NEWBIE - Ersatz für Ubiquitti UDM

[TMG]

Hallo,
als Opnsense Newbie hätte ich ein paar Fragen.
Da meine Unifi UDM nach nicht einmal gut 24 Monaten nun defekt ist und der Hersteller sagt,
es gibt nur 12 Monate Garantie, bin ich auf der Suche nach einem Ersatz, der effizienter ist.

Deswegen bin ich hier auf Euch gestoßen.
Die wichtigste Frage ist natürlich, welche Hardware soll ich einsetzen.


Mein bisheriger Aufbau:
FRITZ!6660 cable als Modem (Bridge-Mode)
UDM (aktuell nur ein LAN 192.168.1.0/24 ohne VLAN´s)
UDM Switche
UDM AP´s
PROXMOX Server NUC11-Intel N6005-32GB RAM-1TB SSD

Mein aktueller Provider "Vodafone Kabel (Bayern"
500MBit / 50Mbit
Es soll in nächster Zeit "Glasfaser Deutschland" kommen
1GBit / ??   im ersten Jahr und danach vermutlich
400Mbit / ??

Eigentlich soll alles wieder funktionieren was mit der UDM auch ging...


OPNSENSE > DHCP > Static IP
WireGuard VPN
Firewall / Portfowarding
DynDNS Anbindung - PROXMOX Server VM/LXC´s

alles was an Monitoring geht
DEVICE Verwaltung/Monitoring
BASE/NET/Traffic Monitoring

[Patrick M. Hausen]

Für das Management deiner Unifi-Geräte brauchst du einen UNMS, wenn du keine UDM mehr einsetzt. Das geht aber auf dem Proxmox völlig problemlos.

Alles andere kann die OPNsense. Das Monitoring der Unifi-Teile übernimmt der UNMS, wenn du die OPNsense über die eingebauten Möglichkeiten hinaus auswerten möchtest, kannst du z.B. Influx + Grafana oder Observium ebenfalls auf dem Proxmox laufen lassen.

[Tuxtom007]

Eigentlich soll alles wieder funktionieren was mit der UDM auch ging...

Nicht nur eigentlich, es funktioniert alles - nur eben besser.

Ich hab vor knapp 2 Jahren die UDMPro bei mir rausgeworfen wegen ständiger Probleme und gehen eine OPNSense getauscht - das war das beste was ich machen konnte. ( Kabel Internet mit Fritzbox im BridgeModus )

Der Unifi Controller läuft bei mir als Linux-Container mit auf dem Proxmox und steuert eben die Unifi Switche und Access-Points.

Das einzige, was du machen musst, wenn du VLAN's nutzen, müssen die von der OPNSenser verwaltet werden und auf im Unifi-Universum nur noch als VLAN-only eingerichte sein um damit die Switchports entsprechend den VLAN zuzuordnen.

[uneu]

Beispiele Hardware:
https://www.ipu-system.de/
https://protectli.com/

Bei mir ist folgendes System im Einsatz:
Intel(R) Core(TM) i5-4300Y CPU @ 1.60GHz (2 cores, 4 threads)
Verlustleistung (TDP): 11,5 W
8 GB RAM und eine SSD mit 256 GB
Kabelanschluss Vodafone: 1000/50 Mbps (alt)
Glasfaseranschluss Movistar: 500/500 Mbps (aktuell)

Viel Spaß beim "Umzug"...

[TMG]

Hallo Danke Euch schon mal für die Infos, die ja vielversprechend klingen.
Besser funktionieren, wäre natürlich genial.
Worin liegt aber genau der Mehrwehr, gegenüber einer UDM pro?
Wenn man das so fragen bzw. erklären kann.

Hardwarevoschläge habe ich ja nun ein paar erhalten.
Preis/Leistung ist natürlich immer so eine Frage, aber
was ist hier noch anzumerken?
Wieviel Port soll die Hardware haben, wenn es danach sowieso
auf die Switches geht. Natürlich 2 klar ... aber mehr, wann?
Wenn ich VLAN nutze, brauche ich da pro VLAN einen Ausgang,
oder kann ich das auch dann über die Switche lösen?

Wieviel RAM und SSD Speicher sollte die Hardware auf jedenfall
haben, damit alles flüssig läuft?

