grad für das Gastnetzwerk, könnte das die Firewall machen, für das Firmennetz macht das logischerweise der interne DHCP Server.

    Natürlich musst Du dann noch Firewall Regeln einrichten um die Kommunikation nach außen zuzulassen und evtl. WEB Policies aktivieren/Einrichten/zuweisen, um den Kontent zu filtern, diese Einstellungen haben aber eher "bessere Firewalls", bzw, das wird in einer Art Abo angeboten.


    Das wäre aber durchaus sinnvoll in deinem Fall, grad weil da ja auch Systeme aus der Produktion angeboten werden, also schnellstens Absichern mit einer Firewall, wenigstens hinter der Fritzbox und vor deinem LAN(s) !!!!

    Einmal editiert, zuletzt von zak ()