mtobatz
Goto Top

Ablösung eines Unifi USG-3P

Hallo zusammen,

nächster Anlauf für das Heimnetz.
Disclaimer: Ich bin Webentwickler, habe Basisverständnis von Netzwerken und VPN, aber aktuell bin ich maximal verwirrt.

Ausgangssituation: Ich komme von Unifi (USG-3P, US-24-G1, US-16-150W, UAP-AC-LR, 4x Unifi G3). In den letzten Jahren gab es zunehmende Probleme (bspw. EOL von Unifi Video, Netzteil-Verschleiß und fehlende IPsec-Unterstützung). Es muss sich daran was ändern.

Hatte letzte Woche TP-Link Omada-Hardware da (ER605 v2, SG2428P und EAP653). Erster Eindruck war gut. Aber da die Switche nur Stateless ACL unterstützen, was mir zu wenig ist, habe ich alles wieder eingepackt - geht morgen zurück zum Händler.

Obwohl ich kein Unifi mehr wollte, hatte ich mir die UDM Pro trotzdem mal angeschaut. Im Prospekt betrachtet, ein schönes Gerät. Bei nur 4GB RAM habe ich Sorge, dass die Maschine einfach an ihre Grenzen kommt, wenn es um Routing, Firewall, DPI, Videoüberwachung und VPN geht. Da ich die zukünftigen Cams noch nicht da habe, ist mir ein Kauf auf "gut Glück" einfach zu heiß.

Nächste Überlegung war, mein NAS (Quad-Core Xeon mit 64GB RAM) mit Proxmox neu aufzusetzen und dort pfSense zum Einsatz zu bringen. Das Board hat 2x 1Gb Anschlüsse, daher denke ich, dass man das WAN grundsätzlich sauber trennen könnte. Es steht aber nur ein 1Gbit-Trunk zur Verfügung, um den kompletten LAN Traffic zu routen und "firewallen".

Zum LAN-Aufbau noch paar Infos. Ich benötige 5 VLANs:
- NAS und Printer
- Laptops und Tablets
- IoT (Chromecast, PV-Anlage...)
- Gastnetzwerk
- Überwachungskameras
sowie 3 WLANs (Heimnetzgeräte, IoT und Gäste).

Folgende InterVLAN-Kommunikation ist angedacht:
1) Gastnetz soll bspw. voll isoliert sein, außer Internet
2) IoT soll nur ins Internet kommen und auf den NFS-Share des NAS im Heimnetz zugreifen können
3) Die Kameras sollen nirgendwo hin kommen (außer das NAS im Heimnetz zu den Kameras)
4) Aus dem Heimnetz soll man eigentlich überall hinkommen (insb. NAS und Printer)
5) NAS und Printer sollen ins Internet kommen, und die Kameras erreichen können

Ich benötige ansonsten ein IKEv2/IPSec VPN, damit ich von unterwegs aus mal das NAS und die Kameras checken kann und IPv6-fähig sollte auch alles sein. Zum Traffic: Im Netzwerk laufen paar kleine IoT-Dinge, Chromecast bzw. HD IPTV auf zwei Endgeräten, Streaming von (später mal) 7x 4K Kameras und tagsüber immer mal bisschen SMB-Traffic, aber nicht viel.

Ich glaube, mein Anliegen dreht sich im ersten Schritt darum, wie ich das Unifi USG-3P ablösen kann. Ich bin dahingehend noch nicht 100% sicher, ob das die richtige Entscheidung ist, aber wenn jetzt jemand sagt, das NAS und die 2x 1Gb für WAN/LAN sind ausreichend dafür, würde ich in diese Richtung weiter Fragen stellen. Andernfalls wird es wohl auf einen separaten Router mit Firewall hinauslaufen, dann kommen Folgefragen dazu.