Gibt es für den Umstieg auch eine WiKi oder Anleitung was ich
genau alles zu tun habe. Denn wichtig ist natürlich erst einmal,
dass hier alles wieder läuft und dann möchte ich mich natürlich
viel tiefer mit OPNSENSE beschäftigen.

[Tuxtom007]

Wieviel Port soll die Hardware haben, wenn es danach sowieso
auf die Switches geht. Natürlich 2 klar ... aber mehr, wann?
Wenn ich VLAN nutze, brauche ich da pro VLAN einen Ausgang,
oder kann ich das auch dann über die Switche lösen?

Wieviel RAM und SSD Speicher sollte die Hardware auf jedenfall
haben, damit alles flüssig läuft?

Ich hab nen MiniPC mit Core-i5 und 32 GB Ram, SSD 120 GB, der ist für meine GBit-Leitung
mehr als ausreichend - aber mir ist es lieber, der läuft entspannt mit viel CPU-Reserver als ständig
mit 80% Auslastung.
Festplatte/SSD  min 32 GB,  RAM min 8GB für normale OPNSense-Funktionen reicht aus.

Netzwerkports: ich hab 8 an meinem MiniPC,  1x WAN,  2x WAN2 (reserviert), 1x LAN  3x VLAN-only als LACP zum Switch, der Rest ist ungenutzt.
Ich würde sagen, mind. 4 Netzwerkports, am besten direkt mit 2,5GBit, was viele dieser MiniPC's wie ich ihn haben, mittlerweile auch haben.

Mehrwert gegenüber der UDMPro: Ich hab die UDMPro damals rausgeworfen, weil das Teil wie ein Sack Muscheln lief, die Hardware ist ja halbwegs ok, aber die Software war damals eine einzige Katastrophe.
DHCP funktionierte mehr schlecht als recht und ich hatte im Schnitt 1 bis 2 Totalabstürze pro Woche.
Damals konnte die UDMPro nicht mal als NTP-Server im Netz arbeiten - das kann jede Fritzbox.

Ich kenne etliche leute, die sich von der UDMPro verabschiedet haben und zu OPNSense gewechselt sind und damit sehr gut fahren.

[TMG]

.......Ich kenne etliche leute, die sich von der UDMPro verabschiedet haben und zu OPNSense gewechselt sind und damit sehr gut fahren.

Lieben Dank für deine ausführliche Rückmeldung.
Ja meine UDM läuft schon soweit, Software ist meiner Meinung nach
auch richtig "ansehnlich" geworden. Allerdings sind so einige
Dinge nicht begreifbar, warum man sie so umgesetzt hat.
DHCP ist immer noch eine Kathastrophe. Es werden regelmässig
IP Adressen doppelt vergeben, die ich dann per Hand wieder umbiege.

Und ja, nach 19 Monaten, komm ich jetzt nicht mehr auf die WebGUI.
Laut Ubiqutti Support ist sie dann wohl defekt ... aha ... Garantie 12 Monate ... prima Sache

Jetzt such ich schon herum, ob ich einen Preisknaller irgendwo finde ... also wenn jemand
zufällig über was stolpert... würde mich freuen .... DANKE

[lewald]

Tipp für die einfache Installation vom Unifi Controller.

https://community.ui.com/questions/UniFi-Installation-Scripts-or-UniFi-Easy-Update-Script-or-UniFi-Lets-Encrypt-or-UniFi-Easy-Encrypt-/ccbc7530-dd61-40a7-82ec-22b17f027776

[Tuxtom007]

Ja meine UDM läuft schon soweit, Software ist meiner Meinung nach
auch richtig "ansehnlich" geworden. Allerdings sind so einige
Dinge nicht begreifbar, warum man sie so umgesetzt hat.
DHCP ist immer noch eine Kathastrophe. Es werden regelmässig
IP Adressen doppelt vergeben, die ich dann per Hand wieder umbiege.

Schön aussehen ist nicht gut funtionieren :)
Ja genau aber das meine ich DHCP funktioniert grottenschlecht, traurig das die nach
2 Jahren immer noch so ist.

Ich habe immer gesagt:  "Die UDMPro kann vieles aber nichts davon richtig".

