Posts by usr-adm

Ich habe eine fast identische Umgebung mit über 1000 Clients.

Den größten positiven Effekt hatte ich durch Austausch der AC-Pro gegen U6-Pro. (Aktuell hängt in jeder Klasse ein U6-Pro.) Seitdem habe ich fast keine Probleme mehr, vorher wurde sich x-mal am Tag beschwert das das Internet langsam oder nicht verfügbar ist.

Den U7-Pro habe ich absichtlich nicht gewählt, da dieser nur MIMO 2x2 hat und die U6-Pro 4x4. Die "größeren" Geräte waren zu teuer und bei diesem Gebäude habe ich bessere Erfahrung mit 1 AP pro Klasse gemacht, als einen "großen" für mehrere Klassen.

Die 5er sind einfach zu schwach/alt und eine Verbindung war regelmäßig nicht möglich.

Dann natürlich VLANs, allerdings nur Trennung zwischen SuS / LuL / BYOD / Gast. AppleTVs hängen im LuL-Netz und sollen für die SuS nicht erreichbar sein.

W-LAN Channel per Hand konfiguriert, damit es so wenig wie möglich Überschneidungen gibt.

2.4 GHz: Channel Width 20, Power Low (wird leider für ein paar Geräte benötigt, aber tatsächlich nutzen nur ein paar Geräte 2.4 GHz, über 95% nutzen 5 GHz.)

5 GHz: Channel Width 40, Power Medium, evtl. Low

Begrenzung der Bandbreite je Client über Firewall. LuL 20/10 und SuS 10/5.

Dann noch einen DNS-Blocker der Werbung und die "beliebten" Dienste (Streaming / Messaging / Gaming) der SuS block, somit weniger Traffic im WLAN. Weiterhin arbeiten wir daran, alle privaten Geräte zu entfernen, damit das Netz nicht unnötig belastet wird.

Infrastruktur ist komplett 10GbE, Firewall ist groß genug dimensioniert. Schon mal geguckt, ob hier (WAN / DNS / DHCP) irgendwo ein Flaschenhals/Fehler vorhanden ist?

Als Gateway eine UDM? Die war bei mir total unterdimensioniert, hatte die mal aus Spaß getestet. Selbst die UXG-Pro, die laut Specs ausreichen sollte, war nicht in der Lage die Aufgabe zu erledigen.

Quote from Tomcat

.. aber ich glaue nicht, das man das Passwort per API auslesen kann - das wäre fatal ( Sicherheitslücke )

Doch das funktioniert, z.B. mit "UniFi API Browser". Allerdings kann man die Api nur mit einem Admin-Account verwenden.

Quote from gbecker

Dabei musste ich freststellen, dass der OS Server nicht mit der aktuellen Netwerk-Version 10.1.85 ausgestattet ist, sondern mit der älteren 9.5.21. So konnte ich wegen Inkompatibilität nicht das neueste Backup einspielen, sondern musste das der älteren Version verwenden.

UOS installieren

Kein Backup verwenden

Netzwerkcontroller aktualisieren

Dann erst das Backup einspielen.

Habe dies schon mehrfache ohne Probleme durchgeführt.

Beim alten Controller konnte man dies per Hand in der Datenbank ändern, wurde aber nicht empfohlen. Für UOS habe ich noch keine Anleitungen gefunden.

Du kannst aber bei dem alten Controller ein Backup und keinen Export machen und das Backup in UOS einspielen. Dann sollte der alte Zustand wiederhergestellt sein.

EdgeRouter - OpenVPN Server

Das ist normalerweise relativ unproblematisch, wenn sich die VLAN IDs nicht ändern.

Wenn Du mit Controller IP arbeitest, einfach auf die neue IP ändern. Wenn die Einstellungen gezogen wurden, finden die Geräte den Controller erstmals nicht und Du siehst direkt welche Geräte die Einstellung übernommen haben. Danach Controller IP und DHCP Bereich ändern, Geräte neu starten und fertig.

Wenn Du mit Hostname arbeitest, Controller IP ändern, DNS Eintrag in OPNsense auf neue IP umleiten, DHCP-Bereich anpassen und Geräte neu starten.

Ich nutze den "UniFi API Browser ". (Es gibt diverse Docker-Images: z.B.)

KLICK

Damit kannst Du so ziemlich alles im JSON-Format exportieren.

Kennst Du folgenden Artikel?

UniFi-Recovery-Mode

Tomcat

Bei der Größenordnung und diesem Anwendungsfall (überwiegend WLAN) gebe ich Dir recht, hier würde ich persönlich auch etwas Anderes auswählen. Eine reine WLAN-Infrastruktur, wie in Deinem Fall, ist noch eine ganz andere Herausforderung. Häufig ist WLAN aber nur ein Teil der Infrastruktur und hat eine untergeordnete Priorität.

Aus diesem Grund bräuchte man auch, z.B. vom Thread Ersteller, deutlich mehr Informationen, was und wie genutzt werden soll.

Pauschal lässt es sich sonst schwer beurteilen.

Quote from AGro-99

OPNSense im Firmenumfeld? Mutig! Ich kenne keinen CIO, der sich das trauen würde.

Man stelle sich nur eine erfolgreiche Cyberattacke vor. Alle schauen auf den CIO und der faselt was von einer Open Source-Firewall. Da setzen doch alle lieber auf große Namen, wie Cisco, Fortinet oder Checkpoint, allein schon um sich selbst zu schützen.