Content-Key: 92610339232

Url: https://administrator.de/contentid/92610339232

Printed on: February 29, 2024 at 14:02 o'clock

Member: orcape
orcape Nov 27, 2023 at 16:09:28 (UTC)
Goto Top
Hi,
Ich glaube, mein Anliegen dreht sich im ersten Schritt darum, wie ich das Unifi USG-3P ablösen kann.
Besorge Dir eine ordentliche Hardware, auf der OPNSense oder pfSense als läuft, einen VLAN-fähigen 8-Port Switch und Du hast ausgesorgt.
Bei Bedarf noch die entsprechenden AP 's, die Du dann in die VLAN 's integrierst.
Einfach mal googlen, Hardware gibt es da jede Menge die tauglich ist.
Gruß orcape
Member: the.other
the.other Nov 27, 2023 at 16:20:35 (UTC)
Goto Top
Moinsen,
kann mich nur anschließen: ein einfaches Board wie IPU oder auch protectli oder andere Dinge aus China (google ist dein Freund) sollten da reichen. Ob pfsense (hier) oder opnsense, beide sollte deine Anforderungen mehr als erfüllen. Ein smart managed switch dazu, der mit VLANs kann.
Wenn du mehr als 1 Gbit/s LAN haben willst wird es etwas teurer, geht aber auf einigen der genannten Boards ebenfalls. Auch RAM für bspw. weitere Pakete zum Nachladen (IP und DNS Blocking) ist dort durchaus vorhanden, du kannst die Geräte da dann auch nach eigenen Wünschen konfigurieren und bestellen.
Die oft (auch hier) genutzten APU Boards ("Nachfolger" o.g. IPU) laufen aus, da würde ich bei dem Gedanken der Neuanschaffung dann doch Abstand nehmen.
Preislich ist das alles so zwischen 250 und 400 Euro angesiedelt, zumindest als ich das letzte Mal geschaut hatte.
Member: Visucius
Visucius Nov 27, 2023 updated at 17:27:44 (UTC)
Goto Top
Quad-Core Xeon mit 64GB RAM
für nen NAS im Heimnetz. Genau mein Humor 😂

Dann kannste Dir bestimmt auch ne entsprechende HW leisten. Ich würde darauf achten, dass Du

a) mehr LAN-Ports hast, als Du benötigst! Weil Du Dich sonst leicht mal aussperrst
b) ne angemessene CPU nutzt (Strom, Hitze)
c) mind. 1 x SFP, idealerweise SFP+ Port integriert hast
d) die CPU-Leistung nicht nur für die lütte Internetbandbreite reichen muss, sondern bei Firewalling zwischen vLANs auch da ggfs. Wirespeed erreichen soll. Je nachdem, wie Du Deine vLANs trennst.

Wir bewegen uns mMn. langsam in den Bereich von 2,5 Gbit/s oder höher. Einfach weil die Clients häufig schon mit 2,5 daherkommen.

Gebrauchte Sophos, AliExpress, Amazon, ebay, usw.
https://www.servethehome.com/?s=opnsense
Neulich hat hier jemand sowas hier gekauft: https://de.aliexpress.com/item/1005006030794589.html?gatewayAdapt=glo2de ...

Vielleicht findest Du auch hier was: Bastelrechner - Sammlung
Member: mtobatz
mtobatz Nov 27, 2023 at 17:42:41 (UTC)
Goto Top
Zitat von @Visucius:

Quad-Core Xeon mit 64GB RAM
für nen NAS im Heimnetz. Genau mein Humor 😂


Na na na face-wink Kümmert sich ja auch aktuell schon um Videoüberwachung und Transkodierung. Für mich ist bspw. ECC-RAM wichtig im NAS und bei Selbstbau-NAS, bei denen du nur Mini ITX zur Wahl hast, gibt es dann nicht mehr so viele Möglichkeiten. BTW sind es "nur" 32GB, hatte mich da vertan. Ist ja nun letzten Endes auch einmal da.

Zitat von @orcape:

Besorge Dir eine ordentliche Hardware, auf der OPNSense oder pfSense als läuft, einen VLAN-fähigen 8-Port Switch und Du hast ausgesorgt.

Sollten die vorhandenen Unifi-Switche nicht ausreichend sein dafür? Aber mein Bauchgefühl war auch schon, dass da eine pfSense hin sollte. Zwar komplettes Neuland, aber dann ratet ihr grundsätzlich zu einem separaten Router.

