Beiträge von Networker

Das ist einfach eine Design-Entscheidung Naichbindas . Es gibt Vor- und Nachteile für Design1 wie für Design2.

Jetzt ist es an Dir, Dich für einen Weg zu entscheiden, nachdem Du Vor- und Nachteile beider Wege miteinander abgewogen hast.

Es gibt leider ein bisschen zu oft die Denke, dass man einfach das nachbauen sollte, was erfahrenen ITlern mal als gut beschrieben haben. Dass dies oft gar nicht zu den eigenen Bedürfnissen und Möglichkeiten passt, wird übersehen und das Ergebnis ist nur allzu häufig auf mehreren Ebenen unbefridigend.

Guten Abend Schang und herzlich willkommen (jetzt auch mit Profil) in der Community!

Auf jeden Fall sehr gut, dass Du Dir vor dem Bau schon Gedanken zu Deinem Netzwerk machst, so kann man viele Weichen schon direkt auf grün schalten.

Wenn es das Budget hergibt und Ihr kompetente Elektriker habt, lasst Euch Netzwerkkabel in Lehrrohren verlegen, sodass man hier später mal austauschen oder erweitern kann. Lehrrohre "funktionieren" wohl auch manchmal nicht ganz unkompliziert, aber die Wände neu zu schlitzen ist ja immer die schlechtere Option.

Du solltest auf jeden Fall in Betracht ziehen, zumindest zwischen den Etagen einfach schon mal ein paar Glasfasern mit einbuddeln zu lassen.

Wenn am Ende in jedem Raum in jeder Ecke mindestens eine LAN-Doppeldose hängt, bist Du langfristig gut aufgestellt.

Ganz unironisch kann es aber eine Überlegung sein, direkt neben die meisten Steckdosen eben auch Netzwerk zu setzen.

Solange Du nicht nicht gerade jedes Endgerät in ein eigenes VLAN packst, wird die Routingleistung der UDMs ausreichen, sodass ein L3-Switch entbehrlich ist.

Wenn Du irgendwann 10 Gbit/s zwischen NAS und Endgeräten in unterschiedlichen VLANs erwartest, wäre ein L3-Switch doch wieder anzuraten - pauschale Aussagen lassen sich hier nicht treffen.

Wie ich es überall sage: Einen Cloud Key würde ich mir heute nicht mehr kaufen, nimm eine UDM. Durch Deinen PoE-Switch helfen Dir die PoE-Ports an der UDM SE nicht wirklich, wenn der Aufpreis für Dich tragbar ist, würde ich dennoch die SE kaufen. Als Upgrade bekommst Du einen 2,5 Gbit/s WAN-Port und 128 GB internen SSD-Speicher. Außerdem ein verriegelbares Netzkabel, welches gegen spielende Kinder im Rack hilft.

Externe Speicher lassen sich bei Protect meines Wissens nach nicht anbinden, Du bist dann also auf die HDD/SSD angewiesen, die Du in die UDM steckst. Wenn Du irgendwann deutlich mehr Speicher brauchen solltest, könntest Du mit Protect auf den UNVR(-Pro) wechseln.

Eine Speed Limit Traffic Rule greift leider nicht zwischen Geräten im selben Netz. Du könntest den Switchport auf 100 Mbit/s schalten, aber das ist ja nicht das, was man will.

Aus meiner Sicht ist das auf keinen Fall ein normales Verhalten und dürfte so nicht passieren. Es sind beides potente Switches die nicht in die Knie gehen dürfen, nur weil auf einem Port 1 Gbit/s fließt, auch wenn es einen längeren Zeitraum betrifft. Oder kann es sein, dass mindestens einer der Switches sehr heiß wird?

Ja, richtig, über policy based routing lassen sich solche Vorhaben durchaus flankieren.

Würdest Du noch (um meinen Wissensdurst zu stillen) verraten, was genau Du durch diese spezielle Konfiguration erreichst? Wozu die verschiedenen VPN-Verbindungen?

