Unifi Netzwerkgeräte

So, die Unifi Dream Machine läuft.
Der 7590 hab ich das komplette Netzwerk weg genommen. Die Umstellung war eigentlich problemlos und bei der Power der Dream Machine schießt mir das Wasser in die Augen.

Zuerst mal das Zusammenspiel zwischen 7590 und der Dream Machine. Die 7590 macht weiterhin Telefonie und das Modem. Sie hat eine eigene IP Adresse, unter der Sie auch im Unifi Netz aufrufbar ist. Die VPN Verbindungen werden ganz von alleine zur Dream Machine weiter geleitet.
Der DM Wan hängt am Port 1 der Fritte und bezieht von dort das Internet.
PiHole übernimmt die DNS Server.
Über doppeltes Nat kann ich nicht klagen, es funktioniert alles.
Wenn das jemand machen will, es ist wichtig, dass die Fritte und die Dream Machine nicht im gleichen IP Adressbereich hängen. Z.B Fritte 192.168.188.1 und Unifi 192.168.1.1.
Ich bin jetzt mal den riesigen Funktionsumfang am testen.

Noch ein Hinweis für die Conbee Nutzer. Durch die neue IP Adresse kann Homey die Conbee Geräte nicht mehr erreichen. Ihr müsst die Geräte in Homey löschen und wieder hinzufügen und es geht wieder.

Ich habe den UAP-AC-M im Garten hängen. Er ist bei 2 Doppelhaushälften ausreichend. Selbst im 40-50m (freie Sicht) entfernten Pool vom Nachbarn habe ich noch Wlan Empfang. :slight_smile:

Ich hätte noch einen UniFi Switch 8 60W, US-8-60W zu verkaufen. Gekauft am 18.08.2019

und einen Unifi AP AC Light.

Ich habe in der deConz App einfach die IP des Raspi’s auf die neue gesetzt. Alle Geräte funktionierten danach wieder. Da musst eigentlich nichts mehr mit den deConz Geräten im Homey machen.

Andere Frage noch: Werden bei dir auch einige Wifi Geräte in der Controller übersicht der DM als Guest angezeigt? Komme da nicht wirklich dahinter, warum einige Geräte als Gast deklariert sind, obwohl sie im nicht im Gast WLAN sind.

Nein, bei mir nicht

Noch ein Hinweis:
Bei der Ländereinstellung auf Taiwan gehen. Das hat den Vorteil, dass die Sendeleistung gleich wie USA ist, aber der Kanal 12 und 13 weiter zur Verfügung steht.
Dream Machine: 26 dBm / 29 dBm (EIRP)
APs : 22 dBm / 25 dBm (EIRP)
AP’s Einstellung Custom 22dBm

Im nächsten Schritt werde ich versuchen die Fritze und den DM zu koppeln, dass jeder das Netzwerk des Anderen sieht. Danach kommen erste Versuche mit VPN über die DM.

Nochmal ein Zwischenbericht.
Nach 24 Stunden macht die Dream Machine zusammen mit 3 AP’s einen sehr guten Job. Das Wlan ist sehr stabil und schnell. Das Unifi Mesh ist das Maß aller Dinge.
Durch das Setzen der Ländereinstellung auf Taiwan, haben die Komponenten eine erhebliche Leistung. Hier muss ich noch Feintuning machen, ab welcher mindest- dBm , auf einen anderen AC umgeschaltet werden soll. Die AP’s überschneiden sich doch sehr stark bei mir, dass im Moment noch nicht zeitnah der AP gewechselt wird.
Zum Thema Fritzbox.
Ich habe beim Unifi und der Fritze zwei völlig verschiedene Adressbereiche. Es ist aber im Unifi Netz jederzeit möglich, die Fritze unter ihrer eigenen Adresse aufzurufen. Eine VPN Verbindung von Unifi zu AVM, habe ich nicht hin bekommen.
Ein Untertaker typischer Brachalversuch, war da schon erfolgreicher. Die DB ist per WAN an den Port 1 der Fritze angeschlossen. Ein Netzwerk Kabel an den Port 2 der Fritze und dann an einen Switch hinter der Machine gesteckt, hatte einen verblüffenden Effekt.
Die Fritze zeigt dann alle Clients des Unifi Netzwerkes an. Ich konnte auch keine Störung feststellen. Eigentlich kann das aber nicht ohne Probleme funktionieren :thinking:.
Der PiHole als DNS Server hinter der Dream funktioniert gut. Sogar die Fritzbox kann nach Eingabe der PiHole IP, auf diesen DNS Server zugreifen.
VPN Verbindungen zwischen Fritzboxen sind auch im Unifi Netzwerk aufrufbar. Als Beispiel hängen zwei Kameras bei meiner Mutter an einer 7590. Die Fritze meiner Mutter ist per VPN mit meiner verbunden. Ich kann im Unifi Netz die IP der Kameras aufrufen und sie werden sofort angezeigt.
Weiterhin keine Probleme mit dem doppelten NAT.

