Unifi Security Gateway, PiHole und Switch

[darkiop]

Hallo zusammen,

ich bin aktuell nicht mit der WLAN Leistung in Verbindung mit meiner FritzBox 7360 zufrieden und denke darüber nach dies entweder mit einer Umstellung auf Unifi Geräte zu lösen (und dann auch in Zukunft das Security Gateway + Modem einzusetzen) oder die FritzBox durch eine 7590 zu ersetzen und damit dann ein Mesh Netzwerk aufzubauen.

Grundsätzlich finde ich die Unifi Geräte sehr Interessant, habe zum Test auch Bereits über Docker die Controller Software angeschaut.

Aktuell sieht das Netzwerk wie folgt aus:

Das komplette Netz läuft also aktuell über den HP1824-24G (kann kein POE, hat aber 2x SFP).

Jetzt geht es also im ersten Schritt mal darum, POE übers LAN bereitzustellen - wobei hier eine Deckenmontage der APs ausgeschlossen ist - die Dosen sitzen leider alle an den Wänden - daran habe ich damals beim Hausbau nicht gedacht, ggf. kann ich einen im Technikraum im EG an die Decke schrauben, im OG muss er im Büro an die Wand (Wobei ich erstmal mit einem im EG anfangen würde).

Variante 1, ich kaufe einen den 8er Switch von Ubiquiti ohne SFP (US-8-60W UniFi Switch) und klemme diesen übers Patchkabel an den 1810 (8x POE - reicht vollkommen für die APs) (115€)

Variante 2, ich kaufe den 8er mit SFP (US-8-150W) und klemme diesen dann über SFP an den 1810 (200€)

Variante 3, ich kaufe den 16er Ubiquiti US-16-150W (habe aktuell 20 Ports belegt, d.h. ich muss dann entweder 1810er weiterlaufen lassen oder durch einen 8er ersetzen. (290€)

Frage 1: Irgendeine Empfehlung? Grundsätzlich sollte der 8er reichen, mehr POE werde ich wohl nicht benötigen - wenn allerdings der 8er mit SFP dann ist es preislich auch nicht mehr viel zum 16er.


Frage 2: Des Weiteren nutze ich aktuell im Netz PiHole (VM in in der Syno DS918+) um über DHCP die fixen IPs zu verteilen, einen lokalen DNS bereitzustellen und um die Werbefilter zu nutzen, kann ich dies noch so nutzen wenn ich das Netz auf Modem + Security Gateway umgestellt habe?

 

[Fard Dwalling]

Also Frage 2 kann ich dir beantworten.

Pihole kann nachwievor DHCP und DNS spielen. Du musst dann nur DHCP auf dem USG deaktivieren und fertig. Du kannst auch das USG DHCP machen lassen und gibst den pihole als DNS an die Clients weiter. Könntest hier auch einen 2. DNS mitgeben falls der pihole Mal nicht erreichbar ist..

Vielleicht noch als Hinweis.
Schalt das USG ein wenn es nicht an deinem Netz hängt. Es hat standardmäßig DHCP und ich glaube 192.168.0.1.
Es ist etwas frimmelig das Ding in einem bestehendem Netz in Betrieb zu nehmen. Vor allem weil du die Einstellungen ja über den Controller vergeben musst. Das geht aber erst, wenn der Controller das USG erkannt hat und du dem Controller gesagt hast, er soll das provisionieren.

 

[Raijin]

1) Ja, keine Ubiquiti Switches kaufen. Das ist gar nicht mal technisch bedingt, sonder preislich. Ich empfinde die US hier grundsätzlich als zu teuer. Darüber hinaus hat Ubiquiti zT noch große Probleme mit IGMPv3, also Multicasts. Wenn also Entertain oder dergleichen ins Spiel kommt, sind Probleme vorprogrammiert. Die Integration in Unifi ist zwar ganz nett, aber so richtig kommen die Vorteile von Unifi erst zum Tragen, wenn man mehr als 2-3 Geräte damit steuert. Da man einen Switch aber in der Regel nur einmalig einrichtet und danach bestenfalls mal sporadisch ändert, sehe ich in Unifi hier keinen wirklichen Vorteil.

2) Klar, warum nicht? Dem USG ist es einerlei ob es selbst DHCP macht oder ein anderes Gerät. Wenn das USG den DHCP spielt, kann man zB den DNS im DHCP beliebig einstellen, zB auf die IP des pi-hole.
Evtl wäre hier aber tatsächlich der DHCP im USG zu bevorzugen, weil man dort direkt auch mittels DHCP custom option den Unifi-Controller verteilen kann.
Allerdings leidet das USG am selben Problem wie die Switches, mäßiger IGMPv3-Support.


Es kann aber sein, dass Ubiquiti die IGMP Probleme mittlerweile gelöst hat. Ich bin bei den Unifi Geräten nicht so auf dem neusten Stand, weil ich eher in der EdgeMax Ecke beheimatet bin.

 

[Fard Dwalling]

Ich bin übrigens von dem USG eher enttäuscht.
Haben den an einem unserer Standorte. Man hat keinen wirklichen Überblick welche IPSec Tunnel jetzt laufen und welcher nicht.
Standardmäßig werden bestimmte Sonderzeichen als PSK im IPSec nicht unterstützt. Ausflug zur CLI nötig..

 

[Raijin]

Ausflug zur CLI nötig..

Gerade dann stellt sich die Frage ob ein EdgeRouter nicht die bessere Wahl wäre. Die GUI ist zwar nicht so prall, aber wenn man eh auf die CLI runter muss, kann man gleich nen ER nehmen und auf den Unifi-Part pfeifen. Dafür hat man stattdessen mehr Modelle zur Auswahl bis hin zum nagelneuen ER-4 mit deutlich mehr Power....

Ich mag das Unufi-System, aber ich finde , dass sowohl die Dwitcges als auch das USG nicht ganz mit den APs mithalten können. Ein komplettes Unifi hat zwar einen gewissen Charme, aber spätestens wenn dann zB besagte Probleme mit IGMPv3 auftauchen und zB Telekom Entertain nicht läuft, guckt man dumm sus der Wäsche ; hat aber ne schöne Unifi-GUI..

 

[darkiop]

Super, vielen Dank für die Antworten.

Also im Idealfall PiHole als DNS eintragen, falls das USG zum Einsatz kommt DHCP dort konfigurieren (ich geh mal davon aus, das ich auch dort fix über die MAC die IPs verteilen kann).

Und bei Bedarf dann noch Modem & OSG als Erweiterung.

Zur Frage 1, habe nochmal geschaut - ich kann im Technikraum an die Decke, das geht ohne Probleme. Im OG dann im Büro an die Wand, das würde dann so ausschauen:

Ergeschoss:

Dachgeschoss (die 3 möglichen Standorte):

Frage 3: Hier wäre auch überall eine Steckdose in der Nähe, d.h. ich könnte auf den POE-Switch auch erstmal verzichten. Falls doch Switch, jetzt unabhängig ob Unifiy oder nicht - macht es Sinn die beiden per SFP zu verbinden? Grundsätzlich werden nur die APs per POE versorgt und die Anzahl aktiver WLAN Clients ist auch überschaubar - d.h. es sollte doch ein "einfacher" 8er mit POE ausreichen oder?

Frage 4: Welcher der APs (Pro, Lite, LongRange) würde sich denn fürs EG bzw. OG anbieten? Der untere sollte nach Möglichkeit auch noch Garten und Terrasse abdecken, alternativ könnte auch nochmal einer im Wohnzimmer platziert werden.

Edit: Entertain spielt und wird keine Rolle spielen - kein Telekomanschluss (und es wird auch keiner mehr ) Netflix und ggf. Prime sind aktuell das Mittel zum streamen.

 

[Fard Dwalling]

Fixe IPs kannst du vergeben, ja. ABER erst nachdem sie sich einmal eine automatische IP gezogen haben, kannst du sie fix zuweisen. Vorab eine MAC Adresse hinterlegt und einer IP zuweisen geht nicht.

 

[darkiop]

Vorab eine MAC Adresse hinterlegt und einer IP zuweisen geht nicht.

Hm OK, genau so verfahre ich aktuell mit meinem Geräten um sie im IP-Bereich zu 'sortieren'. Ist jetzt noch kein KO-Kriterium - aber schade ist es.

 

[Fard Dwalling]

Frag mich Mal...
Wie gesagt, ich bin jeden Tag mehr von dem Ding enttäuscht.
Vielleicht nimmst du wirklich direkt einen Edgerouter statt dem Unifi.

Wollte gerne Unifi Switche in der Firma einsetzen, bis ich herausgefunden habe, das die kein QoS unterstützen. Bin gedanklich auf die Edgeswitche gegangen, bis ich herausgefunden habe, das auch die nur 1 Jahr Garantie und starke Probleme mit durchbrennenden Netzteilen haben. Mh, also doch kein Ubiquiti. Muss es bei den AP bleiben.

 

[darkiop]

Also eine gute Idee einfach mit mal mit den APs zu beginnen - da liest man ja nichts schlechtes Ist ja auch der Hauptgrund für mein Anliegen, Controller in den Docker-Container - macht auch nicht weh.

 

[Fard Dwalling]

Also ich würde auf den Etagen irgendwie in den Flur kommen wollen. da haste dann den besten Mittelpunkt.

Vom Technikraum aus bis Garten wird schon eng. Ich denke Mal, du hast normale Betonbau oder?

Long range ist quasi gleich gegenüber dem Lite. Sobald der auf Deutschland steht ist seine Reichweite genauso weil die Sendestärke beschnitten wird.
Ich hätte jetzt gesagt, Lite reicht für zu Hause. Die Pro Modelle haben noch einen zusätzlichen Ethernet Port. Da könntest du dann halt noch Geräte dran hängen oder von einem AP zum nächsten AP abgehen.

