Beiträge von bastelbenderr

Zitat von phino

Dies hängt etwas von den (Sicherheits)-Einstellungen der Switche ab. Bei den meisten lassen diese, ohne zusätzliche Beschränkungen/Regeln eigentlich alle VLANs durch.
Somit solltest du mal eine AP direkt an der UDM anschließen, mit z.B. VLAN 123. Das in dem AP fix hinterlegen. Und danach einfach mal an irgendeinen Switch anschließen, der auch an der UDM hängt, die das Netz mit dem VLAN 123 ausgibt.
Wenn das Regelwerk nicht zu eng ist auf den Switche, könnte es so klappen.

Vielen dank. Dann werde ich das mal versuchen. Ich gehe mal davon aus dass für die Konfiguration des APs, dieser im LAN der UDM eingesteckt sein muss. Aktuell ist dieser ja in einem der UNI Switche eingsteckt und zieht sich eine IP aus vom DHCP des von der Uni zur Verfügung gestellten Netzes was wiederum am WAN Port der UDM hängt. Somit kann ich den AP nicht erreichen (wird zwar in der UDM angezeigt) Somit muss er wohl physikalisch an einem der LAN Ports der UDM direkt eingesteckt werden um das neue VLAN darauf zu implementieren.

Zitat von gierig

a possible solution:

need:

Irgend ein Netzwerk Port als Direkt access (Rechner daran bekommt sein DHCP und kann arbeiten)

UDM gerne mit updates.

Default Vlan1 nach wünschen anpassen (eigner IP Bereich der nicht stört)

Thirdparty VLAN einrichten (nannte sich damals "VLAN Only") sagen wir mal 100 weil ne schöne zahl ist.

Port 1 und 2 als native ins VLAN 100, keine Tagged VLAN.

Port 1 Uplink zum "Institut", Port zwei zum Wan Port.

WAN per DHCP einrichten damit kann die Kiste raus für Updates und co und andere "Schweinerein")

Access Points and die anderen Ports (native vlan1, rest tagged ist default)

AP werden dann über das Default VLAN verwaltet.

WLAN Einrichten als Ziel Netz das zuvor geschaffene ThirdParty VLan 100

Damit sind die Clients ins normal Netz gebridged und bekommen über das Institut Netz per

DHCP das was sie brauchen.

Wahl der Qual, Gäste WLAN genau so einrichten, oder eignes VLAN über die UDM

was dann darüber und einem NAT rauskann aber eher nicht rein.

Dreckig geht aber...

a possible solution 2

UDM wegwerfen, Controller wie UCK2 oder als Software installieren, AP einstellen

und direkt im gleichen Netz betreiben. Nachteil ist weniger Abschottung bei Gäste..

das wird aber vorher wohl auch nicht besser gewesen sein.

Alles anzeigen

Mit viel manueller Handarbeit per Putty, ist die Appliance nun auf aktuellem Patchlevel. Die vorgeschlagene Lösung 2 macht Sinn. Wo ich allerdings noch einen Hänger habe: ich habe ja geschrieben dass das bereitgestellte Netz über unterschiedliche DV (sprich unterschiedliche Räume auf dem Gelände) verbunden sind. Daher ist es nicht möglich die APs physikalisch an die UDM anzuschließen sondern dies geschieht wiederum durch Switche die jedoch komplett von der Uni verwaltet sind. Für die Lösung 1 über VLANs benötigte ich jedoch (wenn ich mich nicht täusche) Zugriff auf sämtliche Switche um die VLANs zu implementieren.

Zitat von phino

Nein, wie ganz am Anfang steht, sie hängen in dem Uni-Netz und können an dem Routing nix ändern. Um trotzdem ein WLAN für das Arbeitsnetz und ein Gastnetz zu realisieren, haben bisher dafür Sophos (FW plus AP) genutzt. UND jetzt laufen die Lizenzen aus und sie wollen ANSTELLE der Sophos Ubiquiti einsetzen.
Hat man in solchen Einrichtung häufig, es gibt für den Campus ein Gerüst für das Netzwerk, in ihrem Subnetz kann dann die Abteilung/Labore selber werkeln.

Lizenzen laufen nicht aus! Die reine WLAN Funktionalität benötigt keine Subscription. Allerdings ist die Hardware (Appliance und APs) nächste Jahr EOL und bekommt keinen Support mehr von Sophos.

Das andere stimmt leider

So virtuelle Kiste Bier für die Kollegen phino und jkasten wurde gespendet. Keine Ahnung wie ihr an die Kiste kommt - da müsst ihr euch mit dem Boardinhaber schlagen

Nicht das es heißt man will hier nur billige Lösungen vom Board abgreifen

Zitat von jkasten

Ok, wenn ich das nun korrekt verstehe... Ihr sitzt da hinter einer Sophos die von der Uni verwaltet wird und euch nur ein Netz zur Verfügung stellt, korrekt? Dann wäre eine andere Möglichkeit (sowas haben wir auch im Einsatz bei ähnlichen Gegebenheiten), an den Uplink zur Sophos wo ihr euer Netz bekommt die UDM Pro mit dem WAN Anschluss dran zu hängen, dann die Uni bitten auf dem Netz keinen Proxy usw zu schalten und alles ein und ausgehend frei zu geben da ihr eine eigene Firewall nutzen wollt. Dann hinter der UDM euer Netz inkl WLAN und allem weiteren aufbauen.

Nein. Wir sitzen in einem Netz welches die Uni uns zur Verfügung stellt inkl. Gateway der Uni welche uns dann ins internet routet. Welche Systeme hier im Einsatz sind können wir nicht sagen da wir in diese "heilige Hallen" keinen Zugriff haben. Wir betrieben in diesem Netz was uns zur Verfügung gestellt wird eine Sophos welche als reiner WLAN Controller umgebogen ist (Da die Sophos allerdings bald EOL ist und das ganze WLAN über Sophos Central zukünftig läuft, sind wir auf der Suche nach einer Alternative für die Sophos und daher auf Ubiquiti gestoßen. Leider können wir nicht so einfach neue Netze implementieren da uns hier ja Rückrouten auf den Routern der Uni gesetzt werden müssten was aber nicht möglich ist. Sprich unser Handlungsspielraum ist positiv gesagt sehr sehr "überschaubar" . Sonst wäre das alles eine relativ einfach Geschichte. Aber ITs der Behörden sind eben einfach ITs von Behörden

Zitat von jkasten

Wir haben solche Lösungen, also Controller für das WLAN und Sophos als Firewall, sehr oft im Einsatz. Das funktioniert hervorragend. Denkt also lieber darüber nach das ganze so zu lösen.

Vielen Dank. Ja bei anderen Kunden haben wir öfters UTMs von Sophos im Einsatz die einwandfrei funktionieren. Allerdings haben wir bei keinem der Kunden das Problem dass wir hinter einer FW einer Universität uns befinden welche uns ein bestimmtes Netz zur Verfügung stellt aber wir keinerlei Möglchkeiten haben FW & Routing zu ändern (wenn du spürst was ich meine ). Bisher hatten wir das mit einer UTM gelöst die nur als WLAN Controller "missbraucht" wurde. Für usn ein NoGo und realtiv ekelhafte Arbeit. Für den Kunden aber eine Lösung die das was er wollte geliefert hat. Wie gesagt Spaß macht es nicht und schön es auch nicht. Wir gingen davon aus dass sich die UDM von Ubiquiti auch so hinbiegen lässt. Aber scheitert ja schon bei den Updates, was dann ja eigentlich direkt ein Showstopper ist.

Aber dann werde ich den Ansatz von Dir mal weiterverfolgen und es über die Controller Lösung zu versuchen. Sorry wollte keinem die Zeit stehlen.

Zitat von DoPe

Ist die UDM mit WAN Port am Internet und funktioniert das Internet auch auf der UDM inkl. Namensauflösung??? Habt ihr die "Offline" in Betrieb genommen mit nur lokalem Admin?!?

Ich klinke mich an dieser Stelle aus. Da ist von Kunden die Rede und von wir brauchen da aber Leute die sich auskennen. Preis Leistung ist wichtiger als eine solide Lösung. Kunde oder wer auch immer sagt es darf nix geändert werden und ansonsten ist alles egal. Der Hinweis doch einfach die Gerätschaft zu nutzen die dafür gedacht ist wird ignoriert.

Ich wünsche viel Erfolg beim Basteln.

Nein so war es nicht gemeint und da hast du mich wohl falsch verstanden bzw. ich habe mich falsch ausgedrückt. Aber ist in Ordnung. Vielen Dank für die Hilfe und dann dir ein fröhliches ausklinken.

Zitat von jkasten

Ok, habe ich schon lange nicht mehr gesehen. Wir haben allerdings auch nur einen Distributor bei dem wir Unifi einkaufen. Da die Kiste hinter einer Sophos steht, ist nicht auszuschließen das da in der Firewall einiges geblockt wird.

---

Ja das trifft es ziemlich gut. Haben grad selber so einen Kunden, da gabs von mir jedes mal die Ansage entweder den supporteten richtigen Weg oder selber machen. Da sind wir dann raus. Da handelt man sich mehr Arbeit und Ärger mit ein als das man daran Geld verdient.

Jetzt weiß ich auch nicht was ich getriggert habe. Aber es ist ok. Ich bitte trotzdem sachlich zu bleiben. Wer ehrlich ist, ist meist der dumme. Nächstes mal "Privat" ankreuzen und das ganze nicht mit offenen Karten spielen und das Forum dann die Arbeit machen lassen. Den Weg bin ich glaub nicht gegangen. Aber trotzdem danke für die schnelle und unkomplizierte Hilfe.

Zitat von jkasten

Oha.... Wenn ich das richtig verstehe existiert als Firewall eine Sophos und dahinter soll jetzt die UDM Pro nur als WLAN Controller? Total quatsch und nicht vernünftig umsetzbar, egal was der Kunde sagt. EInzige sinnvolle Lösung, dem Controller als VM aufsetzen und damit die WLAN Netzer erstellen und verwalten. Die VLANs wie gehabt auf der Sophos anlegen und entsprechend auch im Controller für die WLANs. Alles andere ist quatsch und würde ich mich weigern auch nur eine Minute Arbeit reinzuinvestieren.

Was das Thema Update angeht, die Kiste lag wohl Jahre im Schrank so wie es aussieht. Da musst du nun erstmal manuell ran und dich durch diverse Updates kämpfen. Aber davon ab, ist das für dein Vorhaben eh nicht relevant da so nicht umsetzbar.

Nein das hast du falsch verstanden. Wie schon geschrieben haben wir das WLAN Szenario bisher mit einer UTM gelöst (allerdings - auch mit angepasster Lösung). Hier gab es workarounds (und ja ich gebe zu manchmal sind es würgarounds)

Aber das Leben besteht manchmal eben nicht nur aus den BestPractice Lösungen aus der Box. Mit einer jung an krebs gestorbenen Frau und mit 2 kleine Kindern kann ich ein Lied davon singen. Da gibts oft angepasste Würgarounds um mit dem Leben klarzukommen. Und wie gesagt es war ein Versuch evtl. mit Ubiquiti eine Lösung zu kreieren die bestimmt nicht die Plug&Play Version ist aber das Leben gibt einem manchmal Rahmenbedingunen oder Voraussetzungen zum knabbern die die Standardlösung übersteigen.

Trotzdem allen vielen Dank für die Mühe und euren Job den ihr hier macht.

Spendiere gerne einen zweckgebundenen Kasten Bier, falls das möglich ist. Bzw. will ja hier niemand auf die Füße treten und gerne auch eine Kiste vegane Limo.

Grüße gehen raus!

Zitat von gierig

remote, updates, Fehlermeldungen und nen Haufen anderes wird nicht gehen...

Aber wer mit dem Sportwagen nen Flugschar über den Acker ziehen will...

der darf dann auch leiden...

Mein Bauch sagt immer noch:

"Institut" weis nichts von dem vorhaben, bzw. es ist wie es ist Änderungen werden nicht durchgeführt.

"Untergeordnete" basteln sich dann halt was daran vorbei.

Alles anzeigen

Bauchgefühl geht schon mal in die richtige Richtung. Wie schon am Anfang erwähnt, ist es nicht das BestPractice und schon gar nicht das was wir dem Kunden gerne bieten würden. Aber wie das im Leben oftmals so ist, führen manche Umstände und Rahmenbedingungen dazu (welche nicht geändert werden können ohne weiteres) dass die Lösung von der Stange nicht klappt. Quasi ganz nach dem Motto "Einfach kann jeder". Und uns ist natürlich bewusst dass mit so einer Konstellation noch ganz andere Problem wie Updates / Remote etc etc. mit einhergehen. Wird allerdings in Kauf genommen und die Zielsetzung liegt wie bei der Sophos UTM damals hingebogen ein WLAN Netz aufzubauen was aus dem internen Netz per vorhandenem DHCP bedient wird und dann noch ein Gastnetz was ausschließlich dazu dienen soll "Kunden" den Zugriff aufs Internet bzw. das vorhandene Gateway vom Institut zu gewährleisten. Ist wie gesagt alles ein wenig tricky und mir hat jedoch das Preis-Leistungs-Verhältnis von Ubiquity gefallen und uns war aber auch bewusst dass hier wohl das Know How von Menschen benötigt wird, die sich mit dem Produktportfolio und der Materie auskennen. Daher der Weg über dieses Board. Trotzdem schon mal vielen Dank für die Hilfe!!!

Zitat von DoPe

Udm auf aktuelles OS und network aktualisieren.

Dann Settings - Routing - NAT

Hi laufen wir schon in das erste Problem dass die UDM meldet sie sei Update to date (hängt evtl. mit der Konfig zusammen). Gibt es die Möglichkeit die Updates manuell einzuspielen? Meines Wissens sind wir hier bei Version 4.0.6

Zitat von phino

Wobei es mit der neuen Funktion des NAT-losen Betrieb in der EA-Software für die UDM gehen sollte.
ALSO den WAN-Port mit dem Netzwerk-Segment / VLAN verbinden, den ihr für WLAN vorgesehen habt. Und dann die UDM als Router ohne NAT nutzen und damit 2 Netze nur für WLAN aufspannen.
Gastnetz ist simpel, für das eigene WLAN müssen dann sicher einiges an Routen in der UDM gesetzt werden. Ich habe aber den Eindruck, dass Netzwerk kein Fremdwort bei euch ist.

Danke!! Leider finde ich die Funktion nirgends in der Benutzeroberfläche wo ich das NAT deaktiveren kann auf auf der Schnittstelle.

Zitat von DoPe

Der Cloudkey Gen2 Plus oder halt die kostenlose Softwareversion für Win, Linux, MacOsx

Vielen Dank für den Hinweis. Ich habe den Server aktuell mal auf einem Windows client installiert für einen Test. Sehe hier auch jetzt den AP. Gibt es bei der Software nun auch die Möglich die WLAN Clients in das vorhandene Netz einzubinden bzw. ihnen einen vorhandenen DHcP zur Verfügung zu stellen. Diese Einstellmöglichkeiten kann ich leider nirgends finden. Evtl. versteckt.

Zitat von DoPe

Warum nehmt ihr keinen Controller wenn ihr einen Controller benötigt?

WAN und LAN im gleichen Netz hat nicht nur keinen Sinn, es funktioniert schlicht nicht.

Die Accesspoints müssen LAN seitig aus Sicht der UDM sein. Das Defaultnetz ist Pflicht und dort sollten die Accesspoints drin sein. Ihr könnt also nur die IP der UDM an euer Netz anpassen, den DHCP deaktivieren und einen LAN Port der UDM in euer Netz patchen.

Weitere VLANs und WLANs wird ohne Konfiguration der Switche nicht machbar.

WAN könnte man mit einem "Transfernetz" erschlagen.

Alles in allem eine Bastellösung und absolut nicht empfehlenswert, schon gar nicht gewerblich.

Alles anzeigen

Vielen Dank. Gibt es einen reinen controller von Ubiquiti?

Vielen Dank für die schnelle Antwort. Darüber müsste ich mir mal Gedanken machen. Wie gesagt die Kanonen und Spatzen sind für uns aktuell das kleinste Problem ;-). Das größere ist eher die UDM-Pro dahin zu bewegen und somit zu konfigurieren dass sie "nur" als WLAN Controller betrieben werden kann und ihre APs findet.

Guten Tag.

Ich melde mich heute zum ersten Mal in diesem Board und bin gespannt, ob uns jemand weiterhelfen bzw. auf vorhandene Lösungswege führen kann. Leider konnte ich über die Suche keinen Ansatz zu unserem nicht alltäglichen Problem finden.

Wir haben eine UDM-Pro im Neu- bzw. Testbetrieb und wollen mit dieser die Zielsetzung erreichen 2 WLAN Netze aufzuspannen (UniFi U7-Pro sind im Einsatz) Ein WLAN Netz welches auf das vorhanden interne Netz kommt und zusätzlich ein klassischer Hotspot. Was die Sache ein wenig spannend ist die bereitgestellte Umgebung in der die UDM-Pro sich bewähren muss.

Wir haben es hier mit einem bestehenden Netz zu tun, was uns von einem übergeordneten Institut zur Verfügung gestellt wird. Sprich wir haben einen IP-Range inkl. Eines bestehenden Gateways welches zum übergeordneten Institut gehört und von dort verwaltet wird. Hier wird auch Firewall und Routing bereitgestellt auf welche wir keinerlei Zugriff haben.

DNS sowie DHCP wird von uns intern über ein W2019 DC betrieben und bereitgestellt. Hinzu kommt noch, dass das Netz über mehre Gebäude und Datenverteiler aufgespannt ist. Bei der beschriebenen Umgebung wird wohl jeder sagen, dass dies so nicht möglich ist, da theoretisch die UDM-Pro nur als reiner WLAN Controller betrieben werden soll und WAN und LAN Netz hierzu quasi im gleichen Netz fungieren (was jedoch von der UdM-Pro nicht zugelassen wird (macht ja auch kein Sinn weil sonst das ganze Routing/ Firewalling Konzept kein Sinn macht.

Aktuell ist die UDM-Pro konfiguriert mit WAN Port im bestehenden Netz und im LAN Port mit einem neu angelegten Netz. Allerdings haben wir mit diesem Szenario keinen Kontakt zu den APs da diese sich eine IP vom vorhandenen DHCP holen, welche das Netz bedient in welchem die UDM-Pro mit dem WAN Port verbunden ist.

Da das Netz über mehrere Räume - DVs und Switche verteilt ist (welches zur Verfügung gestellt wird jedoch von uns nicht konfigurierbar ist) fällt die Möglichkeit weg die APs direkt in die LAN Ports der UDM-Pro anzuschließen und somit zu gewährleisten dass sie eine IP im internen LAN der UDM-Pro erhalten.

Uns ist bewusst, dass wir hier nicht den Best Practice gehen und wir die UDM-Pro ein wenig zweckentfremden müssen bzw. ein wenig mit Kanonen auf Spatzen schießen, da wir die meisten Features, welche die DUM-Pro mitbringt, gar nicht nutzen. Leider können wir bei den Rahmenbedingungen nichts ändern. Bisher haben wir das Szenario erfolgreich über die Jahre mit einer Sophos UTM XG realisiert (jedoch auch hier mit Anpassungen). Die Sophos UTM ist allerdings EOL und wir benötigen einen neuen Lösungsansatz.

Vielen Dank für alle Hilfe und falls es das Thema schon irgendwo gibt und ich es über die Suche nicht gefunden habe, bin ich dankbar für den Link.