Neuer Switch wird gesucht

Tobi

Moin,

danke für die Antworten.
@JeGr - als ich mein Beitrag geschrieben hatte, wusste ich gar nicht, dass ich mit den Angaben eben die Äpfel mit Birnen vergleiche. Mir war halt nicht klar worauf sich diese Angaben beziehen.

Und nein, ich brauche kein 10G.

Also meine Überlegung - (vielleicht ist die auch falsch...).
Wie ich schrieb mein Netgear macht an sich was es soll. Der Switch hat für mich 2 Punkte die ich ändern muss/ will
muss - er hat kein PoE und damit für meine UniFi AC-Pro muss ich immer gucken, dass ich Strom Adapter habe.
Künftig kommen mit Sicherheit 1-2 Kameras. So gesehen brauche ich 5 PoE/ PoE+ Ports

kann - mein Netgear ist nur über Browser administrierbar. Nicht das ich plötzlich jeden Tag was daran ändern muss. Doch in letzter Zeit habe ich endlich mich dazu gebracht meine Workstations in separates VLAN zu verschieben, damit die Server "alleine" unter sich bleiben.
Mein Switch erwartet die Angabe welches VLAN zum Administrieren genutzt wird und will auch eigene IP haben.
Wenn ich doch einen Fehler mache, habe ich erst mal keine Möglichkeit über z.B serielle Konsole es zu korrigieren. Finde ich doof, deswegen möchte ich ein Switch wo ich über 2 getrennte Wege ggf. Korrektur machen kann. (Hier bin ich gar nicht sicher ob die Ubiquitis so etwas erlauben)

Ich hatte abgesehen von Switch mit den Gedanken gespielt auch die Dream Machine Pro zu kaufen und damit meine pfSense Kiste abzulösen, habe es aber verworfen und werde doch eher bei pfSense bleiben nur mein APU Board wird durch ein IPU mit mehreren LAN Schnittstellen ersetzt. Die UDM Pro wäre wohl von Kosten etwas billiger - ob ich damit all das machen kann was die pf* kann ist mir nicht so ganz klar (und einige Berichte, dass es nicht so stabil läuft finde ich nicht so toll.

JeGr

@tobi said in Neuer Switch wird gesucht:

Also meine Überlegung - (vielleicht ist die auch falsch...).

Hauptsache man überlegt ;)

UniFi AC-Pro...
...
Künftig kommen mit Sicherheit 1-2 Kameras. So gesehen brauche ich 5 PoE/ PoE+ Ports

Siehste da hast du ja schon zwei Punkte.

1. du hast schon Unifi Gear und somit kann der Switch/die Switche mit dem/den APs und Cams spielen wenn man will
2. du brauchst gar keine 16/24 PoE Ports (die ggf. recht teuer sind und Strom fressen)

Allerdings stellt sich die neue Frage: will man ggf. Unifi Cams haben oder was anderes? Unifi hätte Vor- und Nachteile. Vorteil es spielt alles (meistens) schön zusammen. Nachteil kann aber sein: du brauchst ggf. nen Gen2 Plus Controller für die Cams weil die Software (Unifi Protect) soweit ich weiß nicht als Standalone Software wie den normalen Controller gibt. Alternativ ne DreamMachine aber wer will die schon ;)
Hat also seine Vor- und Nachteile.

kann - mein Netgear ist nur über Browser administrierbar. Nicht das ich plötzlich jeden Tag was daran ändern muss. Doch in letzter Zeit habe ich endlich mich dazu gebracht meine Workstations in separates VLAN zu verschieben, damit die Server "alleine" unter sich bleiben.
Wenn ich doch einen Fehler mache, habe ich erst mal keine Möglichkeit über z.B serielle Konsole es zu korrigieren. Finde ich doof, deswegen möchte ich ein Switch wo ich über 2 getrennte Wege ggf. Korrektur machen kann. (Hier bin ich gar nicht sicher ob die Ubiquitis so etwas erlauben)

Ne serielle Console haben sie nicht. Aber man kann sie auch nicht "einfach" kaputt konfigurieren wie den Netgear, denn du konfigurierst NIE den Switch selbst, sondern via Controller nur dein Netzwerk. Das ist der Kerngedanke von SDN - software defined networking. Du konfigurierst im Controller was du wo wie haben willst und der rollt das dann an alle betroffenen Geräte (Switche, Router, Access Points, Cameras etc.) aus. Der einzige Punkt wo man tatsächlich was "zerschroten" kann ist direkt bei der Inbetriebnahme. Dann adoptiert man den Switch wie den Access Point auch in den Controller. Hier kann man dann den Management Zugriff auf den Switch konfigurieren und kann bspw. den Switch ins Mgmt VLAN XY packen und ne fixe IP verpassen. Wenn das nicht korrekt konfiguriert ist und der Controller den Switch dann nicht mehr sehen kann, dann ist er nach Adopt & Configure nicht mehr erreichbar. Macht aber nichts, stromlos, reset, dann kommt er wie neu im "adoptier mich" Zustand wieder und kann neu eingefügt werden. Daher muss man sich Mgmt VLAN und IP eben vorher überlegen, dann klappt das aber auch problemlos. Danach macht man wie gesagt nichts mehr am Switch, sondern nur noch via Controller an allen Geräten nach Bedarf. Neues VLAN bspw. wird im Con angelegt und automatisch auf jedes Gerät überspielt, dass es braucht oder konfiguriert hat (bspw. weil ein Port auf "Trunk über alle VLANs" konfiguriert ist).

Die UDM Pro wäre wohl von Kosten etwas billiger - ob ich damit all das machen kann was die pf* kann ist mir nicht so ganz klar (und einige Berichte, dass es nicht so stabil läuft finde ich nicht so toll.

Nein kann sie nicht. Man kann viele Sachen mit der UDM Pro machen, klar. Auch weil sie den Controller schon mit eingebaut hat ist es sicher praktisch. Aber an Kernfunktionen und einfach schnell Dinge wie DNS Filtering oder überhaupt DNS Overrides zu machen, da fängt das Drama schon an. Würde daher immer für Raspi mit Controller Software oder - wenn man weiß dass man Cameras ggf. haben will - den Gen2 Plus Controller von Unifi stimmen. Der hat dann Controller und Protect mit drin, Festplatte zum Speichern von Bildern/Videoschnipseln mit drin und gut.

Tobi

@jegr said in Neuer Switch wird gesucht:

Allerdings stellt sich die neue Frage: will man ggf. Unifi Cams haben oder was anderes?

Dazu hatte ich mir bis jetzt gar keine Gedanken gemacht. Alles auf ein Schlag geht nicht ;)

@jegr said in Neuer Switch wird gesucht:

Ne serielle Console haben sie nicht.

Ja das ist hier wohl weniger das Problem, da die Konfiguration eh im Controller liegt.

Na ja mal gucken wenn ich aus dem Urlaub komme ob die UniFi Switche im Store immer noch verfügbar sind, dann kann ich einfach probieren.

JeGr

@tobi said in Neuer Switch wird gesucht:

Dazu hatte ich mir bis jetzt gar keine Gedanken gemacht. Alles auf ein Schlag geht nicht ;)

Muss ja auch nicht :) Aber wenn man das im Hinterkopf auch schon weiß kann man ja entsprechend planen.

JeGr

https://forum.netgate.com/topic/166468/mikrotik-routers-behind-massive-botnet
https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/

Muss man mal zumindest dezent im Hinterkopf behalten. Hatte ich heute auch Nachrichten zu gelesen, dass da eine ganze Welle bis hin zu den meisten infizierte Geräten des aktuellen DDoS Botnetzes MikroTik Router sind. Auch halbwegs aktuelle Firmwares von RouterOS laut Statistik dabei. Sollte man sicher recherchieren, wo das Einfallstor ist/war, aber da würde ich mich aktuell schwer tun, was von MikroTik in meine Infrastruktur hängen zu wollen ohne genau zu wissen, dass bspw. SwitchOS nicht betroffen ist und die Dinger auch 100% von extern abgeschirmt zu haben.

Tobi

Ich habe heute mir UniFi 24 POE bestellt. Wenn die es passend liefern, dann kommt es wenn ich gerade nach Hause gekommen bin.

Bei der Gelegenheit - wenn ich es richtig in Erinnerung habe, hast Du die Controller Software auf einem Raspi oder? Wenn ja "nativ" oder z.B in einem Docker Container?

JeGr

@tobi said in Neuer Switch wird gesucht:

Bei der Gelegenheit - wenn ich es richtig in Erinnerung habe, hast Du die Controller Software auf einem Raspi oder? Wenn ja "nativ" oder z.B in einem Docker Container?

An wen ging die Frage? :)

Ich habe den Controller selbst als Box gekauft. Sieht man hier:

https://forum.netgate.com/topic/146555/infotainment-netzwerk-neubau-mit-pfsense-und-unifi/39

Bob.Dig

@jegr Einer muss ja auch die Sachen kaufen.

NOCling

Habe hier auch den Key im Rack, seit dem läuft das einfach nur noch und Updates sind einen Klich später durch.

Tobi

@jegr said in Neuer Switch wird gesucht:

An wen ging die Frage? :)

An Dich. Hat sich mit der Antwort aber so weit erledigt. Suche jemand der es als Software eben auf einem Raspi im Docker Container laufen hat. In der Zeit - Internet weiter durchsuchen ;)

Heute kam ja mein UniFi Switch. Und schon stehe ich vor einem Problem wo ich nicht weiß ob es Inkompatibilität oder Fehlkonfiguration auf meiner Seite ist.
Ich hatte die Vorstellung mein Netgear GS724T v3 mit dem UniFi 24 POE über 2x RJ45 verbinden zu können und Link Aggregation zu aktivieren. Das gelingt mir nicht.

• wenn auf beiden Seiten keine LAG aktiviert ist für die betroffene Ports und die Switche nur über 1 Kabel verbunden sind, läuft ja auch alles. So bald ich zweites Kabel einstecke - ist UniFi nicht mehr erreichbar.
• Ist LAG auf Netgear aktiviert (auf Unifi nicht) und Geräte über 1 Kabel gebunden läuft alles. So bald ich auf UniFi LAG aktiviere, ist UniFi nicht mehr erreichbar
• Ist LAG auf beiden Switchen deaktiviert und Geräte mit einem Kabel gebunden, läuft alles. So bald ich auf UniFi LAG aktiviere, ist es nicht mehr erreichbar.

Bei Netgear unterstelle ich zunächst kein Problem, denn da läuft seit Jahren LACP mit FreeNAS 8bzw. inzwischen TrueNAS). Ich finde aber nicht was ich bei dem UniFi aktivieren bzw. deaktivieren muss, damit es läuft.

NOCling

In welchem Modi denn?
Mein AP HD hängt hier mit einem activ LACP, wie das NAS auch am HP 2520G.

Ich traue Netgear bei LAG irgendwie nicht über den weg, kann das Teil auch den activ Mode oder nur passiv?

Tobi

@nocling said in Neuer Switch wird gesucht:

In welchem Modi denn?

Ich bin nicht sicher ob ich die Frage verstanden habe. Bei Netgear kann ich LACP und Static als LAG Modus wählen.
Von activ oder passiv finde ich nichts.

Allerdings - und da komme ich eher zu UniFi. Ich deaktiviere LAGF auf beiden Seiten. Switche sind über 1 Kabel verbunden.
Es reicht jetzt wenn ich auf dem UniFi Aggregation aktiviere und schon ist das Teil weg. So gesehen kann es ja gar nicht mit dem Netgear zu tun haben.
Ich habe aber heute Abend mein NAS mit LACP von Netgear auf UniFi umgezogen und dabei gab es keine Probleme. Irgendwie als ob die 2 Switche sich echt nicht mögen.

NOCling

@tobi said in Neuer Switch wird gesucht:

Es reicht jetzt wenn ich auf dem UniFi Aggregation aktiviere und schon ist das Teil weg. So gesehen kann es ja gar nicht mit dem Netgear zu tun haben.

