2. WLAN Infrastruktur (für Mieter) im Unternehmen

[Benzer]

Hallo zusammen,

wir bekommen einen Mieter der übergangsweise (für 2-3 Jahre) eine separate und vom Rest losgelöste WLAN Infrastruktur für ca. 20 Clients bekommen soll.

Jetzt habe ich zuerst überlegt dafür einfach eine Fritzbox mit sechs Fritz Repeater 3000 als Accesspoints zu nutzen. Es ist billig und erfüllt die Anforderung.

Wie das aber so ist kommen in dem Zeitraum bestimmt neue Anforderungen (LAN / Telefonie / Security) dazu, außerdem wird der Internetzugang evtl. ausschließlich über LTE laufen (das ist noch nicht ganz sicher) - daher sollte sowohl VDSL als auch LTE möglich sein.

Da das Budget erstmal zweitrangig ist, hatte ich als Alternative Unifi / Ubiquiti überlegt. Nur welche Hardware benötige ich aus den Möglichkeiten?

Überlegt hatte ich bisher:

1x Dream Maschine Pro
1x Switch Pro 24 / 48 PoE (für den Fall das mal erweitert oder LAN Clients dazu sollen)
6x Accesspoint NanoHD unter die Decke

Passt das so?

Probleme habe ich noch beim LTE - von Unifi gibts da wohl ein US Modul aber nur ein EU Beta Modul was nicht verfügbar ist.
Kennt da jemand eine sinnvolle Alternative?

 

[Raijin]

Was ist vor Ort denn überhaupt vorhanden? Du schreibst nur was du dir bisher "überlegt" hast, aber nichts zum Status Quo.

Es ist entscheidend ob euer Router nur ein lokales Netzwerk zur Verfügung stellt oder mehrere kann. Dann würde man nämlich einfach ein zweites LAN-Interface erstellen, dort ein separates Netzwerk konfigurieren und dann in die Räumlichkeiten des Mieters patchen. Da kann er dann machen was er will, mit Switches, APs, etc.

 

[Benzer]

Status Quo ist nichts - die Räume werden für den Mieter neu geschaffen und sind leer. Wir werden unsere eigene Infrastruktur aber erst in frühestens 2-3 Jahren in den Bereich ausbauen, vermieten dem Mieter die Infrastruktur aber jetzt schon mit. Wir wollen dem Mieter solange eine separate Infrastruktur zur Verfügung stellen die ganz bewusst von unserer eigenen getrennt ist.

 

[snakesh1t]

Router/USG mit 2 oder mehr LAN-Ports, die man frei konfigurieren kann.
2. Netz für deinen Mieter aufbauen (eigenes IP-Segment, DHCP, etc.), Firewall konfigurieren (kein Zugriff von L1 auf L2 und umgekehrt etc).
Das ist aber letztendlich nur eine logische Trennung, das sollte deinem Unternehmen und dem Mieter bewusst sein! Ansonsten bleibt nichts anderes übrig also eine eigene Internetleitung für den Mieter zu buchen.
Nur dann hättest du eine wirkliche, physische Trennung der Netze.
Habt ihr im Unternehmen einen Administrator?
Ansonsten ein Systemhaus/IT-Dienstleister dazu holen!

 

[Benzer]

Ansonsten bleibt nichts anderes übrig also eine eigene Internetleitung für den Mieter zu buchen.
Nur dann hättest du eine wirkliche, physische Trennung der Netze.

Exakt das ist der Wunsch. Daher auch vergleichsweise günstige Hardware - die wandert nach der Nutzung ins "Labor".

Habt ihr im Unternehmen einen Administrator?
Ansonsten ein Systemhaus/IT-Dienstleister dazu holen!

Ich (unter anderem) bin die IT und betreue sonst deutlich größere Infrastruktur mit professioneller Hardware. Wunsch der GF ist aber eine Insellösung für den Mieter.

 

[Raijin]

Ok, dann verstehe ich den Thread jetzt aber nicht. Es besteht noch nix, also wird dort ein separater Internetanschluss gelegt?

Stell dort ein Modem + Router hin (oder einen Router inkl. Modem) und das war's? Ich kann gerade nicht so nachvollziehen was das Problem ist, sorry. Ob das dann LTE, DSL, Kabel oder Glasfaser wird, hängt ja davon ab was bei euch verfügbar ist.

Grundsätzlich würde ich aber für professionelle Umgebungen nicht auf AVM oder andere Consumerhardware setzen. Das sind Geräte für zu Hause, für Umgebungen mit <20 Endgeräten. Bevor jetzt ein Aufschrei kommt: Das heißt nicht, dass bei 20 Schluss ist, aber es ist Hardware für zu Hause und ist dementsprechend auf kleine Netzwerke ausgerichtet.
Abgesehen davon hat man bei Fritzbox und Co auch keinerlei Möglichkeiten für VLANs oder andere fortgeschrittene Funktionen. Wenn das Equipment danach ins "Labor" wandert, hätte man aber eventuell gerade für sowas Verwendung.

Unifi wäre ein System, das sich für sowas anbietet, aber nicht unbedingt mit der UDM (Pro). Die ist in meinen Augen nicht notwendig. Die Access Points sollten aber schon Unifi oder vergleichbar sein.

 

[Salamimander]

Modem (LTE/VDSL/Whatever) —> Firewall (USG, Sophos, IPFire, ...) —> Switch (Managebar) —> APs.

du bist da komplett Herstellerfrei. Du solltest dir, auf Grund mangelnder praktischer Erfahrung (nicht böse gemeint) aber Angebote von Systemhäusern einholen. Das ist ein Wald und Wiesenprojekt was du da willst.

Daheim sieht das so aus:
Draytek Modem —> OpenWRT auf Odroid x86+ —> UniFi 24Port Switch —> UniFi AP AC Pro (4x)

Mal von IDS/IPS und DPI kann das alles was ich will

 

[snakesh1t]

Ich kann die Ubiquiti Geräte empfehlen, für Mesh z.B. die UAP-AC-M.
Für die Geräte wird aber ein Controller benötigt, der z.B. auf einem Windows installiert werden muss.
Dort werden dann die Geräte eingebunden und verwaltet.
Wenn das Mesh-System läuft, müssen die Geräte nicht mehr Zugriff auf den Controller haben.
Wäre also möglich den Controller auf einem Notebook zu installieren, Mesh einrichten und das NB aus dem Netz nehmen.

 

[Benzer]

Stell dort ein Modem + Router hin (oder einen Router inkl. Modem) und das war's? Ich kann gerade nicht so nachvollziehen was das Problem ist, sorry. Ob das dann LTE, DSL, Kabel oder Glasfaser wird, hängt ja davon ab was bei euch verfügbar ist.

Im Prinzip gibts kein Problem - ich bin mir nur bei der Hardware Auswahl nicht sicher.
Der Router sollte mit LTE & VDSL Modem klar kommen, also LTE Fallback unterstützen, sonst muss jemand umstecken.

Grundsätzlich würde ich aber für professionelle Umgebungen nicht auf AVM oder andere Consumerhardware setzen. Das sind Geräte für zu Hause, für Umgebungen mit <20 Endgeräten. Bevor jetzt ein Aufschrei kommt: Das heißt nicht, dass bei 20 Schluss ist, aber es ist Hardware für zu Hause und ist dementsprechend auf kleine Netzwerke ausgerichtet.
Abgesehen davon hat man bei Fritzbox und Co auch keinerlei Möglichkeiten für VLANs oder andere fortgeschrittene Funktionen. Wenn das Equipment danach ins "Labor" wandert, hätte man aber eventuell gerade für sowas Verwendung.

Sehe ich genauso, auch weil die Anforderungen vom Mieter bisher nur WLAN (ohne weitere Spezifikation) ist.
Das wird sich aber mit Sicherheit im Nutzungszeitraum ändern - wie eigentlich immer. Daher ja auch den Gedanken "Fritzbox nutzen" direkt verworfen und Unifi ins Auge gefasst.

Unifi wäre ein System, das sich für sowas anbietet, aber nicht unbedingt mit der UDM (Pro). Die ist in meinen Augen nicht notwendig. Die Access Points sollten aber schon Unifi oder vergleichbar sein.

Das ist schon mal ein guter Hinweis. Ich hatte jetzt nur mal an die Pro gedacht da sie Rackmount fähig ist und Optionen in alle Richtungen offen hält.

Modem (LTE/VDSL/Whatever) —> Firewall (USG, Sophos, IPFire, ...) —> Switch (Managebar) —> APs.

Das ist schon klar...

du bist da komplett Herstellerfrei. Du solltest dir, auf Grund mangelnder praktischer Erfahrung (nicht böse gemeint) aber Angebote von Systemhäusern einholen. Das ist ein Wald und Wiesenprojekt was du da willst.

Auch das ist mir bewusst und unsere interne Infrastruktur plane, betreue und erweitere ich schon seit Jahren ohne Systemhäuser. Es geht mir lediglich um Meinungen und Erfahrungen zur Hardware - da wir ansonsten auf Sophos, HP & Aerohive setzen - mir das aber für diese Anforderungen und interims Lösung zu aufwändig und teuer ist.

Die Idee hinter Unifi war es (semi-)professionelle Hardware einzusetzen, aber trotzdem alles von einem Hersteller zu haben und damit den Aufwand für Einrichtung und Administration gering zu halten.

