Separat Gateway på befintligt nätverk - konf ?

Förstår överhuvudtaget inte vad du hoppas uppnå genom att tillföra en ytterligare länk i kedjan men som inte skall göra någonting?

IP-Address: 192.168.1.1 som är IP adressen till Router som hanterar nätverket.
Network mask: 255.255.255.0
Gateway: 10.1.1.1 som är adressen till EdgeMAX konfade IP

En gateway som är inom ett annat nät än den konfigurerade enheten kan väl ändå omöjligt fungera…?

Okej. Jag är absolut inte en nätverksexpert, men jag kan inte se hur din föreslagna arkitektur skulle kunna fungera.

Om dina EdgeSwitch vägrar leverera full funktionalitet utan en EdgeRouter, så måste de väl ändå alla vara på samma nätverk. Men här pratar du om att sätta din EdgeRouter utanför en annan brandvägg, och då hamnar den ju defacto på ett annat nätverk?

Jag hade provat tvärtom, IPFire längst ut, sedan EdgeRouter, därefter dina EdgeSwitch. Sätt EdgeRouter på att hämta alla inställningar från DHCP/IPFire men istället för att sedan själv agera DHCP Server skall den agera som DHCP Relay mot IPFire.

Jag skulle säga att du inte har något att vinna på att komplettera med en EdgeRouter i ditt upplägg, om inte för att ersätta IPFire-brandväggen. För eftersom det är vanlig hemma-miljö utan BGP eller annan form av dynamisk routing så innebär införande utav EdgeRoutern att du kommer ha ett upplägg med dubbel-NAT eftersom du måste ha massquerade aktiverat på EdgeRoutern för att trafiken ska gå vidare in till IPFire brandväggen. Därtill kommer du behöva sätta upp port forwards för eventuell extern access även i EdgeRoutern så trafiken tar sig vidare genom båda brandväggarna till slutdestinationen på insidan.

Sen kan jag tillägga att till skillnad mot UniFi, så ger inte UISP så mycket matnyttig information för dig som slutkund, hela Edge-sortimentet är trots allt inriktat mot ISP och nätoperatörer, men främst för WISP-leverantörer som erbjuder internet via radio-länk. Jag kör själv UISP-kontroller för att hantera kompisars EdgeRouter eller Cube-enheter så jag vet vad det är frågan om, kör även UISP på jobbet där vi har några EdgeSwitch fiber-coreswitchar.

Så länge du har IPFire i ditt nätverk så har du en enhet som bryter upp visualiseringen utav topologin i UISP-kontrollern. Så korrekt väg att gå är att skrota IPFire brandväggen och låta EdgeRoutern agera som router/brandvägg, med all övrig utrustning direkt kopplad till EdgeRoutern eller EdgeSwitch bakom.

Med detta på plats så kommer ditt nätverk bli som en liten föreningen där varje AirCube är den lokala routern/accesspunkten för en lägenhet, eller i ditt fall ett rum. Du blir din egna lilla ISP med dina rum som hyresgäster samt de som befinner sig i rummen för stunden.

Nej EdgeMax som produktsortiment är rätt brett och innefattar både produkter med Linux och Vyatta OS som bas, så man kan väl definitivt säga att de är multifunktionella. Inte lika flexibelt som Mikrotik kanske där man verkligen kan få vilken produkt som helst att vara en switch, en router eller AP om det bara finns wifi-krets i enheten.

Vad gäller övervakning så lämnar UISP mycket att önska då denna bara är just för nätverk, till skillnad mot Zabbix, CheckMK, LibreNMS, Icinga, Paessler PRTG med fler som erbjuder övervakning av allt i form av SNMP eller agent-baserad övervakning.

Jag gick igenom allihopa där för två år sedan, där jag tyckte att Icinga verkade mest lovande, men jag tyckte lösningen var lite för meckig att sätta upp så jag landade i stället på CheckMK RAW som bygger på Nagios i bakänden men med ett tilltalande grafiskt utseende samt att det är enkelt att konfigurera övervakning. Man kan exempelvis skapa en mapp som avgör standard för enheter därunder, ska det vara SNMP, agent eller båda delarna för övervakning. Därefter lägger du upp hostar i mappen och låt den köra autodiskover. Så länge man inte behöver extramoduler så är det klart. På jobbet kör vi däremot Paessler PRTG som också är väldigt kompetent, om än Windows-baserat och med futtiga 100 sensorer i gratis-versionen, men vi har unlimited-paketet där så behöver inte snåla på sensorer.

Ja varför inte vara in-house ISP. Sorry... men du har använt upp din surfpott, men du har ju obegränsat med data-mängd för lagamat.se/mattegeniet.se.

Vad gäller ditt fall så skulle jag nog bara behålla IPFire som primär router och brandvägg, och så kanske komplettera med LibreNMS eller CheckMK om du vill ha en NMS-lösning som är enkel att konfigurera upp. Dock så får du ju inga push-meddelanden direkt med dessa. Jag har löst det för CheckMK med att jag kör en instans av Gotify som jag pushar alla möjliga push-meddelanden igenom till min telefon, och så har jag fixat ett skript i CheckMK som skickar larm via detta.

Ingen fara, det är kul att få dela med sig utav sina erfarenheter i hopp om att de kan göra tillvaron lite enklare och trevligare för någon annan.