Bei den AP sind ja POE injektoren bei, die du auch unten im Technikraum hinsetzen kannst. Müssen ja nicht an den APs sein.

 

[darkiop]

Ist ein Holzhaus

Flur oben geht leider gar nicht, im EG evtl. - aber dann auch nur Wandmontage in Bodennähe (war für Telefon gedacht. liegt aber CAT7 an).

 

[Fard Dwalling]

Dann mach doch im EG nur einen ins Wohnzimmer und einen ins OG. Und dann würde ich erstmal schauen wie die Abdeckung ist.

 

[darkiop]

Hab einen AC Pro bestellt und werde mit diesem einfach mal die Ausleuchtung testen und dann auch den bestmöglichen Standort finden.

Thema Switch und OSG stelle ich erstmal hinten an und arbeite mit den POE Injektoren.

 

[Fard Dwalling]

Der Pro ist halt auch größer vom Durchmesser ne.

 

[darkiop]

Ja, das war mir bewusst - für die Montage im Technikraum nicht relevant - ggf. für eine Wandmontage im Büro evtl. schon, im Wohnzimmer wäre es auch weniger relevant, da davor dann das komplette Hifi Rack steht - aber das kann ich dann ja entsprechend abschätzen und mit dem Lite vergleichen.

Wie hell sind eigentlich die LEDs? Störend Hell oder kann man die auch einstellen?

 

[Old Knitterhemd]

Ja, das war mir bewusst - für die Montage im Technikraum nicht relevant - ggf. für eine Wandmontage im Büro evtl. schon, im Wohnzimmer wäre es auch weniger relevant, da davor dann das komplette Hifi Rack steht - aber das kann ich dann ja entsprechend abschätzen und mit dem Lite vergleichen.

Wie hell sind eigentlich die LEDs? Störend Hell oder kann man die auch einstellen?

Meine mich zu erinnern, dass die APs auf Deckenmontage oder liegenden Betrieb ausgerichtet sind (Anordnung der Antennen).

Ich habe sogar einen auf einem Schrank liegen,das geht auch.

Gab aber doch auch Modelle zur Wandmontage oder irre ich mich da?!


Die LEDs lassen sich abschalten, regulierbar sind sie, soweit ich weiß, nicht.


Je nach Position würde ich sie schon als zu hell/störend empfinden (direkt neben dem Tv oder so).

 

[Raijin]

Der AC Pro ist eine gute Wahl. Der LR hat wie @Fard Dwalling schon richtig sagte eh kaum bis gar keine Vorteile gegenüber den "normalen" UAPs. Selbst wenn: WLAN ist bidirektional. Das heißt beide Seiten - AP und Client - senden und empfangen. Ergo müssen auch beide die Distanz adäquat überbrücken können. Extrembeispiel: Atombetriebene NASA-Antenne im Haus, die bis nach Alpha Centauri funken kann, fitzelige Smartphone-Antenne im Garten, die nicht mal durch die Hauswand kommt.

Die LEDs kann man soweit ich das noch im Kopf habe abschalten.

Was PoE betrifft muss man bei den UAPs vorsichtig sein. Ubiquiti setzt auch passives PoE ein. Passives PoE ist im Gegensatz zu aktivem PoE (802.11af/at) nicht standardisiert. Das heißt, dass für Ubiuqiti's passives PoE auch Ubiquiti-PoE-Equipment benötigt wird. Schlimmer noch: Klemmt man ein Non-PoE-Gerät an einen passiven PoE-Port eines Ubiquiti Switches/Injektors, kann man das Gerät grillen, weil die Spannung permanent anliegt. Bei aktivem/Standard-PoE kann das nicht passieren, weil sich PoE-Switch/-Injektor mit dem Endgerät "unterhalten" und PoE aushandeln.

Vor ca. 1 Jahr hat Ubiquiti aber ein Einsehen gehabt und hat den APs auch Standard-PoE verpasst (der Pro hatte das aber schon vorher). Es lohnt sich daher der genau Blick auf die Packung ob man auch tatsächlich ein Modell mit Standard-PoE bekommen hat und der Händler keine Restbestände verhökert...

 

[darkiop]

Der AC-Pro ist für Wand- und Deckenmontage gedacht.

Die POE Profile waren auch mit ein Grund für den Pro - denn laut der Übersichtsmatrix von Ubiquiti kann ich diesen an alle von Ubiquitti verfügbaren Switches klemmen. Bei dem Lite ging das glaube ich nicht.

Das man die LED austellen kann ist gut, bedeutet dann nach Einrichtung aus damit.

 

[Fard Dwalling]

Mittlerweile geht das mit dem Lite auch.
Aber ein Pro ist abstimmt nicht verkehrt.