13
Ubiquity (ubnt) EdgeRouter, Wireless AP - Kleines ISP Network
Hallo zusammen,
ich hoffe unter euch gibt es welche, die sich schon mal mit den Ubiquity Edge Routern gearbeitet haben.
Vielleicht reichen für die Beantwortung der Fragen auch allgemeine Routing und Router-Kenntnisse
Haben da aktuell ein Projekt in Planung und sind zurzeit in der Testphase.
Da die öffentliche Netzabdeckung bei uns im Gewerbegebiet aktuell sehr miserable ist, wollen wir unser, als auch ein paar umliegende Unternehmen über Funkstrecken-Technik mit einem stabilen und ausreichendem Netz ausrüsten.
Dafür haben wir ein öffentlichen Business Anschluss an einem Standort geplant, der es uns mit Funkstrecke zulässt, das Gewerbegebiet bzw. die Unternehmen zu erreichen.
Unser "kleines ISP"-Backbone hatte somit 3 Standorte: "WAN", "Office" und "Home".
Jede Verbindung von Standort zu Standort ist in einem anderen Subnetz. (3x /27 angefangen beim Netz 10.0.0.0)
WAN-Office
WAN- Home
OFFICE-HOME
Hier soll OSPF zum Einsatz kommen. Reicht hier eine OSPF-Area für das Backbone?
Zurzeit sind die Subnetze gebildet, die AP's bzw. Stations miteinander verbunden und das Backbone-Dreieck sozusagen intern geschlossen.
Von unserem Business Provider der am WAN-Standort angeschlossen ist, haben wir 5 WAN-Adressen zu Verfügung gestellt bekommen.
Diese müssen aber 5 MAC-Adressen zugeordnet werden.
Jetzt die Frage, wie können wir es lösen, das jedes Unternehmen seine eigene WAN-Adresse nach außen hat und wir als ISP sehen, aus welchem Netz was kam.
Auch in Hinsicht was Haftung von Handlungen in den einzelnen Netzen angeht.
Andere Frage wäre noch. Wir benötigen an jedem Standort mind. 1 Service-Interface, über das wir auf alle Router im Backbone Zugriff haben. Wie ist das über 3 Subnetze möglich?
Ich danke euch schon vorab für eure Hilfe.
ich hoffe unter euch gibt es welche, die sich schon mal mit den Ubiquity Edge Routern gearbeitet haben.
Vielleicht reichen für die Beantwortung der Fragen auch allgemeine Routing und Router-Kenntnisse
Haben da aktuell ein Projekt in Planung und sind zurzeit in der Testphase.
Da die öffentliche Netzabdeckung bei uns im Gewerbegebiet aktuell sehr miserable ist, wollen wir unser, als auch ein paar umliegende Unternehmen über Funkstrecken-Technik mit einem stabilen und ausreichendem Netz ausrüsten.
Dafür haben wir ein öffentlichen Business Anschluss an einem Standort geplant, der es uns mit Funkstrecke zulässt, das Gewerbegebiet bzw. die Unternehmen zu erreichen.
Unser "kleines ISP"-Backbone hatte somit 3 Standorte: "WAN", "Office" und "Home".
Jede Verbindung von Standort zu Standort ist in einem anderen Subnetz. (3x /27 angefangen beim Netz 10.0.0.0)
WAN-Office
WAN- Home
OFFICE-HOME
Hier soll OSPF zum Einsatz kommen. Reicht hier eine OSPF-Area für das Backbone?
Zurzeit sind die Subnetze gebildet, die AP's bzw. Stations miteinander verbunden und das Backbone-Dreieck sozusagen intern geschlossen.
Von unserem Business Provider der am WAN-Standort angeschlossen ist, haben wir 5 WAN-Adressen zu Verfügung gestellt bekommen.
Diese müssen aber 5 MAC-Adressen zugeordnet werden.
Jetzt die Frage, wie können wir es lösen, das jedes Unternehmen seine eigene WAN-Adresse nach außen hat und wir als ISP sehen, aus welchem Netz was kam.
Auch in Hinsicht was Haftung von Handlungen in den einzelnen Netzen angeht.
Andere Frage wäre noch. Wir benötigen an jedem Standort mind. 1 Service-Interface, über das wir auf alle Router im Backbone Zugriff haben. Wie ist das über 3 Subnetze möglich?
Ich danke euch schon vorab für eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315097
Url: https://administrator.de/contentid/315097
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
13 Kommentare
Neuester Kommentar
Reicht hier eine OSPF-Area für das Backbone?
Ja, das reicht völlig bei nur 3 Neighbor Nodes. Kannst du alles in die Backbone Area 0 setzen.Alternative wäre BGP, dort hast du etwas mehr Filtermöglichkeiten. Es ist aber mehr eine kosmetische Entscheidung. OSPF ist einfacher einzurichten.
Die Frage ist warum du mit /27 arbeitest ?? Besser wäre doch jeden Teilnehmer Link als Point to Point Netz einzurichten mit einem /30 Subnetz. So hast du routingtechnisch eine saubere Trennung der Teilnehmer !
Diese müssen aber 5 MAC-Adressen zugeordnet werden.
Das kommt darauf an wie du die Internet Anbindung lösen willst. Leider teilst du uns das ja nicht im Detail mit.Du hast ja grundsätzlich 3 Optionen:
- Alle lokalen Teilnehmernetze zentral über eine zentrale IP mit Port Adress Translation.am WAN Standort
- Jeder Teilnehmer bekommt eine eigene Provider IP aus dem Pool und macht NAT darüber.
- VPLS über das geroutete 10er Funk Backbone nutzen und so das Subnetz mit den 5 Provider IPs per Layer 2 allen Teilnehmern anzubieten. (Das wäre übrigens auch ISP like
)
Du willst es ja vermutlich nach Punkt 2 lösen, was ja auch sinnvoll ist.
Normal machst du das mit einem IP Alias auf dem WAN Port des provider Routers und filterst die lokalen LAN IP Adressen mit einer Accessliste für den NAT Prozess auf der spezifischen Alias IP.
Mit einem Cisco Router ist das ein simpler 3 Zeiler in der Konfig ! Das sollte mit der Ubiquity Gurke eigentlich identisch sein, denn die Prozedur ist mehr oder minder Standard.
Denkbar ist auch das du es über VPLS löst. Mit einem Mikrotik Router wäre das z.B. ein Kinderspiel.
Damit könntest du dann das Subnetz des Providers mit den 5 IP Adressen transparent als Layer2 Netz über dein 10er Layer 3 Backbone an alle Standorte bringen.
Das hätte den Riesenvorteil, das du dich allein nur um dein kleines geroutetes Funk Backbone kümmern müsstest das Provider netz aber bei jedem Teilnehmer mit L2 Transparenz erreichbar ist.
So kann jeder der Teilnehmer seinen eigenen Internet Router der Wahl betreiben und wäre für die Verbindung eigenverantwortlich ohne immer bei dir nachfragen zu müssen.
Letztlich wäre das das sinnvollste Konzept um auch die 5 öffentlichen IPs sinnvoll zu nutzen. Jeder Mikrotik Router supportet z.B. VPLS. Zusätzlich erübrigt sich dann auch gleich der Punkt mit dem Servicenetz, denn du stellst mit deinem Backbone ja nur ein Transportmedium dar, das die 3 Teilnehmer gar nicht "sehen" !
Sie bekommen nur einen Ethernet Port an dem das Providernetz mit den 5 IP Adressen hängt. Alles andere "sehen" sie nicht und haben auch keinen Zugang dazu.
Letztlich sind aber beide Konzepte umsetzbar.
Vorweg, kleiner Schreibfehler oben, erstes Netz beginnt bei 10.0.1.0.
Danke für die schnelle Antwort.
Hab hier mal kurz ne Zeichnung gepinselt. Vielleicht wird es dadurch klarer.
Jeder Anschluss hat noch einen Backup-WAN-Zugang. Das heißt, die Kunden sind weiterhin parallel bei ihrem eigenen, aktuellen ISP (eben mit geringerer Bandbreite als unser Netz nachher.
Nur im Falle, dass unser Netz zusammenbrechen sollte.
