Unifi DM, Hoe verkeer van 1 device sturen naar ander device?

Ik heb een unifi Dream Machine SE. Redelijk eenvoudig van opzet. Gewoon alles plat in 1 netwerk. Ik ben ooit nog van plan om IoT af te splitsen en iets voor gasten te maken. Mmaar voor nu werkt het gewoon prima.

Nu wil ik alle verkeer van 1 device sturen naar een ander device ipv naar de wan poort. Hoe doe ik dat?

In meer detail:
device 10.0.0.108 werkt prima, maar ik wil dit verkeer graag naar 10.0.0.202 routeren. 10.0.0.202 is een Ubuntu VM met monitoring software. Deze VM heeft ook een 2e eth1 adapter op 10.0.0.205. Daarop komt het verkeer van 10.00.108 weer naar buiten om zijn weg via de DM naar buiten te vinden.

Mijn eerste gedachte:
-policy based routing! Daarmee kan ik alle traffic van 1 specifiek device sturen naar.... wan1, wan2 en VPN client.... Waarom niet naar 10.0.0.202????

Mijn 2e gedachte:
- Static routing! Maar daarmee kan ik alleen verkeer naar een bepaald adres toe een andere weg in te sturen. Ik wil ALL het verkeer sturen en maar van 1 specifiek device....

Mijn 3e gedachte:
- Firewall rule! Maar dat kan ik alleen blocken of allowen en de advanced tab geeft me echt te veel vraagtekens.

Mijn 4e gedachte:
- VLANS! Nieuw netwerk aangemaakt 10.0.99.x met VLAN ID:99. DHCP ingesteld op DHCP relaying naar 10.0.99.2 (want .1 mag niet, dat is de DM)
- Probleem1: 10.0.0.108 zit op een unmanaged switch downstream van de DM. Andere devices op die switch moeten niet in dat VLAN komen. Ik kan dus niet op poort niveau iets aan een VLAN toewijzen.
- Probleem2: Wat moet ik met eth0 doen op de Ubuntu VM om die op dat VLAN te krijgen.
- Probleem3: Onduidelijk of ik nu een DHCP server moet draaien op die VM of niet. Als ik dat doe, zie ik vreemd genoeg ook andere devices een IP address aanvragen en niet alleen die ene in het VLAN. En dat terwijl 'isolate network' aan staat.... (hoe kan dat dan?)

Ik weet gewoon nog te weinig van VLANs denk ik. Iets met een klok en een klepel.


Als ik een extra computer pak met 2 netwerkkaarten, een switchje en wat kabels dan bouw ik deze monitor setup zo op en werkt het gelijk. Echter ik wil dit graag makkelijk per device kunnen configureren in mijn thuisnetwerk zonder extra apparatuur. Zowel Wifi als bedrade devices.

Ik snap niet goed waarom dit niet kan. Wie weet raad? Hoe zouden jullie dit aanpakken? Zowel qua config op de DM als qua config op de Ubuntu VM?

Masimo schreef op vrijdag 2 augustus 2024 @ 00:55:
En als je bij policy-based routing kiest voor "specific traffic", een device selecteert onder source en dan bij destination een IP-adress (je Ubuntu VM, met eventueel een poortnummer), en als laatste bij interface je eigen netwerk selecteert?

Nee, dat werkt niet. Destination is niet waar het wat mij betreft heen moet maar waar het vanuit de client heen moet. Er is dus niet 1 destination, ik wil ALLE destinations. Bovendien blijft bij interface de keuze beperkt tussen wan1, wan2, vpn.

MasterL schreef op vrijdag 2 augustus 2024 @ 09:30:
Zitten redelijk wat (open) vragen in je TS maargoed ik zal een poging doen.
Routen binnen 1 subnet (10.0.0.0/24 bijvoorbeeld) bestaat niet, dit verkeer wordt geswitched vandaar waarschijnlijk jouw problemen om dit in de router (centraal) te regelen.

Maar wat is precies je doel? Is de VM een router waar je al het verkeer doorheen wil laten lopen?
Bovenstaande is al lastig binnen 1 subnet, je krijgt erg snel te maken met asymmetric routing.
Zo is upstream traffic makkelijk, geef deze router gewoon op als default gateway (desnoods via DHCP).
Downstream traffic loopt dat waarschijnlijk niet door je VM heen maar direct van je DM > client (asymmetric dus).

Als ik jou was zou ik een apart VLAN aanmaken voor de VM, ik neem aan dat VM host wel (volledig) op VLAN capable devices aangesloten is toch?
Wat ik bedoel:
1: Maak een VLAN aan op de DM en op de switch vaar je VM host op aangesloten zit (tagged).
2: Configureer een subnet op dit VLAN anders als ja huidige (10.0.1.0/24 ofzo).
3: Geef in je VM de tag op van je VLAN zodat deze VM in dat VLAN terecht komt, 1 NIC zou voldoende moeten zijn.
4: Maak in je DM een PBR aan voor de devices die je wil en route deze naar de VM.

Hierbij moet je wel de goede default routes en NAT instellingen meegeven (NAT uit de op VM?) natuurlijk maar het zou moeten werken zo even snel uit mijn hoofd.

Het doel is inderdaad dat die VM een router is waar ik 1 specifiek device over wil laten lopen. De rest van de devices moet gewoon blijven doen wat ze altijd doen. Ik wil het liefst vrij makkelijk (op de DM config) kunnen bepalen welk device via die VM loopt.
Die VM is een router en bepaald verkeer wordt gemonitored. Als ontwikkelaar van embedded devices wil ik bepaald verkeer monitoren en valideren met een man in the middle router. Het zou perfect zijn als ik die router als VM op mijn host kan draaien en in de DM config kan aangeven welk device er via die router moet gaan lopen.

De DM zit in de meterkast. Mijn werkkamer heeft een eigen unmanaged switch die weer op een andere unmanaged switch zit....(even 2 stuks 24 pooorts Gigabit switches vervangen door Unifi managed switch is me nu nog net even iets te kostbaar) dus de host zit niet op een vlan en ik wil de host zelf ook niet op dat vlan hebben. Ik kan in Ubuntu de eth0 wel als VLAN:99 configureren. Dus er is maar 1 fysieke netwerk adapter, maar in de DM zie ik wel 3 verschillende clients (host, VM-eth0, VM-eth1).

Ik denk zelf ook dat de oplossing in de VLANs zit. VLANs zijn nog een beetje nieuw voor mij. Ik begin het al wel een beetje door te krijgen. Het speelt zich af op switch niveau. Ik er er even vanuit dat een unmanaged switch transparant is voor VLANs (?). Als je het op een switch poort configureerd is dat een prima manier van beveiligen van fysieke toegang. Nu ik unmanaged switches gebruik, zou ik denk ik gewoon in de VM het VLAN ID moeten kunnen aangeven en dan zou die in het VLAN moeten zitten lijkt me?

Ik zit nog met de volgende onduidelijkheden die ik momenteel met error en trial probeer op te lossen:
- Welk device moet DHCP server spelen? De VM of de DM? Op de DM kan ik in de VLAN config van het netwerk DHCP-Relay instellen naar een IP address.
- Welk IP address moet de eth0 op de VM krijgen? De normale default range (10.0.0.202) of die van het VLAN (10.0.99.x)?
- Als ingaand verkeer op de VM op een VLAN zit, en deze router stuurt het via eth1 weer naar buiten, moet dan de uitgaande poort ook op dat VLAN IP range zitten (10.0.99.x) of is 10.0.0.205 ook goed?
- De gateway van een vlan is op de DM altijd de DM zelf??? Wat betekent dat voor de DHCP setup? (zie ook 1e punt) immers als de client de VM als gateway zien, dan werkt het.
- Hoe krijg ik de client in het VLAN? Voor wifi clients kan ik dat forceren op de DM, maar voor ethernet clients niet.

