Welche "Consumer" Produkte ? Bin nicht neugierig ... wills nur wissen
USW Flex mini
USW Flex
USW Lite-8-PoE
U6+
U7-Pro
Beiträge von freste
-
-
aber dann die Software mit zig externen Anwendungen zumüllen - nur weil es geht macht das noch lange keinen Sinn.
HomeAssistant läuft bei nur mit den wichtigsten Erweiterungen für den eigenen Betriebn zb. ZigbeeIntegratione, alles Erweiterungen wie NodeRed, Raspberrymatic, Grafana, Influxdb sind alle extern in eigenen Linux-Containern auf Proxmox.
Hab ich auch ne Weile drüber gehirnt, was da besser ist. Aktuell denke ich: es macht eigentlich keinen Unterschied. Die add-ons von Home Assistant sind ja letztlich auch nur container. Die sich innerhalb des Home Assistant hinreichend transparent verwalten lassen. (starten/stoppen/updaten)
Tatsächlich versuche ich grad Kram abzuklemmen, um die Komplexität zu reduzieren: NodeRed raus, Grafana raus. Es geht auch ohne. Vielleicht nicht immer hübsch, aber gut genug und wartbarer.
Selbst ein externer USB-Stick mit dem Videodecoder drauf, ist weit aus besser als einen normale CPU, gerade wenn KI-Funktionen genutzt werden sollen
Für die KI-Funktion, also Objekterkennung, ist z.B. eine Coral-TPU über USB erschreckend performant: 4 Kameras, also 8 Streams + 2 konvertierte streams auf gen8-i3 erzeugen einen CPU-load von grad mal 18%.
Aber das ist jetzt wahrscheinlich schon ziemlich off-topic...
-
Alternative zu Intel NUC ... es gibt so viel ... die Geekoms sind ziemlich gut verarbeitet, finde ich. Müsste man zur Not noch ein USB-NIC anstecken...
Oder eine dieser passiv gekühlten HUNSN-firewalls. Die gibt es zu gutem Preis (prepaid Einfuhrumsatzsteuer) auch mit 2,5 NICs.
-
CPU ist so eine Sache: z.B. ein Alder Lake i3 kann 4 Kerne haben (also 8 mit HT) and ist performanter als so mancher i5 vorheriger Versionen.
Für den genannten Einsatzzweck ist es eventuell sinnvoll zu schauen, ob im Mini-PC irgendeine Grafikbeschleunigung eingebaut ist, die über die interne GPU hinausgeht.
Begründung: Home Assistant braucht kaum CPU-power, aber wenn auch Videoüberwachung z.B. mit Frigate installiert ist, ändert sich das drastisch. (ffmpeg transcodieren von h265 in h264 und Rotationen sind CPU-lastig) Wer hier eine unterstützte zusätzliche Grafikhardware besitzt, hat deutlich mehr Spaß. Eine "schlechte" Graka ist besser als die interne GPU. Und wenn doch nur eine interne GPU vorhanden ist: aktuell werden von Frigate die neueren GPUs (ab gen10) der Intel-Prozessoren besser unterstützt als die der AMDs.
Ein zweiter NIC im Mini mag auch hilfreich sein.
Graka und 2.NIC filtern die Angebote sehr stark und die Auswahl fällt leichter ...
-
Danke für die Erklärung.
Warum ist Fritz Default 192.168.178.x ?
Naja die FB ist immerhin eine Art Router, da darf man schon irgendein Netz anbieten. Den FLEX hab ich für einen Switch gehalten. Aber seis drum. Solange er keine IPs aus dem range meint vergeben zu müssen.
-
Tatsächlich finde ich als Umsteiger auf Unifis den Umgang mit VLANs nicht sonderlich intuitiv. Vermutlich nur irgendwie "anders".
Von Netgear kommend (dort ist VLAN-config auch nicht wirklich toll...), ist mir bei Unifi nicht ganz klar welche Einstellungen ingress, welche egress wirken.
Meine aktuelle Theorie:
1. "Native VLAN / Network": eingehender untagged traffic wird dem angegeben VLAN zugeordnet, aber er bekommt kein .1q tag. Also ingress. Frage: Was ist, wenn auf dem Port tagged traffic reinkommt? Wird dieser traffic "gedropped" oder behält er sein .1q-tag im Frame und wird intern weiter geswitched? Hoffe mal: er behält es.
2. "Tagged VLAN Management": untagged traffic aller angegebenen VLANs bekommen ihr tag in den Frame gebastelt, bevor sie raus gehen. Also egress. Frage: was ist mit tagged traffic? Wird der geblocked oder geht der mit seinem tag raus?
Letzte Frage: Wieso ist das Default-netz 192.168.1.0/24? Das hab ich nirgendwo angelegt und will ich auch nicht haben. Der FLEX hat seine IP vom DHCP in einem anderen Netz bekommen, das muss doch reichen. Oder hat der FLEX versteckte Ebene-3-funktionalität? Will ich eigentlich bei so einem kleinen Switch nicht haben.
-
kannst den controller auch einfach auf der opnsense installieren.
Auch verlockend ... will aber eigentlich die OpnSense möglichst wenig durch "Fremdsoftware" potentiell kompromitieren. Muss schon CPU microcode als "tuneable" beim Systemstart laden lassen, weil das BIOS/EFI die Alder Lake CPU nicht mit den benötigten Fixes versorgt. (BIOS update lässt auf sich warten...)
Aber die Idee ist trotzdem gut ... Dann halt den Controller unter proxmox in einem container.
Die wesentliche Erkenntnis ist für mich, dass es einfach sinnvoll zu sein scheint, alle Unifi-devices in ein eigenes Netz zu stecken und die Endgeräte mithilfe der Portkonfigurationen "geeignet" auf die Subnetze zu verteilen.
Vielen Dank an alle für die Anregungen!
-
Hab auch kurz überlegt, einen Hardwarecontroller einzusetzen und bin über den "Unifi Express" gestolpert. Interessantes Produkt, aber wohl etwas "schwach auf der Brust", wenn es nur 4 Unifi-geräte verwalten kann. Da wäre es ja mit meinen U6+, Flex und 3 Minis schon überfordert. Schade.
-
Der ganze Netzaufbau ist etwas fraglich.
Vollkommen richtig. Ist auch im Umbau. Letzlich soll (bis auf FB als Modem) alles hinter der Opn liegen. Das muss ich halt hinbekommen, ohne den laufenden Betrieb groß zu stören: am offenen Herzen ... das ist natürlich nicht professionell, aber für privaten Umfeld sind die Mittel (Zeit) beschränkt. Also Schritt für Schritt.
Grundsätzlich gilt, Unifi Endgeräte sollte immer im selben Netz sein,
Ok. Dann überlege ich auch in diese Richtung. Könnte also einen freien LAN-port der Opn nutzen und dort den Controller und alle Unifis unterbringen. Die Subnetze der Opn dann über die Portkonfiguration (VLANs der Unifi-switche) einbinden. Hmmm...
Das erscheint mir letztlich einfacher, als das aktuelle Routing, Portfreigaben, DNS-Einträge, etc ... Danke für den Tipp!
-
freste erster Eintrag bei google: ...
Ich mach diesen IT-Mist nun schon so viele Dekaden, dass ich sicher erst "das Netz" durchsuche, bevor ich irgendjemanden persönlich belästige.
Und es gilt wie immer: wenn ich die Antwort vermeintlich kenne, kann ich auch eine Suchanfrage formulieren, die genau diese Antwort liefert.
In diesem Fall ... : "ssh und set-inform". Geht aber nicht, weil ich ja Minis adopten möchte, die kein ssh anbieten.
Ich versuche jetzt mal Folgendes: Minis aus dem OPN-netz rausnehmen, ins Netz der FB nehmen. Dort adopten (tut hoffentlich) und dann wieder in das OPN-Netz zurück. Dann sollte der Mini den Controller ja kennen... Ist das abwegig/sinnfrei?
Wenn das nicht funktioniert und ich aus dem Wireshark-mitschnitt nicht schlau werde, überdenke ich mein Leben und das ganze Setup.
Nochmals Danke fürs Helfen ... Kann man hier irgendwo Kaffee spenden?
-
Sind die switchports richtig konfiguriert?
Sowohl in der opn als auch im UI controller?
Informhost passt?
Nun ... die Ports im USW-Flex sind richtig konfiguriert und dieser Switch und auch der U6+ funktionieren wie gewünscht. Die Ports der Minis kann ich ja nun nicht konfigurieren, weil ich diese nicht "adoptiert" habe. Sie agieren aktuell als unmanaged switches.
Passt denn dein Routing?Statische Routen auf der FB zur den Netzen der Opn sind eingerichtet.
Du hast eine Fritz vor (außerhalb) Deiner Netzwerke der OpSense und die Freigabe geht durch ein NAT?
Richtig. Doppel-NAT. (Wird irgendwann auf umgestellt auf "FB im bridge-modus ohne Doppel-NAT)
Oder ist der Windows Host auch hinter der OpSense?
Nein, der Win-server ist direkt im Netz der FB. Also vor der Opn. Damit liegt er aus Sicht der Opn hinter deren WAN-port, also deren "internet".
Also: Kabelanschluss <--- FB (mit default-Netz in dem auch der Win-server, USW-Flex, U6+ liegen) <--> Opn <--> subnetze <==> diverse USW Minis
Der Informrequest geht ja vom Device zum Controller
Ja, so hab ich es auch verstanden. Und da der Controller (auf dem Win Server) ausserhalb/vor der Opn legt, sollten ja Unifis aller Netze der Opn nach aussen zum Controller Kontakt aufnehmen können. Statische Route in der FB verausgesetzt, ports (z.b. 8080) der Firewall nach aussen offen, DNS Eintrage für "unifi".
Und ja: ich habe auch die benötigten Ports in der Software-firewall des Win-servers geöffnet. So konnte ich den FLEX und den U6+ "adopten".
Ich versteh das ganze wohl einfach nicht vollständig. Werde mal wireshark bemühen und hoffe, den relevanten Traffic herausfiltern zu können. Hatte gehofft, das vermeiden zu können...
Vielen Dank fürs "mithirnen".
-
Vielen Dank für die schnelle Reaktion und klare Ansage.
Das ist ... schade. Heisst dann aber wohl auch, dass ich in jedem (sub)Netz der Firewall einen Controller installieren müsste. hmmm... mach ich eher nicht.
Eigentlich bin ich jetzt ziemlich enttäuscht. Wozu dieses hübsche UI mit zentraler Verwaltung (statt vieler Web UIs) wenn nur Geräte im lokalen Netz des Controllers provisioniert werden können. Das kann man auch "von Hand" machen.
Na immerhin funktionieren die Minis noch unmanaged...
-
Hallo erstmal ...
Wechsle grad meine AVM-Hardware aus und stelle nach und nach auf Ubiquiti um. Wenn umgestellt, dann geht die Fritzbox in den bridge-mode (wegen Kabelinternet) und ist nur noch ein Modem und DECT-server.
Bin klein eingestiegen, um zu schauen, ob ich mit den neuen Produkten klarkomme. Vermutlich zu klein eingestiegen...
Ich Kürze: ich bin zu blöd. Ich kapier es nicht. Es soll doch so einfach sein. Was? Natürlich die "Adoption". Gruselig. Na gut: solange alles in einem Netz ist es wirklich easy.
Ich habe also:
Allgemeine Netztopologie: AVM FB als Cablemodem, default Netzwerk. Darin Netgear XS708T. OpnSense firewall im Netz der FB mit WAN, LAN, opt1-opt4.
1. Schritt : Im Netz der FB läuft ein Windows Server 2016 mit "Unifi Network Server" in der Version 8.0.26, also die momentan aktuelle Version, als Windows Service installiert (Ja: "nicht supported"). Nach den wohl üblichen Problemchen mit Java-version, Path env var, etc läuft der Service sauber auch über Server restarts hinweg. (Leider aktuell mit admin-Rechten)
2. Schritt: Unifi U6+ und USW-Flex gekauft und in das LAN der FB gesteckt, adopted, konfiguriert: 3 WLANs, 2 VLANs: ich bin happy.
3. Schritt: Drei USW-Mini gekauft und im Haus verteilt. Und direkt mit den Netzen der OpnSense opt1 und opt2 verkabelt und einige Endgeräte angesteckt. Alle Geräte inklusive der Unifi minis bekommen eine IP und funktionieren. Fast ... denn keiner der drei USW-Minis taucht in der Liste der zu adopierenden Devices auf. Klar: firewall...
4. Schritt: Firewall: port 8080 TCP aufgemacht, DNS eintrag für "unifi" gesetzt, DHCP option 43 gesetzt, ... minis resettet. versuche: ssh mit set-inform ... ah geht ja nicht bei "mini"s... also nochmal resettet: "Es tut ned"
5. Schritt: Analyse: ping von subnetz der OpnSense auf Server klappt. traceroute klappt. nslookup unifi klappt.
6. Schritt: Fenster aufmachen .. nein halt: ich kann nicht der Erste sein, der es nicht blickt. Hoffe ich...6. Schritt: im Forum anmelden und hoffen...
So richtig transparent ist ja wohl nicht, welche Kommunikation da zwischen den Devices und der "Unifi Network"-Software abgeht...
Irgendne Idee? Irgendwer?
-
Grüße aus den Süden!
Bin erst kürzlich bei den Unifi "Consumer"-produkten gelandet und laufe nach anfänglicher Euphorie grad ständig vor die Wand. Es ist schon eine Umstellung ... Wenn alles läuft ist es genial. Wenn nicht, dann fehlt die Transparenz, was "grad abgeht". Ok, bin wohl grad am Anfang der Lernkurve...
