Beiträge von Kolungate

Hallo zusammen

Ich habe bereits einen gleichlautenden Eintrag (etwas weiter unten) gestartet - allerdings muss ich eingestehen, dass der Start des Beitrags und damit einhergehender Feedback alles andere als ein guter Start für ein solches Projekt war. In Teilen liegt das an der Komplexität des Unterfangens und meinem u.U. nicht ganz so proffessionellen Umgang, sowie in meinen Augen an der Beharrlichkeit einiger User, die ein solches Projekt (nur) in professionelle Hände gelegt wissen wollen, ohne sich dabei auf Quereinsteiger und deren andere Ansichten zur Thematik einzulassen.

Natürlich habe ich mir mein Vorhaben skizziert - auch wenn ich es unterlassen habe dies entsprechend Dund zu tun im letzten Beitrag). Ich ändere daher meine Vorgehensweise hier im Forum, und werde...

• zunächst die Unternehmensstruktur widerspiegeln
• danach die IST-Situation der IT skizzieren
• zum Schluss den PLAN-Stand meines Projekts ausführen.

Im Anschluss daran werde ich meine Maßnahmen reflektieren und meine eigentlichen Fragen zum Besten geben.

Noch eines vorweg: Ich habe Mathematik studiert und hatte da natürlich meine Pflichtsemester Informatik 1 und 2 gehabt. Nach dem Stuidum habe ich ein zweites Stuidum im Lehramt Geschicht und Mathematik absolviert und habe das mit dem zweiten Staatsexamen abgeschlossen. 2 Jahre Schule habe mich jedoch erkennen lassen, dass ich das - nicht wegen der Schüler, sondern wegen des Systems "Schule" und der Eltern - keinesfalls mein Leben lang machen werde. Ich bin dann zunächst als Pädagoge unterwegs gewesen, ehe ich in die IT kam und dort seit 10 Jahren arbeite - parallel zum Studium arbeitete ich in der IT bei größeren unternehmen im 1st. und später in 2nd und 3rd-Level-Support für Linux-Server. Im Bereich Netzwerk habe ich grundlegende Erfahrungen (LAN-Partys organisieren und realisieren für bis zu 1000 Zocker)

Die Unternehmensstruktur
Wir sind ein KMU mit ca. 700 Beschäftigten. Ein kleiner Teil arbeitet in einer Firmenzentrale, während das Gros an bis zu 70 Standorten arbeitet. Neben unseren Mitarbietern haben wir ca. noch 2500 Kunden in unserer Region. Diese Regionen wurden in "Regionale Sektoren" unterteilt, die von einer Standort-Zentrale geleitet werden. Das Gros der Standorte hat jedoch ca. 1-15 Mitarbeiter.

Jeder größerer Standort (mit mehr als 15 Mitarbeitern) verfügt über einen eigenen Windows Server, auf den die Mitarbeiter (=MA) zugreifen können. Das Gros der MA hat einen PC. Wir haben, obwohl unsere Windows-Server dies leisten könnten, keine aktiven Domain-Controller und sind dezentral aufgestellt.

DIE IST- Situation

Wir haben zwei Internetanschlüsse - einen für Mitarbeiter (=MA) und den anderen für Kunden (=KU). Manchmal haben wir auch mehr - dann wird hierüber die Telefonanlage (=UNIFY) separat angeschlossen. Jeder Anschluss wird über ein Fritzbox (=FB) zur Verfügung gestellt. Auf Seiten der APs haben wir Technik von AVM - unsere Switche kommen von Netgear uns sind "unmanaged" (=uS, vgl. Skizze). Wir haben zwei Firewalls - eine für das MA-Netzwerk und nochmals eine vor dem Server. Von Extern nehmen die MA per VPN Zugriff auf den Server auf 10.8.0.x

PLAN-Stand

Der PLAN ist es, die internen Switche gegen UI-UNIFI zu tauschen. Zum EInsatz kommen zwei Vigor, die die derzeitigen Fritzboxen ersetzen sollen. Für den Kundenbereich ist das nicht weiter schwer. Für den MA-Bereich ist es etwas komplizierter, da wir die Fritzbox als "Lieferant" des SIP-Trunks benötigen.

Angedachte Maßnahmen:

• MA-Netz wird zu einem 192.168.100.0/24, wobei jeder Standort seinen eigenen Adressraum erhält. Die Standorte sind so ausgelegt, dass der Adressraum ausreicht. - also dann 192.168.101.0/24 usw
• KU-Netz wird zu einem 192.168.1.0/24 - analog zu MA-Netzen - hier werden die Netze von 1-99 gehen, also 192.168.98.0/24 zum Beispiel
• Sollten mehr MA-Netze benötigt werden, so erstenn wir die MA-Netze kanonisch von 100-199 und belassen 200-254 als Reserve - auch für neue Standorte.
• So sind alle Netze getrennt und sollten wir später Site-to-Site realiaiseren, gibt es keine Überlappungen.
• FBs ersetzen wir durch Vigors [oder Vigoren ;-)] in WAN1 bzw. WAN2
• WAN1 und WAN2 wird über ein LoadBalancing geregelt - so können wir beide Internetanschlüsse besser auslasten. da wir hier leider keine 100er Anschlüsse oder Glasfaser haben. - nur im Ausnahmefall.
• Die FB wird zum Client an Port1
• APs werden zu UI-APs, da wir mehr SSIDs benötigen als uns die AVM-APs liefern können

