Posts by Tim99

Hallo zusammen,

ich möchte mein Netzwerk auf Ubiquiti umstellen, zumindest teilweise. Ich möchte mir zur meiner CGU einen 16P Switch und einen AP zulegen.

Derzeit habe ich ein Intellinet_561341 PoE+ Switch, einen AP von TP Link und eine Fritz als Client/AP und Hub, an dem der Fernseher und eine Soundbar angeschlossen sind. Ich habe 4 IP PoE Überwachungskammeras und einen PoE Door Access von Hikvision per Kabel mit dem Switch verbunden sowie zwei Klimageräte und eine Bewässerungsanlage die über WLAN ins INet gehen. Ideal wären zwei SSID im AP (IoT/Gast und Heimnetz)

Ich möchte nun die IoT Geräte in einem separaten VLAN stellen oder sonst irgendwie es einrichten, dass sie keinen Zugriff auf das Heimnetzwerk haben, einen Gastnetzwerk einrichten, möglicherweise zusammen mit den IoT Geräten.

Das möglichst günstig, gerne auch ältere Modelle, ggf gebraucht kaufen.

Hinweis, ja mein Switch ist managend und könnte das auch mit unterschiedlichen AP/VLAN , das will ich aber nicht. Er ist zum einen laut, zum anderen ist die Oberfläche lahm, muss täglich neu gestartet werden um darauf vernünftig über Web zugreifen zu können. Ich möchte die Geräte in der CGU verwalten. Der Switch ist mir nicht geheuer. Bin froh das er unmanaged funktioniert.

Ich habe mir den Pro Max 16 PoE und den U6 In-Wall angeschaut. Kann ich letzteres auch über einen der unteren Ports anschließen? Gibt es Alternativen, z.B. z.B. Ubiquiti airCube AC?

WG hat bei mir am Anfang nicht geklappt, hatte es ja versucht, gerade wegen der Performance.

Dann dachte ich mir, wenn's mit OpenVPN läuft, dann ist das ok.

Danke für den Tipp mit dem neu Konfigurieren der VPN nach Updates.

Eigene FW Regeln habe ich (noch?) nicht. Will auch keine haben. Auf meiner Maslowschen Pyramide ganz oben steht nicht, Router konfigurieren .

Alles in Allem doch ganz gute Lösungen.

Update: Mit OpenVPN geht es nicht (mehr?). Dafür jetzt mit Wireguard. Verstehe wer will, was Ubiquiti hier macht.

Also

Site Magic plus WG Client auf A und Server auf B mit dediziertem User verbinden und man kann per policy based routing trafic von A über B ins Internet schicken.

Wie schon beschrieben, brauche ich das nur jeweils in eine Richtung. Ob es in beide gleichzeitig geht habe ich nicht ausprobiert.

Sowohl Site Magic als auch das manuelle S2S mit WG und OpenVPN gingen nur eben nicht mehr in Kombination mit C/S und PBR mancher Geräte über die andere Site ins I-net. Es führte zu UNterbrechungen der Clients die üner die WAN ins I-Net gehen sollten. Selbst eine neue PBR des default Netzes über WAN (eigentlich unnötig) hat nichts gebracht.

Da es derzeit läuft, lasse ich das mal so. IPsec ist ja stabil und schnell und OpenVPN in eine Richtung geht auch ohne Probleme. Ich werde das mal mit WG testen, aber eine große Motivation habe ich nicht. Zumal der Support sagt, das würde nicht gehen. Also hoffe ich, dass die durch Updates es nicht noch für IPsec irgendwie killen. Jedenfalls habe ich das automatische Updaten ausgemacht.

Quote from Simsi1986

Weiteres Beispiel: Zwei Sites via SiteMagic verbunden, Client verbindet sich via VPN mit Site B, soll aber auch auf ein System an Site A zugreifen können.

Danke, das leuchtet ein.

Folgendes funktioniert bei mir seit einer Stunde (also immer noch auf Bewehrung )

IPsec S2S mit dem Tunnel 172.16.0/24

S1 192.168.0.0/24

S2 10.220.0.0/24

Auf beiden Seiten erscheint nun der IPsec Tunnel als interface.

Man kann mit einem policy based routing bestimmte Geräte über die jeweils andere Seite ins I-net routen (all trafic).

Der kleine Haken: Es funktioniert nur jeweils in eine Richtung. Für mich aber ausreichend.

Quote from DoPe

Aber ich meinte die Idee auf beiden Seiten nen Server und nen Client mit doppelte Verbindung sozusagen. Die brauchst Du ja um auf beiden Seiten policy based routingregeln anzulegen. Da könnte ich mir vorstellen, dass die GUI bockt so vonwegen doppelter routen etc.

Genau das meinte ich, in beide Richtungen. Das hat vor den Updates funktioniert mit OpenVPN. Welche GUI meinst du? die Console GUI? Da kann man das jeweils einrichten, aber es hackt dann im Getriebe.

Eine Nachfrage: Beim Site Magic habe ich die Möglichkeit nicht nur das default Netzwerk jeweils auszuwählen sondern auch beide OpenVPN Server, die ich für den Remote Zugriff von Unterwegs benötige. Was hat es damit auf sich? Warum kann man die über Site Magic auch verbinden? Was bewrikt das?

Quote from DoPe

Hmm ich weiß gar nicht ob das überhaupt geht SIte2Site ist ja was anderes als Server/Client. Man kann das hinfrickeln, dass es so arbeitet ... aber so aus dem Bauch heraus könnte ich mir vorstellen das die GUI ggf. dazwischen schiesst.

Na ja, ein Site-to-Site Ersatz durch C/S. Ich hatte das mit OpenVPN i betrieb bis zu den Updates, danach ging es nicht mehr.

Hi DoPe

stehe vom selben Problem. Eine Frage:

Wenn ich Site Magic abschalte und eine WG Verbindung herstelle, soll ich sie jeweils in beide Richtungen machen? Also zwei unterschiedliche Tunnel? Mein Ziel ist die Site-to-Site und policy based routing so dass manche Geräte über die jeweils andere Seite ins I-Net gehen.

Grüße

Hi Simsis,

Danke für die Aufnahme in den Club .

ich hatte die OpenVPN Client/ Server Lösung im Betrieb, bis zu den Updates. Nach dem Update ist diese Lösung buggy. Ich kann es nicht einordnen woran es liegt, auch ohne das Site Magic aktiv ist. Neben der Tatsache, dass ich auf ein Paar Geräte auf der anderen Seite nicht zugreifen kann (Switch und Indoor outdoor Station alles nicht Ubiquity), was aber verkraftbar wäre, geht die reguläre WAN Verbindung immer wieder flöten. Über einen NordVPN Client geroutet läuft alles. Das will ich aber auch nicht, denn nicht alles soll über NordVPN.

WG hatte ich gleich am Anfang probiert und es lieft nicht. Irgendwann gab ich auf.

Ideal wäre eine bidirektionale connection. Ich kann aber auch mit einer Richtung leben, so dass ich das immer ändere, je nachdem wo ich bin.

Den Link habe ich noch nicht gelesen.

Edit: Kannst du mir bitte die Config erläutern, wie ich die zwei Seiten mit WG C/S jeweils connecten kann? IPv6 nutze ich nicht.

Ich habe mir damals dieses Video angeschaut:

Der erzählt aber nur die Hälfte, und mein Herumprobieren hat damals nichts gebracht. Kenne mich mit WG nicht aus.

Vielen Danke und schöne Grüße

Ich habe vom Support die Antwort bekommen, dass es unter keine Umständen möglich ist, den I-net Traffic über die andere Seite zu routen.

Interessante Aussage: Denn es ging wenn ich kein Site Magic eingerichtet hatte, wie oben beschrieben über OpenVPN C/S gegenseitig.

Doch nach dem Update der Console und der Netzwerk App auf 4.1.13 bzw. 9.0.108 geht das auch nicht mehr. Bzw, nach einer gewissen Zeit können Geräte über WAN nicht ins Internet, dafür aber über einen VPN Provider via PB Routing!

Ist keine Netzwerker da, der helfen kann? Das muss mit dem Routing bzw IP Ranges zu tun haben denke ich.

Grüße

Hallo,

ich habe Site Magic/Mesh eingerichtet mit zwei CGU's. Alles klappt prima, nachdem update der Konsolen und der Netzwerk App. Ich kann Geräte auf der jeweils anderen Seite erreichen.

Vorher hatte ich jeweils einen OpenVPN Server und Client zur jeweils anderen Site aktiv, plus ein policy based routing zur jeweils anderen Seite über den OpenVPN Client für bestimmte Geräte, eigentlich nur meine Smartphones und PC's an den ich arbeite, mit dem fast gleichen Ergebnis. Fast deshalb, weil ich ein Paar Geräte auf der Site 2 nicht erreichen konnte (ein Switch und die zwei Einheiten einer Hik Vision Sprechanlage). Keine Ahnung warum.

Das Problem ist nun gelöst.

Jetzt kommt die eigentliche Frage:

Ich möchte, dass bestimmte Geräte (PC's, Smartphones) über die jeweils andere Seite ins Internet gehen. Vorher ging das über eine Policy based Routing und dem OpenVPN Client als Interface zur anderen Seite. Doch wenn ich das tue, habe ich wieder keine Zugriff auf die oben genannten 3 Geräte! Wenn ich auf beiden Seiten die OpenVPN Clients mit den Servern auf der jeweils anderen Seite verbinde, meine ich gibt es mehr Unstimmigkeiten im Netz mit dem Mesh.

Wenn ich eine Policy Based Routing ohne den OpenVPN Client machen möchte, finde ich über Mesh nicht die andere CGU als Interface um All trafic der gewählten egräte darüber ins internet gehen zu lassen.

Wie kann es also ohne den OpenVPN Client, nur via Mesh zur anderen Site die I-Net Verbindung für mache Geräte über die zweite Seite routen?

Vielen Dank!

Quote from anton

dann kann man sie einfach per Mausklick verbinden

ein Klick war es nicht gerade aber es ging mit OpenVPN CS gegenseitig sehr schnell. WG ging nicht auf Anhieb, und IPsec auch nicht. Muss mich wohl noch einlesen.

Quote from hYtas

pfsense/Opnsense ist nunmal nicht für jeden etwas. Da ist UniFi schon einfacher, hat aber auch mehr Nachteile 🙋‍♂️

Ich hatte mehrfach versucht nach Anleitung alles aufzusetzen in den Sensen. Immer schlug es fehl und eine echte Hilfe waren die Communities auch nicht. Da geht man vom 100-sten in den 1000-sten. In der pfsense ging das Backup nicht, das ist ein No Go und für mich war das der Exit.

Alle Systeme haben Nachteile. Sie müssen aber grundsätzlich laufen, so wie sie konzipiert sind. Gerade ein Router ist essentiell und keine Pi die irgend ein "unnützes" Programm fährt

Hallo zusammen,

ich bin seit ca 4 Wochen stolzer Besitzer von zwei CGU's an zwei Standorten und bin von den Kisten begeistert. Günstig und Top! Alles was ich brauche, einfach einschalten und es läuft.

Meine Odyssee bis hierher is etwas lang, denn ich musste im Zeitalter von remote arbeiten mir einen zweiten Standort außerhalb des Landes mit der Basis in DE über VPN verbinden. Nicht weil es aus dem Ausland verboten ist zu arbeiten, es ist explizit erlaubt, aber weil die Deutschen Manager in der internationalen Firma sagen, dass "es doch besser wäre, wenn man sagt, falls man nicht zuhause ist". Typisch Deutsch eben .

Um unnötige Diskussionen zu vermeiden, musste eine Lösung her.

Vor ca 3 Jahren hatte ich den Vilfo Router entdeckt (vorher nur mit AVM unterwegs). Teuer, aber er hatte seine Arbeit geleistet. Doch das Projekt wurde eingestellt und es gibt keine Updates mehr.

Dann hatte ich mit pfsense und OPNsense probiert. Ein Krampf. Tolle Videos im I-Net alles doch so suuuper und easy, bis man es probiert und dann geht es los mit den Problemen. Ja, solange man nur ins I-Net will, alles einfach. Wenn es aber in Richtung VPN Provider, site-to-site, etc geht, war es das. Ich hatte Hardware gekauft, die jetzt herumliegt. Viel teurer als die CGU's. Was soll's.

Von Ubiquiti hatte ich immer wieder Videos gesehen, in dene es hieß, teuer alles closed etc. Vielleicht war auch was dran. Doch heute mit diesen zwei einfachen und günstigen Kisten, muss ich sagen, es kann nicht besser gehen. Bin mir sicher, wenn Komponenten im Netz ausfallen, werde ich sie mit Ubiquiti Produkte ersetzen.

Ich freue mich auf den Austausch!

Quote from Networker

Hallo und willkommen hier in der Community!

Sobald Du den Pi neu startest, sollte er wieder eine Adresse bekommen. Spätestens, wenn auch das CGU neu gestartet wird.

Danke, nach einem Neustart der CGU ging es wieder.

Oder einen Kabelanschluss? Dann ginge Coax to Ethernet.

Hallo,

ich habe in meiner CGU eine Raspberry Pi gelöscht. Nun bekommt sie keine IP mehr. Kann ich sie irgendwie reaktivieren? Die MAC habe ich nicht.

Vielen Dank

Tim