Zitat von @Visucius:

a) mehr LAN-Ports hast, als Du benötigst! Weil Du Dich sonst leicht mal aussperrst

Wie gesagt, würde vom bisherigen Setup den 16-Port-PoE und den AP weiternutzen. Spricht da was dagegen (im Zusammenspiel mit pf/opnSense)? Ports sollten da reichen. 7x Cam, 2x NAS (LAG), 1x Upstream, 1x Downstream, 2x Laptop per Kabel. Knapp, aber kann damit leben.

c) mind. 1 x SFP, idealerweise SFP+ Port integriert hast

Mist, ich sehe, der Unifi Switch hat nur SFP mit 1GBit, das würde als Upstream zum Router bisschen eng.

Wir bewegen uns mMn. langsam in den Bereich von 2,5 Gbit/s oder höher. Einfach weil die Clients häufig schon mit 2,5 daherkommen.

Ich kann für mich mit Sicherheit sagen, dass die nächsten 10 Jahre ein Gigabit Netz zu Hause vollkommen ausreichend ist. Von daher würde ich auf den Invest verzichten.

Vielleicht findest Du auch hier was: Bastelrechner - Sammlung

Ich schau mal rein.
Member: aqui
Solution aqui Nov 27, 2023 updated at 18:14:11 (UTC)
Goto Top
Mist, ich sehe, der Unifi Switch hat nur SFP mit 1GBit, das würde als Upstream zum Router bisschen eng.
Hast du zu dem SFP ggf. noch einen weiteren Port über??
Dann ist ein LACP LAG die einfache und ideale Lösung zur pfSense / OPNsense: 😉
Link Aggregation (LAG) im Netzwerk

Ggf. kann man das NAS ja auch mit einer zusätzlichen NIC noch "pimpen":
https://www.heise.de/select/ct/2023/27/2327712383489076881

Ansonsten die üblichen Standard Plattformen für die Firewall Hardware.
Member: mtobatz
mtobatz Nov 27, 2023 at 18:26:37 (UTC)
Goto Top
Tatsächlich, wenn ich auf den 24-Port-Switch verzichten würde. Dann hätte der 16-PoE 2x SFP frei. Du meinst, dann 2x SFP Transceiver auf RJ45 da rein? Gute Idee. Muss erstmal ne Nacht über alles schlafen face-big-smile
Member: Visucius
Visucius Nov 27, 2023 updated at 18:49:37 (UTC)
Goto Top
2x SFP Transceiver auf RJ45
Das meint @aqui bestimmt nicht 😉 Die RJ45 Transceiver fressen offenbar viel Strom (damit auch Hitze). Wenn Du beidseitig SFP hast, macht der 08/15 Glasfaserkram mehr Sinn (auch wegen Latenz, Stabilität und Preis)

Knapp, aber kann damit leben.
Ich meinte die Ports an der Firewall-Appliance. So, dass Du einen im Originalzustand belassen kannst um dort immer Zugriff sicherzustellen.

Für mich ist bspw. ECC-RAM wichtig im NAS und bei Selbstbau-NAS, bei denen du nur Mini ITX zur Wahl hast, gibt es dann nicht mehr so viele Möglichkeiten.
Da reden wir aber doch eher von nem Server als von einem „Network attached Server“ der sich doch eher durch Stromeffizienz mit Schwerpunkt Speicherplatz auszeichnet

Mist, ich sehe, der Unifi Switch hat nur SFP mit 1GBit, das würde als Upstream zum Router bisschen eng.
Den Datenfluss kannst Du besser beurteilen. Vielleicht wäre der Datentransfer zwischen Client und Server auch ein Aspirant für größere Bandbreiten. SFP ist halt auf 1 Gbit beschränkt. Erst mit SFP+ hast Du da mehr Freiheiten
Member: mtobatz
mtobatz Nov 27, 2023 at 20:03:51 (UTC)
Goto Top
Achso, ja. Aber der von @aqui verlinkte Router hat bspw. nur RJ45. Den könnte ich dem Fall ja mehrfach redundant per LACP/LAG an den vorhandenen 24-Port-Switch anbinden (dann behalte ich den einfach). Für meine Zwecke sollte die Bandbreite dann sicher ausreichen.

