Cloud key Gen2 Backup und VLAN

Es gibt 31 Antworten in diesem Thema, welches 8.645 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

  • 2 DHCP Server gehen sogar in einem Netz - müssen nur entsprechend konfiguriert sein und mit ner Fritte wird das auch nix.

    Da musst du aber gewaltig auspassen, was du konfiguriert - zwei DHCP im Netz können nur Probleme machen, da würde ich dringend von abraten, erst Recht für Leute, die keien/wenig Ahnung von der Netzwerk-Materie haben.

  • Hey Leute,


    sorry wenn ich mich etwas ungeschickt anstelle, aber umso mehr ich im Netz lese, desto unsicherer werde ich.


    Also Ich möchte die Fritzbox gerne weiter verwenden, um den Internetzugang zu bekommen. Noch eine zusätzliche Hardware würde ich ungerne kaufen wollen.

    Wie muss ich dann weiter vorgehen, wenn das Gateway Ultra bei mir ankommt?

    Erstmal ein Backup vom Cloud Key 2 ziehen und auf das Gateway Ultra übertragen.

    Das neue Ultra bekommt eine IP von der Fritzbox?? Oder trage ich das als so ein exposed Host ein?

    Sorry, ich bin mittlerweile total verwirrt.


    Also im Prinzip möchte ich die Verwaltung der Geräte dann über das Gateway Ultra machen, das traue ich mir eigentlich zu, nur verwirrt mich das zusammenspiel mit der Fritzbox. Da habe ich leider keine Lösung oder besser noch Tutorial finden können.

    Ich weiß ich bin kein Netzwerkspezialist aber im Prinzip gehts mir ja um die Aufteilung in die VLANS, das ist mit der Unifi Oberfläche denke ich eigentlich relativ einfach zu bewerkstelligen.


    Über eine Laienfreundliche Hilfe von euch wäre ich SUPER DANKBAR!!!!

  • Über eine Laienfreundliche Hilfe von euch wäre ich SUPER DANKBAR!!!!

    Ok, ist ja Sonntag, ich will's mal versuchen. :winking_face:

    1. Frau und Kindern Tagestickets für den Freizeitpark spendieren, für ungestörte Ruhe sorgen
    2. Alle Geräte in Deinem Netzwerk auf DHCP einstellen (außer die Fritzbox, die ist und bleibt DHCP-Server, nicht -Client)
    3. In Cloud Key einloggen, alle Unifi-Geräte einzeln "vergessen/entfernen", so dass sie nicht mehr an den Controller (Cloud Key) gebunden sind
      --> zu finden unter "Settings" beim Eintrag für das Gerät selbst
    4. Backup des Cloud Key erstellen
    5. Cloud Key abschalten bzw. aus dem Netzwerk entfernen
    6. In Fritzbox einloggen und sicherstellen, dass sie im LAN nicht auf das Subnetz 192.168.1.0/24 eingestellt ist (Standard wäre 192.168.178.0/24) --> falls doch: auf Standard umstellen
    7. Kabelverbindung zwischen Switch und Fritzbox trennen, alle weiteren Netzwerkgeräte von der Fritzbox trennen (Telefone bleiben dran)
    8. UCG Ultra am WAN-Port (Internet-Weltkugel) mit Port 1 der Fritzbox verbinden
    9. Computer mit LAN-Port des UCG Ultra verbinden, dann per Browser auf https://192.168.1.1 zugreifen und dem Einrichtungsassistenten des UCG Ultra folgen
    10. Einloggen in UCG Ultra
    11. Cloud Key-Backup wiederherstellen, wenn es aus Deiner Sicht sein muss (besser wäre, sauber neu zu konfigurieren)
    12. Switch mit LAN-Port des UCG Ultra verbinden, Switch adopten (einbinden) --> funktioniert wie früher im Cloud Key
    13. Gleiche Prozedur mit WLAN-APs durchführen
      --> Alle Unifi-Geräte müssen nun IP-Adressen aus dem Subnetz 192.168.1.0/24 haben, ansonsten ist etwas falsch. Dies ist ab sofort Dein Management-Netz, in diesem sind zukünftig nur Unifi-Geräte, auch wenn Du in diesem Moment vielleicht Endgeräte siehst, die ebenfalls Adressen aus deisem Subnetz tragen. Meine Empfehlung wäre noch, für das Management-Netz ein anderes Subnetz festzulegen, damit es unwahrscheinlicher wird, über ein VPN nicht darauf zugreifen zu können. Du könntest die IP-Adresse des UCG Ultra z.B. auf 192.168.33.1 ändern, danach alle Unifi-Geräte einmal neu starten, damit sie per DHCP wieder korrekte Adressen erhalten.
    14. Im UCG Ultra auf Settings --> Networks --> New Virtual Network
      1. Namen für Netzwerk vergeben (z.B. Heimnetz)
      2. Wahlweise alles auf "Auto" lassen oder die Haken entfernen und gewünschte Parameter selbst eintragen
      3. "Add" anklicken
        --> Dein erstes selbstgeneriertes VLAN ist fertig
    15. Settings --> WiFi --> Create New
      1. Name für WLAN vergeben
      2. Passwort vergeben
      3. Basis-Netzwerk für WLAN auswählen, im Beispiel wäre es "Heimnetz"
      4. "Add" anklicken
        --> Dein erstes selbstgeneriertes VLAN ist nun auch kabellos erreichbar
    16. Schritte 14 & 15 für alle Netze durchführen, die man benötigt. Auch dem Management-Netz kann man noch ein WiFi hinzufügen, wenn man möchte.
    17. Ports --> Switchport auswählen
      1. Port mit Unifi-Gerät: Native VLAN / Network ist Dein Management-Netz, Tagged VLAN Management ist "Allow all"
      2. Port mit sonstigem Gerät: Native VLAN / Network ist das VLAN, in dem Du das Gerät haben willst. Tagged VLAN Management ist "Block All"
    18. Drahtlose Geräte verbindest Du mit dem WiFi, in dem Du sie sehen möchtest
      --> Du hast nun ein strukturiertes Netzwerk und damit die Grundlage für weiteres Management.
    19. Firewall-Regeln erstellen, um die einzelnen VLANs gegeneinander abzuschotten und ggf. Zugriffsfreigaben zu erteilen. Bedenke z.B., dass Du ja von mindestens einem Endgerät aus auch weiterhin Zugriff auf den Controller (im UCG Ultra) haben musst. Anleitungen hierzu haben andere längst geschrieben.
    20. PC mit Fritzbox verbinden und in Box einloggen. Das UCG Ultra muss jetzt, abgesehen vom gerade temporär angeschlossenen PC, das einzige Endgerät sein, welches die Fritzbox "sieht". UCG Ultra als "exposed host" konfigurieren.