Mein Tip ( so hab ich es damals gemacht )
- Hardware gekauft, OPNSense installiert
- das Teil damals als Client in meine Netzwerk gehangen hinter der UDMPro, so das die ins Internet konnte
- mein Notebook dann ans LAN der OPNSense gehangen
Dann hab ich angefangen, meine Netzkonfig mit VLAN's usw. von UDMPro auf die OPNSense zu adaptieren, erst mal ein Netz, getestet ( konnte ich ja mit dem Notebook dann ) und dann alle weiteren
Dann die Firewall-Regel angefangen um die VLAN voneinander zu trennen

Mein Tip: fange direkt an mit Aliasen zu arbeiten, ich hab Aliase für IP's ( diverse Systeme eben ) und Port's ( entsprechende Anwendungen ) erstellt, damit baue ich dann die Firewall-Regeln.

Als ich sicher war, das alles konfiguriert war und funktionierte hab ich die UDMPro dekativiert und gegen die OPNSense ausgetauscht, dann noch die Netze im Unifi-Controller gelöscht und als "VLAN-only" neue angelegt.

Bis auf ein paar kleiner Probleme - meist Tipfehler in IP-Adressen oder funktioniert bei mir auf Anhieb alles.

Ich muss sagen, ich komme aus der Linux-Administration und hatte ich vorgerigen Job bereits einiges mit Firewall gemacht, so das dies nicht neu war, aber OPNSense war komplett neu für mich.
Ein paar Tips/Infos hatte ich mir auch aus Youtube-Videos geholt

[TMG]

Hört sich nach einem Plan an. Bin gerade auf der Suche nach Hardware :)
Mein Problem, das die UDM ja defekt ist und ich überhaupt nicht mehr
auf die Unifi Oberfläche komme.
D.h. ich werde gerade etwas in kalte Wasser geworfen. Aber klappte bisher
immer irgendwie :)

Wegen den Ports nochmal. Die LAN Ports auf der OPNSENSE hast
du untagged oder tagged? Ich überelege eben gerade wieviele Ports
ich brauchen werde?

[Tuxtom007]

Wegen den Ports nochmal. Die LAN Ports auf der OPNSENSE hast
du untagged oder tagged? Ich überelege eben gerade wieviele Ports
ich brauchen werde?

Ich habs derzeit so gemacht:
Port igb2:  LAN / untagged  ( in Unifi-Sprache = Profile "ALL" ), darin hängen die Switch, AccessPoints und der Unifi-Controller.

Port igb3+4+5:  LAGG-Interface mit allen VLAN's drauf  ( Entspricht bei Unifi dann meinen Switch-Port Profile der VLAN's )

Ob man das LAGG mit 3 x 1 GBit benötigt, ist ne frage. Ich hab in meinen Grafana-Dashboard noch nie gesehen, das ich die Verbindung ausgelastet habe. 


Ich würde daher heuet eher 2,5GBit Interface nehmen und 4 NIC's - darunter macht nicht wirklich Sinn.

[TMG]

Nachdem ich OPNsense nun auf einer Proxmox VM probiert habe....
Kommen bestimmt ein paar Fragen. Was ich bisher nicht gefunden habe
und was mir durch den Wegfall der UDM ja fehlen wird...
Wo finde ich das ganze Device Logging, wann, wo, wie, was welcher Device
online/offline war ...  also auf Geräteebene?

Also sowas wie im Screenshot uvm.

[Patrick M. Hausen]

Das kann die OPNsense so nicht, deshalb brauchst du für deine Ubiquiti/Unifi Geräte einen separaten UNMS. Den du easy als VM in deinem Proxmox installieren kannst.

Z.B. https://hub.docker.com/r/246tech/unms

[TMG]

Mmmh die Unifi UNMS hat aber ohne ein UDM/USG diese Möglichkeit dann auch nicht.
Wie macht ihr das aber? Wie macht das jemand der keine UNMS im Einsatz hat?
Braucht ihr bei Fehlersuchen, nichts über einzelne Devices wissen?
Hat er sich online gemeldet, wann hat er sich online gemeldet, wie lange, wieviel Daten hat
das Device verbraucht usw.

[Patrick M. Hausen]

Wieso sollte mich interessieren, wer wann online ist und wieviel Daten der überträgt? Aber die Client-Devices, Status und Daten liefert der UNMS durchaus, wenn du Unifi Switche und Access Points hast.