Nach dem ersten "Sacken lassen", finde ich da tatsächlich auch bisschen Gefallen dran. Die beiden Unifi Switche könnte ich per SFP LACP verbinden (weiß gar nicht, warum ich das nicht schon gemacht habe). Das NAS ist auch zweifach per LACP angebunden. Und so einen einfachen IPU-Router könnte ich auch erstmal 2fach per LACP anbinden, 1x wäre dann für WAN frei und 1x könnte ich als Reserve aufheben. D.h. die Trunks haben bisschen größere Bandbreite.

Danke erstmal für die Anregungen. Ich suche die Tage mal nach einem Ziel-Objekt aus den Vorschlägen.
Member: aqui
aqui Nov 27, 2023 at 20:45:43 (UTC)
Goto Top
Du meinst, dann 2x SFP Transceiver auf RJ45 da rein?
Jepp, Bingo und dann 2er Trunk auf die Firewall...fertisch. face-wink
Member: Visucius
Visucius Nov 27, 2023, updated at Nov 28, 2023 at 06:31:25 (UTC)
Goto Top
Jepp, Bingo und dann 2er Trunk auf die Firewall...fertisch. face-wink
Aha @aqui, bestimmt ne doofe Frage: Warum ist das besser als DACs?!
Member: maretz
maretz Nov 28, 2023 at 05:11:12 (UTC)
Goto Top
Also - erstmal viel Spass beim Basteln. Dir sollte aber schon klar sein das deine Performance sich nicht nennenswert ändern wird (ok, natürlich, zuerst schon weils alles neu und schneller aussieht).

Aber seien wir mal kurz ehrlich: Deine Kamaras machen ggf. 20 mbit (vermutlich eher deutlich weniger, ich würde mal so bei 2-5 rechnen weil die eigentlich schon ne recht gute kompression haben UND überwachungskamaras tendentiell wenig Bewegung haben). Für dein ganzes WLAN/Gastnetzwerk wird vermutlich eh dein Internet der limitierende Faktor werden. Chromecast,... macht auch so im normalfall weniger als 10 mBit (daran haben allein die Provider schon nen Interesse - würde Amazon jeden Film mit 4K Uncompressed streamen zB. würden natürlich erheblich mehr Leitungen nötig werden als wenn man das gepflegt mit 2-3 mbit compressed macht UND man würde Kunden verlieren die eben keine entsprechenden Leitungen haben).

Der LAG/LACP hilft dir natürlich wenn du von 2+ Geräten gleichzeitig intern vom NAS entsprechende Daten ziehst. Auch hier ist ne Video-File zB. über deinen Chromecast nicht das kriterium da es nicht erst die ganze Datei braucht bevor der Stream anfängt. Sondern wenn du zB. den Film auf deinem Rechner bearbeiten willst (also Laden, Bearbeiten, Speichern) und dabei die Datei zB. direkt aufm NAS liegt.

Lediglich beim Transcode wird es interessant. DA kommt es natürlich schon etwas auf die Rechenleistung an - je nachdem was man wohin packen will. Das ist aber üblicherweise nix für die Video-Überwachung da hier die Aufnahmen natürlich unverfälscht gespeichert werden sollten UND du idR. nicht das Risiko von Pixeln haben willst. Wäre ja auch blöd wenn du da nur nen pixel-gesicht vom Einbrecher hast... Da hängt es dann davon ab wie oft du das wirklich nutzt - mir persönlich wäre da eben der Stromverbrauch zu hoch um da jetzt die grosse Maschine hinzustellen und wenn dann wird das Transcode eben mal schnell aufm Rechner gemacht (wenns sich nur um einzelne Videos handelt).