Wat me een beetje verbaasd heeft in de DM is dat ik niet per client controle heb over de DNS en Gateway maar alleen een vast ip address kan aanklikken.

FredvZ schreef op vrijdag 2 augustus 2024 @ 11:07:
[...]
Als ik het goed begrijp wil je al verkeer via host 10.0.0.202 routeren.

Al het verkeer van 1 specifieke client!
(onafhankelijk of dat wifi of ethernet is)

FredvZ schreef op vrijdag 2 augustus 2024 @ 11:10:
[...]

Dat maakt het nog simpeler: stel die client in met een static IP-adres en een 10.0.0.202 als default gateway.

Ja, exact! Maar ik wil dat dus op de DM instellen en niet op de client. Dat zou by far de makkelijkste workflow zijn. Betreft embedded clients die lastig toegankelijk zijn. Paar klikjes in de DM config is echt zo veel makkelijker als dat lukt.

De client zit wel bijna altijd op DHCP. Hoewel ik die afhankelijkheid er liever ook niet in heb, kan ik er wel mee leven als de oplossing dat zou vereisen.

FredvZ schreef op vrijdag 2 augustus 2024 @ 11:31:
[...]

Wat je eventueel nog kan doen, quick en dirty:

host 10.0.0.202 veranderen in:
10.1.0.1/24 zonder gateway

WAN2 op de UDM instellen als:
10.1.0.2/24 gateway: 10.1.0.1

WAN2 verbinden of rechtstreeks met de machine waar de vm op draait (of nog quicker en dirtier: op een van de umanaged switches)

In de policy routing kan je dan aangeven dat verkeer van 10.0.0.118 naar WAN2 moet.


Zoals gezegd: quick and dirty. Het gaat je een werkend iets opleveren, maar ik zou persoonlijk op korte termijn investeren in unifi switches. Dit kunnen bijvoorbeeld ook de flex switches zijn die alleen gebruikt voor afhandeling van de VLAN's

Super creatief! Dat werkt!
Ik moest ook nog even poort 8 als WAN2 instellen want ik heb geen spf adapters.

Ik kan nu inderdaad heel makkelijk met een dynamische routing entry per device aangeven dat deze via WAN2 naar de VM router moet!

TOP!
Wat is het nadeel van deze setup eigenlijk? Je noemt het quick & dirty namelijk. Het is een thuis netwerk met mij als enige high-end gebruiker.
Als ik naar die Unifi managed oplossing ga ooit, dan wil ik natuurlijk wel die met die kekke ledjes op de poorten ;-) Ik zie alleen dat de meerwaarde niet echt om dat op korte termijn te gaan doen. Heb net (2 maandjes) de DM SE en 3x Unifi AP aangeschaft....

FredvZ schreef op vrijdag 2 augustus 2024 @ 12:27:
[...]

Je mixt nu verschillende subnets over je netwerk. Technisch kan je netwerk dat prima aan, maar als je meer van dit soort dingen aan je netwerk gaat toevoegen wordt het al gauw complex. Mocht het om wat voor reden niet meer werken wordt het dan een hele puzzel.

Daarnaast is het ook niet de meest "veilige" optie. Iemand die bijvoorbeeld weet hoe hij de netwerkinstellingen op device 10.0.0.108 kan aanpassen heeft de mogelijkheid om de routering via de VM te omzeilen.

Dat snap ik wel. Met de beperkte scope van mijn thuis netwerk is dat nu nog wel te overzien.

Ben er echt superblij mee! Echt een stuk makkelijker op deze manier! Ik had hier dus eerst een aparte computer voor met 2 netwerkkaarten, een extra switchje en een extra access point en moest behoorlijk wat werk doen om een device config te veranderen van ontwikkel pc naar test pc en later weer terug. Nu een paar klikjes in de DM setup (dynamic routing kun je ook per rule gewoon aan/uit vinken).