Ubiquiti USG bijplaatsen in bestaand netwerk

Falcon10 schreef op vrijdag 9 augustus 2019 @ 20:28:
Lullig als je vrienden overhaalt om ook Ubituiti te nemen, die een kleine zaak hebben.
Volgende situatie :

[Afbeelding]

Internet verbonden aan het kleine bedrijfje van een vriend van me, aan een fiberoptic ISP router die als DHCP staat ingesteld. Het fixed IP van die router is 192.168.0.1. Tot daar geen probleem.
Rechtstreeks aan die FO router hangt nog een aparte alarm en telefooncentrale, ook in de 192.168.0.* range, verder geen idee van hun configuratie etc, worden beheerd door desbetreffende bedrijven.
Het idee was om vervolgens achter die ISP router een Unifi USG te hangen, daarachter een Unifi switch, en daaraan de PC's, een Unifi AP ( ook voor gastentoegang ), en een cloudkey.
In theorie ook allemaal geen probleem : de USG krijgt via DHCP zijn adres van de ISP router, en vervolgens deelt de USG via zijn eigen DHCP via bv 192.168.10.x range ip adressen uit naar de PC's, unifi AP en cloudkey etc.
Echter, hangt er sinds vorige week een Cisco 800 bij in het huidige netwerk ( zelfde principe, enkel geen USG, en een "dom" switchje" ) om blijkbaar iets van routing te doen van het boekhoudprogramma.
Die Cisco krijgt ( vermoed ik ) ook momenteel zij IP van de ISP router ( dus in 192.168.0.x range ), en als we die achter de USG en Unifi zouden gaan zetten, gaat zo goed als zeker dat boekhoudprogramma niet meer werken ( kunnen zelf niet in de config van de Cisco, maar zou me niet verbazen als daar ergens iets van routing instaat naar 192.168.1.1 ).

Is er een mogelijkheid dat de USG in een soort transparante modus komt te staan, en dus de DHCP van de ISP router gewoon doorlaat en routing ? Ik vermoed dat er dan niets aan voordeel meer zit aan de USG zelf, of zie ik dat verkeerd ?

Iemand enig idee of Ubiquiti hier nog eigenlijk "nut" heeft ?

Gewoon niet aan beginnen. Als je en netwerk (en zeker het netwerk van een bedrijf) wilt aanpassen, dan moet je heel het netwerk "ownen". Dit wil zeggen dat jij en enkel jij het netwerk configureert en onderhoudt. Je moet dan ook van alle toestellen en toepassingen weten welke vereisten zij aan het netwerk stellen. Als je dat niet weet ga je sowieso met toestellen of applicaties zitten die niet meer werken (denk maar aan vaste ip adressen, port forwarding etc...).
Nu is er al minstens 1 andere partij die zich met het netwerk bezig houdt (die de Cisco 800 geplaatst heeft). Als je met 2 (of meer) begint te prutsen gaat het gegarandeerd mis.

mathias82 schreef op vrijdag 9 augustus 2019 @ 20:35:
[...]


Gewoon niet aan beginnen. Als je en netwerk (en zeker het netwerk van een bedrijf) wilt aanpassen, dan moet je heel het netwerk "ownen". Dit wil zeggen dat jij en enkel jij het netwerk configureert en onderhoudt. Je moet dan ook van alle toestellen en toepassingen weten welke vereisten zij aan het netwerk stellen. Als je dat niet weet ga je sowieso met toestellen of applicaties zitten die niet meer werken (denk maar aan vaste ip adressen, port forwarding etc...).
Nu is er al minstens 1 andere partij die zich met het netwerk bezig houdt (die de Cisco 800 geplaatst heeft). Als je met 2 (of meer) begint te prutsen gaat het gegarandeerd mis.

Tot een aantal jaar geleden had je gelijk maar in mijn werkveld gaan we steeds meer uit van het enkel beschikbaar hebben van kaal *internet* als requirement. Ik ken grote winkelketens die volledig van dit idee zijn afgestapt.

De magische 5 letter lingo combinatie is in deze DMVPN. Zolang de (Cisco 800) router maar het internet op kan is deze zelfstandig in staat een IPSec tunnel op te bouwen naar de centrale omgeving, ongeacht IP Plan of NAT, kaal internet met een DHCP server (lees: een consumenten aansluiting) is voldoende.

Voordelen hieraan zijn o.a.:

• Dat er geen dure dedicated leased-lijnen meer nodig zijn;
• De eindklant (@Falcon10) ‘ons’ device enkel maar kaal internet hoeft aan te bieden en verder zelf in control blijft over de rest van zijn netwerk topology;
• Consumenten internet is vaak net zo stabiel is als zakelijk internet. Dit omdat het deels over dezelfde infrastructuur gaat, zeker the last mile. Als dit risico gemitigeerd moet worden wordt er vaak gekozen voor een 4G verbinding als backup.
• De klant in 99% van de gevallen al over een internetverbinding beschikt en dus geen extra kosten heeft voor de verbinding zelf.

Eventuele nadelen hieraan zijn o.a.:
• In the end heb je geen zekerheid over de stabiliteit, al is dit afhankelijk van het doel van het netwerk en hoe belangrijk dit doel is;
• QoS is niet mogelijk want je bent afhankelijk van je consumenten ISP en lijn, in tegenstelling tot leased-lines waar je afspraken kunt maken (€€) over gegarandeerde bandbreedtes.

@Falcon10 Nu zit die Cisco 800 ook al gepatched achter een router, wat let je om een (al dan niet Unifi) switch tussen de ISP router en je aan te schaffen USG te zetten? Het binnenkomende VLAN zet je dan gewoon door naar diezelfde poort van de Cisco als waarmee hij nu naar de ISP router gaat, plus een poortje van deze switch naar de WAN van je USG.

Dit is maar een fractie van de oplossingen die mogelijk zijn in deze situatie. Zonder daarbij de huidige topologie écht op de schop te gooien.

MisteRMeesteR schreef op zaterdag 10 augustus 2019 @ 00:06:
[...]

Tot een aantal jaar geleden had je gelijk maar in mijn werkveld gaan we steeds meer uit van het enkel beschikbaar hebben van kaal *internet* als requirement. Ik ken grote winkelketens die volledig van dit idee zijn afgestapt.

De magische 5 letter lingo combinatie is in deze DMVPN. Zolang de (Cisco 800) router maar het internet op kan is deze zelfstandig in staat een IPSec tunnel op te bouwen naar de centrale omgeving, ongeacht IP Plan of NAT, kaal internet met een DHCP server (lees: een consumenten aansluiting) is voldoende.

Voordelen hieraan zijn o.a.:

• Dat er geen dure dedicated leased-lijnen meer nodig zijn;
• De eindklant (@Falcon10) ‘ons’ device enkel maar kaal internet hoeft aan te bieden en verder zelf in control blijft over de rest van zijn netwerk topology;
• Consumenten internet is vaak net zo stabiel is als zakelijk internet. Dit omdat het deels over dezelfde infrastructuur gaat, zeker the last mile. Als dit risico gemitigeerd moet worden wordt er vaak gekozen voor een 4G verbinding als backup.
• De klant in 99% van de gevallen al over een internetverbinding beschikt en dus geen extra kosten heeft voor de verbinding zelf.

Eventuele nadelen hieraan zijn o.a.:
• In the end heb je geen zekerheid over de stabiliteit, al is dit afhankelijk van het doel van het netwerk en hoe belangrijk dit doel is;
• QoS is niet mogelijk want je bent afhankelijk van je consumenten ISP en lijn, in tegenstelling tot leased-lines waar je afspraken kunt maken (€€) over gegarandeerde bandbreedtes.

Leuke uitleg, maar wat heeft dit met de oorspronkelijke vraag te maken? Er is helemaal niet over VPN gesproken, het gaat over een "kleine zaak", geen winkelketen waar VPN verbindingen tussen de winkels en het hoofdhuis gemaakt moeten worden.
Het verandert ook niets aan het feit dat het echt geen goed idee is om met meerdere IT administrators onafhankelijk van elkaar aan hetzelfde netwerk te werken.

mathias82 schreef op zaterdag 10 augustus 2019 @ 08:45:
[...]


Leuke uitleg, maar wat heeft dit met de oorspronkelijke vraag te maken? Er is helemaal niet over VPN gesproken, het gaat over een "kleine zaak", geen winkelketen waar VPN verbindingen tussen de winkels en het hoofdhuis gemaakt moeten worden.
Het verandert ook niets aan het feit dat het echt geen goed idee is om met meerdere IT administrators onafhankelijk van elkaar aan hetzelfde netwerk te werken.

Een kleine zaak met een boekhoudpakket, dat boekhoudpakket zal vast wel bij meerdere ‘kleine zaken’ draaien, dus de vergelijking met een winkelketen gaat mijn inziens niet volledig mank, al is VPN een aanname, maar nogmaals, ik gok dat die Cisco wel iets van VPN doet

Mijn punt is dat in de huidige situatie er al meerdere IT Administrators zijn, dat verandert verder niet als je een switch met USG wilt plaatsen door @Falcon10 die ook al het ISP modem beheert, wat de oorspronkelijke vraag was.

En juist door met een afgescheiden (al dan niet VPN) router te werken met daarachter een eigen netwerk heb je juist minder last van andere IT Administrators, juist doordat jij enkel kaal internet vereist

Falcon10 schreef op zaterdag 10 augustus 2019 @ 09:02:
Vindt het wel een goede opmerking.
Ik kan het een poging geven.
Als we op voorhand even nahoren bij de firma van het boekhoudprogramma, die de Cisco 800 ook geplaatst hebben, weten we of het ding gewoon via eender welk IP via DHCP gewoon maar internet toegang nodig heeft, dan lijkt het me haalbaar. Zolang de Cisco enkel een VPN opzet naar een ( waarschijnlijk vast IP ) buitenaf, lijkt dan het interne IP dat hij toegewezen krijgt niet echt doorslaggevend.
Enige lullige is dan weer dat die firma volgens men vriend niet echt gemotiveerd was om alles op korte tijd in orde te brengen voor hem ( hij is overgestapt van boekhoudprogramma en dat moest nogal snel gaan ).

Als jij na het ISP modem een managed switch plaatst die het binnenkomende VLAN (desnoods untagged) vanaf het ISP modem splitst naar enerzijds de Cisco router zoals nu en anderzijds de WAN poort van je USG heb je toch je doel bereikt? Ben je verder ook niet afhankelijk van die ‘firma boekhoud’. Enig detail waar je mee moet opletten is dat de DHCP pool op je ISP modem een extra lease kan uitdelen cq. groot genoeg is

Laat even weten of het is gelukt als je plannetje doorgang heeft gevonden

MisteRMeesteR schreef op zaterdag 10 augustus 2019 @ 09:15:

Als jij na het ISP modem een managed switch plaatst die het binnenkomende VLAN (desnoods untagged) vanaf het ISP modem splitst naar enerzijds de Cisco router zoals nu en anderzijds de WAN poort van je USG heb je toch je doel bereikt? Ben je verder ook niet afhankelijk van die ‘firma boekhoud’. Enig detail waar je mee moet opletten is dat de DHCP pool op je ISP modem een extra lease kan uitdelen cq. groot genoeg is

Laat even weten of het is gelukt als je plannetje doorgang heeft gevonden

Maar moeten de PC's waar het boekhoudprogramma op draaien dan niet achter de Cisco hangen? Anders gaat de VPN verbinding die ze nodig hebben toch niet werken?

PS: Wat bedoel je eigenlijk met "binnenkomend VLAN"?

mathias82 schreef op zaterdag 10 augustus 2019 @ 09:32:
[...]


Maar moeten de PC's waar het boekhoudprogramma op draaien dan niet achter de Cisco hangen? Anders gaat de VPN verbinding die ze nodig hebben toch niet werken?

PS: Wat bedoel je eigenlijk met "binnenkomend VLAN"?

Terechte vraag! Afgaande op de tekening van @Falcon10 is dit de beoogde situatie en heeft hij deze clients voor het gemak weggelaten.

Met het binnenkomend VLAN bedoel ik het verkeer vanuit het ISP modem welke op de managed switch in een VLAN moet binnenkomen om door te kunnen zetten naar de Cisco router cq. USG binnen dat zelfde te verzinnen VLAN, want het verkeer achter het ISP modem is ws. untagged.

WaaroM zou je uberhaubt een apart netwerk/subnet creëren voor alleen een boekhoudpakket?

Wie gaat die machine beheren? Is die machine alleen beschikbaar voor dat pakket? Wat als er andere software op moet? Wat als etc etc etc. Zou er hier nooit inkomen iig.

Om al helemaal niet te praten over het drie keer nat wat ze doen om op internet te komen 😔😔

Even een apart topic aangemaakt omdat de discussie meer over het algemene netwerkontwerp gaat dan over Ubiquiti danwel Unifi.

Falcon10 schreef op zaterdag 10 augustus 2019 @ 09:48:
Achter de Cisco 800 hangt helemaal niets.
Er loopt maar 1 netwerkkabel naartoe vanuit de huidige domme switch die achter de ISP router hangt.
Alle PCs met het boekhoudpakket op, hangen ook gewoon op die domme switch.

Dus die Cisco doet Router-on-a-Stick? Kun je achterhalen hoe e.e.a. wordt gerouteerd? Want je ISP Modem is nu toch Def. GW/Router, ook voor de clients achter de domme switch?

Het kan aan mij liggen uiteraard , maar het kost mij 2x of 3x lezen om te begrijpen welk probleem je wilt oplossen. En zelfs dan vraag ik me af of ik daamee goed zit.

Falcon10 schreef op vrijdag 9 augustus 2019 @ 20:28:
Echter, hangt er sinds vorige week een Cisco 800 bij in het huidige netwerk ( zelfde principe, enkel geen USG, en een "dom" switchje" ) om blijkbaar iets van routing te doen van het boekhoudprogramma.

Is het schema de huidige situatie of de beoogde situatie?

Is er een mogelijkheid dat de USG in een soort transparante modus komt te staan, en dus de DHCP van de ISP router gewoon doorlaat en routing ? Ik vermoed dat er dan niets aan voordeel meer zit aan de USG zelf, of zie ik dat verkeerd ?

Waarom heb je de USG ertussen zitten? Dat heeft neem ik aan een reden. Elke router is in staat tot DHCP relay en uiteraard ook tot routing . Of je het ook kan en wilt configureren is een 2e. Het is in ieder geval niet het default concept van een USG (Security Gateway).

Iemand enig idee of Ubiquiti hier nog eigenlijk "nut" heeft ?

Je bedoelt denk ik “Unifi”? Ubiquity is het bedrijf, Unifi is één van hun productmerken.

Al je vragen hangen samen met een basisvraag: wat was het doel om de Unifi apparatuur te installeren?
Ging het om “gemakkelijk” beheer van een bedrijfsnetwerk door de bedrijfseigenaar? Wil je segmentatie uit veiligheidsoverwegingen? Zonder diret in al,te technische oplossingen te denken is het volgens mij handig om even uit te zoomen en vast te stellen waaraan behoefte is.

Als ik een voorzet mag geven:
- je hebt extern beheerde apparatuur
- je hebt een extern beheerd netwerk
- je hebt een eigen beheerd netwerk

Hoe combineer ik die drie? Mengen kan wel, maar heeft een hoog risico op uitval, gedoe en afhankelijkheid van derden. Deze vraag beantwoorden is ook belangrijk voor de toekomst anders blijf je steeds een spaghetti houden.

Falcon10 schreef op zaterdag 10 augustus 2019 @ 09:48:
Achter de Cisco 800 hangt helemaal niets.
Er loopt maar 1 netwerkkabel naartoe vanuit de huidige domme switch die achter de ISP router hangt.
Alle PCs met het boekhoudpakket op, hangen ook gewoon op die domme switch.

Daarom dat ik ook zeg van dit NIET te doen, tenzij:
1. Je zelf een goede netwerkkennis hebt
2. Je van de boekhoud-firma heel duidelijk op papier krijgt welke vereisten het boekhoudpakket aan het netwerk stelt (IP range, vaste IP adressen, VPN, port forwardings etc...)
3. Je van de eigenaar de garantie krijgt dat jij het alleenrecht op het netwerk krijgt en niemand iets aan het netwerk wijzigt (nog geen kabel versteken) behalve jij

Want momenteel zie ik echt niet in wat die Cisco in het netwerk doet. Router-on-a-stick lijkt mij sterk, gezien alles op een domme switch hangt. Het zou een soort VPN kunnen zijn waarbij er dan op de PC's statische routes toegevoegd zijn om verbindingen naar de VPN over de Cisco te laten lopen. Maar waarom ze het zo nodeloos complex zouden maken is mij ook een raadsel...

Ik heb zelf 2 keer de fout gemaakt om een netwerk over te zetten zonder eerst de leveranciers te contacteren. Twee keer ging het om een kassa-systeem dat nog perfect werkte toen ik doorging, maar de volgende dag ineens niet meer werkte. In het eerste geval was het een ticket printer die een DHCP reservatie nodig had, in het tweede geval was er blijkbaar een "slave" kassa die met een "master" kassa moet kunnen communiceren (gelukkig werkte de master nog wel). Dan kan je zorgen dat je er de volgende dag onmiddellijk staat om het probleem op te lossen.
Ik heb uit mijn fouten geleerd en contacteer nu altijd eerst de leveranciers. Dat kost best wat moeite: je moet iemand aan de lijn krijgen die weet waar hij het over heeft, vaak stellen die zich dan nog arrogant op, denken dat ze het beter weten etc. Maar liever dat dan de volgende dag een ontevreden klant.