ComputerBase Menü
Aktuelles

Unifi Security Gateway, PiHole und Switch

Jo, wie ich schon sagte, seit ca. 1 Jahr kann auch der Lite Standard-PoE. Um sicherzugehen, sollte man aber stets den Karton checken, wenn man einen Lite kauft. Vorne in einer Ecke (oben links oder rechts) ist dann so ein blaues Dreieck, das die Kompatibilität zu 802.3af/at bescheinigt, Standard-PoE.
 
Ok, gut zu Wissen - falls ich noch einen weiteren neben dem AC-Pro benötige werde ich das beachten.

Als Alternative zum OSG, wäre da der Ubiquiti EdgeRouter 4 (der 4er deshalb, weil er ins Rack eingebaut werden kann) eine Option? Wie wird denn die Edge Serie verwaltet? Auch über eine WebUi wie die Unifi?
 
Die Edge Serie benötigt keinen Controller und wird direkt auf dem Gerät per Webinterface administriert. Es gibt sie "Unifi" Oberfläche auch als Beta. :)
 
Hehe Ok, d.h. wenn man möchte könnte man die Edge Serie in den Unifi Controller integrieren?
 
Ah OK, eher zweitrangig. Danke für die vielen Antworten! Heute sollte der AC-Pro kommen, dann wird übers WE mal getestet und ggf. noch erweitert.
 
Raijin schrieb:
Evtl wäre hier aber tatsächlich der DHCP im USG zu bevorzugen, weil man dort direkt auch mittels DHCP custom option den Unifi-Controller verteilen kann.
Zum Vergrößern anklicken....

Das hatte ich zuvor übersehen - wieso ist das denn Nötig? Bekommen die Geräte so gesagt was ihr zuständer Controller ist? Was geschieht denn wie Sie diese Option nicht bekommen?

Zum ergänzend zum Thema USG/DHCP - fixe IP - hatte das Falsch verstanden - die DHCP Reservation funtkioniert also, nur muss das USG zuvor manuell aus dem freien Bereich vergeben, dann kann man eine beliebige fix vergeben - oder gar über das CLI in der JSON config entsprechend eintragen.

Trotzdem werde ich jetzt mal den ER4 und das OSG genauer vergleichen und abwägen.
 
Zuletzt bearbeitet:
Die DHCP Option für den Unifi Controller ist rein optional. Es gibt mehrere Möglichkeiten wie ein Unifi Gerät an die Adresse des Controllers kommen kann; die DHCP Option ist nur eine davon. Wenn man einen UAP adopted, merkt er sich in der Regel den Namen des Controllers. Dieser wiederum wird normalerweise im lokalen Netzwerk auch via DNS aufgelöst.

Aber: Wenn sich der Controller außerhalb des Netzwerks befindet, weiß der DNS evtl gar nix vom Controller. Eine Namensauflösung würde also kein Ergebnis liefern und der AP findet den Controller nicht. Das ist aber nur in gerouteten Netzwerken mit mehreren Subnetzen der Fall, zB wenn der Controller in einem anderen Stockwerk, Gebäude oder im worst case sogar an einem anderen Standort hinter einem VPN oder dergleichen sitzt.

Nu kann man natürlich dem DNS einen manuellen Eintrag verpassen oder gar direkt via ssh im UAP die IP des Controllers eintragen, aber mittels DHCP Option 43 könnte der AP den Controller eben ganz einfach via DHCP bekommen. Grundvoraussetzung ist natürlich in jedem Fall, dass das Routing zum Controller stimmt, weil die Verbindung als solche wie immer via IP erfolgt.
 
Ich hab hier einen zweiten AC PRO den ich nicht dazubekomme ein WLAN aufzuziehen ...

Hab zum Test auch bereits den ersten deaktiviert und sogar entfernt, der rührt sich nicht. Die WLAN Gruppe ist zugeordnet. Werksresett wurde auch durchgeführt.

Kann ich hier von einem Defekt ausgehen oder übersehe ich etwas?
 
Die Unifi WLAN APs kann man auch per Smartphone APP einrichten. Den Controller brauchst du erst, wenn du mehr als nen "ollen AP" brauchst.

Das Unifi USG und die kleinen Switche haben mich nicht so richtig überzeugt. Relativ teuer und ab und zu fehlt einfach irgendwas selbstverständliches. Per CLI kann man vieles trotzdem einstellen, geht bei Neustarts aber verloren.
 
darkiop schrieb:
einen zweiten AC PRO den ich nicht dazubekomme ein WLAN aufzuziehen
Zum Vergrößern anklicken....
Taucht er im Controller denn überhaupt auf? Ist er auch korrekt eingebunden?
 