Konkrete Umsetzung:

1. Umbau Netzwerkschrank, Einbau Geräte, EInbau USV (extra für UI-Geräte eine separate USV-Lösung angeschafft)
2. Trennen FB von MA-Internet, Einbau Vigor, Vergabe einer IP 192.168.100+n.254 (mit n <= 99) für Vigor.
3. Verbinden Vigor1 UDM-SE mit Port 1 --> WAN1, Port2 vom Vigor setze ich auf irgendeinen Port der SE (später konfiguriert für MA-VLAN)
4. Einpflegen der Zugangsdaten PPPoE im UDM-SE (WAN1)
5. Inbetriebnahme MA-Netz
6. Trennen FB von KU-Netz, Einbau Vigor, Vergabe einer IP 192.168.1+n.254 (mit n <= 98) für Vigor.
7. Verbinden Vigor2 UDM-SE mit Port 1 --> WAN2, Port2 vom Vigor setze ich auf irgendeinen Port der SE (später konfiguriert für KU-VLAN)
8. Einpflegen der Zugangsdaten PPPoE im UDM-SE (WAN2)
9. Inbetribnahme KU-Netz
10. Konfiguration Load-Balancing 50:50
11. Abziehen von WAN1 --> WAN1 kann ich erst live in Betrieb nehmen, wenn ich Telefonanlage geklärt habe.
12. Zunächst installiere ich in allen KU-Räumen die 24er Standard-Switche, die VLANs und nehme die APs in Betrieb (mit 4 VLANs)

FRAGEN:

1. Ist für euch der Aufbau schlüssig?
2. Mein Kollege, der sich mit SIP-Trunks beschäftigt (ich habe davon keine Ahnung) pocht auf die Fritzbox, da die für die UNIFY-Anlage und den SIP-Trunk benötigt wird.
   Ich frage mich aber warum - denn der SIP-Trunk ist in der Telefonanlage konfiguriert und nicht in der FB und die FB ist ja nicht mehr das Gateway, sondern die UDMSE/PRO.
   
   Es gab mehrere Szenarien, die ich für die EInbindung einer FB hinter einer UDM-Pro/SE im netz gefunden habe - ich denke aber, dass es sich hierbei um eine EInbindung als "normale" Telefonie handelt - OHNE SIP-Trunk.
   a.) Einbinden der FB als Klient scheint zu funktionieren
   b.) Einbinden der FB als Klient - holprig aber möglich --> razor  Daniel_IP @EJHome - da scheint es überall zu funktionieren.
   ==> Da ich keine Ahnung hinsichtlich Telefonie habe und mein Kollege keine Ahnung von UI werden wir das nach Video versuchen zu lösen -->IDomix . Ich habe mir aber mal die Einstellungen im UDM-Se angesehen und denke das ist schlüssig
   ==> Wenn ich mir das im Forum so anlese, scheinbt es dennoch viele unterschiedliche Probleme zu geben, die nicht kanonisch sind bzw. deren Ursprsung und Lösung keinem festen Konzept zu folgen scheinen @Lotterie?
   
   Bei SiP-Trunk-Einbindung steige ich gerade genauso wenig dahinter:
   a.) In meiner Konfiguration an der UNIFY-Telefonanalge ist die FB derzeit das Gateway. In Zukunft ist aber die UDM-SE das Gateway. Für mich unschlüssig ist, warum ich dann eine Portweiterleitung für diverse Ports an die FB (im Client-Modus) brauche, obwohl die SIP-Trunk-Daten in der Telefonanlage drinnen stehen und nicht in der FB.
   b.) Das in a.( könnt eich mir erklären, da im Regelfall der SIP-Truink direkt in der FB eingerichtet ist und dann natürlich die FB auch dieverse Ports braucht. Wenn der SIP-Trunk aber in einer separaten Telefonanlage eingerichtet ist, muss ich allenfalls Ports in der UDM-SE auf die TA weiterleiten?
   
   Ich werde zwecks Einbindung mal beim Hersteller von UNIFY oder bei der Telekom anfragen. Ggf. gibt es hier Erfahrungswerte.
3. Habt ihr Verbesserungen anzumerken?
4. Für einen SIP-Trunk habe ich das "SITE-Magic" entdeckt - und werde es mal an einem kleinen Standort nutzen - die jeweils verschiedenen MA- und KU-Netze sollten ausreichen dies zu realisieren oder?

Ich werde wahrscheinlich noch weitere Fragen stellen ... erstmal soweit.

Vielen Dank im Voraus

P.S. meine Frau sitzt mir im Nacken @Family-Time: Habe den Text daher runtergerattert und verbessere Rechtschreibfehler später

wow. Ich danke Dir.

@UDM an Port4 der FB wird wohl nicht klappen. Ich werd mal swhen wie man die als Client einbinden.

Vielen Dank euch allen an dieser Stelle.

Hallo

Zitat von DoPe

Ja die 2. Lösung wäre besser, hat aber höheren Stromverbrauch.

Super. Der Mieter hängt an meiner PV-Anlage - dann nimt er mir mehr Strom ab

OK. Mmmh. Bei einem Kollegen, der in der Garage ein extra netz wollte, habe ich mal eine FB 4040 an Port 4 Gastzugang gehängt. Wäre das eine Lösung? UDM-Pro an Gast-Lan Port 4 und hierauf den Exposed Host, dann hätte die UDM-Pro für die FB die 192.168.178.1, wäre aber selbst eine 192.168.10.1, während die FB ebenfalls eine 192.168.10.254 wäre. Den DHCP auf FB könnte man abstellen und könnte man dann nicht dennoch so lösen? Aber wahrscheinlich kann ich den Exposed-Host nicht auf ein Gerät an Port 4 hängen bzw. an ein gerät in einem sodann anderen Netz (Gastnetz)?

Hallo

Zitat von DoPe

Was ist jetzt die konkrete Frage?

Da hast du Recht

Ich habe heute nochmal mti meinem Mieter geredt und ich kann die Lage jetzt konkretisieren - für mich sind solche Sache irgendwie nue, da ich meine Anlage an der 6590 Cable habe und derlei Fragen sich nie ergaben.

Ausgangslage:
Mieter will FB behalten, da er hier einen SIP-Trunk fürs Telefon hat. Wenn er nun die UDM-Pro als Exposed Host betreiben will, muss er nach meinem Verständnis so vorgehen:

• Fritz erhält andere IP - z.B. 192.168.10.254
• UDMPro mit FB verbinden
• UDMPro einrichten mit 192.168.10.1 - das soll auich gleichzeitig sein MainLAN sein, in dem alle anderen Geräte (wie auch die Fritzbox selbst drinnen hängen
• Danach den Exposed Host per Freigabe auf die UDMPro einrichten

Besser wäre aber:

• Vigor 167 kaufen und statt der FB als Modem nutzen

• UDMPro PPPoE einrichten bzw. Daten vom Zugang dort einrichten
• FB dann als IP-Client im System als 192.168.10.254 nutzen und hierüber den SIP-Trunk für die Telefonie nutzen

Habe ich das sowit korrekt wiedergegeben?

Hallo zusammen.

Zunächst vorweg: Ich habe im Forum gesucht und auch das hier gefunden: FritzBox 7490 vor UDM Pro , habe aber weitergehende Fragen dazu.

Angestachelt durch meine Propaganda hat sich mein Mieter eine UDM-Pro gekauft und versucht diese gerade ans Netz zu bringen. Er ist Student und betreibt ein paar Server, die jetzt alle im HWR stehen. Anders als ich nutzt er jedoch nicht Kabel sondern einen DSL-Anschluss, und braucht die Fritzbox wohl noch für andere Dienste, weswegen er nicht weg will von ihr.

Bridge-Mode, den ich für die UDM-Pro nutze fällt damit weg. Er will zusätzlich auf das Interface der FB über myfritz zugreifen können.

Doch was soll er jetzt von beiden Dingen - PPPoE sorgt für Zusatzkosten und Exposed Host führt wohl zu einem Doppelten NAT.

Ich verstehe allerdings nicht das Konstrukt dahinter, d.h. warum kann ich die UDM-Pro nicht einfach als Router nutzen - immerhin hat sie ja einen WAN-Port? Achne .. Noob-Faktor.. UDM hat ja kein Modem.. - soll also heißen, dass zur Vermeidung eines doppelten NAT nur ein "Draytek Vigor 16x" eine richtige Alternative wäre.

Dann habe ich mir mal das ganze im Vigor angesehen und eine Anleitung gefunden, die UDM-Pro zu konfigureren, versetehe jetzt aber nicht, warum ich in der UDM-Pro den PPPoE eintrage.

Ich habe wohl ein Verständnis-Problem, warum ein PPPoE Passtrough in der Fritzbox bzw. der UDM-Pro Zusatzkosten verursachen soll, und bei der Verwendung eines Vigors nicht? Oo Hängt das damit zusammen, dass sich das Vigur nicht einwählt, sondern die Signale der UDM-Pro nur korrekt formatiert weiterleitet, während die FB tatsächlich bereits eine stehen Verbindung aufbaut und die UDM-Pro dann eine zweite?

Ich tippe mal darauf,, dass ich die Vigor mit einem Lan-Kabel an Port 2 einfach an die UDM-Pro anschließen kann, um von jener (und dem dortigen LAN) auf die Vigor zugreifen zu können (Vorher habe ich natürlich das Internet an von der TAE-Dose oder per RJ45 an den Vigor engeschlossen und dort Port 1 auf WAN der UDM-Pro)?