Als nächstes werde ich versuchen, ob ich eine VPN Verbindung zur Dream Machine hin bekomme. Da sie hinter der Fritze hängt, bin ich mir noch nicht sicher, ob das geht. Bei einer VPN Verbindung zur Fritze, kann nicht auf den IP Adressbereich der Dream Machine zugegriffen werden. Vielleicht kann ich da was mit Portweiterleitung machen, aber da muss ich mich erst einlesen, weil ich davon nur sehr wenig Ahnung habe.

Edit:
Ich bekomme es nicht hin, die Dream Machine per VPN, hinter der Fritzbox anzusprechen. Es ist mir einfach zu blöd da weiter zu experimentieren.
Um das Ganze endgültig rund zu machen, baue ich nochmal um.
Ich habe beschlossen, der Fritzbox auch das Modem weg zu nehmen und gegen ein DrayTek Vigor 165 zu ersetzen, das dann die Dream Machine direkt mit Supervecroring versorgt. Das Modem kann im Bridge Modus laufen und somit hat sich das doppelte NAT erledigt, obwohl ich keine Probleme damit hatte.
Die Fritzbox hängt dann entweder direkt am Modem oder ich binde sie ins Unifi Netz mit ein. Sie wird dann nur noch zum Telefonieren und VPN gebraucht.

Mal ne ernst gemeinte Frage…
Wofür genau nutzt du die DreamMachine, wenn du weder DHCP noch VPN darüber machst? Das ist doch dann nicht viel mehr als eine NAT/Firewall (also wie das USG) mit WLAN AP.
Welche Vorteile hast du gegenüber einem USG und einem separaten AP?

DHCP macht die Dream Machine. Der Pi Hole ist lediglich für die DNS Sever zuständig, um so das Meiste der Werbung zu killen.
VPN wäre schön, ist aber hinter der Fritzbox nicht möglich, bzw. ich bekomme es nicht hin. Deshalb auch ein anderes Modem mit Bridge Modus, um ein VPN aufsetzen zu können.
Die Fritzbox hält drei VPN Verbindung zu anderen Fritz Boxen, um eine Fernwartung realisieren zu können und die Kamerastreams zu empfangen. Die Boxen und Streams sind unter ihrer IP im Unifi Netz aufrufbar. Weiterhin ist sie fürs Telefonieren zuständig.
Die VPNs sind sehr stabil. Warum sollte ich das umstellen ?
Der größte Vorteil sind die umfassenden Einstellungen und vor allem die Power der DM. Ich bin da noch im Lernmodus, um alle Möglichkeiten auszuschöpfen.
Von der Fritze zur DM ist das in etwa so ein Unterschied wie zwischen homee und Homey. Das Ding ist so mächtig, dass du erst nach und nach das Potential voll ausschöpfen kannst.

Dann bin och auf weitere Berichte gespannt :wink:
Ich frage nur, weil ich nicht den Unterschied zw. USG+AP und der DreamMachine ausmachen kann. Vielleicht eher Prozessor und Speicher. Da ich am Routerstandort keinen WlanAP brauche, ist für mich vermutlich eher das USG passend. Deshalb die Fragen zum Unterschied.
Ich habe noch AsusDynDns laufen. Daher kann ich den Asus Router nicht direkt ersetzen. Ich müsste in der Konstellation vermutlich den Asus am Modem belassen, DynDns+VPN an, Firewall aus, PortForwaring an, und dahinter die USG mit Firewall+DHCP. Einen Router in den BridgeModus setzen und dabei DynDNS weiterhin zu verwenden, wird wohl nicht gehen…

Da du keinen Wlan AP brauchst, wäre der USG vermutlich die bessere Wahl.
Wenn du die optimale Konfiguration willst, würde ich vor den USG ein Modem mit Bridge Modus setzen und die Internet Einwahl dem USG überlassen. Es gibt Modems mit zwei Lan Anschlüssen, z.B. den DrayTek Vigor 165 .