    Viel Erfolg!

  • Fettes Dankeschön!


    Kurze Verständnisfrage: Ist Punkt 3 und 4 so korrekt?

    Also warum soll ich alle Geräte löschen und danach ein Backup machen, welches dann später wieder eingespielt wird? Klingt für mich unlogisch, da das Backup dann ja quasi leer ist?!

    Ich habe auf dem Cloud Key auch noch Protect mit 5 Kameras laufen, sollte ich davon ein Backup machen oder dann einfach neu einrichten?

    Also für das Protect möchte ich dann schon der Cloud Key weiterverwenden, alleine schon wegen der integrierten Festplatte.


    Punkt 13: Meine APs sind über Patchpanel aufgelegt. Muss ich diese dann zum adopten direkt mit dem UCG Ultra verbinden oder geht es auch über den Switch nachdem dieser neu eingebunden ist?


    Punkt 17: Muss ich mir dann in Ruhe mal anschauen :loudly_crying_face:


    Ist die Firewall am UCG schon vorkonfiguriert oder muss man alles manuell einstellen?

    Irgendwie bekomme ich so langsam doch Bammel, dass ich mich da irgendwie übernehme und hinterher alles total unsicher ist, obwohl mein Ansinnen ja gerade ist alles ein wenig sicherer zu machen...

    • Hilfreich

    Gerne, kannst mir dafür dann ja auch ein "hilfreich" geben. :winking_face:

    Grundsätzlich wäre meine Empfehlung wie gesagt auf das Einspielen eines Unifi-Backups zu verzichten. Aber zu Deiner Frage:


    Also warum soll ich alle Geräte löschen und danach ein Backup machen, welches dann später wieder eingespielt wird? Klingt für mich unlogisch, da das Backup dann ja quasi leer ist?!

    Das Backup ist nicht leer, weil es die Konfiguration des bestehendes Netzwerkes beinhaltet, unabhängig von eingebundenen Geräten. Du verlierst die Einstellungen von Switch und APs, aber das ist so minimal, das setzt man in drei Minuten neu. Dafür vermeidest Du im Ansatz Probleme mit später nicht einbindbaren Geräten.



    Ich habe auf dem Cloud Key auch noch Protect mit 5 Kameras laufen, sollte ich davon ein Backup machen oder dann einfach neu einrichten?