Vielen Dank im Voraus

Hallo razor

vielen Dank für deine Einlassungen.

Zunächst verbessert UI unseren bestehenden Standard: AVM und unmanaged Netgearswitche. Ich glaube da wäre alles andere auch ein Fortschritt - ich wollte aber unbedingt ein SDN, dass ich auch aus der Ferne sichten kann - da erschien mir UI die korrekt Wahl, zumal UI auch nicht so teuer ist.

Wir brauchen gar keine große Infrastruktur. Wir haben einige Standorte und wir haben beschlossen, jedem Standort eine eigene C-Netz-Adresse zu geben - also Standort A 192.168.1.0/24, B 192.168.2.0/24 C 192.168.3.0/24 usw. - jeweils mit Subnetmask 255.255.255.0.

Damit sind die Netzwe divergent und haben keine Berührungspunkte - was ja Basiswissen VPN ist (eigentlich ginge das schon, dass 192.168.1.0/24 per VPN auf 192.168.1.0/24 zugreifen kann, wenn das Zielnetzwerk HINTER einem Zugangsnetzwerk liegt, wie das beispielsweise QNAP macht d.h. also:

Quelle 192.168.1.25 --> VPN --> QNAP --> 10.8.0.5 --> 192.168.1.26 Ziel

Das führt aber genauso zu Problemen, wenn im Quell-IP-Netz Drucker die gleichen IP-Adressen haben wie im Ziel-IP-Netz und dann der Druck irgendwo raus kommt.

Ich denke wir probieren es einfach aus. Allein die Verbesserung im WLAn war die Anschaffung des UI wert. AVM kann ja nur eine SSID verwalten - UI mehrere. Das allein ist Gold wert Und die Map, die uns mögliche Probleme aufzeigt, der Load-Balancing-Server für WAN usw....

ich melde mich erneut

Hallo

Danke

Mich erinnert das aber irgendwie an schon gegebene (und etwas logischere) vorhandenen Addons - wenngleich nicht von UI sondern von Patchbox --> Käfigmutter von Patchbox, die ich ein wenig sinnvoller erachte, als diese Neuerung von UI

Dennoch .. nett

phino: Danke für die Tipps. Hatte wohl vergessen, mich zu bedanken

hey Leute...

Also wenn sich die "Hilfe" darin erschöpft dem Fragenden ständig vorzuhalten, dass er Youtube-Anleitungen anschaut oder man es kritisch sehe, dann sollte man ggf. das Forum umbenennen. Schade. In der englisch-sprachigen Community habe ich meine Fragen beantwortet bekommen. An dieser Stelle ziehe ich daher meine Frage hier zurück und werde in naher Zukunft auch erstmal keine weitere Frage stellen.

Ich persönlich bin Quer-Einsteiger und auch wenn die IT-Administratoren-Kaste sich hier wohl als geschlossene, erlauchte Gruppe definiert, so ist mir das Prinzip fremd. Hätte ich früher zu meinen Studenten gesagt "Hey du verstehst das Gram-Schmidtsches Orthogonalisierungsverfahren nicht - dann geh sterben du Opfer: ich sehe das kritisch, dass du die LA-Vorlesung packst...", dann hätte ich gute Studierende in die Wüste geschicht, aus denen heute was geworden ist.

JA ich verstehe natürlich eure Bedenken und sie wurden gehört. Ich, für meine Seite bin jedoch der Auffassung, dass man die Kirche auch mal im Dorf lassen sollte. EIn Projekthilfe-Forum bzw. die entsprechende Kategorie in diesem Forum lebt meiner Meinung nach von qualifizierenden Beiträgen. Wenn ich mich irre, dann bin ich natürlich ein Verirrter.

Ich werde jetzt einfach mal das Projekt weiter betreiben, indem ich die Standorte zunächst. getrennt belasse. Die User mit den Zugriffen in die anderen netze läse ich erstmal mit einem VPN-Server und Client-Zugriff.

Mein eigentliches Anliegen realsiere ich erstmal in einer Testarea und wende das an, was mir die englisch-sprachige Community mit auf den Weg gegeben hat. ich denke, dass ich alles soweit habe, um es an den Start zu bringen. Aber vielleicht schadet es nicht, sich noch etwas zu belesen.

usr-adm: Natürlich habe ich einen Plan und die entsprechenden Dinge ausgearbeitet - nur hier an dieser Stelle wollte ich es eigentlich erstmal nur verbalisieren.

Ich wünsche noch eine schöne Zeit. Vielen Dank erstmal an dieser Stelle. Beitrag kann geschlossen werden.

Zitat von DoPe

Dein Verständnis über S2S, routing, DHCP ist grundlegend falsch! Bitte belese Dich über die Grundlagen, bevor Du solch ein Projekt angehst. Das wird sonst wohl daneben gehen.

Hallo

Das kommt eigentlich aus einem Beitrag von UI in deren Supportforum. Also man kann DHCP via VPN Site-to.Site weiterleiten. Nur UI selbst empfiehlt das nicht, da im Ausnahmefall (also wenn bei mir Gebäude A ausfällt) in Gebäude B niemand mehr per DHCP ins Netzwerk kommt.

--> https://community.ui.com/quest…96-4188-9622-7c0a51536895

Dennoch dämmert mir gerade das eigentliche Problem: Adressierung in den gleichen Netzen in A und B. Wenn ich in A bin und z.B. 192.168.10.4 aufrufe - es das 192.168.10.x-Netz aber in A und B gibt - werde ich nicht bei 192.168.10.4 in B rauskommen. Egal ob VPN oder Site-to-Site kann ich keine doppelten IP-Netzwerke haben. AUSSER ich habe in A und B nicht die gleichen IP-Adressen in Verwendung - zumindest ist das bei VPN-over-QNAP der Fall? Wenn ich mittels VPN zugreife, und ich habe lokal das Netzt 192.168.10.x und greife auf ein Netz dergleichen Gestalt zu, dann komme ich i.d.R. nicht auf die Zieladresse raus, wenn diese schon mit einem PC (beispielsweise) belegt ist. Da QNAP im Hintergrund aber eine Zwischen-Ebene aufbaut (10.8.0.x) kann ich dennoch auf 192.168.10.x (am Standort B) zugreifen, wenn ich mich gleichermaßen in 192.168.10.x am Standort A aufhalte.

Es würde nur gehen, wenn ich meine 192.168.10.x-Netze hinter anderen Netzen verstecke --> https://sysadms.de/2018/09/17/…-vpn-bei-gleichen-netzen/

Ich glaube auch zu verstehen, dass das Site-to-Site im eigentlichen Sinne macht. Wenn ich mir gerade das Video zu SiteMagc ansehen (-->

), ist das zumindest der Weg. Ich brauche an allen Standorten verschiedene Netze - also 192.168.n.x, 192.168.n-1.x, 192.168.n-2.x und 192.168.n-3.x Bei SiteMagic kann ich also zwischen den Netzen aufeinanderzugreifen, als befände ich mich in einem Netzwerk.

Das scheint bisher mein Denkfehler gewesen zu sein: Ich nahm an, dass Site-to-Site grundsätzlich gleiche Netzwerke habe, und damit auch die Netzwerke gleich wären - also überall die 192.168.10.x gegeben wäre. Das ist allerdings nur die User-Sicht (wenn man sich keine Mühe macht das Konstrukt dahinter zu verstehen. Site-to-Site und SiteMagic machen diese unterschiedlichen Netze eben als User durchgängig/durchlässig.... mmh WOW das würde ja mehr Sinn machen als Vorher @kollidierende IP-Netze der gleichen Art.

Mit

wurden mir erstmal alle Fragen beantwortet. Ich melde mich erneut, wenn ich eine Frage habe und bedanke mich zunächst erstmal bei der Community.

Mfg

Hallo zusammen

Vielen Dank zunächst für eure Hilfestellungen Ich werde mal versuchen in Teilen zu Antworten.

defcon Ja es ist etwas ganz neues, eine "neue" Technik zu implementieren, die man zunächst nur im privaten nutzt. Es ist natürlich auch "heikel" mit der neuen Technik gleich ganz neue ANwendungen umzusetzen, die man vorher noch noch gar nicht experimentell im privaten Umfeld realisiert hat, wie S2S. Da ich aus dem beitrag auch ein To-Do ableiten will, ist das aufzeigen von Videos zur Erstinstallation eben nicht "trivial", da es meiner Meinung nach genug User gibt, die Gleiches wollen und ebenso verunsichert sind am Anfang.

defcon, Timo19731, DoPe ... JA ich weiß. Die EInstellungen im S2S in der UDM-Pro sind hier schon eindeutig:

Die Frage war eher eine Vergewisserung. So wie ich das im Auswahlfeld deute, kann ich auswählen, welche Netzwerke ich auf der "anderen Seite" ebenfalls haben möchte. So kann ich wohl veranlassen, dass an der "Gegenstelle" bestimmte Netze vorhanden sind und manche nicht. Ich hatte mich nur gefagt, wer dann der DHCP ist - aber die Frage wird insofern schon beantwortet, als dass das auszuwählende Netzwerk in UI ja bereits ausreichend Konfiguriert ist, d.h. hier steh ja schon ein DHCP drinnen - das ist dann die UDM-SE in Gebäude A (beispielsweise). Ich mutmaße daher, dass bei Anfrage nach einer IP (User in Gebäude B) die UDM-SE in B die UDM-Se in A anfrägt, und diese eine IP mitteilt. So wäre es ja auch der Fall, wenn alles in einem Netzwerkt ist, was bei S2S ja sinnigerweise der Fall ist.

Und die Konfiguration samt Hilfe-Artikel: https://help.ui.com/hc/en-us/articles/12646699585047 suggeriert mir, die Beantwortung der restlichen Fragen. Mh mal lieber den Hilfeartikel lesen sollenm, als sioch hiier die Blöse zu geben

thghh : Vielen Dank. Ich denke die Herausforderung spornt mich an.

Im Großen und Ganzen haben wir aber an den STandorten eben NICHT die Gegebenheit, S2S zu realisieren. Ich würde es aber dennoch gerne machen, d.h. alle Standorte einer Region in ein S2S zu setzen, sodass wir auch die lokalen Server zurückbauen können - das könnte man ja auch ohnehin schon, wenn wir alle User per VPN-Clients, an den Hauptserver anbinden - was klar leichter wäre....

Vielen Dank. Ich werde jedoch weiterhin Fragen stellen zum Projekt - auch wenn ich mich da dem Verdacht ausgesetzt sehe, noch WIssenlücksen zu haben

mfg

Kolungate

Hallo zusammen,

als im Dezember endlich das "GO" durch die Geschäftsführung kam, die schon lange angedachten neuen Netzwerkkomponenten auch kaufen zu können, hatte dies zwar Euphorie ausgelöst - der Mund blieb mir dann aber doch eher etwas offen, als ich sah, wieviel das letzten Endes war, als der Lastenaufzug zweimal hoch und runter musste, um das Material komplett angeliefert zu bekommen.

Ich habe allerdings kein Bild davon gemacht

Mit diesem Foreneintrag möchte ich einige Dinge zusammentragen, um hieraus gerne eine kleines To-Do abzuleiten, was man zum Ausrollen von UI im Unternehmen allen unternehmen muss. Zunächst jedoch wende ich mich mit konkreten Fragen an euch.

1. Installation von UDM-SE / UDM-Pro

Bei der Installtion, die größtenteils App-gestützt erfolgen kann, habe ich mich in der Vergangeheit immer zweiter Videos bedient, die die Installtion gut beschreiben und auch die ersten Schritte gut aufgreifen:

--> Schon etwas älter, die Videoreihe setzt sich aber zudem auch mit der Initialisierung von Netzwerken auseinander, was aber nur rudiementäre Optionen abdeckt.

--> Aus 2023 mit einem guten und schnellen Einstieg in die Materia

2. Weiterführende Netzwerkeinrichtung --> Hier kommen die Fragen

Ich habe Technik für zunächst 4 Niederlassungen gekauft (von so ca. 70 Stück), und ein Neubauprojekt dient als "Erstlingswerk". Der Komplex verfügt zudem über einen Nebenbau, der - ich kann hier nur den Kopf schütteln (und die IT hat das mehrfach eingefordert und angemahnt) - über keine Netzwerkverbindung zum Hauptgebäude verfügt (wurde dann letzten Endes "vergessen"). Das werde ich in der Folgezeit ändern lassen. Aber Momentan haben wir ein Gebäude A und ein Gebäude B.

Beide Gebäude sollen über ein Netzwerk verfügen, und hier sich auch die gleichen WLAN-Netz teilen und wenn möglich (haha etwas dümlich ohne direkte Verbindung) auch noch den gleichen DHCP teilen.

Ich denke daher (wir können auch kein Richt-Beam verwenden, um von A nach B zu kommen), dass wir ein Site-to-Site-VPN schaffen müssen. Hier habe ich ein paar Verständnisprobleme.

Bisher nutzen wir über einen NAS-Anbieter das VPN (der Server ist nicht auf dem NAS) und fahren damit recht gut, weil wir auch viele Außendienstler haben, die mittels VPN auf den Server zugreifen können.

Frage 1:

Kommen sich Site-to-Site und VPN-Nutzer von extern in die Quere, oder kann ich beiden parallel fahren lassen. Die UDM-Pro unterstützt VPN, dass ich auch zu Hause nutze - aber ich weiß nicht, ob das parallel zu Site-to-Site klappt, oder ob sich beode VPN gegeneinander auschließen.

Frage 2:

Beiden Gebäude sollen im Netz sein, Sagen wir mal, dass wir für Gebäude A 192.168.9.x nehmen und für Gebäude B 192.168.1.x bzw. in beiden Gebäuden diese Netze gegeben sein sollten. Nennen wir das 192.168.9.x-Netz einfach mal Mitarbeiter bzw. MA-Netz und das 192.168.1.x-Netz einfachheithalber K-Netz für Kunden. Beides sind virtuelle Netze. Das MA-Netz initialisiere ich quasie als erstes als Main-Network.

Wie erreiche ich nun, dass beide Netze in beiden Gebäude gegeben sind, und die DHCP-Vergabe sich nicht in die Quere kommt? Ich wil erreichen, dass in beiden Gebäudeteilen MA im Netz sind und eine IP bekommen, sich aber dann nicht gegenseitig blockieren (weil die gleiche IP zugewiesen wurde)

Gibt es eine Möglöichkeit die eine UDM-SE quasie nur als "Slave" zu betreiben, die einfach die Site-to-Site abdeckt, alle DHCP-Vergaben aber von der Master-UDM-SE im Hauptgebäude gesteuert wird, oder wie kann ic das praktisch umsetzen. Zudem will ich ja, dass ein Mitarbeiter im Gebäude B im MA-Netz auf das MA-Netz in Gebäude A bzw. den dortigen Server zugreifen kann.