 

[Salamimander]

Ich halte von den Unifi Gateways halt garnichts. Sind mir zu eingeschräkt. Der Rest der hardware ist schon gut, aber aktuell glänzt Ubuqiti nicht gerade mit Qualität bei der Firmware und deren Politik.. naja sagen wir mal Spionage der eigenen Kunden wird immer wichtiger.

WPA3 --> Beta
IPv6 --> Viel Handarbeit

etc.. Sie haben sich VIEL Ruf versaut .

 

[Raijin]

Die UDM (Pro) ist sicherlich nicht schlecht, aber ich habe die Erfahrung gemacht, dass Unifi im Bereich Router - also UDM+USG - hinter den Erwartungen, die die APs geweckt haben, zurückbleibt. Im Vergleich zu pfSense, OPNsense, Sophos, IPfire, etc. sind sie doch recht eingeschränkt.
Das heißt nicht, dass die UDM bzw. das USG nichts taugt, aber ich würde sie nur in einfachen Szenarien einsetzen wo zB eine pfSense nicht benötigt wird oder ggfs auch zu komplex ist.

Für volle Flexibilität würde ich dann doch eher auf Sophos, pfSense, o.ä. setzen.

 

[Salamimander]

Wer gerne bastelt, kann halt wirklich OpenWRT nehmen. Das kann schon wirklich sehr viel.

 

[Raijin]

Definitiv. OpenWRT ist auf geeigneter Hardware deutlich effizienter als die Firmware von 08/15 Routern.

 

[Salamimander]

Ich habe es wie gesagt auf einem ODroid H2+. Muss zwar den Treiber der NIC selber rein compilen.. Aber irgendwas ist ja immer. Dafür funktioniert SQM. SQM vermisse ich bei PFSense usw dann immer, das ist sehr schade.

 

[Raijin]

pfSense kann kein SmartQueue? Hm.. Habe ich mich nie mit beschäftigt, ich bin vorwiegend auf EdgeRoutern unterwegs - sowohl beruflich als auch privat - und da ist das kein Problem. Hätte ehrlich gesagt schon erwartet, dass *sense das kann.

 

[Salamimander]

Afaik finde ich nur Doku zu harten Queues (Priorisierung) und nichts zu CakeSQM (bzw layer of cacke).

Unifi kann das, aber das kleine USB nur mit ca 70MBit, dann ist die CPU am Ende, das betrifft eigentlich alle ARM basierten devices, deshalb brauche ich auch X86, da reicht sogar noch ein Core2Duo aus... Liegt mehr an SQM als an ARM, aber ein Problem ist es.

Dank SQM muss ich auch nicht extra IPTV höher priorisieren, das klappt so alles ohne mein zutun

 

[0-8-15 User]

SQM vermisse ich bei PFSense usw

Also FQ-CoDel kann pfSense schon.

 

[Salamimander]

Ich fahre zZ am besten mit Triple WAN Isolate Cake am besten, da ich so keine 5-10% Performance opfern muss

 

[Skysnake]

Lass die Finger von Unifi. Deren Produktoolitik mit der Datensammelei etc ist für Infrastruktur völlig inakzeptabel. Und ansonsten sind die Produkte jetzt nicht schlecht, aber ganz sicher auch nicht gut... vor allem nicht zu den Preisen.


Schau dich lieber bei MikroTik oder FS.com um. Da hast du vernünftige Hardware und Software die man auch im professionellen Bereich sehr lange einsetzen kann, ohne den Namen einer HPE oder Cisco zu bezahlen, die wenn überhaupt erst bei sehr sehr sehr großen dynamischen multi Site Installationen wirklich ihre Stärken ausspielen.

 

[Raijin]

Deren Produktoolitik mit der Datensammelei etc ist für Infrastruktur völlig inakzeptabel

Solche Aussagen sind wenig hilfreich. Ich will dir gar nicht widersprechen, dir aber ebensowenig zustimmen, aber wenn du schon solche Kommentare schreibst, dann bitte auch mit Begründung und ggfs nachweisen.

Nur mal so als Beispiel: In der aktuellen Version des CloudKey gibt es einen Zwang zum Cloud-Account. Darüber hinaus wurde Multi-Site entfernt, man kann also lediglich einen Standort verwalten, obwohl der CloudKey mit einer älteren Firmware mehrere Standorte bedienen konnte und das evtl auch ein entscheidender Kaufgrund war. Beides ist kacke und ein NoGo.

Aber: Wenn man den Controller selbst hostet, zB auf einem PI, einem NAS oder einem Server, gibt es weder Cloudzwang noch ist man auf einen Standort beschränkt.

Wenn du also schon sowas vom Stapel lässt, bitte konkret werden und nicht einfach nur irgendwas raushauen.