Folgende Konstellation ist bei mir angedacht:
Lan 1 des DrayTek in den WAN der Dream Machine. Lan 2 per Kabel in den Lan 1 der Dream Machine.
So ist das Modem im Netzwerk von Unifi sichtbar.
Fritze an Lan 2 der DM und das Modem der Fritze abschalten. Die Fritze bezieht dann das Internet von der DM.
Jetzt sollte alles funktionieren und auch die VPNs der Fritz weiter arbeiten und eigene VPNs auch über die DM möglich sein.
Als weiteres Abfallprdukt, sollte dann das komplette Unifi Netzwerk dann auch in der Fritze zu sehen sein.

Das ist fast wie bei Homey. Wenn was nicht geht, dann machen wir es halt um 3 Ecken. :joy::joy::joy:
Vielleicht ist das auch eine Option für dich.
Morgen weiß ich mehr.

So, die ersten Erfahrungen mir dem DrayTek Vigor 165 .
Das Ding ist schnell, sogar verdammt schnell und kommt fertig im full Bridge Modus konfiguriert.
Es muss lediglich eine andere IP Adresse vergeben werden, da es werkseitig die 192.168.1.1 hat und viele Unifis die gleiche Adresse verwenden.
In der Dream Machine die Zugangsdaten eingegeben und es rennt. Die Datenraten übertreffen die der Fritzbox. Besonders der Upload ist deutlich besser.
Die Fritzbox habe ich als an einem Kabel Modem hängend konfiguriert. Sie ist von außen erreichbar und baut auch ihre VPN Verbindungen auf. Telefonie funktioniert auch.
Über das Unifi Netz ist sie unter ihrer IP nicht erreichbar und gibt auch ihre VPNs nicht an Unifi weiter.
Im Moment habe ich noch keinen Plan, wie ich die DM und die Fritzbox miteinander bekannt machen soll. Es wäre praktisch, weil ich so vom Unifi Netz auf die VPNs der Fritze zugreifen zu können.
Im Moment hab ich noch keinen Plan, wie das mit VPN auf der DM funktioniert. Vielleicht reicht auch ein Routing zwischen den Beiden.
Wenn das jemand schon mal gemacht hat, wäre ich für Tipps sehr dankbar.
Im Prinzip möchte ich zwei unterschiedliche Netzwerke mit verschiedenen IP Bereichen verbinden.

Welches Modem hattest du vorher?

Ich hätte einen Hinweis für euch zum Wechsel zw. 5G und 2.4G…

Ich hatte mich über die schlechtere Abdeckung im Vergleich zum vorherigen Mesh gewundert. Bis ich gesehen hatte, dass die Mobilgeräten ausschließlich im 5G-Netzt blieben und auch beim Verlassen des 5G-Bereichs nicht nach 2G gewechselt sind.

Nach längerer Suche habe ich dann diese Einstellung gefunden. Die war automatisch aktiviert:

Sobald diese Option aktiv ist, sind auch andere Optionen aktiv und nicht änderbar - wie diese in den WLAN-Optionen:

Diese Option zwingt die 5G-Geräte ins 5G-Netz.
Also musste ich zuerst die Einstellung unter NetworkSettings deaktivieren. Dann konnte ich im WLAN-Netzwerk die 5G-Option deaktivieren.
Jetzt wechseln die Clients brav zu 2G, wenn man den 5G-Bereich verlässt (Terrasse).
Zurück dauert der Wechsel zwar etwas, aber man bleibt zumindest im WLAN.

@Undertaker vielleicht hilft dir das für die Einrichtung von deinem Modem

@Undertaker hast du das Fritzbox Netz in der Dream Machine angelegt? Da baut die dann automatisch ne Firewallregel, dass du in das Fritzbox Netz kommst.

Ich hab mir jetzt ein separiertes Netz für meine Alexa’s und Cloudgeräte gebaut. Die erreich ich aus dem Hauptnetz. Musst nur darauf achten, dass deine FB nicht die erste IP hat, da die Dream Machine die als Gateway dann nutzt.

Fritzbox 7590

Danke, aber das Vigor rennt. Damit hab ich kein Problem.

Ich schildere mein Problem nochmal genau.
Vigor und Dream Machine rennen, kein Problem.
Die Fritzbox 7590 hängt jetzt hinter der DM und ist so konfiguriert, dass sie einen eigenen Adressbereich hat. Sie ist mit WAN am Switch der DM. Ich musste das so machen, da sonst die VPNs nicht mehr funktionieren. Scheinbar gibt es keine Möglichkeit ein funktionierendes VPN zwischen Unifi und der Fritzbox aufzubauen.

Mein Ziel wäre es die IP der Fritze 192.168.10.2 und Unifi 192.168.1.1 zu verbinden, dass die Boxen sich gegenseitig sehen und ich die VPN der Fritze auf dem Unifi verwenden kann.
Mit einem Routing über Bordmittel bin ich gescheitert. Auf dem Unifi hab ich bisher auch keine VPN Verbindung in irgendeiner Weise auf die Reihe bekommen.