    Es wäre ganz clever gewesen, das vorher zu erwähnen... :confused_face:


    EDIT: Sorry, hattest Du hier im Thread, das war leider schon 4 Wochen her.


    Ich glaube, den Cloud Key kannst Du überhaupt nicht parallel zu einem Unifi-Router benutzen, da es nicht zwei Controller geben kann. Hier mag ich mich täuschen, das können andere aus dem Forum aber sicherlich beantworten.

    Auf dem UCG Ultra wiederum kannst Du kein Protect nutzen, das geht erst ab dem UDR und inklusive SSD/HDD erst mit der UDM Pro bzw. UDM SE.



    Meine APs sind über Patchpanel aufgelegt. Muss ich diese dann zum adopten direkt mit dem UCG Ultra verbinden oder geht es auch über den Switch nachdem dieser neu eingebunden ist?

    Sie können am Switch hängen, das ist gar kein Problem.


    Ist die Firewall am UCG schon vorkonfiguriert oder muss man alles manuell einstellen?

    Es gibt vordefinierte Regeln, die aber nur bedingt mit Sicherheit zu tun haben. In der Basis ist Unifi wie eine Fritzbox und sperrt nichts von innen nach außen (Internet).

    Wie Du die Firewall für den internen Datenverkehr konfigurieren musst, habe ich Dir ja verlinkt (Punkt 19).



    Irgendwie bekomme ich so langsam doch Bammel, dass ich mich da irgendwie übernehme und hinterher alles total unsicher ist, obwohl mein Ansinnen ja gerade ist alles ein wenig sicherer zu machen...

    Man sollte sich schon entweder gut auskennen, sich gut einlesen oder sich gute Hilfe holen. :winking_face:

    In Richtung Internet wird es aber im Vergleich zur Fritzbox nicht unsicherer, wenn Du alles auf default belässt. Sicherer aber natürlich auch nicht.

  • Ich glaube, den Cloud Key kannst Du überhaupt nicht parallel zu einem Unifi-Router benutzen, da es nicht zwei Controller geben kann. Hier mag ich mich täuschen, das können andere aus dem Forum aber sicherlich beantworten.

    Auf dem UCG Ultra wiederum kannst Du kein Protect nutzen, das geht erst ab dem UDR und inklusive SSD/HDD erst mit der UDM Pro bzw. UDM SE.

    Das wäre dann der K.O. für das Gateway, da ich das Protect mit den Kameras noch als bestes Feature empfinde. Und noch mehr Kohle stecke ich dann auch nicht ins Projekt...

    Aber es müsste doch irgendwie gehen, dass man am UCK2 nur das Protect Feature nutzt?!


    Ok, an der Fritzbox habe ich ja auch nichts weiter eingestellt. Wenn dann mit dem Unifi nicht alles total ungeschützt ist ohne das ich eingreifen muss, soll mir das erstmal so reichen.


    Gut auskennen tue ich mich nicht, hast wahrscheinlich schon gemerkt :winking_face:

    Gut einlesen ist immer so eine Sache... Wenns einfach zu sehr in die Materie geht, verstehe ich es leider nicht mehr...

    Hilfe holen funktioniert leider auch immer nur bis zu einem gewissen Punkt, von daher bin ich hier über jede Hilfe sehr dankbar!!

  • Hallo Leute,


    ich habe heute den schönen Tag damit verbracht, mein Gateway Ultra ins Netz zu integrieren.

    War an sich gar nicht so schwer.

    Das Netzwerk habe ich wie empfohlen neu aufgesetzt, war auch halb so wild.


    Ich habe mir verschiedene VLANs generiert, mit dazugehörigen WLANS. IP Adressen werden auch alle korrekt vergeben. So weit so gut.

    Wenn ich es jetzt richtig sehe, dann können aber prinzipiell die Geräte auch zwischen den Netzen noch kommunizieren.

    Da muss ich mich wirklich noch ein bischen einlesen.


    Meinen Cloud Key Gen 2 habe ich ebenfalls ins Netz eingebunden. Hierzu habe ich vorher die Network App gestoppt. Jetzt läuft auf dem Cloud Key nur noch Protect mit den 5 Kameras. Funktioniert auch alles gut, solange ich im LAN bin, auch zwischen den LANS, da ich die Kameras und den Cloud Key in ein Kamera VLAN gepackt habe.


    Nun war ich vorhin unterwegs und habe über meine Protect App keinen Zugriff, da er keine Verbindung ins Netz aufbauen kann. Ich kann aber auch in der App nur meinen Cloud Key auswählen. Ich dachte irgendwie, dass man das Gateway Ultra als Zugang auswählen kann und diesen dann auf den Cloud Key weiterleitet. Scheint aber nicht so zu sein.


    Kann mir diesbezüglich vielleicht jemand helfen.


    Auf jeden kann ich schonmal sagen, dass das ganze vielleicht auch ein wenig Spielerei ist, aber es macht schon irgendwie auch ein bischen Spaß.


    Besten Dank im Voraus!

  • Meinen Cloud Key Gen 2 habe ich ebenfalls ins Netz eingebunden. Hierzu habe ich vorher die Network App gestoppt. Jetzt läuft auf dem Cloud Key nur noch Protect mit den 5 Kameras.

    Das freut mich, dass es so klappt und sich meine Befürchtung nicht bestätigt hat.



    Nun war ich vorhin unterwegs und habe über meine Protect App keinen Zugriff, da er keine Verbindung ins Netz aufbauen kann. Ich kann aber auch in der App nur meinen Cloud Key auswählen. Ich dachte irgendwie, dass man das Gateway Ultra als Zugang auswählen kann und diesen dann auf den Cloud Key weiterleitet. Scheint aber nicht so zu sein.

    Sobald Du eine VPN-Verbindung ins Heimnetz aufgebaut hast, sollte die Protect-App auch mit "Protect" auf dem CloudKey kommunizieren können, würde ich meinen.

  • Hi,


    also die protect app läuft jetzt auch wunderbar. Habe eigentlich nichts geändert, also keine Ahnung warum.

    Zur Zeit können noch alle Netze untereinander kommunizieren.

    Heute habe ich eine erste Traffic Regel erstellt.


    Mein IOT Netz habe ich Traffic von und zu anderen Netzen verboten. Ist ja total easy einzustellen.

    Danach habe eine IP Regel erlauben erstellt.

    Und zwar mein Handy welches in einem anderen Netz ist, soll Zugriff auf das IOT haben.

    Also habe ich IP (vom Handy) erlauben in Netzwerk IOT.


    Im IOT ist ein Gerät mit einer GUI. Wenn ich im Handy Browser die IP des IOT Geräts eingebe, hätte ich erwartet, dass sich die Gui öffnet. Stattdessen kommt aber ein Timeout.


    Habe ich vielleicht einen Denkfehler und muss noch was anderes einstellen oder heben sich die beiden Regeln gegenseitig auf?


    Interessant wäre dann auch wie ich den Zugriff auf protect verwirkliche.

    Der Cloud key Gen2 mit Protect ist mit den Kameras im Kamera Vlan, das Gateway im default.

    Das Kamera Netz soll unbedingt abgeschottet werden, da ja prinzipiell jemand draußen ans LAN Kabel gehen könnte.

    Aber das Kamera Netz muss ja irgendwie mit dem Gateway kommunizieren können, da sonst nutzlos.

    Irgdndwie stehe ich hier aufm Schlauch, obwohl wahrscheinlich total easy.


    Kann mich jemand schlauer machen? :face_with_rolling_eyes:


    Danke wie immer im Voraus für eure Mühen!!!!

  • Im IOT ist ein Gerät mit einer GUI. Wenn ich im Handy Browser die IP des IOT Geräts eingebe, hätte ich erwartet, dass sich die Gui öffnet. Stattdessen kommt aber ein Timeout.


    Habe ich vielleicht einen Denkfehler und muss noch was anderes einstellen oder heben sich die beiden Regeln gegenseitig auf?

    1. Regeln werden von oben nach unten abgearbeitet. "Erlauben" muss also über "Verbieten" stehen, ansonsten klappt es nicht.

    2. Viele vergessen den "Rückkanal". Handy an Gerät ist erlaubt, aber ist auch Gerät an Handy erlaubt? ---> Dies regelt man elegant und global über eine einzige, weitere Regel, Stichwort "Allow established/related"



    Das Kamera Netz soll unbedingt abgeschottet werden, da ja prinzipiell jemand draußen ans LAN Kabel gehen könnte.

    Dafür kann man die "port security" nutzen und mit MAC-Filtern arbeiten.

  • Klar, wenn es jemand drauf anlegt, ist MAC-Schutz keine Hürde. Spätestens wenn man die Kamera an einen Switch anschließt, teilt sie Ihre MAC-Adresse auch mit.

    Letzlich ist dies ein (kleiner) Baustein eines Sicherheitskonzeptes. Wenn man die physische Sicherheit weiter erhöhen will, gibt es z.B. auch abschließbare Dosen.


    In jedem Fall ist es natürlich ratsam, alle Ports im Außenbereich einem entsprechend abgeschirmten VLAN zuzuweisen.