Aber von daher würde ich jetzt nix sehen was da erstmal die grosse Anforderung wäre. Wenns natürlich mehr um den Spass beim Umbau geht (es soll ja Menschen geben die da Spass dran haben!) ist es was anderes. Aber ein Leistungsproblem würde ich erstmal nicht bei den UniFi Geräten sehen, denn den Datendurchsatz den du da wirklich brauchst würde vermutlich jeder 20 Jahre alte 100 mbit Switch im Schlaf erledigen...
Member: mtobatz
mtobatz Nov 28, 2023 at 08:19:06 (UTC)
Goto Top
Danke für Deine Worte. Disclaimer: Ja, das ist mein Hobby und ich habe Spaß dran.

Du wirst sicher recht haben, dass meine Grundlast im niedrigen zweistelligen MBit Bereich liegt. Abends kommt mal noch Streaming über Netz oder von Videos vom NAS hinzu, bzw. IPTV, was ebenfalls über das NAS läuft. Tagsüber hier und da paar kopierte Dateien über Samba. Aber eben deswegen bin ich auch davon überzeugt, dass ich mit einem 1 Gbit-LAN auf lange Zeit keine Probleme habe.

Genau, das LACP kommt erst ab zwei Clients zum Tragen, aber der Switch gibt es her und das NAS gibt es her, warum also nicht nutzen. Ich erstelle regelmäßig Sicherungen meiner VMs vom Laptop auf dem NAS und da nervt mich jedes fehlende MBit.

Wie gesagt, mir ist klar, dass der Xeon im NAS für die Grundlast deutlich oversized ist. Aber mir ist nach wie vor der Einsatz von ECC sehr wichtig (hatte in der Vergangenheit schon kaputte Bilder im Fotoarchiv und wenn ich mit ECC eine Fehlerquelle eliminieren kann, beruhigt mich das). Und da hört es bei Boards mit Embedded CPU auf (klar, von Supermicro gibt es da paar Atom-Boards, aber die Auswahl ist da sehr eingeschränkt). Und klar ist eine dedizierte CPU bei Grundlast stromhungriger als ein Atom oder Celeron J/N. Ich hatte vor kurzem mal ein Strommessgerät dran, da liegt das NAS glaube bei rund 60 Watt im Durchschnitt. Da hängen aber auch 5x HDDs drin, die allein ja schon mind. die Hälfte des Stroms in Anspruch nehmen. Von daher sind wir aktuell bei vllt. rund 25 Watt ohne Festplatten, das ist für mich vollkommen OK. Und wenn die Power benötigt wird, dann ist sie wenigstens auch da.

Aber genau, ich habe Spaß daran an der Hardware etwas herumzubasteln. Und ja, einiges ist oversized.
Das Hauptanliegen war ursprünglich, Unifi komplett zu ersetzen (VPN Probleme bei Android, meine Investition in Unifi Video war nach zwei Jahren für den Arsch, weil abgekündigt...). Nun ist es doch aber ein guter Kompromiss, nur den Router zu ersetzen (Unifi Video ist ne separate Geschichte). Die ganzen Unifi-Geräte laufen bei Grundlast schon bei 60% CPU, mir kommt das schon recht viel vor. Ich denke daher, dass eine günstige IPU da kein Fehler ist, zumal wenn ich darauf ordentliches "Firewalling" haben will. Und wenn IPU und Switch genügend Anschlüsse übrig haben, dann spricht ja auch dort nichts gegen LACP.
Member: aqui
aqui Nov 28, 2023 updated at 08:53:33 (UTC)
Goto Top
bestimmt ne doofe Frage: Warum ist das besser als DACs?!
Doofe Fragen gibts ja nicht und du hast natürlich Recht, es ist keineswegs besser! Ein DAC oder AOC Kabel wäre bei einem SFP Port natürlich die technisch sinnvollere Lösung. Bedingt dann aber das SFP auf beiden Seiten vorhanden ist.
Wenn aber eine Seite nur Kupfer hat ist der TO in dem Falle auf RJ-45 SFPs angewiesen.
Member: Visucius
Visucius Nov 28, 2023 updated at 09:50:16 (UTC)
Goto Top
Puhhh, so war das gemeint. War schon am zweifeln ob ich da vielleicht komplett auf dem falschen Dampfer sei (und @mtobatz Hinweis auf RJ45 only habe ich natürlich ebenfalls dezent überlesen) 😂
Member: mtobatz
mtobatz Nov 28, 2023 updated at 11:56:11 (UTC)
Goto Top
@aqui Darf ich dich nochmal zu deinem vorgeschlagenen Gerät was fragen? Seit kurzem gibt es ja die Alder Lake N CPU, die eine gleiche TDP hat, aber deutlich leistungsfähiger als bspw. der N5100 ist. Abgesehen vom höheren Preis, der das Kraut in meinem Fall auch nicht mehr fett macht, sollte doch folg. Gerät sicher auch geeignet sein, oder?