Kommt natürlich auf das Unternehmen, die Größe, den Sicherheitsbedarf an ...

In letzter Zeit gab es haufenweise Sicherheitslücken in Cisco, Fortinet oder Checkpoint, etc.. *sense tauchte nicht annähernd so oft auf. Ob man denen unbedingt mehr trauen kann, muss jeder für sich selbst entscheiden. Dazu kommt auch noch, wer das Gateway/die Firewall betreut und konfiguriert. Ich will jetzt nicht sagen, dass *sense für jeden das richtige Produkt ist, für viele Anwendungsfälle ist es mit Sicherheit nicht schlecht.

Quote from Saugstauber

Würdet ihr heute ein Firmennetzwerk mit 80 + APs, ca 20 + 48 Port Switchs, Fiber, Side to Side (Standorte / Azure) usw aufbauen? Das Enterprise Segment welchers scheinbar neuer ist sollte ja die Last überleben und die Verfügbarkeit sicherstellen.

Switchs und APs: Ja

Gateway / Firewall würde ich für diese Größe bzw. Unternehmen nicht nutzen. Besser einer der, oben genannten, "großen" Anbieter oder *sense.

Ich habe eine ähnliche Größenrodung (100 APs, 20 Switchs, 50 Clients, 1300 WLAN-Geräte). Die Gateways waren einfach alle zu schwach (Enterprise Fortress gateway gab es bei meinen letzten Tests noch nichts) und hatten noch lange nicht den gleichen Umfang wie etablierten Anbieter.

Würde mir ein ausgemustertes oder gebrauchtes NAS besorgen. Wenn es nur als Datengrab oder 3. Backup genutzt wird, kann es ein älteres Modell sein und man hat keine Bastellösung.

Quote from BlackSpy

Es ist eine Final Version und solltet daher uneingeschränkt einsetzbar sein.

Update wurde wieder auf RC zurückgestuft.

UniFi Network Application 9.1.118 - Release Candidate

LINK

Sollte also in den nächsten Tagen veröffentlicht werden.

Google mal nach "Internet Archive Windows Me".

Solange Du einen Key besitzt, sollte der reine ISO Download nicht kritischer sein als hier nach der ISO oder einer CD zu fragen.

Mir persönlich gefällt das Vollbild-Design nicht so gut, die 60% / 80% Breite hat mir eher zugesagt.

Das neue Favicon überzeugt mich auch noch nicht ganz. Das Logo lässt sich schlecht so klein darstellen. (Das alte Icon war zwar nicht eindeutiger, aber vermutlich hatte man sich daran einfach gewöhnt)

Grundsätzlich gefiel mir das alte Design deutlich besser. (Ja, das alte Theme gibt es in dieser Version nicht mehr )

Spielt bei 2 Geräten keine Rolle, kann auch auf 32768 (Standard) bleiben.

Ist bei komplexen Netzwerken mit Querverbindungen notwendig.

Die UDM ist normalerweise in einer weißen Hülle oder einer silbernen Folie. Man erkennt eigentlich sehr schnell, ob das Gerät vorher schon mal ausgepackt wurde oder nicht. Man könnte auch das Zubehör überprüfen oder ob schon Kratzer am Gehäuse vorhanden sind.

Ich persönlich bin auch kein Fan von geöffneten Paketen. Wenn ich Neuware, vorallem bei dem Preis, bestelle, erwarte ich auch ungeöffnete Ware.

Wenn Du alle Standorte in einer Oberfläche verwalteten möchtest, benötigst Du irgendwo einen zentralen UniFi-Controller, der alle Switche, APs, Gateways, etc. verwaltet:

- Official UniFi Hosting (ab 30€ monatlich)

- Self-Hosted: eigener Server oder VM, kann auch bei Deinem RZ liegen (würde ich persönlich so machen)

- CloudKey 2 (der ist meiner Meinung nach nicht Leistungsstark genug für Dein Vorhaben)

- CloudKey Enterprise (5.000€, dann lieber Self-Hosted)

Dann benötigst Du an jedem Standort ein "reines" Gateway ohne Controller-Funktion. Wenn es UniFi sein soll, dann:

Gateway Enterprise, Gateway Pro, Gateway Max, Gateway Lite

Du kannst aber auch jedes andere Gateway weiter verwenden, z.B. Opnsense, Pfsesene, Sophos, etc.

Zum Thema Kamera, kann ich Dir leider nichts sagen. Für lokale Speicherung benötigt man vermutlich an jedem Standort ein UniFi UVNR.

VLANs etc. werden zentral im Controller verwaltet. Mit UniFi-Gateways ist die Sache etwas einfacher. Andere Gateways funktionieren aber genauso gut.

Kannst Du ignorieren.

Es handelt sich um das Default-Subnet, wenn man ein Gateway von UniFi verwendet. Die Adresse muss man auch nicht ändern, da es keine Rolle spielt, wenn Du die OPNsense als Gateway verwendest.

Viele verwendet das Default-Subnet garnicht, sondern verwenden VLANs.

Andere benutzen das Default-Subnet als Management Netz.

Es spricht aber auch nichts dagegen, das Netzwerk einfach mit dem Subnetz der OPNsense zu verwenden.

Quote from santinella9763

Generell hast du natürlich recht. Wie hat einer in einem Reddit-Thread dazu geschrieben:

"Setting is pointless if you are not making loops"

Ich habe ja auch nicht vorgeschlagen STP komplett zu deaktivieren, aber die Priorität spielt bei zwei Geräten echt keine Rolle.