Alternative zu Ubiquiti | Verwaltbare Netzwerk Hardware gesucht

[Don-DCH]

Guten Abend,

leider funktionieren einige Funktionen nicht so wie ich diese gerne hätte und deshalb schaue ich mich um was es noch so gibt.

Ich möchte gerne ein Site-to-Site VPN machen, was mit extra Netzen auf jeder Seite eingerichtet werden kann inkl. Firewall.
Weiterhin WLAN mit mehreren SSIDs ausstrahlen und entsprechenden Netzwerken zuordnen.
VPN für iPhone etc. haben was gut funktioniert.

Angesehen habe ich mir Nebula von Zyxcel, allerdings steige ich da nicht durch, was damit kompatibel ist wie es sich mit den Lizenzen verhält oder ob es einfach einen ähnlichen Aufbau auch gibt wie bei Ubiquiti.

TP-Link Omada schien mir sehr gleich wie Ubiquiti, irgendwo habe ich mal aufgeschnappt das die Software von Ubi bezogen wird, stimmt das?

Netgear insight sieht für mich ebenfalls nach Abo aus? Falls ja Abo möchte ich auf jedenfall nicht.

HP Aruba wirkt in der Demo sehr funktionsarm oder übersehe ich da etwas?

Cisco Meraki schien mir etwas übertrieben?

Mikrotik scheitn mir nicht so das runde komplettpaket zu sein sondern viel kleinstarbeit?

Ich würde mich einfach über Erfahrungen zu den jewiligen Systemen freuen und vielleicht kennt jemand ja noch was anderes gutes, was ich nicht entdeckt habe?

Die oben erwähnten Funktionen sind ein muss. Einen Teil davon kann ja selbst eine Fritzbox abdecken, wenn natürlich nicht so umfangreich.

Schön wäre es, wenn ich das Gateway, Switche unf Access Points verwalten könnte und das ganze bitte nur mit Optionaler Cloud anbindung.

Viele Grüße und einen schönen Abend

PS: Den Thread https://www.computerbase.de/forum/threads/alternative-zu-ubiquiti.2014392/
habe ich schon gelesen und dieser war mir zu wenig informativ, dass ich nun nochmal einen ähnlichen Thread mit meinen bedürfnissen aufgemacht habe.

 

[Scirca]

Cisco ist immer übertrieben, wenn du nicht paar tausend Geräte kaufst kriegst du keine brauchbaren Preise.
Was aktuell viel empfohlen wird sind MikroTik so ähnlich zu Ubiquiti sein. Hab aber leider persönlich noch gar keine Erfahrung damit.
Bei SideToSide VPN empfiehlt es sich meistens das in der Firewall zu konfigurieren, weil sie meistens die Netze hält.
Welche Firewall hast du den?

 

[madmax2010]

ganze bitte nur mit Optionaler Cloud anbindung.

was bedeutet cloud anbindung für dich? Der cloud Key heißt nur aus Marketing Gründen so.. Nichts muss da mit irgendetwas externem kommunizieren
Was Komfort angeht ist UI meiner Meinung nach ungeschlagen. Site 2 Site VPN kannst du super mit den Edgeroutern bauen, ein Haufen UAP Lite APs für den Rest

Mikrotik scheitn mir nicht so das runde komplettpaket zu sein sondern viel kleinstarbeit?

ich würde eher sagen, dass mikrotik eher die eierlegende Wollmilchsau ist. Sehr performant, billig und sie unterstützen einfach alles was man will.
Kannst du auch sehr gut mit ansible verwalten https://github.com/ansible-collections/community.routeros

HP Aruba wirkt in der Demo sehr funktionsarm oder übersehe ich da etwas?

was fehlt dir?

Cisco Meraki schien mir etwas übertrieben?

Cisco ist eigentlich nie sinnvoll. Zu viele Backdoors. Zu. teuer für das gebotene.

 

[Don-DCH]

Danke euch für die schnellen Antworten!
@Scirca
Als Firewall bzw. der Router ist die Firewall habe ich auf der einen Seite eine Ubiquiti Dream Machine auf der anderen eine Dream Machine Pro.
Beide machen Probleme beim VPN. Bei der vorherigen Fritzbox lief das deutlich besser.
Ein USG habe ich mit der Dream Machine auch getestet, auch nicht besser.

@madmax2010
Cloud Anbindung bedeutet, dass ich alles auch von der Fenre aus verwalten kann. Also generell hätte ich schon Switche,Access Points und ein Router die sich über eine Software steuern lassen.

UniFi bietet halt theoretisch alles.
EdgeRouter kenne ich bisher nicht, nur die Switche.
Kann ich denn mit der Edge Serie auch alles so verwalten wie bei UniFi?

Hmm von Mikrotik direkt gibt es aber keine Software die alles schön aufzeigt so einigermaßen im Stile von UniFi?

Bei Aruba habe ich nichts gefunden wegen der Firewall und VPN möglichkeiten bei der Demo allerdings weiß nicht ob man da alles sieht?

Ja Cisco habe ich mir schon gedacht, das es nicht das Beste ist.

UniFI hat solch sinnlose Einshcränkungen wie VPN IPSec nicht mit Dyndns oder CLient VPN nur L2TP das versteh ich nicht, das muss doch besser gehen. Bei der Fritzbox hab ich docha uch ipsec mit meiner dyndns adresse usw.

VIele Grüße

 

[Mojo1987]

LANCOM wäre vllt. was für dich. Allerdings nicht unbedingt günstig.

 

[kamanu]

Switche + APs weiter von Ubiquiti verwenden. Als Router ne kleine x86-Box nehmen auf der OPNSense läuft. Damit kannst du dann in Sachen VPN / Firewall / Routing alles machen was du willst. Musst halt VLANs an 2 Stellen definieren. Im Router und im UI Controller.

 

[Novocain]

Gäbe ja noch EnGenius oder Juniper. Kannst da ja mal schauen ob die alles bieten was du brauchst.

 

[Don-DCH]

LANCOM wäre vllt. was für dich. Allerdings nicht unbedingt günstig.

Stimmt LANCOM hatte ich auch gesehen, aufgrund des Preises aber leider wieder verwerfen müssen

@kamanu
Hmm das wäre aber nichtmal halb gar, da die Produkte ja nicht wirklich gut ohne die Dream Machine bzw. einen UniFi controller funktionieren.
Dachte es gibt vielleicht etwas anderes komplettes wo der Router noch ein ganzes Stück ausgereifter ist.

@Novocain
Hmm Juniper ist auch recht teuer leider. EnGenius bietet soweit ich das sehe kein Router oder Security Gateway an

 

[snaxilian]

Vergiss das Vorhaben einfach. Du suchst das magische Einhorn, das genau die Funktionen bietet die DU für dein kleines Setup suchst aber nicht zu überladen ist ohne viel kleinteilige Einstellungen und kosten darf es auch nicht viel aber vor allem nur einmalig. Hab ich das richtig zusammen gefasst?^^

Dachte es gibt vielleicht etwas anderes komplettes wo der Router noch ein ganzes Stück ausgereifter ist.

Naja, ausgereift und voll mit Funktionen aber eben nicht mit denen, die du dir wünscht....
Das ist das typische Dilemma von All-in-One Systemen. Die können oft ganz viel aber selten alle Teilaspekte sehr tief bis ins letzte Detail richtig gut.
Sowas wird entwickelt um den Großteil der normalen Durchschnittsanwendungsfälle abzudecken. Wer mehr will, muss mehr selbst machen weil eben die Grenzen solcher AiO Lösungen erreicht sind. Da nimmt man bspw. dann Ansible als Configuration Management, Netbox für die Dokumentation, Prometheus + Grafana oder andere beliebige passende Monitoringlösung für Alerting, Reporting und Darstellung und für Statistiken über den Traffic etc. dann Netflow oder eine passende Implementierung davon und/oder ntopng o.ä.