Doch, denn die Ui Teile sprechen aktiv LACP, wenn du das nicht einstellen kannst auf Netgear Seite, dann wird das kein activ LACP sein.
Hier müsste man mal im Detail schauen, leider hat das Teil keine CLI oder?
Da kann man mit den show Befehlen sicherlich genau nachsehen, welche LACP Modi denn hier jetzt wo anliegen.

So sieht das dann bei meinem HP aus:

                                       LACP

          LACP      Trunk     Port                LACP      Admin   Oper
   Port   Enabled   Group     Status    Partner   Status    Key     Key
   ----   -------   -------   -------   -------   -------   ------  ------
   1      Active    Trk1      Up        No        Success   0        26
   2      Active    Trk1      Up        No        Success   0        26
   3      Active    Trk2      Up        Yes       Success   0        27
   4      Active    Trk2      Up        Yes       Success   0        27

JeGr

@tobi Yo das hat @NOCling schon alles geschrieben. UniFi macht sauberes LACP. Selbst eine Syno dran mit 4x Link Aggregation als LACP, die braucht nen kurzen Moment, dann haben die sich ausgehandelt, aber UniFi Switch macht eben Active LACP. Netgear traue ich da genausowenig übern Weg. Nicht nachdem ich bei Kunden die größeren Netgear als "billig Alternative" schon häufiger gesehen habe, dass da angeblich 2-4 Kanal Channelbonds laufen und nachher war von den 4 Links EINER up. Da bin ich mehr als skeptisch.

Der Unifi ist dann auch normalerweise nicht "weg". Zumindest nicht wenn dein Cloudkey oder Controller am Unifi Switch angeschlossen ist, was er sollte. Dann kann er den Switch problemlos erreichen und dann siehst du normalerweise auch in der UI was er tut. Kann mir vorstellen, dass der Netgear ggf. sich nicht sauber LACP aushandelt und er dann deshalb die Ports wegen Loop Protection einfach blockt und auf Down setzt.

Hatte ich bei meinen Sonos Kisten mal, weil die partout meinten, es wäre geil über WiFi zu reden, statt via LAN und wollten dann beides gleichzeitig UP nehmen und via STP aushandeln. Die Switche wollten aber RSTP und haben STP nicht verstanden, Loop Protection reingehauen, LAN Port geblockt.

Tobi

@nocling said in Neuer Switch wird gesucht:

leider hat das Teil keine CLI oder?

Leider nein.

Das sind Sachen und Einstellungen die ich dazu bei dem Netgear sehe/ ändern kann

Nicht wundern - im Moment ist eben bei UniFi kein LAG definiert und beide Switche sind über Port 24 verbunden

@jegr said in Neuer Switch wird gesucht:

Zumindest nicht wenn dein Cloudkey oder Controller am Unifi Switch angeschlossen ist, was er sollte.

Na ja Controller (bei mir Raspi) ist zwar inzwischen auch an dem Switch angeschlossen, nur damit ich zum Raspi komme, muss ich eben über den Switch.
Ich werde mir später mein Laptop schnappen und direkt mit statischer IP anschließen. Vielleicht kann ich dann wirklich was sehen.
Haben die UniFi Teile nicht ein Art Log o.ä was man über SSH erreichen kann um zu sehen was abgelaufen ist?

JeGr

@tobi said in Neuer Switch wird gesucht:

Haben die UniFi Teile nicht ein Art Log o.ä was man über SSH erreichen kann um zu sehen was abgelaufen ist?

Unifi ist SDN - software defined networking. Was man genau dazu macht, um solchen Kram zu vermeiden, eben an mehreren Stellen rumsuchen und debuggen zu müssen, sondern EIN Netz via dem Controller ordentlich konfigurieren zu können. Die Switche haben zwar ne Mini-Console via SSH die erreichbar ist, aber der Clou ist ja gerade, dass man nicht an die Teile ran muss sondern das alles im Controller hat.