Ja. Und alles was ich versuchte brachte keine Besserung. Sogar als ich den ersten entfernt, den zweiten zurückgesetzt und dann neu eingebunden habe - im Controller zu sehen, lies sich einbinden - aber keine SSID zu sehen. Nach entfernen des zweiten und wieder hinzufügen des ersten war alles wieder gut - die parametrierte SSID war zu sehen ...

Mittlerweile ist er auf dem Weg zurück - aufgrund des Verhaltens ging ich von einem Defekt aus.

Seit heute Mittag hab ich eine USG zum Test im Einsatz (Aktuell noch hinter einer FritzBox, also doppeltes NAT) - wie ihr sagtet - die DHCP Reservierung ist bescheiden, bzw. Umständlich. Mal schauen ob ich da nicht den DHCP auf der Synology 918+ aktiviere.

Habe auch noch so meine Probleme mit der Konfiguration ... muss mich da morgen nochmal mit Beschäftigen. Hätte für den Anfang gerne die WLAN Clients in ein eigenes Netz gepackt.
 
Mittlerweile hab ich den defekten AC-PRO durch einen AC-MESH ersetzt - funktioniert bisher ohne Probleme!

Zwei Probleme hab ich aktuell noch:

1. Ich habe auf der FritzBox das USG als exposed Host definiert - trotz dieser Einstellung kann ich mich nach Verbinden zum FritzBox VPN (Android, VPNCilla) nicht in meinem Heimnetz bewegen - woran könnte das noch liegen?

2. Wenn ich für das WLAN ein eigenes IP Netz nutzen möchte, dann hatte ich das so verstanden:
- Netz erstellen (Einstellungen - Netzwerk > neues Netz mit VLAN ID), DHCP Server ist aktiviert
- Neue SSID erstellen, dann unter Advanced die VLAN ID eintragen

Die WLAN Clients bekommen aber immer eine IP aus dem Standard Netz das für LAN1 konfiguriert ist. Und wenn ich einem WLAN Client fix das Netzwerk und IP zuordne wird keine IP durch den DHCP vergeben.

Mache ich etwas falsch? :)
 

Anhänge

  • 2018-10-01 00_38_08-Clipboard.png
    2018-10-01 00_38_08-Clipboard.png
    112,2 KB · Aufrufe: 311
  • 2018-10-01 00_38_35-Clipboard.png
    2018-10-01 00_38_35-Clipboard.png
    118,8 KB · Aufrufe: 314
  • 2018-10-01 00_40_11-Clipboard.png
    2018-10-01 00_40_11-Clipboard.png
    38,2 KB · Aufrufe: 309
1. Ich habe auf der FritzBox das USG als exposed Host definiert - trotz dieser Einstellung kann ich mich nach Verbinden zum FritzBox VPN (Android, VPNCilla) nicht in meinem Heimnetz bewegen - woran könnte das noch liegen?
Zum Vergrößern anklicken....
Ohne jetzt den ganzen Thread gelesen zu haben: Wenn du dich zur Fritzbox per VPN verbindest, ist dein Handy im Fritzbox-Netz.
Das Handy muss aber in einem der USG-Netze sein.
Es ist dasselbe Prinzip, als ob du einen PC an der Fritzbox statt an der USG anschließt. Da hilft Exposed Host auch nichts.

bzgl. WLAN: Hast du die entsprechenden Netzwerke auch an den Switches getagged? Klingt ein wenig danach als ob der VLAN-Tag der vom AP auf die Pakete gesetzt wird durch den Switch wieder rausgezogen wird, so dass das WLAN letztlich wieder auf dem voreingestellten untagged Port des Switches (LAN) landet.

Und wenn ich einem WLAN Client fix das Netzwerk und IP zuordne wird keine IP durch den DHCP vergeben.
Zum Vergrößern anklicken....
...wenn du einen Netzwerk-Client eine statische IP-Adresse vergibst, wird natürlich durch den DHCP keine IP-Adresse vergeben. Oder versteh ich hier was falsch?
 
Guten Morgen,

t-6 schrieb:
Fritzbox per VPN verbindest, ist dein Handy im Fritzbox-Netz
Zum Vergrößern anklicken....

Ok - macht Sinn - bedeutet ich muss im "USG" Netz einen VPN aufsetzen.

t-6 schrieb:
bzgl. WLAN: Hast du die entsprechenden Netzwerke auch an den Switches getagged
Zum Vergrößern anklicken....

Nein, am Switch habe ich noch nichts gemacht - bedeutet das der AP am Switch auch für das entsprechende WLAN getagged werden muss? Und entsprechend auch, das er nur das eine VLAN bedienen kann?

Ich habe hier auf dem Arbeits-PC noch einige VMs laufen - mal angenommen die sollen in ein anderes Netz wie der PC, dann muss das zwingend über eine eigene Netzwerkkarte laufen?

t-6 schrieb:
statische IP-Adresse vergibst, wird natürlich durch den DHCP keine
Zum Vergrößern anklicken....

