Beiträge von usr-adm

Zitat von marv93

Mir würde die UDM-Pro schon zusagen da Sie in mein Controller integrierbar wäre. Viel wichtiger wäre mir jedoch zu wissen, welche der beiden wieviele gleichzeitige Verbindungen halten kann.

Die UDM-Pro hat einen Controller integriert und kann in keinen Anderen eingebunden werden.

Die UDM-Pro hat bei mir 300-400 WLAN-Geräte verkraftet. Bei über 500 ist sie regelmäßig abgeschmiert.

Mein ER-6P schafft über 1000.

Der ER-4 liegt irgendwo dazwischen.

Es kommt natürlich auch immer darauf an, was die angebunden Clients machen, welche Bandbreite zur Verfügung steht und wie die restliche Infrastruktur aussieht.

Wiki: Firewall-Regeln by EJ

LG

Einstellungen > Drahtlose Netzwerke > Netzwerk auswählen > Erweitert > Mac-Filter

Zitat von guitar1804

Danke für den Tipp und ich werde darüber nachdenken. Eventuell werde ich die Unifi Dream Machine Pro anschaffen und denke dies wäre eine gute Lösung?

LG

Davon würde ich Dir abraten. Ich habe die UDM-Pro an einer Schule getestet und war sehr enttäuscht. Diese lief sehr instabil und hatte zu wenig Leistung für mein Umfeld.

Es waren 45 APs im Einsatz und zirka 600-800 Endgeräte online. Ab 400-500 Endgeräten konnte man das WebInterface nicht mehr erreichen und musste es täglich neu starten. DPI/IDS waren schon deaktiviert, sonst hätte er nicht annähernd so viele Geräte verkraftet.

Die UDM-Pro ist meiner Meinung nach eher für kleinere Umgebungen mit max. 100-150 Endgeräten zu gebrauchen.

Wenn Du das System in der Schule einsetzt und dieses evtl. weiter wächst, würde ich persönlich den Controller nicht auf Windows, sondern autark betreiben.

Empfehlen würde ich eine eine VM mit Linux (z.B. Debian (minimal) Netzwerkinstallation) und dort nur den Controller installieren.

LG

Genau, die IP-Adresse der Maschine auf der UniFi installiert ist.

Was benutzt Du als Unterbau für den Controller? Windows, Linux, Docker?

LG

Das Gateway ist die Adresse vom Router, in Deinem Fall pfSense. Da Du aber einen externen Router benutzt und kein USG einsetzt, spielt dies hier keine Rolle, da das Gateway vom DHCP-Server kommt.

Wenn Du weitere Netzwerke anlegst, reicht es auch, wenn Du „Nur VLAN“ auswählst, da die Einstellung bei „Unternehmen“, wie z.B. DHCP, nur in Verbindung mit einem USG funktionieren.

Bei den Controller-Einstellungen > Controller-Hostnamen/IP kannst Du die Adresse vom UniFi-Controller eintragen und die beiden Haken darunter aktivieren.

LG

Einfache Erklärung:

AirPrint bzw. Bonjour funktioniert nur im eigenen Subnet und kann nicht in andere Subnets oder VLANs übertragen werden. Aus diesem Grund wird der Drucker in den anderen VLANs nicht gefunden.

Du könntest in der UDM-Pro "mDNS - Multicast DNS" aktivieren und dann sollte es funktionieren.

"Normales" Drucken funktioniert in andere VLANs, da man die benötigten Ports entsprechend routen oder in der Firewall freigeben kann, dies ist bei AirPrint nicht möglich.

Normalerweise so:

Geräte > UDM-Pro > Rechts im Menü auf das Zahnrad (Konfiguration) > Gerät verwalten > "Dieses Gerät entfernen"

Klick: WIKI - Firewall-Regeln by EJ

Dort ist alles erklärt.

Regel 3 „block all communication between VLANs“

Normalerweise läuft alles über LAN-In, LAN-Out wird dafür nicht benötigt.

Lieben Gruß

Aus meiner Erfahrung kann ich nur sagen, dass Speedtests bei Gigabit-Anschlüssen nicht wirklich aussagefähig sind, da Du dort selten die volle Bandbreite abrufen kannst oder die Tests einfach zu kurz sind.

Wenn ich 10 Tests auf der UDM-Pro mache, schwanken die Ergebnisse zwischen 500 und 1000 Mbit/s, abhängig von der zufälligen Gegenstelle. Von Clients aus sieht die Sache nicht wirklich anderes aus. Häufig ist es auch abhängig von der Uhrzeit. Normalerweise nutze ich Speedtest.net oder fast.com.

Du könntest auch einfach mal ein paar parallele Downloads von schnellen Server starten und gucken wie schnell es ist. Die wenigsten Anbieter stellen Dir für eine einzelne Datei die volle Bandbreite zur Verfügung.

Die UDM-Pro ist dafür nicht geeignet.

Ich habe diese an einer Schule im Einsatz und bin höchst unzufrieden und werde diese, wenn die Liefersituation von Hardware wieder besser aussieht, ersetzen.

Aktuell sind ~60 APs im Einsatz und täglich 500-800 Geräte (90% WLAN) online und in Zukunft kommen noch weitere hinzu. Der synchrone 1 Gigabit-Anschluss ist nur zu 50% ausgelastet, allerdings läuft die UDM-Pro am Limit. GPU und RAM sind während der Schulzeit auf > 95% und das Web-Interface ist nicht erreichbar. Außerdem muss dieses fast täglich neu gestartet werden. Zum Glück läuft das Netzwerk weiter, auch wenn sich das Web-Interface komplett aufgehangen hat und nicht mehr erreichbar ist. DPI / IDS /IPS sind deaktiviert. Aktuell bin ich noch auf der Suche nach Lösungen, wie sich die Probleme verbessern lassen.

An anderen Schulen, mit ähnlicher Größe, nutze ich statt der UDM-Pro EdgeRouter (ER-6P / ER-4P / ER-12) in Verbindung mit einem Debian-Controller und die Netzwerke laufen deutlich stabiler und zuverlässiger.

Hast Du mal unter „Insights“ geguckt und den Client dort evtl. mal gelöscht?!

root@192.168.1.1

Zitat von KJL

Okay habs gerade ausgetestet wenn man den Haken setzt wird tatsächlich nur die SSID versteckt. Ist also nur die deutsche Übersetzung schlecht gewählt

Zitat von KJL

Als Hauptpunkt steht da nämlich SSID verbergeben und als Beschreibung daneben steht dann "Verhindert das Ausstrahlen der SSID" was an sich ja zwei komplett Unterschiedliche Funktionen sind

Eine Sache der Interpretation Ich finde es relativ eindeutig, auch wenn es nicht gut übersetzt ist. 'Verbergen' und 'nicht ausstrahlen' beutetet für mich nicht 'deaktivieren'.

Ein und ausschalten: Dieses Drahtlos-Netzwerk aktivieren / Enable this wireless network

SSID ausblenden: Verhindert das Ausstrahlen dieser SSID / Prevent this SSID from being broadcast

Zitat von Fischi83

usr-adm : ja das ist mir bekannt. Es gibt keinen Grund warum ich das will. Ich hab da ein Wlan was nur für eine Geräte-Gruppe ist und ich dachte mir das ich dies Ausblende -> Aus den Augen, aus dem Sinn.

Den Gedankengang kann ich verstehen, aber in der Vergangenheit hatte ich schon öfter, nicht nur bei UniFi, Probleme mit verstecken SSIDs. Es kann lange problemlos funktionieren, aber auch viele Merkwürdigkeiten mit sich bringen.

Einige Geräte haben Probleme mit versteckten SSIDs.

Warum willst Du diese ausblenden?

Normalerweise bringt dies nur Nachteile und keine Vorteile. Es gibt viele Wege sich versteckte SSIDs anzeigen zu lassen und wenn es jmd. wirklich auf Dein Netzwerk abgesehen hat, bringt dies auch nichts.

LG

Trenne mal das WLAN auf den Geräten. Anschließend auf der UDM unter "INSIGHTS" die betreffenden Geräte entfernen und danach nochmal mit dem WLAN verbinden.

LG

Ohne weitere Infos, was Du genau gemacht und konfiguriert hast, ist es schwer einen Lösungsansatz zu finden:

Habe spontan folgende Anleitung gefunden: Klick // Klick2

LG

Hallo,

wie Du bereits geschrieben/gemacht hast, unter "Networks" die Netzwerke erstellen und unter VLAN eine ID angeben.

Für Deine Gäste kannst Du auch "Guest" statt "Corporate" wählen. Dieses Netzwerk ist isoliert und hat erstmal keinen Zugriff auf die anderen VLANs.

Die anderen VLANs können erstmal untereinander kommunizieren und müssen per Firewall Regeln getrennt werden, wenn dies nicht gewünscht ist.

Anschließend konfiguriest Du auf dem Switch die einzelnen Ports. Die Uplink Ports, welche die UDM mit den Switch oder die Switche untereinander verbinden, auf "All" belassen.

Für die APs brauchst Du erstmal kein eigenes Netzwerk. Du kannst jeder SSID mitteilen, welches VLAN sie nutzen soll. Wenn Du WLAN komplett trennen möchtest, benötigst Du dafür auch ein eigenes "Netzwerk".

Bei den APs muss der Port auf dem Switch auch als "All" konfiguriert sein.

Lieben Gruß

Wie viele Mitarbeiter sollen denn das WLAN nutzen?

Die UDM-Pro macht eigentlich nur Sinn, wenn Du auch UniFi-Access Points verwendest.

Für Deinen Wunsch gibt es viele verschiedene Wege.

Evtl. wäre auch der folgende Weg eine Möglichkeit, wenn es ohne VPN funktionieren soll. (Abhängig von der Mitarbeiterzahl)

UDM-Pro an einem Standort. UniFi Access Points an beiden Standorten. Die UDM-Pro-Firewall so konfigurieren (Port Freigabe), dass die APs vom entfernten Standort den Controller über das Internet erreichen können. Somit kannst Du die APs und SSIDs zentral verwalten.

Anstatt dem Radius-Server könntest Du auch mit MAC-Filter arbeiten. Hierbei kannst Du den WLAN-Key rausgeben, dieser bringt aber nichts, wenn die Mac-Adresse nicht hinterlegt ist. Anstatt einen Benutzer im Radius einzutragen, trägst Du einfach die Mac-Adresse ein, die Zugriff erhalten soll. Genauso kannst Du den Zugriff auch wieder entziehen.

Somit sparst Du Dir den Radius-Server, VPN und weitere Hardware.

-----------

Alternativ: UDM-Pro auf einer und ein Edge-Router auf der anderen Seite. Site-to-Site VPN und ein zentraler Radius-Server, z.B. ein Synology NAS.

Grundsätzlich würde es auch ohne VPN funktionieren, da Du den Controller und auch den Radius-Server über das Internet erreichbar machen könntest, diesen Weg würde ich aber nicht empfehlen.

Zitat

Ich stelle fest, dass ich mich scheinbar etwas missverständlich ausgedrückt habe. Wenn eine VPN-Verbindung besteht, dann mit dem Sinn, nur eine UDM einzusetzen. Genau dann wäre aber die Frage, ob sich noch ein Benutzer im Netz anmelden kann, wenn die UDM mal nicht erreichbar sein sollte

Wenn Du mit Radius arbeitest, dann nicht. Ohne Radius ist es kein Problem.

LG