Tobi

@jegr said in Neuer Switch wird gesucht:

eben an mehreren Stellen rumsuchen und debuggen zu müssen,

Vielleicht bin ich zu alt oder die Software (also als Java Gelumpe) nicht so wie ich es gerne hätte.

Mein Problem ist aber gelöst. Der Fehler saß natürlich vor dem Bildschirm

Ich hatte mehrfach in die Konfig von Netgear geschaut und das Nahliegende stets übersehen - Wenn man LAG definiert, dann soll man da auch mitgeben welche VLANS über LAG gehen sollen. In dem Moment hat die Portdefinition keine Wirkung.

Tobi

Also inzwischen bin ich nur noch enttäuscht was Ubiquiti angeht.
Schade dass ich die Sachen nicht sofort gemerkt habe, dann hätte ich die 2 Switche zurückgeschickt.

1. Bei jeder noch so kleiner Änderung wird diese auch sofort Provisioniert (damit könnte ich noch leben)
2. Bei jeder Provisionierung wird alles auf dem Switch drübergebügellt was letztendlich bedeutet - der Switch macht erst alle Ports dicht. Das ist Kinderkacke und sagt nun mal, dass die Firma eben nur für den Homeoffice zu gebrauchen ist. Und selbst hier nervt es gewaltig.

JeGr

@tobi said in Neuer Switch wird gesucht:

Bei jeder noch so kleiner Änderung wird diese auch sofort Provisioniert (damit könnte ich noch leben)

Sowas macht auch Sinn, stimmt aber auch nicht ;) Es gibt etliche Funktionen bspw. an den Switchports etc. die nicht sofort alle einzeln aktiv werden, sondern gequeued werden und dann mit einmal "Apply" dann alle zusammen auf den Port gepusht werden. Was mich auch zum zweiten bringt:

Bei jeder Provisionierung wird alles auf dem Switch drübergebügellt was letztendlich bedeutet - der Switch macht erst alle Ports dicht. Das ist Kinderkacke und sagt nun mal, dass die Firma eben nur für den Homeoffice zu gebrauchen ist. Und selbst hier nervt es gewaltig.

Das ist Humbug. Ich hab hier 2(!) 24er Unifi Switche und 4x 8er im Einsatz, wenn es so wäre wie du sagst, hätte ich hier alle paar Minuten Drama mit Lab, Family und sonstigen Teilnehmern wenn ich tagsüber arbeite und am Controller für einen Switch irgendeinen Port konfiguriere.

Und zum "nur Homeoffice" kann ich gerne mal unsere Kunden fragen, die die Dinger teils schon vorkonfiguriert in Außenstellen ins Ausland geschickt haben, und die liefen. Sorry, ist aber totaler Quatsch. Statt einfach nur "abzuranten", wäre es vielleicht sinnvoller erstmal den Fehler zu suchen bzw. näher zu beschreiben. Außer du willst nur ranten - dann OK, aber dann musst dus akzeptieren, dass ich dazu "quatsch" sage wenn ich tagtäglich vor dem Setup sitze und bei mir nichts "einfach so alle Ports dicht macht". :) Es wird eben nicht "ALLES" überbügelt, sondern je nach Änderung eben das was konfiguriert werden muss.

Cheers :)

Tobi

@jegr said in Neuer Switch wird gesucht:

Das ist Humbug.

Mag für Dich Humbug sein - der aber mir von Ubiquiti Support bestätigt ist.

@jegr said in Neuer Switch wird gesucht:

hätte ich hier alle paar Minuten Drama mit Lab

Nein, nicht zwingend. Heutige Software ist so ausgelegt, dass wenn wenige Pakete plötzlich weg sind, ist noch kein Weltuntergang.
Womöglich habe ich mich zu scharf oder zu undeutlich ausgedockt. Selbst die "Link Down" "Link Up" bringen KVM nicht dazu plötzlich die VM's runterzufahren o.ä - es geht um die Meldung und damit die Vorgehensweise an sich.

Ich rate von nichts ab - ich habe geschrieben "für mich" ist diese Vorgehensweise Murks.