Vad gäller att köra EdgeRoutern innan IPFire så är det egentligen rätt så enkelt. Du konfigurerar bara en port som internet med DHCP på EdgeRoutern, och en annan som internt LAN eller om du bryggar övriga portarna som LAN. På detta interface skapar du ett länk-nät som kan vara egentligen vad som helst, exempelvis 10.0.0.1/24. På IPFire konfigurerar du IP 10.0.0.2/24 och sätter gateway till 10.0.0.1 för att IPFire ska veta vart den ska skicka trafik ut mot internet via EdgeRoutern.

Så länge WAN masquerade är konfigurerat på EdgeRoutern så bör du få kontakt med omvärlden efter detta. Om du har portar öppna utifrån så behöver du sätta port forward på dessa i EdgeRouter in mot 10.0.0.2/din IPFire brandvägg vilket görs lätt under Firewall och Port Forwarding genom att lägga till en regel där för port x mot 10.0.0.2 och motsvarande port där.

https://img.community.ui.com/267bc3f3-384c-4503-aff0-2a517213...

Förstår inte varför man vill bemöda sig med UISP. Vi kör det på jobbet men då mest som övervakning och firmwarehantering av dom ca 70 radiolänkarna vi har.

För seriös övervakning kör vi ett SNMP-verktyg (zenoss, prtg). Du har ett sånt litet nätverk så det känns mer som ett konstigt principbeslut än nått som är baserat på faktisk nytta. Kul att experimentera osv men ja, att få in edgeroutern kommer bara addera onödig komplexitet.

Du behöver Masquerade för att trafiken från IPFire ska NAT:as ut mot omvärlden via EdgeRoutern, vilket du gör genom att bara fylla i eth0 eller det interface på EdgeRoutern som du har konfigurerat med DHCP mot ISP:en din som "outbound interface" samt säkerställer att "use masquerade" är valt samt alla protokoll. Resterande inställningar kan du ignorera.
https://daywiss.files.wordpress.com/2015/07/natmasquerade.png

Vad gäller trafiken tillbaks om du vill slippa dubbla brandväggar, löser du enkelt genom att skapa en "destination NAT"-regel anger WAN-interface som "inbound interface", och i rutan för "translation" och adressfältet knappar du in den lokala IP-adressen du har konfigurerat på WAN-interface:et på IPFire. Detta kommer då effektivt innebära att all internet-trafik bara skickas vidare till IPFire och du slipper därmed dubbla brandväggsregler utifrån.
https://img.community.ui.com/5c217e8f-cbc8-4dd8-9e6f-418625a5...

Jag hänger inte med på vad du menar med att du ska ha din EdgeRouter på 192.168.1.12, det är ju en IP-adress på insidan utan din IPFire så det blir ju lite galet. Eller tänkte du att du skulle ha EdgeRoutern på insidan i stället? Det går ju det också förvisso men då kan den ju inte använda sig utav samma LAN subnät utåt som du vill ha innanför för det blir ju totalkrock i routing:en.

Ah, jag läste fel i farten. Ja du behöver ju ha en statisk rutt i EdgeRoutern för 192.168.1.0/24 subnätet så att den trafiken skickas in mot IPFire brandväggens WAN IP-adress och inte ut mot WAN på EdgeRoutern, annars kommer den ju aldrig att hitta din UISP-kontroller. Därtill behöver du lägga till en brandväggsregel i IPFire som tillåter trafiken från EdgeRouter:s lan IP in mot 192.168.1.12 på insidan. Därefter bör EdgeRoutern kunna ansluta in mot UISP-kontrollern.

Vänta nu, hade du inte DHCP från internet-leverantören? Om jag förstått dig korrekte i vad du vill åstadkomma så är det följande upplägg

ISP tjänstedelare (lan) -> EdgeRouter (eth0) -> EdgeRouter (eth1) -> IPFire (wan)

Om så är fallet så borde du ju ha DHCP på EdgeRouter eth0 om det är detta interface som är kopplat mot ISP. Därefter behöver du den NAT masquerade-regel som du har satt upp på eth0 för att trafik från IPFire ska kunna ta sig ut. Den andra regeln du har skapat är nästan rätt, men du har valt fel interface då eth1 inte är inbound utan det är ju eth0 där internet kommer in.

Nätverkskonfiguration för EdgeRouter (eth1) däremot ska sättas till 10.10.1.1/24 och på IPFire (wan) konfigurerar du då 10.10.1.2/24 samt sätter gateway mot internet (0.0.0.0/0) till 10.10.1.1, dvs EdgeRouter (eth1):s IP-adress som är nästa hopp i kedjan mot omvärlden.

Sen så behöver du lägga till en statisk rutt/gateway för 192.168.1.0/24 så att detta skickas till 10.10.1.2 dvs IPFire (wan) så att trafiken från EdgeRouter kan hitta till din UISP-server på insidan. Du behöver även lägga till brandväggsregel i IPFire som tillåter 10.10.1.1 att nå din UISP-kontrollers IP-adress och kanske även vice versa om IPFire blockerar bogon-trafik ut på WAN då 10.10.1.0/24 är ett A-nät och sådan trafik ska normalt sett inte gå ut på internet. Det blir i princip som att du sitter bakom CG-NAT fast kanske inte så mycket "Carrier Grade".