Mein Fehler, Ich meinte "fix per DHCP" - hab so ziemlich alle Clients auf DHCP stehen, also DHCP Reservation.


Danke und einen guten Start in die Woche :)
 
Natürlich muss der Switch bzw. allgemeiner der LAN-Port, an dem ein Access Point mit VLANs angeschlossen ist, auch auf dieselben VLANs konfiguriert sein! Das ist doch logisch, da der Switch ohne VLAN-Konfiguration die VLAN-Tags schlicht und ergreifend ignoriert und die Pakete entweder komplett in den Müll wandern lässt oder eben als 08/15 Pakete behandelt und sie eben dem Standard-VLAN zuordnet.

Lies dich am besten noch etwas in die Materie ein. Sonst wirst du ewig brauchen, das Setup zum Laufen zu bringen.

Bezüglich Exposed Host: Das bezieht sich ausschließlich auf Portweiterleitungen von der öffentlichen IP Adresse. Mit VPN hat das 0,garnix zu tun. Wenn du via VPN auf der Fritzbox bist, müsstest du daher eine Route anlegen, die vom Fritzbox-LAN ins USG-LAN geht. Auf der anderen Seite müsste dann aber auch das USG Verbindungen vom WAN-Port ins USG-LAN erlauben - sprich: Firewall anpassen und Portweiterleitungen einrichten (im USG!).
Wenn das VPN direkt auf das USG geht, ist man via VPN eben auch direkt im USG-LAN und braucht daher weder spezielle Firewall-Einstellungen noch Portweiterleitungen (abgesehen von Portweiterleitung Fritzbox --> USG für VPN)
 
Danke dir, bin dabei mich einzuarbeiten. D.h. ich kann auch auch mehrere VLAN IDs auf einen Port legen? Heute sollte noch der 16er POE von Unifi geliefert werden, damit werde ich das dann testen.

Zu deinem VPN Kommentar:

Absatz 1 = VPN Server auf FritzBox?
Absatz 2 = VPN Server im USG-LAN?


Grüße
 
Natürlich kann man mehrere VLAN IDs auf einen Port legen, das ist ja Sinn der Sache ;)

Bei getaggten VLANs wird an jedes Paket besagte VLAN ID angehängt bzw. ausgelesen und entsprechend auch nur innerhalb dieses VLANs verarbeitet - zB nur an die Switch-Ports weitergeleitet, die ebenfalls mit der VLAN-ID konfiguriert sind. Dabei muss das Gerät, welches an diesem Port angeschlossen ist, auch mit VLAN-IDs umgehen können. Ein 08/15 Endgerät kann dies nicht, ein Access Point wie die von Ubiquiti schon.

Aus Ports, die auf eine Default VLAN-IDs konfiguriert sind, also nicht tagged, kommen stets Pakete ohne VLAN-IDs raus. Andersherum werden eingehende Pakete auf diesem Port mit der Default VLAN-ID versehen. Ein Endgerät muss also an so einem Default-VLAN-Port angesteckt werden, um in das entsprechende VLAN integriert zu werden. Das Gerät selbst bekommt dabei überhaupt nichts vom VLAN mit, weil die VLAN-ID erst im Switch hinzugefügt bzw. entfernt wird (je nach Richtung).

VPN: Stell es dir so vor als wenn du von unterwegs ein sehr langes Kabel
- an die Fritzbox steckts (VPN-Server auf Fritzbox)
- an das USG steckst (VPN-Server auf USG)

Je nachdem wo der VPN-Server sitzt muss man entsprechend für den Zugang in die übrigen Netzwerke sorgen - sei es mit Routing oder eben auch mit Portweiterleitungen.
 
Super, vielen Dank - so wird einiges klarer! Ich schau mir das heut Abend mal an.
 
Also die Config ist ja echt tricky (beim ersten Mal, wenn man noch nicht die Erfahrung hat was zu tun ist :))

Hab mir das hier angeschaut:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Mit der neuen Firmware findet man das ganze dann unter Settings -> Profiles -> Switch Ports
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

locke87
Unifi Security Gateway Portweiterleitung funktioniert nicht
Antworten
16
Aufrufe
7.219
Raijin
Raijin
darkiop
Doppeltes NAT - FritzBox --> Unifi Security Gateway - Nachteile?
Antworten
16
Aufrufe
35.854
darkiop
darkiop
D
Frage, UniFi Security Gateway und FritzBox
Antworten
15
Aufrufe
10.302
Raijin
Raijin
G
FritzBox 7490 und Unifi Security Gateway ?
Antworten
2
Aufrufe
1.339
Simanova
Simanova
MetalForLive
Ubiquiti Unifi Security Gateway Site 2 Site VPN untereinander aber wie ?
Antworten
19
Aufrufe
6.841
stabile
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz