Beiträge von MWName

Ok, Vielen Dank!

Eigentlich wollte ich dieses WE anfangen die Architektur zu ändern bzw. neu aufzusetzen. Aber ich glaube ich werde mich erstmal in das Thema Firewall einlesen, da dies anscheinend das zwingende 2. Kapitel für das Thema VLAN ist...

Hallo zusammen!

Nachdem die Migration vom USG-3P auf die UDM-SE wunderbar geklappt hat und der Umstieg von Kupfer auf Glasfaser ebenso, wollte ich mich jetzt meiner Netzwerkarchitektur widmen.

Also habe ich angefangen mich in das Thema VLANs einzulesen, muss aber gestehen, dass ich hier sicherlich noch am Anfang meiner Lernkurve befinde...

Meine Infrastruktur:

- UDM-SE

- US-8 60W

- 2x unmanaged Switche von DLink (derzeit im Einsatz)

- 2x USW-8 Lite (noch verpackt...)

- AP AC Pro

- 2x AP AC Lite

- AP AC LR

- AP AC Mesh

Meine bisherige Netzwerkarchitektur war die absolute Minimallösung: ein LAN und ein WLAN! Das war's...

Jede allgemeine Einführung in die Planung einer VLAN Architektur beginnt dabei immer mit dem Ansatz einzelne Gerätegruppen in ein separates VLAN zu packen, also beispielsweise:

- Router, Switche, APs etc. in ein Admin VLAN

- Computer etc. in ein Client VLAN

- alles was "nach Hause telefoniert" in ein IoT VLAN

- Sonos & Konsorten (ich nutze bspw. Yamaha MusicCast) in ein Multimedia VLAN

- Kameras in ein CAM VLAN

- usw.

Je kleinteiliger, desto "sicherer". Und sofern man APs hat, die die entsprechende Anzahl von SSIDs können, zu den jeweiligen VLAN auch noch das dazugehörige WLAN. So weit so gut und auch einfach. Jetzt eine Aufstellung meiner tatsächlichen Clients (in Summe ca. 40+) und wie sie angebunden sind:

- 2 Win-Notebooks --> LAN

- 3 Win-Notebooks --> WLAN

- 1 WIN-Homeserver --> LAN

- 1 Synology NAS --> LAN

- 1 Netzwerkdrucker --> LAN + WLAN

- 1 Siemens GO VoiP --> LAN

- 1 Philps Hue (Bridge) --> LAN

- 1 PS5 --> LAN

- 1 PS4 --> WLAN

- 2 Smart TV --> LAN

- 2 Sky Receiver

- 2 HD Beamer (WLAN)

- 1 AV Receiver, incl. MusicCast --> LAN

- 3 MusicCast Lautsprecher --> WLAN

- 6 Handys (Android und Apple / privat und geschäftlich) --> WLAN

- 6 Tablets (Android und Apple / privat und geschäftlich) --> WLAN

- 15+ diverse weitere Clients (Chromecast, FireTV, Nintendo Switch, Internetradio, Kühlschrank, Geschirrspülmaschine etc.)

- 4 Kameras --> LAN + WLAN (geplant!)

Wenn ich die jetzt alle in die jeweiligen VLANs stecke, würde bei uns zuhause zunächst nichts mehr funktionieren. Ist ja auch klar, die Firewall auf der UDM SE blockiert per default erstmal alles. Ich müsste also entsprechende Regeln erstellen. Jetzt aber mal ein typisches Anwendungsszenario:

Wir schauen ein Film über einen Beamer, wahlweise vom NAS oder einem Streamingdienst, synchronisieren das Licht über die HUE Bridge und gesteuert kontrolliert wird das alles über ein Handy/Tablet. Alleine in diesem Szenario wären mindestens 3 VLANs involviert, die alle untereinander kommunizieren und auch alle Zugang zum Internet haben müssten. Allein an den Regeln für dieses Szenario konfiguriere ich mich ja (Entschuldigung...) dumm und dämlich. Von den zusätzlichen Fehlerquellen, wenn etwas mal nicht läuft ganz abgesehen.

Daher wäre mein Ansatz:

- Admin VLAN für die UDM SE, alle Switche und alle APS --> LAN + WLAN

- Client VLAN für alle Clients --> LAN + WLAN

- Cam VLAN für die (geplanten) Kameras --> LAN + WLAN

(halte ich für absolut zwingend notwendig, da draußen ja ein physisches Netzwerkkabel liegt: quasi anstöpseln und ich bin drin... Eine MAC Adresse zu fälschen kriegt jedes Script-Kiddie hin)

- Gast VLAN --> WLAN

Macht das so Sinn? Weil meine Überlegung war, wenn ich die Firewall so öffne, dass alles bei uns reibungslos funktioniert, ist es mit der Sicherheit der einzelnen VLANs auch hin und ich habe nichts gewonnen. Außer zusätzlichen Verwaltungsaufwand in der Firewall. Oder sehe ich das mit der Firewall Administration zu "schwarz"?