https://www.amazon.de/KingnovyPC-Firewall-Appliance-Ethernet-Barebone/dp ...

Der hat wohl zudem Platz für eine 5G SIM-Karte. Das wäre als Fallback tatsächlich genial. Da ich einen Telekom XL Vertrag habe, könnte ich dort mit einer Pluskarte eine Ausfallsicherheit reinbringen.
Member: aqui
aqui Nov 28, 2023 updated at 15:11:28 (UTC)
Goto Top
Das war nur ein Placeholder für die 100 anderen Geräte bei Amazon, weil die ja alle gleich aussehen und auch fast den gleichen Inhalt haben. Heise hat die ja ausgiebig getestet:
https://www.heise.de/tests/Luefterloser-Firewall-Mini-PC-im-Test-CWWK-N1 ...
Du machst auch den Denkfehler das die CPU Leistung relevant fürs IP Paket Forwarding ist.
Mit der Mobilfunkerweiterung ist allerdings ein neckisches Feature... face-wink
Man kann auch einen leistungsfähigen Terminalrechner umwidmen:
https://www.kuerbis.org/2021/03/hochverfuegbare-firewall-mit-thin-client ...
https://www.heise.de/ratgeber/Bastelprojekte-ohne-Raspberry-Pi-Gute-und- ...
Es gibt bekanntlich viele (Firewall) Wege nach Rom...
Member: mtobatz
mtobatz Nov 28, 2023 at 17:55:34 (UTC)
Goto Top
Hatte ich schon "befürchtet".
Na dann, bestellt ist er jetzt eh. face-big-smile Mit 8GB RAM und 256GB NVMe und mit Rabatt für 200 EUR ist er angesichts der Mehrleistung gegenüber dem von dir zuerst verlinkten aus meiner Sicht keine Fehlentscheidung.
Bin gespannt, wie OPNsense drauf läuft, könnte aber wahrscheinlich erst ein Projekt für den Weihnachtsurlaub werden.
Danke erstmal.
Member: aqui
aqui Nov 28, 2023 at 21:14:58 (UTC)
Goto Top
Bin gespannt, wie OPNsense drauf läuft
Keine Sorge, absolut positiv. Der Heise Test war voll des Lobes. Nur...was machst du mit 240 GB ungenutztem NVME Speicher??! face-wink
Member: mtobatz
mtobatz Jan 29, 2024 updated at 14:41:59 (UTC)
Goto Top
Danke nochmal. Das Setup mit OPNsense läuft jetzt seit einigen Wochen stabil. Ich nutze aber auch wirklich nichts spezielles, wie DPI, oder was es da gibt. Damit ist die Kiste eigentlich unterfordert. LAGG tut, was es soll und ich kann endlich meine FW-Regeln setzen, wie ich will. Auch mDNS läuft jetzt wieder ordentlich. Einzig das VPN hat ne Weile gebraucht, weil es immer wieder Probleme mit der nativen Umsetzung auf den Clients gab. WireGuard hat es dann gerichtet. Unifi in allen Ehren, aber das war die richtige Entscheidung.
Member: aqui
aqui Jan 29, 2024 updated at 15:48:04 (UTC)
Goto Top
WireGuard hat es dann gerichtet.
Wäre überflüssige Frickelei, denn OPNsense supportet problemlos die überall auf allen Geräten vorhandenen onboard VPN Clients. Damit ist ein VPN Handling deutlich einfacher. Aber warum einfach machen wenn es umständlich auch geht...?! face-wink
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten