Ubiquiti Unifi "bonyolult" hálózati kérdés (Guru kerestetik)

Hálózatok egyéb

Kedves mindenki!

Vázolom a felállást (nem lesz rövid...):

Adott egy cég 2 telephellyel. Az intézményekben mindenhol unifi eszközök vannak (több unifi switch (poe-s, nem poe-s), unifi ap-ac lr és lite-ok) usg pro-4 routerekkel. Az egyik helyen van egy cloudkey2 a másik helyen egy pc a controller (egy windows 201x szerver, pontosabban). Mindkét intézménynek van saját netje, 8-10 külső ipvel. A két intézmény össze van lőve egy 150mbitet tudó vezeték nélküli kapcsolattal (valami ubiquitis (nem Unifis) megoldással, ezt jelenleg nem tudom milyen). Jelenleg csak az egyik intézménybe van beüzemelve teljesen a rendszer, tehát az egyik usg-pro 4 kapja és adja a netet a teljes hálózatnak, ő a dhcp szerver is stb. A cél az lenne, hogy a másik helyen is beüzemelni a saját netet, az ott lévő eszközöket arra az usg pro-4 routerre csatlakozzanak. Alapból mindkét telephelyen a saját netjükön menjenek ki a kliensek lenne a cél (az egyik cél). És akkor most jön a bonyolítás: azt is szeretnék, hogy mindkét intézményből lehessen mindkét belső hálót látni (mert csak 1 szerver van, a dolgozok mindkét helyen dolgoznak és mindenki a gépekbe a saját felhasznevével és jelszavával lép be, majd ott látja a dolgaikat) továbbá, ha az egyik net kihullik, akkor a másik helyről tudjanak tovább netezni.

A probléma csak annyi, hogy a 2 hely csak wifin van összelőve, az egyik helyen (ROUTERB) a pincében van, az antenna meg 4 emelettel feljebb és nincs közvetlen kábel a router és az antenna közt.A switchek optikával csatlakoznak a központi switchhez. De mivel teljes unifi háló van, elvileg vlanokkal megoldható ez a probléma, ha jól sejtem. Az igazi problémát számomra a routing jelenti. A routingot be tudom állítani gui-n keresztül vagy szerkesztgetni kell mindenképp a json fáljt? Egyáltalán ez az egész feladat megoldható-e ezekkel az eszközökkel? Tudom, a szűk keresztmetszet a wifis átlövés, de ezzel nem feladatom foglalkozni, nem is kívánnék, mert ezen szerintem jelenleg változtatni nem akarnak/tudnak. Egyébként máshogy nem lehet megoldani a dolgot, csak rádiósan.

Az igazság, telepítünk pár csip-csup rendszert, de mi (én) a mikrotik(ált. ccr)/szerver a router - valami managelhető switchek (ált. zyxel vagy unifi poe-s switchek), cloudkey és természetesen UAP-k rendszert favorizálom(a "legnagyobb" rendszerben már van vagy 80 uap, amik száma folyamatost bővül), mert annak idején (pár éve) döntenem kellett, melyik irányt járjuk és ez az unifi router téma már akkor a szívembe lopta magát, ami most frissen ránézve, még mindig nem változott... :) Persze, tudom, el kell menni tanfolyamra, stb, stb. Ez most nem pálya, meg szerintem nem is kívánnám a dolgot ((ez a fantasztikus java-s dolog, hát....) Meg ha routing is olyan fantasztikus, mint a vlanozása (hát, érdekes volt első alkalommal megcsinálni csak unifi switchekkel...), azt nagyon tudnám kedvelni... Amit neten találtam a témában, mindenki a config.valami.json fáljt szerkesszem dologgal jött, mert állítólag csak azzal lehet megoldani, gui-n keresztül nem.

Tehát összefoglalva: a 2 telephely belső hálója látható legyen mindkét helye, el tudjanak érni mindent mindkét belső hálón, mindenki a saját ("A" telephely NETA, "B" telephely NETB) netje használatával netezzen) (ha lehet, az internetes (vpn-s) megoldásokat kihagyva(a net is "combos", ennyi van, nincs több)). Ha egyik helyen kiesik a net, akkor a másik helyről tudjanak netezni tovább (ip cím váltás nem gond)(ezt nem értem, mert a net elérés nem kritikus dolog...). A két telephely rádiósan van összekötve, az egyik felét tudjuk a routerre közvetlen is csatlakoztatni, a másikat nem (vagy csak optikán keresztül, bonyolultan (mert be kell rakni egy médiakonvertert :D )). USG-PRO4 routerekkel, Unifi switchekkel ez a probléma megoldható-e, ha igen, hogyan (tehát az elképzelésem helytálló, valamint mindenképp szerkesztgetni kell a json file-t)? Továbbá ha segítségre lenne szükségünk kihez tudunk fordulni? Ja, és engem megkértek, hogy esetleg ezt meg tudjuk-e oldani (nem ez a feladatom ott), de úgy indult az dolog, nézzek rá, eddig a beállítások, okék-e, én beállítottam nekem pár alap dolgot és akkor mondtam kellene vlanozni, mert ez így nem annyira jó és akkor így jutottunk el "A Feladathoz"...), de ahogy tudom, eddig már 2 helyről lepattintották őket (engem csak 1 helyről eddig, a kérdésemmel (kicsit bonyolultnak találták ezt a feladatot) :D ). Én a megoldást keresem, akkor is, ha saját magam nem tudnám megoldani teljeskörűen ezt a feladatot (eddig úgy érzem, nem). Ja és persze minden működik már élesben, kb (ahogy a beharangozóban írtam).

Előre is köszönöm a nagyérdemű közreműködését!

 

( bennyh | 2019. 11. 02., szo – 20:55 )

Szerkesztve: 2019. 11. 02., szo – 20:56

Rajzolj, mert így kicsit nehezen átlátható, amúgy mindkét oldalon a backup gw legyen a másik oldal ISP-je, ez Mikrotiken nem nagy kunszt. VLAN-t simán kezel a legtöbb említett eszköz, mindenesetre ne bridgelj a két telephely közt hálózatokat (ha nem szükséges) hanem egyes alhálók közötti átjárást érdemes szabályozni a routereken, tűzfal szabályokkal.

Szia!

Holnap dobok fel egy rajzot, most xfaktor. :D

De komolyan, holnap összedobok egy rajzot. Viszont itt nincs semmi mikrotik(ha mikroban elakadnék, vannak körülöttem guruk, akik ezt még oktassák is :D (több is, mindeyik azt mondja, ő a legjobb...) ), akkor nem lenne ekkora a gond(talán nem lenne semmi,azzal csináltam már "cifra" dolgokat... ). Itt minden Unifi, a routerek USG-Pro4-ek. A switchek is unifik, az AP-k is. Itt az Unifivel van "problémám". A Wan2-re viszont mindkét másik oldal ISP-je csak vlanon keresztül tud odajutni, más vonal nincs...Ahogy írtam, kicsit bonyi a hálózat... :D Akinek majd felügyelni kell (akié lesz, kvázi) sem egy egyszerű ember, de legalább abszolút nem ért a munkájához( ő a rendszer és hálózatgazda és van neki 2 db ROOTerje, az a trafó, amit  a szerverbe kell dugni, hogy menjen az optika és akkor ezek csak az apróságok.... :D )

( kallaics | 2019. 11. 02., szo – 22:40 )

A válaszhoz a VLAN, static routing kulcsszavak vezetnek szerintem.

Ha jól értem a lényeg, hogy minden telephely a saját neten keresztül éri el a netet, de a két telephelynek egymással továbbra is közvetlenül kellene kommunikálnia.

Az antennák Airmax típusúak lesznek jó eséllyel.

Az Internet mindkét oldalon legyen WAN és default gw.

A két telephelynek meg meg dedikált portja az USG-ken az antennák felől (VLAN)

USG-ken static routing beállítása a másik telephely felé.

Ez eléggé elnagyolt terv, de valami ilyesmit csinálnék ha a WiFi átlövésnek továbbra is a régi módon kéne működni.

Ja és a tűzfal szabályokat is be kell lőni.

Nyilván ez egy elnagyolt elképzelés és ezt ki kell dolgozni részleteiben, de iránynak jó lehet.

( kila | 2019. 11. 03., v – 01:37 )

Szerkesztve: 2019. 11. 03., v – 07:08

Én az alábbiak szerint szerint raknám össze a két hálót és így policy routinggal megoldható a kivánt internet failover, static routinggal pedig a két telephely közti forgalom. (usw=unifi switch)

usg1 wan1 --- inet1                                                    usg2 wan1 --- inet2
usg1 lan1 --- clients1                                                 usg2 lan1 --- clients2
usg1 wan2 --- usw1 (vlan1) --- wifi link1 (ssid1) --- usw2 (vlan1) --- usg2 lan2
usg1 lan2 --- usw1 (vlan2) --- wifi link2 (ssid2) --- usw2 (vlan2) --- usg2 wan2

A policy routinghoz a config fájl szerkesztés kelleni fog, pl: https://help.ubnt.com/hc/en-us/articles/360005460813-UniFi-USG-Advanced…

A mai wifi eszközök tudnak több ssid-t így a 2 wifi linkhez nem kell több wifi eszköz. A 2 wifi link helyett akár elég 1 is pl. wan2/wan2 portok összekötése, de úgy valószínűleg több dolgot kell a json fájlba szerkeszteni.

--
Légy derűs, tégy mindent örömmel!

( KakalakiAkka | 2019. 11. 03., v – 08:38 )

Kedves Mindenki!

Igen, jól látjátok a dolgot én is erre jutottam, mint ti. Ahogy kila felvázolta a dolgot, kb én is erre jutottam. Most itt a probléma még mindig adott, akkor mindenképp kell a .jsont szerkezgetni mindkét oldalon. Továbbá lehet szívás faktor a wifis átlövésnél (mert ugye nem tudom, mivel van megvalósítva, de szerintem nem airmax, hanem valamilyen Loco megoldással (simán kinézem a helyből, mert csak ideiglenesen kellett a kivitelezőnek megcsinálni, gondolom, nem feccelt bele sok pénzt és energiát, mert csak ideiglenes lesz úgyis, aztán végleges maradt...). Na most az igazat megvallva, nekem a .json szerkezgetéshez nincs kedvem. :D (írtam már, mennyire imádom, ezt a fajta Unifis "sajátosságot"?)

( KakalakiAkka | 2019. 11. 05., k – 16:50 )

Hát ismét sziasztok!

Akkor tudtok ajánlani valaki céget, aki megoldja a kedves ügyfél kéréseit? Nekünk nincs erre időnk (meg persze a megfelelő mélységű tudásom sincs, nekiálltam (megnéztem élőben, mit, merre, hogyan, de véglegesbe nem állítottam semmit) de úgy gondoltam, inkább ezt nem, van egyéb sok dolgom, mit itt most ilyeneket tanulgassak...), meg adott esetben minek növeljük a kedves ügyfél költségeit a próbálkozásokkal.

Szóval, tudtok konkrét Ubiquitis gurut ajánlani, akit tudok a kedves ügyfélnek tovább ajánlani?

( KakalakiAkka | 2019. 11. 07., cs – 10:28 )

Szerkesztve: 2019. 11. 07., cs – 10:28

Senki? Nem kell megijedni, nincs kormányzati kötődése a cégnek(nincs haver haverjának a haverja sem). Vagy ha ez a probléma, hogy nincs, hát akkor sincs. :)

Igaziból már tapogatóztam másoknál is, de mindenki azt mondja ez egy bonyi hálózat (és persz finom mondják, hogy nem, de ajánlani sem tudnak senkit. A guruk is nagyon csendben voltak most. :D). Biztos az, itt Ubiquitin. Wifiben nem rossz, de amikor a bonyolultságot bele kell vinni, akkor szerintem ultrabonyolultá válik a helyzet vele... Persze, lehet csak nekem. Meg akik eddig passzolták a témát. :)

Szóval, akkor, nem tudod valaki a feladat megoldására ajánlani valakit?

. Wifiben nem rossz, de amikor a bonyolultságot bele kell vinni, akkor szerintem ultrabonyolultá válik a helyzet vele

Igen jól látod, tipikus amcsi termék egyszerű halandóknak. Azaz van pár sokak által használt alap funkció  amihez rittyentettek, csilli villi felületet. Így mindenki rendszergazdának képzelheti majd magát, főleg az újoncok, mert azt hiszik csak ennyi funkció van :D. Viszont, amint ahogy mondod bonyolultabb dolog kell, vagy már nem annyira alap dolgot kell megcsinálni, jön a fejvakarás. 

Volt, hogy emiatt régebben unifi eszközre openwrt került :D 

ui: Viszont a tapasztalatom, az hogyha hasonló dolog kell mint a fent vázolt. Akkor oda azért több szokott kelleni, mint hogy itt állítok ott állítok és kész is. Nem árt tisztában lenni akkor a belső dolgokkal, amihez meg nem árt ha van naprakész infó/doksi. És ez utóbbi nem szokott lenni, ezért is nagyon nehéz hasonló feladatra vállalkozni, főleg ha elkezdenek kihullani a csontvázak :D

Fedora 38, Thinkpad x280

Lesznek/vannak bizony! A sztori úgy indult, nekünk ott optikáznunk kellett. Aztán a fővállalkozó mondta, ha már ott vagyunk, csináljuk meg a telefonközpontot is (értünk hozzá, van papírunk, csináljuk is őket, nyilván vagyunk tartva bizonyos cégeknél, mint stb, stb, nem nem Matrix központok... :D), meg segítsünk beállítani a hálót a "informatikusnak". A helyszínen derült ki, mi a felállás. Mondom, oké, rálesek. És amikor látom, hogy .json, bennem akkor jött fel a gondolat, nekem ez nem kell. Mi ált mikrotik router és zyxel switchekkel oldjuk meg a hálót, mostanság kezdtük Ubi Unifi switchekkel is, de az Unifis vlanozásos dolog is megérne egy misét. Persze minden szokható, csak mikor az ember elér egy bizonyos kort (37 :D), tud már dolgokat elengedni, dolgokra nemet mondani, hogy ez kell nekem? Meg persze már ott van az a faktor is, hogy nem akarok mindenhez is érteni. :)

A tárgyra visszatérve: a hálózat egyik fele van kb konfigolva a másik még adoptálva sincs, hogy a hálózat kialakítása könnyebb legyen. Még egy plusz dolog jött képbe, az ember szeretné, ha az usg-k adnák a vpn-t, most a server2016 adja (fogalmam sincs, milyet, én kértem, de nem kaptam belőle), ami neki nem tetszik.

Szóval elvállaltatok egy "A" melót, majd rátok sóztak egy "B"-t és egy "C"-t is és már itt "D" is (Windows Server VPN)! Remek tipikus magyar mentalitás. Remélem "A" árába nem kellett, hogy "B", "C" és "D" is beleférjen.

Ez nem egy tipikus kis irodai felállás, amit kérnek. Megoldható ezzel az eszközzel, de ahogy fentebb is írták nem erre lettek kitalálva. Tehát az egy járható út, hogy backup - restore után be kell lépni az eszközre és be kell tölteni egy patch-et, de ez másképp nem fog menni jelen körülmények között.

Egyébként engem érdekel mint kihívás, de meló mellett nem tudnék túl gyorsan megoldást produkálni és főleg nem olcsón. Azt még bele sem kalkuláltam,hogy a Wifi-n milyen problémákba lehet beleütközni majd és mennyi időt vesz el a mire ott a felmerült dolgokat meg tudom oldani. Ha nem sürgős, akkor tudom vállalni, hogy megfelelő összeg ellenében elkezdek vele foglalkozni és a teljes hálózati dokumentációt (topológia, VLAN-ok, ip tartományok, konfigurációk kezelése (mentés-helyreállítás), ha eszköz kiesés van, akkor hogyan kell helyretenni a  rendszert stb.) is elkészítem, mert ezt gyakran elfelejtik. Ha érdekel, akkor keress meg privátban!

A VPN-t ha működik, akkor nem bántanám. Főleg, ha van AD, akkor azt nem biztos, hogy egyszerű lenne összeintegrálni a Unifi-s eszközökkel.