Wie immer: danke für Eure Hilfe/Einschätzung! Und Entschuldigung für den ellenlangen Text...

Danke, aber das war ja erst der Anfang...

Am WE kommt der Wechsel von Kupfer (Draytek Vigor 167) auf Glasfaser (Telekom GF Modem 2). Aber nachdem was ich bisher gelesen habe sollte das wirklich nur Plug&Play sein. Parallel installiere ich meinen neuen Netzwerkschrank. Das Vigor und das USG hingen einfach an der Wand.

Und daaaann werde ich mit Sicherheit wieder etwas Hilfe von Euch benötigen, da ich mit der SE das erste Mal mein Netzwerk mit VLAN, Gastnetzwerk etc. richtig strukturieren möchte. Und das Synology NAS wartet ja auch noch!

Und wenn dann alles läuft und meine Frau mich immer noch nicht erschlagen hat, steht das Thema Kameras an.

Schließlich will man(n) so eine SE ja auch "ausnutzen"...

Mission completed! Alle 5 APs laufen wieder...

Die Anleitung von Eddie ist wirklich Gold wert. Einfacher kann man nicht migrieren...

...wenn man halt selber nicht zu blöd ist und den "alten" Controller vergisst!!

Danke!!

Vergesst es!!!

Der größte Fehler sitzt immer VOR dem Computer! Ich htte den SW Controller (hatte keinen Cloud Key für das USG) auf meinem Server vergessen! Der lief noch...

Nachdem ich den beendet hatte wurden die APs brav adopted.

Bis auf den einen, an dem ich schon den Reset gemacht habe...

Ok, da gerade alle unterwegs waren habe ich die Chance genutzt.

Teilweise sogar mit Erfolg: soll heißen die UDM SE ist online und ebenfalls alles per Kabel. Aber die UDM kann die alten APs nicht adopten...

Evtl. jemand eine Idee, außer forget, reset und neu adopten. Das wäre nämlich mein nächster Schritt.

Zwischenstand: bis Punkt 10 bin ich jetzt schon!

Jetzt muss ich nur noch warten bis ich das Internet "ausschalten" darf, um die restlichen Schritte abzuarbeiten.

Bis hier war es aber wirklich ein Kinderspiel, aber man soll den Tag ja nicht vor dem Abend loben. Mal sehen ob der Rest genauso gut klappt...

Prima! Und danke für die Antwort, dann werde ich das mal so ausprobieren. Sobald ich bei Punkt 15 bin gebe ich Rückmeldung!

Hallo zusammen!

Nachdem jetzt endlich mein Glasfaseranschluss liegt habe ich investiert und mir eine UDM PRO SE zugelegt. D.h. ich "muss" jetzt auch von meiner braven USG-3 migrieren.

Die Anleitung von Eddie erscheint mir ziemlich narrensicher (vor allem Punkt 15.)! Allerdings habe ich nur einen managed Switch (US8-60W) und bei dem sind alle Ports belegt. Meine Idee war jetzt einfach den LAN2 Port auf der USG selber zu verwenden. Also: im Controller LAN2 anlegen, Port auf der USG mit LAN2 enablen und ab da mit Punkt 3. weitermachen.

Geht das bzw. muss ich dabei noch etwas beachten?

Wie immer: vielen Dank im Voraus für Eure Hilfe!!!

VG!

Hi,

neu provisioniert habe ich immer. Meistens passiert das ja sogar automatisch, da ich aufgrund der CPU Last IPv6 immer wieder deaktiviere und sobald ich in den Network Einstellung für das WAN etwas ändere, wird das USG ja automatisch neu provisioniert. Und falls ich wirklich mal nur das config.gateway geändert habe, habe ich natürlich auch neu provisioniert.

Vielen Dank, dass du dir die Mühe gemacht hast eine config.gateway für mich zu schreiben. Leider bleibt mein USG damit beim provisionieren hängen...

Mir sind die unterschiedlichen Klammern (geschweift und eckig) aufgefallen. Aber ich gehe mal davon aus, dass das Absicht ist, oder?

Tut mir leid, dass ich so ein schwieriger Patient bin...

Kein Problem! Du hilfst mir in deiner Freizeit! Also wann immer es bei dir passt!

Und wo ich schon mal per SSH auf dem USG drauf bin, habe ich auch versucht manuell das nachzustellen, was die config.gateway.json eigentlich bewirken soll.

Also:

configure
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd prefix-only
commit;save;exit

Und jetzt kommts, wenn ich den set-Befehl eingebe kommt folgende Fehlermeldung:

"The specified configuration node is not valid"

Klappt also nicht.

Aber eigentlich ist doch eth0 mein LAN und ppoe mein WAN, oder?

Hallo,

also aktuellste Firmware ist drauf und auch der Controller hat die aktuellste Version.

Ich hab mal einen Dump von der Config gemacht - ehrlicherweise verstehe ich mind. 80% davon nicht... Ich hab den dump mal als txt File angehängt (Telekom Zugang war im Klartext --> habe ich rausgelöscht und auch sonst alles was nach Passwort oder Zugang aussah... Ich hoffe ich habe sonst nichts übersehen).

Vielleicht könnt ihr ja mal drüber schauen.

Ok, ein kleinen Teilerfolg hatte ich schon...

Habe mich per SSH mit Putty auf meine USG angemeldet und mittels "top" die laufenden Prozesse aufgelistetv - und siehe da: dhcpv6-pd-respo ist tatsächlich der Übeltäter! Der Prozess startet, zieht ca. 50-60% CPU Last, wird gekillt und wieder neu gestartet.

Also funktioniert irgendwas mit der Prefix Delegation bei mir, trotz meiner config.gateway.json, immer noch nicht!

Jetzt bleibt nur noch die Frage was und warum nicht?

Hallo Blackspy,

dass das USG 3 kein Rennpferd ist, ist mir auch klar. Ich arbeite mich auch gerade erst in die ganze Materie ein, aber dass die "simple" IPv6 Adressvergabe eine konstante CPU Last von >50% verursacht kann ich irgendwie nicht nachvollziehen. In meinem Netzwerk ist ja eigentlich auch nicht "viel los" = 4 APs (dicke Wände) ein managed Switch und eben das USG. Traffic, außer streamen, ist auch nicht viel...

In anderen Foren/Posts mit dem gleichen/ähnlichen Problemhabe ich gelesen, dass auf dem USG immer wieder ein Prozess neu gestartet wird und dies die Last verursacht. Siehe dieser Thread letzter Post (https://community.ui.com/quest…03-4333-8db3-c84534a01e6e). Daher wollte ich mir mal die Prozesse bzw. meine Logs anschauen.

Mein Controller läuft auf einem Win10 Rechner der 24/7 an ist. Dort habe ich nur ein Log Verzeichnis unter "C:\Users\****\Ubiquiti UniFi\logs" mit zwei Dateien: mongod.log und server.log.

Bspw. das im oben verlinkten Thread erwähnten Log "/var/log/dhcp6c.log" ist dort nicht bzw. das Verzeichnis \var\log gibt es bei mir gar nicht. Werden die im Linux System des USG abgelegt? Und wenn ja, wie komme ich daran?

Und wie immer: vielen Dank schon einmal für eure Hilfe bis hierhin!!!

Hallo Lonewolf!

Erst einmal vielen Dank, dass Du dich sogar extra angemeldet hast, um mir bei meinem Problem zu helfen!!

Leider hat dein Vorschlag auch nicht funktioniert... Sobald ich IPv6 aktiviere steigt die CPU-Last vom USG auf ca. 50%. IPv4 only und ich habe 2-3%

Hat den keiner hier ein ähnliches/gleiches Setup (Anschluss: DTAG mit VDSL2 und Hardware: Draytek Vigor 167 mit USG 3p) bei dem IPv6 problemlos funktioniert?

So sieht mein Config.gateway.json jetzt übrigens aus - vielleicht ist da noch irgendwo ein Fehler?

{
  "interfaces": {
     "ethernet": {
       "eth0": {
         "pppoe": {
           "0": {
             "dhcpv6-pd": {
               "prefix-only": "''"
              }
           }
         }
       }
     }
  },  
    "interfaces": {
        "pseudo-ethernet": {
            "peth0": {
                "address": ["192.168.2.100/24"],
                "description": "Zugriff auf Modem",
                "link": ["eth0"]
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "5000": {
                    "destination": {
                        "address": ["192.168.2.1"]
                    },
                    "outbound-interface": ["peth0"],
                    "type": "masquerade"
                }
            }
        }
    }
}

Schade... Keiner mehr eine Idee woran es noch liegen könnte?

Ja, habe ich... Siehe Screenshot. Ich habe um um ca. 12:00 Uhr IPv6 aktiviert und alles lief, aber CPU auf 55%. IP Adresse am Client überprüft - auch in Ordnung. Dann einen kompletten Reboot gemacht (Lücke im Verlauf). Danach noch einmal alles überprüft und abends um ca. 18:00 Uhr IPv6 wieder deaktiviert.

So langsam zweifele ich an mir (oder dem USG!)...?

Nope, kein Unterschied in der CPU Last --> konstant über 50% mit IPv6...

Was für 'nen Sch... kann das sein? Ich berfürchte, dass ich wieder irgendwo einen Bock geschossen habe. Aber wo? IPv6 Adresse bekomme ich ja.

Ok, anscheinend war das nicht die Lösung meines Problems...

Ich hab mich per SSH via Putty mit meinem USG verbunden, um die Befehle "manuell" durchzuführen. Eingabe hat funktioniert, aber die CPU Last bleibt trotzdem bei ca. 55%.

Sobald ich IPv6 wieder deaktiviere sinkt die Last sofort auf ca. 5%.

Was ist das/mein Problem? Es kann doch nicht sein, dass nur das Aktivieren von IPv6 das USG halb in die Knie zwingt?!

Das sind meine Settings:

WAN:

und LAN: