Beiträge von usr-adm

Ich habe noch nicht ganz verstanden was Du möchtest.

Warum möchtest Du hinter der FritzBox und dem EdgeRouter noch einen OpenSense hängen?

Zu Deiner Frage:

Ich habe es gerade bei mir getestet und es funktioniert wie gewünscht.

Wie hast Du den Switch konfiguriert? Auf dem Switch Port, der mit ETH2 verbunden ist, muss VLAN 1 (default) "untagged" sein und die anderen VLANs "tagged". Die anderen Ports müssen entsprechend Deiner VLANs als "untagged" im passenden VLAN konfiguriert werden.

"VLAN Aware" musst Du nicht aktivieren. Dies ist nur nötig, wenn Du die Ports unterschiedlich konfigurieren willst, somit kannst Du erst mal deaktiviert lassen.

Wenn Du ein Gerät an ETH1 hängst, müsstest Du eigentlich eine IP aus 192.168.1.1/24 bekommen.

Das ist kein Problem. Auf dem Netgear die gleichen VLANs wie auf der UDM einrichten.

Auf der UDM einen Port auf "All" stellen und diesen mit dem Netgear verbinden. Dieser Port muss auf dem Netgear "tagged" in allen VLANs sein.

LG

Das Gastportal ist, wie andere bereits gesagt haben, leider sehr zickig.

Ohne Deine Konfiguration genau gesehen zu haben ist es schwer eine Aussage zu tätigen. Leider macht hier jeder (kleiner) Fehler den Unterschied zwischen Erfolg und Misserfolg aus. Vorallem im Bereich "Umleitung" und "Zugriffskontrolle" werden viele Fehler gemacht oder passen nicht zur Gesamtkonfiguration.

Ist es Privat oder Geschäftlich? Was ist der Anwendungsfall?

Muss es wirklich das Gastportal sein, oder reicht es, ein zweites WLAN "Gast" zu erstellen und dieses in ein Gastnetz (VLAN) zu leiten und entsprechend mit Firewall-Regel abzusichern. Je nachdem wie es genutzt wird, kann man das Passwort auch wöchentlich ändern.

Zitat von thghh

Das würde auch mir der Pro gehen deswegen die Frage nach der SE

Da hast Du Recht, ich dachte Du stellt die UDM grundsätzlich in Frage, was natürlich auch berechtigt gewesen wäre.

Zitat von mensa

Wie kommst du überhaupt da drauf??

Ich war beim gedanklich beim falschen Produkt (Edge-Router). Somit ist die Aussage tatsächlich falsch.

Zitat von Samhain

UDM pro SE ist Bestandteil der Netzwerkkommunikation zum Provider und muss im Umstiegskonzept berücksichtigt werden.

Ohne die angefragten Informationen kann/will ich nicht weiterhelfen.

Wenn ich schon zu beginn jede Frage begründen muss, dann ist das für mich zu aufwändig.

Vielleicht macht das ein anderer. Ich bin raus ...

Ganz ehrlich, man kann es auch etwas übertreiben!!!

Du hast zwar Recht, die Frage war mit Sicherheit nicht perfekt, aber man konnte verstehen was er möchte. Da er z.B. auf die Netzsegmentierung nicht näher eingegangen ist, vermute ich einfach, dass er weiß was er möchte und dies selber schafft.

Zitat von Samhain

... dann verstehe ich nicht warum die wechseln willst?

Um ein Umstiegskonzept zu entwickeln bedarf es einen Anforderungskatalog.

z.B.

- welcher Provider

- welcher Tarif/Speed/Technik

- wieviele / welche Endgeräte

- welche Segmentierung

- welchen Anspruch hast Du

... undundund

Das kann ich in deinem Posting nicht erkennen.

Es ist leider immer wieder das Gleiche ich derartigen Postings:

"Ich will umsteigen. Was muss ich tun?"

Sorry, aber so kann man kein Netzwerk dimensionieren.

Alles anzeigen

Er möchte auch kein "Umstiegskonzept" sondern ein "Umzugskonzept" und jetzt wissen, wie er dies am besten ohne Ausfall bewerkstelligen soll.

Seine Aussage: "um erstmal ein "lift & shift" zu machen, also alles so wie es ist zu übernehmen damit ich nicht riskiere länger ohne Netz da zu stehen"

1. Internet ist vorhanden

2. FritzBox ist vorhanden

3. UDM ist bereits gekauft. ("Kind ist bereits in den Brunnen gefallen", ob es jetzt die richtige Entscheidung war spielt erstmal keine Rolle.)

4. Endgeräte sind vorhanden.

Egal welcher Anschluss, auch wenn es in Zukunft Glasfaser sein soll, wird vor der UDM ein Modem benötigt, welches mit der FB bereits vorhanden ist oder sich beliebig auswechseln lässt.

Geschwindigkeit spielt für diese Frage keine Rolle.

Der Switch lässt sich im Nachgang auch ohne Probleme austauschen.

Mein Vorschlag, wie bereits oben geschrieben:

Die UDM komplett parallel vorbereiten. Ich würde es nicht einfach übernehmen, sondern direkt die Segmentierung vornehmen, sonst hast Du doppelte Arbeit. Anschließend DHCP, DNS, Firewall-Regeln testen. Wenn Du mehrere Netzwerke haben möchtest und der Switch voll ist, kannst Du auch erstmal die Ports von der UDM zum Testen verwenden. Alle Geräten wo eine feste IP wirklich benötigt wird, z.B. das QNAP, eine feste IP außerhalb vom DHCP-Bereich vergeben. Da er keine weiteren Geräte angegeben hat, können diese auch alle eine Adresse vom DHCP bekommen.

Wenn alles funktioniert die FritzBox entsprechend konfigurieren (Exposed-Host oder PPPoE-Passthrough, DHCP deaktivieren) und an die UDM anschließen. Wenn es nur ein Netzwerk gibt, muss man den Switch nicht anpacken, wenn doch, entsprechend die VLANs konfigurieren. Anschließend alle Geräte neu starten und fertig.

Im Detail gibt es hier natürlich noch einiges zu optimieren oder konfigurieren.

Zitat von thghh

Warum hast du eine SE gekauft? Wegner der AP die du dort anschließen willst?

Vermutlich wegen der zukünftig geplanten Netzsegmentierung.

Radius wird für Dein VPN doch gar nicht benötigt?! Einfach deaktivieren.

max. 10,5W (nanoHD) vs max. 17W (AC-HD)

~30€ vs ~50€ Jährlich

Der Größenunterschied ist nicht so groß und man gewöhnt sich relativ schnell an den Anblick. Wenn Du schon den AC-HD hast, würde ich diesen behalten. Unterschied ist nur 4x4 und 800Mbps vs 2x2 und 300Mbps bei 2.4Gz, sonst sind diese (fast) identisch.

Ich persönlich würde direkt auf einen Wifi 6 gehen. U6-Lite = max. 12W oder U6-Pro = max. 13 W.

Ich persönlich würde die UDM-SE komplett, inkl. VLANs, parallel konfigurieren und testen,z.B. mit einem zweiten Switch. Mit einem Notebook und/oder Deinem PC kannst Du gucken ob diese per DHCP eine IP bekommen und ob Deine Firewall-Regeln funktionieren.

Wenn kein zweiter Switch vorhanden ist und auf dem HP noch Ports frei sind kannst Du diese ja schon entsprechend konfigurieren. Wenn alles funktioniert die FritzBox an die UDM anschließen und die Geräte auf die neu konfigurierten Ports hängen.

Zitat von defcon

Ist es egal wie man die U6-LR montiert?

Manche APs von UI sind ja nur entweder zur Montage für Wand oder Decke geeignet. Manche aber auch für beides.

Thema Abstrahlung etc.

Beides ist möglich. Empfohlen wird die Montage an der Decke. Ich nutze beide Möglichkeiten. Es kommt halt auf Deine Gegebenheiten und die Position der APs an. Manchmal ist es tatsächlich sinniger, wenn einer eher nach oben und unten strahlt und einer in die Breite. Ich würde es einfach testen.

Zu 1: Sieht soweit gut aus.