Edit:
Es gibt keinen Weg die Fritzbox mit Unifi zu kombinieren, dass beide als Router fungieren.
Auch habe ich keine Lösung gefunden, zwischen Unifi und Fritz ein VPN zu realisieren.
Wenn die Fritz als Client in dem IP Bereich von Unifi aufgenommen wird, funktioniert die Telefonie noch, aber die Box ist nicht mehr von außen zu erreichen und die VPN’s gehen nicht mehr.

Ich wäre aber nicht der Undertaker, der so schnell auf gibt. Das nächste Unifi Gerät ist unterwegs. Es handelt sich um den Router Ubiquiti ER-X.

Der Router kann sehr viel, bekommt aber von mir nur eine Aufgabe. Er soll in der Lage sein zwei Netzwerke mit unterschiedlichen IP’s zu verwalten und sie gegenseitig sichtbar machen. Also genau das was ich suche.

Und warum verkaufe ich die Dream Machine und das Vigor 165 nicht einfach wieder und nehm die 7590, die die Hälfte kostet?
Ganz einfach, die DM/DrayTec Kombination rennt derart gut, dass ich mich langsam frage, was für einen Mist AVM eigentlich produziert. Egal ob Internet Speed, Ping, Lan , Wlan Speed oder die Einstellungen, das AVM Flaggschiff ist in allem deutlich unterlegen.
Wenn ich nicht 3 neue FritzPhone C6 hätte, würde ich die Fritze gar nicht mehr anschließen. Sollte der
Ubiquiti ER-X eine VPN zu den Fritzboxen schaffen, verkaufe ich die 7590 und die Fritzphone und hol mir dafür schöne IP Telefone.

Hast du schonmal versucht, die Fritz!Box als IP-Client in das Netz einzubinden?
Also unter Internet --> Zugangsdaten “Anschluss an externes Modem oder Router” und “Vorhandene Internetverbindung mitbenutzen” auswählen.
Dann müssest du noch die Ports vom Fritz!VPN in der DM an deine Fritz!Box weiterleiten. (Müssten die UDP-Ports 500 und 4500 sein)

Gruß
Derrick

Jep, das löst aber mein Problem nicht, dass die VPNs nicht an die Unifi weiter geleitet werden können.
Es wäre auch nicht möglich die Homey Apps für Fritz zu benutzen, sofern er im Netzwerk der Unifi hängt. Also keine Anfufkennung oder DECT Ule.

Frage zu Kombination von Router + USG (VPN-Einwahl):

Ich würde gern ein USG zwischen dem vorhandenen Router und den Switch installieren.
WAN => Router => USG => Switch => …

Von innen kommt man bei dieser Kombination ins WWW, aber wie kommt man rein?
Im Router sind VPN und DynDNS konfiguriert.
DynDNS ist ja kein Problem. Der Router meldet seine öffentlich IP.
Aber wie läuft das bei VPN? Muss man da Route vom Router zum USG definieren? Ist das möglich?

Das LAN liegt im Bereich 192.168.1.0/24
VPN hat den Bereich 10.8.0.0/24

Ich vermute, aufgrund er doppelten NAT müsste der Router ein eieges Netz haben, z.B. 192.168.2.0/24. Die USG liegt dann im aktuellen Netz als Router mit 192.168.1.1. So richtig?
D.h. mit VPN kommt man noch auf den Router, aber nicht über das NAT des USG.
Kann man die “Durchleitung” freischalten, um vom Router über das USG ins LAN zu kommen?

Macht man dann VPN im Router und leitet die Clients in das USG netz weiter?
Oder müsste man dann im Router den VPN-Port einfach ans USG weiterleiten und dort VPN entgegennehmen? Kann die USG OpenVPN?

Bei Portweiterleitungen ist das vermutlich ähnlich. Aktuell werden Ports vom Router auf interne IPs+Ports weitergeleitet. Ich nehme an, die Weiterleitung muss dann einfach auf die IP des USG gehen und dort nochmal auf die interne IP weitergeleitet werden. So korrekt?

Edit:
Habe viele Anleitungen mit cli-Kommandos zu Einrichten von OpenVPN gesehen. Direkt über den Controller geht das nicht? Dann bleibt ja nur, VNP über den vorgeschalteten Router zu machen.
Da wäre dann die Frage, ob und wie die VPN-Clients vom Router Zugang zum LAN hinter der USG bekommen.