Ich fürchte, ich kann Dir ab hier dann nicht weiterhelfen. Vilfo (kannte ich bis eben nicht) sind ja offenbar teure, spezialisierte VPN-Router, die gezielt für den Einsatz von "Masquerading"-VPN entwickelt werden.

Ubiquiti Unifi wiederum ist Hardware mit der klaren Ausrichtung auf Unternehmen. Im Unternehmens-Kontext wird VPN überlicherweise aber nicht für Masquerading, sondern zur Standortvernetzung verwendet. Aus anderen Threads weiß ich, dass Unifi-Router wohl durchaus mit einem Masquerading-VPN arbeiten können. Es würde mich aber aus o.g. Gründen nicht wundern, wenn es mit mehreren parallel nicht funktioniert, weil dies eben kein gängiges Szenario ist.

Meinbe letzte Idee wäre, dass Du die Settop-Boxen hinter den Vilfo hängst und alles andere hinter Unifi. Settop-Boxen kenne ich nur im Sinne von "Zuspieler für lineares TV" - auf so etwas muss man ja nicht im LAN zugreifen.

Und wo steht da etwas von Telefonie?

Ich habe das Gefühl, Du liest "VLAN 7" und bekommst Panik.

Es kann natürlich sein, dass dieser Anbieter es so löst. Aber aus Deinem Screenshot geht es nicht hervor - also besser mal mit dem Support abklären!

Gerne, kannst mir dafür dann ja auch ein "hilfreich" geben.

Grundsätzlich wäre meine Empfehlung wie gesagt auf das Einspielen eines Unifi-Backups zu verzichten. Aber zu Deiner Frage:

Zitat von Joemi19

Also warum soll ich alle Geräte löschen und danach ein Backup machen, welches dann später wieder eingespielt wird? Klingt für mich unlogisch, da das Backup dann ja quasi leer ist?!

Das Backup ist nicht leer, weil es die Konfiguration des bestehendes Netzwerkes beinhaltet, unabhängig von eingebundenen Geräten. Du verlierst die Einstellungen von Switch und APs, aber das ist so minimal, das setzt man in drei Minuten neu. Dafür vermeidest Du im Ansatz Probleme mit später nicht einbindbaren Geräten.

Zitat von Joemi19

Ich habe auf dem Cloud Key auch noch Protect mit 5 Kameras laufen, sollte ich davon ein Backup machen oder dann einfach neu einrichten?

Es wäre ganz clever gewesen, das vorher zu erwähnen...

EDIT: Sorry, hattest Du hier im Thread, das war leider schon 4 Wochen her.

Ich glaube, den Cloud Key kannst Du überhaupt nicht parallel zu einem Unifi-Router benutzen, da es nicht zwei Controller geben kann. Hier mag ich mich täuschen, das können andere aus dem Forum aber sicherlich beantworten.

Auf dem UCG Ultra wiederum kannst Du kein Protect nutzen, das geht erst ab dem UDR und inklusive SSD/HDD erst mit der UDM Pro bzw. UDM SE.

Zitat von Joemi19

Meine APs sind über Patchpanel aufgelegt. Muss ich diese dann zum adopten direkt mit dem UCG Ultra verbinden oder geht es auch über den Switch nachdem dieser neu eingebunden ist?

Sie können am Switch hängen, das ist gar kein Problem.

Zitat von Joemi19

Ist die Firewall am UCG schon vorkonfiguriert oder muss man alles manuell einstellen?

Es gibt vordefinierte Regeln, die aber nur bedingt mit Sicherheit zu tun haben. In der Basis ist Unifi wie eine Fritzbox und sperrt nichts von innen nach außen (Internet).

Wie Du die Firewall für den internen Datenverkehr konfigurieren musst, habe ich Dir ja verlinkt (Punkt 19).

Zitat von Joemi19

Irgendwie bekomme ich so langsam doch Bammel, dass ich mich da irgendwie übernehme und hinterher alles total unsicher ist, obwohl mein Ansinnen ja gerade ist alles ein wenig sicherer zu machen...

Man sollte sich schon entweder gut auskennen, sich gut einlesen oder sich gute Hilfe holen.

In Richtung Internet wird es aber im Vergleich zur Fritzbox nicht unsicherer, wenn Du alles auf default belässt. Sicherer aber natürlich auch nicht.

Ja, "PoE-Passthrough", hatte ich ja geschrieben.

Zitat von maxim.webster

Was ist der Unterschied? Der USW Flex kann auch via PoE betrieben werden und es weitergeben.

Ich kenne mich elektrotechnisch kaum aus aber würde erwarten, dass es diesbezüglich sehr verschiedene Implementierungen und Schaltungen sind. Passthrough bedient ja auch nur genau einen Port.

Zitat von Revo

heißt es dass es ein Update gibt?

Nein, nicht zwingend. Was Du da siehst, sind Updates, die Dein Controller in der Vergangenheit heruntergeladen und bereitgestellt hat.

Wenn ein Update zwar verfügbar aber noch nicht ins Gerät eingespielt worden ist, siehst Du dies recht deutlich unter "Devices". Außerdem wird Dich der Controller sehr aktiv mit Notifications bewerfen.

Das würde nur gehen, wenn man wüsste, was Du überhaupt konkret erreichen willst. Wenn Du versuchst, dass Dein Browser mittels Deines VPNs gleichzeitig eine hawaianische und eine usbekische IP-Adresse vorgaukelt, wird es nicht funktionieren.

Split Tunneling bedeutet, dass man sich mit seinem Rechner per VPN in ein anderes Netz hinein tunnelt um dessen Ressourcen zu erreichen, aber nicht seinen gesamten Datenverkehr über dieses VPN schickt.

Ich kann mich über diese Systematik an meinem System gleichzeitig mit den Netzwerken von Kunde A, B und C verbinden und mein Rechner weiß, welche Anfragen er durch welchen Tunnel senden muss, weil das Routing eindeutig ist. Wäre die VPN-Verbindung von Kunde A ohne Split Tunneling, würden alle Datenpakete meines Rechners über den Kunden-Router laufen.

Bei Dir scheint es eher nicht um den Zugriff auf private Netze hinter dem VPN zu gehen, sondern um Maskierung Deiner Verbindung oder so - da ist die Diskkussion dann etwas anders.

NordVPN beispielsweise bietet Split Tunneling auf Anwedungsebene an, ich kann also mit meinem Browser ein Rechner in HongKong sein, parallel aber trotzdem den Drucker in meinem Netzwerk erreichen.

Ich vermute aber sehr stark, dass Dein Anbieter Dir gar keine zwei parallelen Verbindungen ermöglicht. Es ist bei "dieser Art von VPN" aus meiner Sicht auch gar nicht sinnvoll umzusetzen.

Kläre doch erstmal beim neuen Anbieter ab, ob er überhaupt eine VLAN-Tag für SIP (Telefonie) voraussetzt!

Kein Split Tunneling.

AllowedIPs = 0.0.0.0/0 bedeutet, dass jegliches Datenpaket des VPN-Clients durch den Tunnel gesendet wird. Bei zwei Tunneln ist dies dann natürlich nicht mehr möglich.

Ich bin mir ehrlich gesagt nicht ganz sicher, ob Du meinen Beitrag richtig verstanden hast. Wie gesagt, ein VLAN-Tag ist für sich überhaupt kein Problem.

Und das Problem entsteht nur dann, wenn man Telefonie vom selben Provider nutzt, über den man "ins Internet geht". Bei Dir klingt es jetzt, als wäre das ein ganz anderer.

Rufnummern kann man jederzeit portieren, das hat nichts mit Vertragslaufzeiten zu tun.

Zitat von Revo

Ja du hast recht der Switch funktioniert in seiner Grundfunktion, nur ohne Netzteil können die Ports nicht konfiguriert werde z.B. VLANs...

Ich wollte damit auch nicht sagen, dass es kein Problem gibt, dies ist völlig unzweifelhaft ein Fehler.

Es hätte ja nur sein können, dass der Switch rein über PoE-Input gar nicht erst startet, dann wäre es ein Hardwarefehler und Fall für eine RMA.

Die "Ultra"-Serie ist erst sehr kurz am Markt, daher sind die Geräte noch kaum verbreitet. Teilweise schon etwas böse Bugs sind bei Ubiquiti zu Release einer neuen "Serie" leider normal. Wenn ich mich nicht täusche, ist es für Ubiquiti auch der allererste PoE-Switch, der über PoE betrieben werden kann. Alle anderen hatten maximal PoE-Passthrough.

Ich würde ihn vorerst mit Netzteil betreiben und mal 1-2 Firmware-Updates abwarten. Natürlich kannst Du auch einen Bug-Report bzw. eine Supportanfrage bei Ubiquiti öffnen.

Ich habe noch keinen "Ultra"-Switch hier, daher kann ich leider nicht versuchen, den Fehler zu reproduzieren.

Viel Erfolg. Wenn da nichts sinnvolles bei heraus kommt, kannst Du die Konfigurationen hier ja mal posten.

Das kann ich nicht sagen, ob ich das kann. Aber Dein VPN-Provider sollte dies können und diesen bezahlst Du immerhin auch für Support.

Es wäre großer Zufall wenn das stimmt:

Zitat von coolcriz

hab exakt die Konstellation des TE

Du wirst mit sehr hoher Sicherheit einen anderen Internet-Provider nutzen und der Provider ist hier das Grundübel.

VLAN-tagging ist für Dein UGC überhaupt kein Problem, weder auf VDSL, noch bei GF. Das Problem entsteht erst, wenn der Provider neben dem für die Internet-Einwahl nötigen VLAN-Tag noch ein anderes Tag für die Telefonie erwartet.

Wenn man sich, aus welchen Gründen auch immer, für gezwungen erachtet, so einen Provider zu nutzen, gibt es zwei Möglichkeiten:

1. Man bleibt bei der Fritzbox vorgeschaltet zum Unifi-Router

2. Man nimmt einen anderen Telefonie-Provider (und portiert bei Bedarf seine Rufnummern)

Hallo Revo und willkommen hier!

Grundlegend funktioniert Dein Switch ohne Netzteil, ansonsten hätten dahinter angeschlossene Endgeräte keinerlei Verbindung.

Dass er ohne eigene Strombversorgung im Controller "offline" erscheint, könnte ein Bug sein. Welche Firmware-Versionen nutzt Du auf der UDM SE und auf dem Switch? Welche "Network"-Version nutzt Du?

Zitat von Nightsong

Bei PMF war es also falsch das es auf disable steht. Ich hatte auf optional gestellt dachte das reicht aus.

WPA3 ohne PMF geht überhaupt nicht, daher ist die Einstellung bei Dir im Controller ja auch ausgegraut.

Zitat von Nightsong

Wie sieht es aus wenn Lehrer auf die Smartboards zugreifen müssen, wenn die auf dem selben AP sind.

Habe ich Dir ja schon beschrieben. Die Smartboards sollten in ein anderes Subnetz. Dann ist auch egal, auf welchem AP sie gerade eingebucht sind.

In einer Umgebung wie einer Schule möchtest Du auf gar keinen Fall irgendein (Sicherheits-)Konzept auf dem Umstand aufbauen, dass bestimmte Geräte auf demselben AP oder gerade nicht auf demselben AP liegen.

Zitat von Nightsong

Wie ist es wenn ich L2 Isolation in der SSID aktiviere.

Wo gilt die Isolation. Gilt das auch übergreifen auf andere SSID´s. oder nur im eigenen Subnetz.

Natürlich nur für die jeweilige SSID und möglicherweise sogar nur für alle Geräte, die auf demselben AP im selben WiFi sind. Das scheint bei Unifi etwas unklar zu sein, vielleicht kann das jemand anderes mit Bestimmtheit sagen.

Andere Subnetze/SSIDs haben damit nichts zu tun, das würde ja auch so keinen Sinn ergeben.

Zitat von Nightsong

Er wollte ja von SSID auf SSID 2 intern zugreifen und das ging nicht. Sind ja 2 verschiedene Subnetze und ich denke da hat die Firewall reingespuckt und nicht die L2 Isolation.

Ja, vorausgesetzt, Ihr habt Eure Subnetze sauber getrennt, war es auf jeden Fall die Firewall.

Wenn Ihr sowieso gerade alle neu machen müsst: Du verwendest noch die alte Oberfläche des Controllers, die wird vermutlich nicht mehr lange unterstützt.

Ich würde das Setup komplett über die neue machen, damit man sich dran gewöhnt.

In Sachen PMF habe ich im ersten Beitrag etwas durcheinander gebracht, habe die eine Aussage daher zurückgezogen.

PMF auf "optional" sollte beim Mischbetrieb WPA2/WPA3 passen.

Hallo Nightsong und willkommen hier!

ich bin mir ehrlich gesagt nicht sicher, ob wir hier die richtige "Institution" sind, um Dir Munition für Deinen Zwist mit dem anderen Admin zu liefern. Wenn Du authorisiert bist, Netzwerkeinstellungen anzupassen, kannst Du es doch einfach tun und musst Dich ja nicht mit seiner -aus Deiner Sicht falschen- Meinung auseinandersetzen.

Endgeräte, die WPA3 nicht unterstützen, nutzen automatisch WPA2. Dass diese Geräte Verbindungsprobleme haben können, habe ich in der Praxis noch nicht erlebt. Es gibt einzelne Berichte darüber, vermutlich sind aber stark überwiegend Billigst-Geräte betroffen, die sehr veraltete WLAN-Chips verbaut haben.

PMF muss aber auf jeden Fall erzwungen werden, ansonsten haben viele Geräte Verbindungsprobleme.

Clients innerhalb ihres Subnetzes zu isolieren ergibt aus meiner Sicht in bestimmten Szenarien absolut Sinn - es ist aber wie so oft vom Kontext abhängig. So lange in diesem Subnetz ausschließlich Clients hängen, spricht überhaupt nichts gegen Isolation. Alle Geräte, die auch nur im Ansatz irgendwelche Dienste anbieten, dürfen dann natürlich nicht im selben Subnetz sein.

Offenbar ist Eure Struktur bzw. Eure Segmentierung ziemlich rudimentär und deutlich ausbaufähig.

Allerdings: Wenn man seine Smartboards im selben Subnetz wie die Schüler-Clients betreibt und dann client isolation einschaltet, ist das Ergebnis nicht "es gab in letzter Zeit immer mal wieder Probleme" sondern "niemand kann jemals auf die Smartboards zugreifen".

Ohne Eure Anforderungen und Struktur zu kennen: Das Ziel sollte sehr wahrscheinlich sein, alle Schüler-Endgeräte (und nur diese) in ein eigenes Subnetz zu bringen. Hier kann client isolation eingeschaltet werden und man gibt über Firewall-Regeln alle Ressourcen aus den anderen Subnetzen frei, die Schüler nutzen können sollen.

Zitat von Joemi19

Über eine Laienfreundliche Hilfe von euch wäre ich SUPER DANKBAR!!!!

Ok, ist ja Sonntag, ich will's mal versuchen.