Zu 2: Das ist Glaubensfrage, hier gibt es unterschiedliche Ansätze:

Wenn es einfach ein soll, ist das Setup in Ordnung.

Einige Verwenden VLAN 1 grundsätzlich nicht.

Einige verwenden VLAN 1 als Management-Netzwerk für Ihre Komponenten.

Zu 3: Beides ist möglich. Allerdings musst Du dann entsprechend DHCP und DNS konfigurieren und Firewall-Regel anlegen, dass dieser aus anderen Subnetzen erreicht wird.

Zu 4: Folgende Anleitung könnte Dir weiterhelfen: Wiki - UniFi Allgemein | Firewall-Regeln by EJ

Link 1 : optimising-unifi-performance

Link 2 : Forums-Beitrag

Vlt. hilft das Dir weiter.

Ohne weitere Informationen zu den Einstellungen und der Netzwerkkonfiguration kann man Dir nicht wirklich weiterhelfen.

Grundsätzlich habe ich keine Probleme mit den Geräten und ich habe davon hunderte im Einsatz und Umgebungen mit mehr als 1000 WLAN-Geräten.

Das diese etwas zickiger sind als die FritzBox kann ich aber bestätigen. Die Fritzbox ist halt für Privat konzipiert und bietet weniger Einstellunmöglichkeiten und funktioniert OOTB. Bei UniFi kann leider ein falscher Haken den Unterschied zwischen Frust und Erfolg ausmachen. Weiterhin ist UniFi leider dauernd im BETA-Status und jedes Update kann wieder Probleme mit sich bringen. Dafür ist der Preis unschlagbar.

Als erstes nochmal zur Info: Die gesamte Netzwerkkonfiguration findet auf der Sophos statt, der Cloud-Key ist (nur) für die Integration der APs und die Erstellung der SSIDs zuständig.

Ich kenne die Sophos nicht im Detail, versuche es also allgeminverständlich zu erklären.

Auf der Sophos Deine Netzwerke erstellen und Deine Einstellungen, wie DHCP, DNS, etc., konfigurieren.

Sagen wir WAN=ETH0, Privat=ETH1, WLAN=ETH2, IoT=ETH3, Gast=ETH4 (Hier müssen, bei diesem Setup, keine VLANs konfiguriert werden, diese kommen erst auf dem Switch ins Spiel.)

Deinen Switch mit 3 bzw. 4VLANS konfigurieren:

Privat=VLAN1 (Default), WLAN=VLAN20, IoT=VLAN30, Gast=VLAN40

Port 1 = untagged in VLAN1 (Privat)

Port 2 = untagged in VLAN20 (WLAN)

Port 3 = untagged in VLAN30 (IoT)

Port 4 = untagged in VLAN40 (Gast)

Die Ausänge (ETH1-ETH4) von der Sophos mit den passenden Ports auf Deinem Switch (Port 1-4) verbinden.

Wenn Du jetzt weitere Ports entsprechend der VLANs untagged konfigurierst, sollten Deine Netzwerke funktionieren und Adressen vom DHCP bekommen und anhand der Firewall-Regeln miteinander kommunizieren dürfen.

Port 24 wird tagged in allen VLANs und mit Deinem nächsten Switch verbunden, der entsprechend konfiguriert wird.

Als nächstes kommt die Konfiguration des Cloud Key:

Der Cloud-Key kommt untagged ins das Netz Privat (VLAN1).

Unter Netzwerke die Netzwerke erstellen (Nur VLAN):

WLAN=VLAN20

IoT=VLAN30

GAST=VLAN40

Dein Privates Netzwerk bleibt einfach VLAN1 bzw. LAN auf dem CK.

Anschließend unter Drahtlose-Netzwerke die SSIDs erstellen:

SSID: Privat, WLAN, IoT, Gast

Bei "Network" wählst Du das passende Netzwerk, was eigentlich nur die VLAN-Auswahl ist. Privat bleibt "LAN".

Jetzt kannst Du auf Deinem Switch die Ports für die APs konfigurieren.

z.B.

Port 10: untagged in VLAN 1 und tagged in allen anderen VLANs

untagged, damit der AP gefunden wird und tagged, damit er alle SSIDs in das entsprechende VLAN legen kann.

Bei diesem Setup kannst Du Sicher sein, dass erstmal alles funktioniert und auf allen Ports dein Privates Netz vorhanden ist, wenn nicht anderes konfiguriert wird. Dies ist zwar nicht optimal, aber der erste Schritt, bis alles funktioniert. Man könnte dies noch mit einem Management-Netzwerk optimieren, wäre jetzt aber erstmal zu kompliziert.

Du solltest auf jedenfall auf dem CK das "neue Benutzerinterface" deaktivieren. Warum All APs ausgegraut ist, kann ich Dir gerade nicht sagen. Unter der Liste gibt es in der "alten" Benutzeroferfläche aber den Punkt "Create New AP Group". Evtl. alles auf Werkseinstellung setzen und von vorne beginnen.

Update bei Post #4

Entweder Sophos oder USG.

Auf der Sophos erstellst Du Deine Netzwerke + DHCP + DNS + Firewall und evtl. Deine VLANs.

Auf dem Cloud Key bzw. im UniFi-Controller erstellst Du unter "Netzwerke" Deine Netzwerke vom Typ "Nur VLAN" (siehe nächster Schritt) mit den IDs von der Sophos bzw. die die Du verwenden möchtest.

Anschließend WLANs erstellen und die passenden Netzwerke/VLANs auswählen.

Auf den Switchen entsprechend Deine VLANs konfigurieren.

Wenn Du bei "Drahtlos-Netzwerke" > WLAN > VLAN "LAN" wählst, muss der Switch-Port "untagged" im gewünschten VLAN konfiguriert sein und Du brauchst Deine Netzwerke unter Netzwerke nicht konfigurieren. (Der AP befindet sich im Netz vom VLAN)

Wenn Du bei "Drahtlos-Netzwerke" > WLAN > VLAN "xxx" wählst, muss der Switch-Port "tagged" konfiguriert werden. (Der AP kann mehrere SSIDs in unterschiedlichen VLANs ausstrahlen und kann z.B. selber in einem Management Netzwerk sein.

Info:

Viele Funktionen vom UniFi-Controller, wie z.B. DHCP kannst Du nur in Verbindung mit dem USG nutzen.

Ohne USG kommen DHCP und Firewall von der Sophos.

UniFi - How to Remove (Prune) Older Data and Adjust Mongo Database Size: LINK

Zitat

The following article explains how to use the prune script in order to remove statistics that are older than X number of days, including alarms, events, guest entries, detected rogue APs, known clients, expired vouchers, and traffic statistics.

Prune + Cronjob könnte eine Lösung sein.

Das Gastportal ist für WLAN eine gute Idee.

Wenn der Switch ein CLI besitzt und Jobs ausführen kann, könnte man die Ports zeitlich deaktivieren.

Eine einfache Möglichkeit wäre ein kleiner 8-Port-Switch an dem die Kinderzimmer hängen und der Strom per Zeitschaltuhr einfach abgeschaltet wird

Zitat von Grendelbox

Leute, es ist nun mal eine Tatsache das ab einer gewissen HW Rev der UDMP der 8Port Switch einen 1G Flaschenhals hat.

Grundsätzlich hast Du vollkommen Recht, ABER es kommt auf die Nutzung an.

Mit ein paar Clients die ein paar Word-Dokumente tauschen und an einem 100MBits/ Internetanschluss hängen reicht das. Für alles Andere sollte man natürlich einen Switch dahinter hängen.

Zitat von razor

Spannend könnten Fragen bzgl. der Übertragungsraten und der damit verbundenen Bandbreit sein. Aber dann sollte das NAS nicht (!) an der UDM Pro angeschlossen weden, da die interne Switch-Kapazität nur 1GBit/s (!) beträgt.

Das NAS sollte dann auch mehr als 1GBit/s unterstützen, dies trifft aber eher auf die "größeren" Modelle zu. Hier kommt es darauf an, für was das NAS genutzt werden soll und wie viele Personen darauf zugreifen.

Ich persönlich nutze überwiegend Synology Geräte.

Nein,

derzeit ist dies nicht möglich.