/27 ist wirklich bisschen größer als normal benötigt. Wollen aber noch Überwachungskameras an den Schaltschränken usw. mit einbinden. Da haben wir uns dann sicherheitshalber noch ein Puffer gelassen.
Was die WAN-IP's angeht, wäre es am besten, wenn man beim Abschlusspunkt des Kunden einfach die MAC eines Interfaces für die WAN-Adressierung des Providers nutzen kann.
Danke für die schnelle Antwort.
Hab hier mal kurz ne Zeichnung gepinselt. Vielleicht wird es dadurch klarer.
Jeder Anschluss hat noch einen Backup-WAN-Zugang. Das heißt, die Kunden sind weiterhin parallel bei ihrem eigenen, aktuellen ISP (eben mit geringerer Bandbreite als unser Netz nachher.
Nur im Falle, dass unser Netz zusammenbrechen sollte.
/27 ist wirklich bisschen größer als normal benötigt. Wollen aber noch Überwachungskameras an den Schaltschränken usw. mit einbinden. Da haben wir uns dann sicherheitshalber noch ein Puffer gelassen.
Was die WAN-IP's angeht, wäre es am besten, wenn man beim Abschlusspunkt des Kunden einfach die MAC eines Interfaces für die WAN-Adressierung des Providers nutzen kann.
Vorweg, kleiner Schreibfehler oben, erstes Netz beginnt bei 10.0.1.0.
Besagt wenig wenn man den Prefix nicht mit angibt 
Vielleicht wird es dadurch klarer.
War es vorher auch schon aber das macht die Sache transparenter. Das Backbone Design ist bezogen auf die Größe so schon vorbildlich. Man kann nur hoffen das die Funkstrecken im ungestörten 5 Ghz Bereich liegen ?!Jeder Anschluss hat noch einen Backup-WAN-Zugang.
Macht Sinn. Du arbeitest dann vermutlich mit OSPF und floating static Routes was die Default Gateways angeht, denn theoretisch könnte man jedem ja jedem den Backup Link der anderen zur Verfügung stellen Da haben wir uns dann sicherheitshalber noch ein Puffer gelassen.
OK, dann macht das Sinn Wie gesagt, bei der VPLS Lösungsvariante könnte jeder teilnehmer einen preiswerten Dual WAN Port Router einsetzen in Eigenregie. Der kann dann sogar ein aktives Balancing machen zw. dem lokalen Anschluss und dem Funk Anschluss.
So kann man sinnvoll beide Anschlüsse nutzen und die Last verteilen bei einem gleichzeitigen automatischen Failover.
Es gibt halt mehrere Wege nach Rom....
Über das VPLS und MPLS hab ich schon mal was gelesen, aber musste ich noch nie anwenden.
Klingt aber - auch weil es ISP -like ist
- sehr spannend.
Kannst du grob umreißen, wie das mit den WAN-IPs in unserem Fall, beim Einsatz von VPLS aussehen würde?
Verstehe ich das nach deiner Erklärung von oben richtig, das wir hier sozusagen die Pakete durchtunneln über VPLS?
Wegen dem Service der Router. Das war nur auf unser "Transport-Backbone" bezogen. Ab dem Abschlusspunkt beim Kunden, wollen wir nichts mehr damit zu tun haben. Das wäre dann bei der VPLS-Option natürlich überflüssig. Aber für unser Backbone ist ein Service von jeder Seite schon sehr gut.
Gerade nochmals nachgeschaut. Da die EdgeRouter auf dem VyOS haben sie laut Ubiquity Ende letzten Jahres die VPLS und MPLS-Funktion mit eingepflegt bekommen.
Klingt aber - auch weil es ISP -like ist
- sehr spannend.Kannst du grob umreißen, wie das mit den WAN-IPs in unserem Fall, beim Einsatz von VPLS aussehen würde?
Verstehe ich das nach deiner Erklärung von oben richtig, das wir hier sozusagen die Pakete durchtunneln über VPLS?
Wegen dem Service der Router. Das war nur auf unser "Transport-Backbone" bezogen. Ab dem Abschlusspunkt beim Kunden, wollen wir nichts mehr damit zu tun haben. Das wäre dann bei der VPLS-Option natürlich überflüssig. Aber für unser Backbone ist ein Service von jeder Seite schon sehr gut.
Gerade nochmals nachgeschaut. Da die EdgeRouter auf dem VyOS haben sie laut Ubiquity Ende letzten Jahres die VPLS und MPLS-Funktion mit eingepflegt bekommen.
Kannst du grob umreißen, wie das mit den WAN-IPs in unserem Fall, beim Einsatz von VPLS aussehen würde?
Das solltest du als Grundlage lesen:http://www.net-im-web.de/pdf/2004_05s34.pdf
Ganz einfach gesprochen machst du quasi ein Layer 2 Tunneling in alle 3 Standorte über das geroutete Backbone über das dann ein Bridging gemacht wird.
So kannst du das Provider Subnetz vom WAN Standort transparent allen 3 Teilnehmern zur Verfügung stellen wie ein ISP und ohne das du dafür öffentliche IPs verbrätst. Das hat den Vorteil das das Internet dann quasi den Teilnehmern frei Haus geliefert wird.
Mit einem preiswerten Mikrotik Router z.B. ist das mit 3-4 Mausklicks erledigt. Idealerweise macht man das gleich am WLAN Router mit wie dem SXT
http://varia-store.com/Wireless-Systeme/Fuer-den-Aussenbereich/MikroTik ...
bzw.
http://varia-store.com/Wireless-Systeme/MikroTik-Komplettsysteme/MikroT ...
Damit hat man dann Funkstrecke, OSPF Router und VPLS Endpoint in einem kleinen Gerät, quasi die eierlegende Wollmilchsau die das ohne großen Aufwand alles erledigt.
Die Ubiquity Teile können das ja auch wie du sagst.
Okey, super
Und nochmals kurz zu Variante 2. Mit den IP-Alias und NAT. Du erwähnst den WAN-Port des Provider-Routers. Wir haben in dem Fall nur ein Cisco Modem anstatt einem Router vom Provider bekommen und dahinter wäre schon unser 1. Router des Backbones "WAN".
Oder meintest du unseren 1. eigenen Router als WAN-Router für die IP-Alias?
Und nochmals kurz zu Variante 2. Mit den IP-Alias und NAT. Du erwähnst den WAN-Port des Provider-Routers. Wir haben in dem Fall nur ein Cisco Modem anstatt einem Router vom Provider bekommen und dahinter wäre schon unser 1. Router des Backbones "WAN".
Oder meintest du unseren 1. eigenen Router als WAN-Router für die IP-Alias?
Wir haben in dem Fall nur ein Cisco Modem anstatt einem Router vom Provider bekommen
Ganz sicher nur ein Modem und wirklich nur ein reines Modem ohne irgendwelches IP Forwarding ??Gibts da eine Modellbezeichnung ? Sorry für die dumme Nachfrage aber 80% der TOs hier unterscheiden nicht wirklich zwischen reinem Modem und Router mit oder ohne Modem, deshalb muss man diesen Sachverhalt sehr genau prüfen für eine technisch saubere Antwort.
Sprich am Modemport hast du dann das nackte, öffentliche Provider Internet bzw. dein Subnetz ??
Dazu nochmals die Frage dazu: Wie kommst du da auf 5 IP Adressen ? Sehr unüblich für ein Subnetz.
Das Mapping des NAT per Source ACL machst du dann natürlich auf deinem Übergaberouter ins Providernetz, sprich also den Router den du am Provider Modem anklemmst !
Zitat von @aqui:
Dazu nochmals die Frage dazu: Wie kommst du da auf 5 IP Adressen ? Sehr unüblich für ein Subnetz.
Dazu nochmals die Frage dazu: Wie kommst du da auf 5 IP Adressen ? Sehr unüblich für ein Subnetz.
Laut seiner grafischen Darstellung handelt es sich ja um einen gewöhnlichen Unitymedia Business Anschluss mit festen IP-Adresse.
UM vergibt in diesem Fall ein /29 Subnetz, wovon dann 5 IPs zur freien Verfügung genutzt werden können.