1. Frau und Kindern Tagestickets für den Freizeitpark spendieren, für ungestörte Ruhe sorgen
2. Alle Geräte in Deinem Netzwerk auf DHCP einstellen (außer die Fritzbox, die ist und bleibt DHCP-Server, nicht -Client)
3. In Cloud Key einloggen, alle Unifi-Geräte einzeln "vergessen/entfernen", so dass sie nicht mehr an den Controller (Cloud Key) gebunden sind
   --> zu finden unter "Settings" beim Eintrag für das Gerät selbst
4. Backup des Cloud Key erstellen
5. Cloud Key abschalten bzw. aus dem Netzwerk entfernen
6. In Fritzbox einloggen und sicherstellen, dass sie im LAN nicht auf das Subnetz 192.168.1.0/24 eingestellt ist (Standard wäre 192.168.178.0/24) --> falls doch: auf Standard umstellen
7. Kabelverbindung zwischen Switch und Fritzbox trennen, alle weiteren Netzwerkgeräte von der Fritzbox trennen (Telefone bleiben dran)
8. UCG Ultra am WAN-Port (Internet-Weltkugel) mit Port 1 der Fritzbox verbinden
9. Computer mit LAN-Port des UCG Ultra verbinden, dann per Browser auf https://192.168.1.1 zugreifen und dem Einrichtungsassistenten des UCG Ultra folgen
10. Einloggen in UCG Ultra
11. Cloud Key-Backup wiederherstellen, wenn es aus Deiner Sicht sein muss (besser wäre, sauber neu zu konfigurieren)
12. Switch mit LAN-Port des UCG Ultra verbinden, Switch adopten (einbinden) --> funktioniert wie früher im Cloud Key
13. Gleiche Prozedur mit WLAN-APs durchführen
    --> Alle Unifi-Geräte müssen nun IP-Adressen aus dem Subnetz 192.168.1.0/24 haben, ansonsten ist etwas falsch. Dies ist ab sofort Dein Management-Netz, in diesem sind zukünftig nur Unifi-Geräte, auch wenn Du in diesem Moment vielleicht Endgeräte siehst, die ebenfalls Adressen aus deisem Subnetz tragen. Meine Empfehlung wäre noch, für das Management-Netz ein anderes Subnetz festzulegen, damit es unwahrscheinlicher wird, über ein VPN nicht darauf zugreifen zu können. Du könntest die IP-Adresse des UCG Ultra z.B. auf 192.168.33.1 ändern, danach alle Unifi-Geräte einmal neu starten, damit sie per DHCP wieder korrekte Adressen erhalten.
14. Im UCG Ultra auf Settings --> Networks --> New Virtual Network
    
    1. Namen für Netzwerk vergeben (z.B. Heimnetz)
    2. Wahlweise alles auf "Auto" lassen oder die Haken entfernen und gewünschte Parameter selbst eintragen
    3. "Add" anklicken
       --> Dein erstes selbstgeneriertes VLAN ist fertig
15. Settings --> WiFi --> Create New
    
    1. Name für WLAN vergeben
    2. Passwort vergeben
    3. Basis-Netzwerk für WLAN auswählen, im Beispiel wäre es "Heimnetz"
    4. "Add" anklicken
       --> Dein erstes selbstgeneriertes VLAN ist nun auch kabellos erreichbar
16. Schritte 14 & 15 für alle Netze durchführen, die man benötigt. Auch dem Management-Netz kann man noch ein WiFi hinzufügen, wenn man möchte.
17. Ports --> Switchport auswählen
    1. Port mit Unifi-Gerät: Native VLAN / Network ist Dein Management-Netz, Tagged VLAN Management ist "Allow all"
    2. Port mit sonstigem Gerät: Native VLAN / Network ist das VLAN, in dem Du das Gerät haben willst. Tagged VLAN Management ist "Block All"
18. Drahtlose Geräte verbindest Du mit dem WiFi, in dem Du sie sehen möchtest
    --> Du hast nun ein strukturiertes Netzwerk und damit die Grundlage für weiteres Management.
19. Firewall-Regeln erstellen, um die einzelnen VLANs gegeneinander abzuschotten und ggf. Zugriffsfreigaben zu erteilen. Bedenke z.B., dass Du ja von mindestens einem Endgerät aus auch weiterhin Zugriff auf den Controller (im UCG Ultra) haben musst. Anleitungen hierzu haben andere längst geschrieben.
20. PC mit Fritzbox verbinden und in Box einloggen. Das UCG Ultra muss jetzt, abgesehen vom gerade temporär angeschlossenen PC, das einzige Endgerät sein, welches die Fritzbox "sieht". UCG Ultra als "exposed host" konfigurieren.

Viel Erfolg!