Gleiches auch bei den Kunden. Die sollen sich zwischen den beäuden frei bewegen können, ohne Gefahr zu laufen, dass sie mit ihren Geräten doppelte IPs bekommen und dann nicht in einemd er beiden Gebäuden ins Netzwerk kommen.

Frage 3:

Einbindung in eine Übersicht: Kann man die verschiedenen Standorte in einer Übersicht entsprechend auseinanderhalten? Wir nutzen bisher AVM. Da hat man eine große Überischt der Standort und kann alles mit einem Account sehen. Über UI scheint es für solche Zwecke einen Enterprise-Zugriff zu geben. Hat da jemand mehr Ahnung, ob ich hier auch User anlegen kann (Mitarbeiter der IT) , die dann die Technik warten können?

Weitere Fragen schreiben ich dann in einen neuen Eintrag. Ergebnisse aus den Fragen schreibe ich dann in einen To-Do um.

Vielen Dank im Voraus für Eure Mithilfe.

Hallo Leo.

Schön zu lesen: du hast die gleichen "Probleme" wie ich, denn auch bei uns hält UI endlich Einzug....

Wozu brauchst du für diese Konfigurationen einen ITler? Das Projekt ist sehr übersichtlich - denke nicht, dass das genug Arbeit für jmd. wäre das mitzubetreuen.

Die Konfiguration wäre eher trivial.

Mfg und viel Erfolg.

wow...das ist ja wie Weihnachten. Wusste gar nicht, dass die UDMPro das alles kann.

Habe vorsorglich aber mal alle UDMPro in Bestellung storniert und gegen SE getauscht.

Ähm. Loadbalancing. Cool...ok Aber ich kann dennoch ein Endgerät auf eine DSL-Leitung explizit zuweise oder? Die Telefonanlagen in den Niederlassungen brauchen den SIP-Trunk der Mitarbeiter-Leitung.

Ich würde erstmal das ganze mit einer Gigabox im "Trockendock", also zuhause testen und mich dann nochmal melden.....wobei ...da brauche ich erstmal einen rj45 zu SFP+ Medienwandler

Sowas: 10G SFP+ auf RJ45 Transceiver

Vielen Dank erstmal.

Mmh in der UDM-Pro gibt es einen Einstellung für VLANs: Router --> Third-Party-Gateway

Frage ist nur, ob ich das so hinbekommen, wenn ich einen zweiten Route in einen Port an der UDM-Pro stecke und den Port auf das VLAN definiere. Ich wüsste nämlich gerade nicht, wo dann der AP weiß, dass die UDM-Pro nicht das Gateway für das Teilnehmer-Netz ist.

Die DHCP-Kacke von AVM könnte ich notfalls über einen eigenen DHCP-Server realisieren.... mmh

Also in der Einstellung für neue WIFI-Netze kan ich mein "Test"-VLAN angeben.... und dann auch über alle APs broadcasten.

Ich glaube ich teste das mal mit einer GigaCube.....
Ich bin trotzdem dankbar für Meinungen.

Hallo zusammen

ich habe nun die Kostenfreigabe bekommen UI auch in unserem Unternehmen einzuführen (zumindest an 4 unserer 40 Standorte)....puh langer Kampf.

Wir haben bisher zwei hardwareseitig getrennte Netze: eines für Mitarbeiter, eines für Schulungsteilnehmer. Beide haben jweisl eine Fritzbox und dahinter liegend i.d.R. eine Netgear-Infrastruktur.

Durch das Einführen der UDMPro (und zum Teil der SE) sollen die Mitarbeiter ganz normal verwaltet werden.

DIe Teilnehmer wollte ich in einem VLAN aufstellen, sodass grundästzlich die Möglichkeit besteht mittels der zu verbauenden APs zwei SSIDs abzubilden - ein Telnehmer-Netz und ein Mitarbeiter-Netz.

Problem aber nun:
Wir sind in Süddeutschland - einem Agraland ohne BIP-generierende Wirtschaft, dass eben darum lauter "Milchkannen" hat und kaum ein gut ausgebautes Internet: Die Rede ist von Baden-Württemberg.

An den Standorten haben wir i.d.R. nur 50.000er Leitungen. Nun beide Netze über EINE Leitung abzubilden ist doch sportlich - immerhin hatte bisher jeder seine langsamen 50.000.

FRAGE:
Ist es möglich eine zusätzliche Fritzbox (mit einer manuellen IP im Adressbereich für Teilnehmer) an einen Port der UDM-Pro/SE zu stecken und auf den Port das VLAN zu definieren, um anschließend im virtuellen Netzwerk das Gateway auf die Fritzbox zu legen, OHNE dass dies über die UDM-Pro läuft? ODER kann ich ggf. bei der UDM-Pro eine WAN-Schnittstelle umkonfigurieren und diese dem Teilnehmer-Netz zuweisen.