Ganz sicher nur ein Modem und wirklich nur ein reines Modem ohne irgendwelches IP Forwarding ??
Sobald bei den UM Business Verträgen 1 oder 5 statische IPs gebucht werden, wird das Kabelmodem in den Bridgemode geschaltet.Ist also was das Subnet angeht nur noch "dummes Modem" egal ob für ggf. gebuchte Telefonieoptionen weiteren Configs auf dem Modem / Router sind oder nicht.
@mhappe
Danke dass du die Schreibarbeit für mich teilweise schon übernommen hast.
Während ich auf die Bestätigung von Ubiquiti warte - ob nun wirklich das VPLS im Stable OS implementiert wurde - hab ich diesen netten Artikel bzw. das How To gefunden.
https://help.ubnt.com/hc/en-us/articles/220710808#the%20scenario
Update: Gerade noch kurz eine weitere Zeichnung gemacht.
Ist das in dem Fall so, dass ich hinter den P-Router noch einen PE-Router setzen muss? Also kann ein Router nicht beides?
Wäre in meinem Fall so dass ich am WAN-Standort 3 Router hätte. WAN-Router (UnityMedia), P-Router und PE-Router für z.B einen/mehrere Kunden direkt am "WAN"- Standort
Ist das der richtige Weg zu meinem Ziel?
Danke dass du die Schreibarbeit für mich teilweise schon übernommen hast.
Während ich auf die Bestätigung von Ubiquiti warte - ob nun wirklich das VPLS im Stable OS implementiert wurde - hab ich diesen netten Artikel bzw. das How To gefunden.
https://help.ubnt.com/hc/en-us/articles/220710808#the%20scenario
Update: Gerade noch kurz eine weitere Zeichnung gemacht.
Ist das in dem Fall so, dass ich hinter den P-Router noch einen PE-Router setzen muss? Also kann ein Router nicht beides?
Wäre in meinem Fall so dass ich am WAN-Standort 3 Router hätte. WAN-Router (UnityMedia), P-Router und PE-Router für z.B einen/mehrere Kunden direkt am "WAN"- Standort
Ist das der richtige Weg zu meinem Ziel?
Ist das in dem Fall so, dass ich hinter den P-Router noch einen PE-Router setzen muss?
Nein, das muss man natürlich nicht. Es sei den.....Du hast auf den Provider Router keinen Zugriff um ihn für deine belange zu customizen was ja in der Regel der Fall ist.
In so fern hast du ja dann keinerlei Chance ohne einen "PE" Router einzusetzen auf den DU Zugriff hast. Technisch gesehen wäre das nicht erforderlich. Das ist eher "politisch".
am WAN-Standort 3 Router hätte. WAN-Router (UnityMedia), P-Router und PE-Router für z.B einen/mehrere Kunden direkt am "WAN"- Standort
Das ist auch irgendwie Quatsch und Unsinn, aber man versteht da deine Zeichnung auch nicht was das soll.Normal reich ein einziger Router...Punkt.
Warum sind da bei dir 3 ? Zwei als Provider bezeichnent, nur einer hat ne Internet Wolke (Cisco). Was ist jetzt was ??
Hast du 3 Provider dort ?
Okey, dann hab ich das wahrscheinlich falsch verstanden.
Hab gelesen, dass das Provider-Netz eben mit P-Router verbunden ist und der letzte Router vor dem Kundenanschluss (Kunden-Router) ein PE-Router.
Auf dieser Grundlage hab ich die Zeichnung angefertigt. Das heißt: Unser gespanntes Dreieck wären in dem Fall die P-Router (Provider-Netz aus Kundensicht) und die PE-Router nur als sauberen und "Provider-like"-Abschluss zum Kunden dahinter.
Aber theoretisch und technisch wie du schreibst, würde das gespannte Dreieck reichen und direkt dahinter den CE-Router packen, richtig?
Muss dir recht geben der WAN-Anschluss-Punkt ist in der Zeichnung ist etwas unklar. Aber vielleicht jetzt klarer, mit meiner Info von oben.
Was ich hier mir gedacht hab, aber vielleicht nicht stimmten muss:
> Unity Media (unser CE-Modem von UNSEREM Provider in dem Fall)
--- > P-Router ---> alle weiteren P-Router im Dreieck
variabel: ---> dahinter PE-Router (Beispiel wenn ein Kunde direkt am WAN-Standort sich aufschalten täte).
--> Kunde hätte dann dahinter ihrn CE-Router
Hab gelesen, dass das Provider-Netz eben mit P-Router verbunden ist und der letzte Router vor dem Kundenanschluss (Kunden-Router) ein PE-Router.
Auf dieser Grundlage hab ich die Zeichnung angefertigt. Das heißt: Unser gespanntes Dreieck wären in dem Fall die P-Router (Provider-Netz aus Kundensicht) und die PE-Router nur als sauberen und "Provider-like"-Abschluss zum Kunden dahinter.
Aber theoretisch und technisch wie du schreibst, würde das gespannte Dreieck reichen und direkt dahinter den CE-Router packen, richtig?
Muss dir recht geben der WAN-Anschluss-Punkt ist in der Zeichnung ist etwas unklar. Aber vielleicht jetzt klarer, mit meiner Info von oben.
Was ich hier mir gedacht hab, aber vielleicht nicht stimmten muss:
> Unity Media (unser CE-Modem von UNSEREM Provider in dem Fall)
--- > P-Router ---> alle weiteren P-Router im Dreieck
variabel: ---> dahinter PE-Router (Beispiel wenn ein Kunde direkt am WAN-Standort sich aufschalten täte).
--> Kunde hätte dann dahinter ihrn CE-Router
würde das gespannte Dreieck reichen und direkt dahinter den CE-Router packen, richtig?
Ja, das ist richtig wenn du die VPLS Funktion benutzt.Ohne das machst du das halt so wie du ursprünglich angedacht hattest, ein vermaschtes 10er Netz mit OSPF und über eine ACL am Upling NATest du dann dann Kundenspezifischen Traffic auf die feste öffentliche IP.
Beides ist möglich und funktioniert.
Die VPLS Option hat aber den Vorteil das sie den Großteil der Wartung auf die Teilnehmer "abwälzt" die dann einfach ihr eigenes Equipment daran betreiben.
Das einzige um das du dich kümmern musst ist nur dein Backbone Netz und das die VPLS Tunnel laufen.
Ich wollte mich kurz nochmals zurückmelden, wie die Sache nun gelöst - beziehungsweise halb gelöst ist -
Wir nutzen nun die PPPOE-Technik in Verbindung mit einem daloRadius-Server der am Core-Router hängt.
Hinter unserem Backbone-Netz hängt ein kleiner EdgerRouter X als Abschlusspunkt. Auf dem läuft der PPPoE-Server. Dahinter ist über Layer 2 direkt eine Fritze angeschlossen - in dem Sinne der Kundenrouter.
Bis zum Edge-Router X ist OSPF eingerichtet.
Jetzt wollte ich auf der Fritze die Benutzerdaten eingeben und den Kundenanschluss testen. Da bekomme ich nach Authentifizierungsvorgang diese schöne Meldung:
Der Internetanbieter reagiert nicht auf PPPoE-Packete. Siehe auch Bild.
Sieht für mich nach einem nicht reagieren des PPPoE-Servers aus oder? Bzw. er schickt keine Pakete zurück.
Wir nutzen nun die PPPOE-Technik in Verbindung mit einem daloRadius-Server der am Core-Router hängt.
Hinter unserem Backbone-Netz hängt ein kleiner EdgerRouter X als Abschlusspunkt. Auf dem läuft der PPPoE-Server. Dahinter ist über Layer 2 direkt eine Fritze angeschlossen - in dem Sinne der Kundenrouter.
Bis zum Edge-Router X ist OSPF eingerichtet.
Jetzt wollte ich auf der Fritze die Benutzerdaten eingeben und den Kundenanschluss testen. Da bekomme ich nach Authentifizierungsvorgang diese schöne Meldung:
Der Internetanbieter reagiert nicht auf PPPoE-Packete. Siehe auch Bild.
Sieht für mich nach einem nicht reagieren des PPPoE-Servers aus oder? Bzw. er schickt keine Pakete zurück.