Wo soll diese simple und doch allumfassende Lösung denn aufhören? Also VPNs, Firewall, Switching/VLANs, APs bisher aber alles das ist benutzerfreundlicher wenn man nicht mit IPs hantieren muss, also vielleicht noch einen DNS mit in diese AiO Lösung? DHCP kann man dann ja auch noch hinzu nehmen und eigentlich wäre es doch toll wenn die Authentication und Authorization der VPN-User auch damit gleich abgedeckt werden könnte. Vielleicht noch auf DNS-Ebene einen Werbeblocker á la piHole oder Adguard wäre auch toll und ggf. zeitbasierte Zugriffssteuerung für die Kinder und neben Werbung sollte das System vielleicht auch nicht jugendfreie Dinge filtern?
Du siehst: Jeder hat andere Anforderungen und man könnte doch hier noch was dazu nehmen und da noch etwas und viele Anwender freuen sich und andere warten seit Ewigkeiten auf die Integration von Wireguard als VPN-Protokoll und verstehen nicht, warum dies nicht kommt... Oder warten auf $hier-beliebiges-anderes-Feature-einfügen.

Ich denke, es sollte klar geworden sein worauf ich hinaus möchte.
Du wirst immer irgendwo einen Kompromiss eingehen müssen oder musst eben selbst die für dich perfekte Lösung schaffen

UniFI hat solch sinnlose Einshcränkungen wie VPN IPSec nicht mit Dyndns oder CLient VPN nur L2TP das versteh ich nicht, das muss doch besser gehen. Bei der Fritzbox hab ich docha uch ipsec mit meiner dyndns adresse usw.

Das mag vielleicht aus deiner Perspektive sinnlos sein. Als Security-Verantwortlicher kann man so in den FW-Regeln VPN-Traffic auf einzelne IPs und Ranges beschränken für site-to-site.
Oder wo ist das Problem mit L2TP/IPSec VPNs bei Clients? Abseits des (finanziell betrachtet) irrelevanten Privatkundenbereichs hat man ein Protokoll gewählt, das die verbreitetsten Clients (Win + iOS/Android) beherrschen ohne Drittanbietersoftware afaik.
Bei der Fritzbox gehen viele Dinge "einfacher" weil du nur die Assistenzsysteme siehst und nicht den Aufwand da drunter und auch hier wird wieder umgesetzt was für die meisten Anwender simpel ist und funktioniert. Frag mal Firewall-/VPN-Admins was die davon halten, dass die Fritzboxen nach wie vor nur IPSec IKEv1 beherrschen und immer noch kein IKEv2...

 

[Harrdy]

UniFI hat solch sinnlose Einshcränkungen wie VPN IPSec nicht mit Dyndns oder CLient VPN nur L2TP das versteh ich nicht, das muss doch besser gehen.

Wobei dies nur eine Limitierung des Frontend sein dürfte. Ist beim USG ja genauso. Dort könnte man über den Controller auch kein dyndns für site2site endpoints verwenden. Da aber Strongswan als Backend läuft und dies sehr wohl dyndns für site2site endpoints supported. Kann man die gewünsche vpn Konfiguration einfach per cli vornehmen. Das gleiche für Clients. Über cli lassen sich alle Client Varianten die strongswan supported konfigurieren.

 

[Raijin]

Hm.. Also irgendwie liest sich das alles kurzgefasst so:

"Die VPN-Funktion der Unifi Dream Machine gefällt mir nicht. Jetzt möchte ich alles neu kaufen, um besseres VPN zu bekommen."

Du musst dir ernsthaft durch den Kopf gehen lassen was nun konkret das Problem ist. Wenn du abgesehen von der VPN-Funktion mit Unifi zufriedrn bist, dann stell dir einen VPN-Server ins Netzwerk und lass den Rest so wie er ist. Es ist vorsichtig ausgedrückt Blödsinn, ein Komplettsystem an einer Funktion zu messen, und es ist blauäugig, zu glauben, dass das nächste Komplettsystem alle deine Wünsche erfüllt. Es wird vielmehr so sein, dass dann VPN deinen Vorstellungen entspricht, aber plötzlich macht das WLAN Probleme. Tauschst du dann wieder alles durch? Beim nächsten wird dann mit Glück VPN und WLAN gut sein, aber plötzlich steigt der DHCP ständig aus.

Systeme wie Unifi, Omada und Co bieten ein vollwertiges Setup für alle Positionen, wenn man den Weg den bis zum Ende gehen möchte. Das heißt aber nicht, dass man diesen Weg auch tatsächlich so weit gehen muss.

Alles in allem kann man dir fast nur garantieren, dass du mit dem nächsten Komplett-Setup ebenfalls unzufrieden sein wirst, mutmaßlich an einer anderen Stelle. Selbst hochprofessionelle Systeme, die ein Vielfaches von Unifi kosten, haben Schwachstellen, und wenn es nur die Komplexität bei Einrichtung und Wartung ist, weil vom Hersteller ausgebildete Admins vorausgesetzt werden.


Klar, wenn du mit Unifi auch anderer Stelle unzufrieden bist, häufen sich die Argumente für einen Wechsel. Aber wenn ich nichts entscheidendes überlesen habe, hängst du dich bisher nur am VPN auf. VPN-Server im Netz installieren und gut is. Weiter oben wurde gar eine pfSense als Router vorgeschlagen, die so ziemlich alle VPN-Träume erfüllen kann. Entsprechend fähige Hardware gibt's ab ca 150€.

 

[kamanu]

Hmm das wäre aber nichtmal halb gar, da die Produkte ja nicht wirklich gut ohne die Dream Machine bzw. einen UniFi controller funktionieren.
Dachte es gibt vielleicht etwas anderes komplettes wo der Router noch ein ganzes Stück ausgereifter ist.

Und wo ist da jetzt das Problem? Für einen Unifi Controller braucht es nicht unbedingt Unifi-Hardware. Der läuft auch simpel auf nem Raspberry Pi oder als Container/VM auf einem beliebigen Server. Einzig wenn du Unifi Protect verwenden willst brauchst du deren Controller-Hardware.

 

[Don-DCH]

Guten Abend,

vielen Dank für eure Rückmeldungen.

Habe heute mit Ubiquiti kontakt gehabt.
Ein bisschen was habe ich angepasst sowie einen Switch ausgetauscht, damit war direkt das eine Problem gelöst, da entweder mein Flex Mini Switch kaputt war oder einfach mein Setup so nicht handeln konnte, allgemein ist der kleine Switch leider sehr schlecht im Vergleich zu den anderen, aber das ist ein anderes Thema.
Durch ein günstigen TP Link ausgetauscht und alles lief. Kurz zur Erklärung der Switch ist bindeglied zwischen USG und dem Controller, damit hatte der Flex mini wohl probleme, obwohl es in der Vergangenheit relativ gut lief, vielleicht hat ein Update das zerschossen oder der Switch ist defekt, dies weiß ich nicht.

Das Remote Benutzer VPN hat sich teilweise auch gelöst.

Im Grunde habe ich viel versucht und viel erreichen können, mal sehen wann der Support sich meldet und dadurch vielleicht das letzte Problem behoben wird.

Das System werde ich wohl doch behalten, auch wenn ich nicht 100% zufrieden bin aber das wird man wohl mit keiner Lösung, die für mich in einem bezahlbaren Rahmen liegt.
Von den Funktionen her reicht mir das gebotene absolut aus, es muss aber zuverlässig funktionieren, wenn es das nach dem ersten Teilerfolg heute wieder macht ist alles gut.

Das immer mal was kaputt gehen kann ob Software oder Hardware ist natürlich nachvollziehbar, es hatten sich einfach viele Probleme angehäuft.

Problemlos werden die anderen Lösungen in ähnlicher Preisklasse aber denke ich auch nicht sein.

Vielen Dank nochmal an alle für Eure Meinung!

 

[Novocain]

Der Flex Mini liegt ja preislich auch deutlich näher am TP-Link als am US-8... Mit dem US-8 hätte es wohl auch geflutscht und wäre dann auch im Controller managebar.

 

[Don-DCH]

Der Flex Mini liegt ja preislich auch deutlich näher am TP-Link als am US-8... Mit dem US-8 hätte es wohl auch geflutscht und wäre dann auch im Controller managebar.

Trotzdem kann ich ja auch beim Flex Mini erwarten das es damit funktioniert. Ist ja UniFi Hardware und der Flex Mini kostet doppelt so viel wie der TP Link. Der Flex Mini ist ja auch am Controller generell managebar