So hätte ich zwei Internetstränge über eine UDM-Pro gelöst und hätte weiterhin zwei mal 50.000.
Natürlich könnte ich eine zweite UDM-Pro einbauen nur für Teilnehmer - dann könnte ich aber nicht die APs der ersten nutzen, um das Teilnehmer-Netz aufzuspannen.

Oder ich bemühe mich um besseres Internet - das wird am Standort aber nicht angeboten.

Vielen Dank im Voraus

mfg

Zitat von arteck

das geht nicht.. die Reolink bekommst du nicht in die UDM

Hallo

das mit Reo ist NICHT correct. Es funktioniert. Einfach im englisch-sprachigen Forum schauen - tricky, aber geht. Ist wie die QNAP-NAS-Software auf nem Eigenbauserver zu installieren: man gaukelt via Linux der UDM vor, dass die REOcams UIcams wären...

Hallo Michelle

Was thghh ausführt ist grundsätzlich korrekt, doch würde ich die beiden Glasfaseranschlüsse NICHt direkt and ie UDM anschließen. Du schreibst, das hier ohnehin "nur" 1GBit ankommen - dann wäre ein Modem zweckmäig, dass mindestens 2 Kanäle annimmt und an die UDM gibt, um dann eben z.B. via dem Aggregation-Switch und via SFP+ die 2Gbit überhaupt verteilen zu können, sonst bräuchtest du die ja nicht.

Warum Wall-IN-APs? ich glaube dann müsstest du doch schlitzen ?

Mfg

Hallo

Zitat von anton

Netter Schrank. mir persönlich wäre nur der Stromverbrauch zu hoch. ODer für was brauchst du die 2 Server + 4 Üi (+ die ganzen Ports). so viele Geräte im Haus ?

Ja ich habe derzeit 68 Ports belegt im Haus - also ca. 45 Leitungen. Später kommen aber noch ca. 20 Leitungen dazu (Gartenküche, PV-Anlage, Batterie-Anlage für E-Bikes, Anschlüsse für die neuen SmartZähler usw. ) Also es sind schon viele Darüber hinaus werden auch viele Geräte noch eingerüstet - z.B. das ganze MultiRoom-Lautsprecher-Thema. (da muss ich mich aber auf ein System einlassen - die Boxen werden dann per LAN verbunden. Die Ports liegen dafür schon in der Decke per LAN-Dose)

Dafür brauche ich später natürlich auch genug Switche.

Den 4HE Server (Ryzen7 5600, 128GB RAM, 20 TB Speicher) brauche ich für zahlreiche berufliche und private Datensicherungen. Außerdem laufen dort in einer Windows Server 2022 DataCenter-Umgebung einige private virtuelle Maschinen.

Den 2 HE Server baue ich gerade für HomeAssistant auf, um mein Smarthome komplett steuern zu können.

Die RaspberryPi-Server sind für DHCP, Firewall und dergelichen zuständig.

die 4 UI sind ja eigentlich nur 3 nzw. 2 - die UDM zähle ich nicht ganz mit, das sie eigentlich der CORE für UI sind. aber der 24er ist schon gut voll und der 48er wird dann auch voll sein. Der AggregationSwitch ist ja für 10GBit-Verkabelung - also SFP+ Die 8 Ports sind schon verplant (1x Büro, 1x Wohnzimmer, 2x Server, 3x UI-Switche, 1x Reserve)

Hallo zusammen

Obgleich ich zuletzt im Juli 2022 mein eigenes Projekt hier im Forum aktualisiert habe, schläft das Projekt keinesfalls. Da es mir so ergeht, wie jedem "Häuslebauer" d.h. ständig von A nach B zu räumen, kleine Baustellen zu beseitigen, große anzugehen usw., habe ich mich in der Vergangenheit an UI erfreut ein stabiles System zu haben, dass ich eigentlich nicht weiter umbauen angedacht hatte.

Nun jedoch soll der Serverschrank wieder mal erweitert werden. Gerade vor dem Hintergrund der PV-Anlage und weiter Komponenten, die angeschlossen werden sollen, will ich den Schrank etwas umbauen.

In diesem Zusammenhang einen herzlichen Dank an defcon für seinen RackPlaner. Nicht dass ich das nicht alleine hinbekommen hätte - aber mit seiner Vorarbeit war der innere Schweinehund kleiner und anfangen muss man ja irgendwo Ich habe gleich ein paar zusätzliche Sachen hinzugefügt.

Mein praktisches Problem:

Beim EInbau der Gerätschaften in den Schrank geht es gerade mit dem Verbinden der Kabel recht eng zu. Außerdem ist es etwas unübersichtlich (HEY nichts im Vergleich zu den Serverschränken bei der Arbeit die ich einrüste...) - aber seht selbst --> Bild meines Schranks

Wenn ich kabeln abziehen will, ist das Rangierpanel (mit Blende) zu dicht am Switch, sodass ich nur mit Mühe das Kabel abziehen kann (weil man an die Plastiklasche so schwer rankommt, wenn das Rangierpanel direkt drunter ist).

Ich wolltre daher den Schrank so aufbauen:

Was haltet ihr davon?

Konstruktive Kritik ist gerne willkommen

mfg