Kategori: Netværk

Udgivet i af

UniFi-router direkte på nettet – Undgå dobbelt NAT

Safi Aarhus - To netværksenheder, der er forbundet med Ethernet-kabler, med røde og grønne lysspor, der illustrerer datastrømmen mellem dem og ind i en stikkontakt. - hjælp til Unifi

Når du får en internetforbindelse, tilbyder de fleste internetudbydere (ISP’er) at levere en router med som en del af aftalen. For langt de fleste almindelige brugere er det en fin og velfungerende service. Men hvis du har investeret i dit eget netværksudstyr – specifikt en router fra Ubiquiti UniFi, såsom en Security Gateway eller en Cloud Gateway – stiller sagen sig anderledes.

Hvordan opsættes Unifi (på engelsk)

Sætter du blot din UniFi-router bag ved udbyderens router, ender du med en netværksopsætning, der kaldes dobbelt NAT (Network Address Translation). Det betyder kort fortalt, at din internettrafik skal igennem to separate routere, før den rammer internettet. Denne “router-efter-router”-struktur er uhensigtsmæssig. Det forringer hastigheden en anelse, komplicerer port forwarding, skaber udfordringer for VPN-løsninger som Site Magic og kan give generelt netværksbøvl.

Løsningen: Uden om udbyderens udstyr

Det absolut bedste, du kan gøre, er at koble din UniFi-router direkte til det stik, hvor internettet kommer ind i huset (for eksempel fiberboksen eller mediekonverteren). På den måde lader du UniFi-routeren håndtere hele forbindelsen og smider udbyderens router helt ud af ligningen.

Udfordringen er, at fremgangsmåden varierer meget fra udbyder til udbyder. Nogle steder kan du bare sætte kablet direkte i og være kørende. Andre steder kræver det, at du logger ind på UniFi-routeren og opsætter et specifikt VLAN-tag (ofte VLAN 101) på WAN-porten. I visse tilfælde kan det også være nødvendigt at kontakte din udbyders supportafdeling for at få dem til at sætte deres fiberboks i “Bridgemode”, så trafikken sendes uændret videre til din router.

Hvad er forskellen på Router-, Bridge- & AP mode?

Routermode, bridgemode og AP-mode er alle funktioner som understøttes af de fleste routere.

  • Routermode benyttes til det almindelige hjemmenetværk, som også giver mulighed for lokale servere, eller at enheder snakker sammen.
  • Bridgemode, benyttes til at videresende alt trafik. Bridgemode arbejder som en switch, ingen NAT, firewall eller lokalnetværk.
  • AP-mode, eller Access Point mode benyttes ligesom bridgemode. AP-mode er dog den trådløse pendant til bridgemode, og derfor udfører samme opgave trådløst.

Få overblikket over udbydernes krav

Da reglerne og de tekniske krav afhænger af, hvem der leverer dit internet, kan det være en jungle at finde ud af, hvad du præcist skal gøre. Derfor har jeg samlet et overblik, der dækker krav og opsætningsmetoder hos 13+ forskellige danske internetudbydere.

Oversigten bliver løbende opdateret, efterhånden som jeg får nye erfaringer eller udbyderne ændrer deres systemer. Hvis du ligger inde med viden eller en specifik metode, der ikke allerede fremgår af listen, hører jeg meget gerne fra dig!

Se hele oversigten her: https://safi.dk/unifi-router-direkte-paa-nettet/

Safi Aarhus - Et netværkskabel forbinder en vægport med en hvid enhed med et sky-ikon over sig. Sikkerheds- og skytjeneste-ikoner er vist. - hjælp til Unifi

Udgivet i af

Hvordan bruges SiteMagic i Unifi?

Safi Aarhus - Diagrammet viser et hovedkontor mærket "Hovedkontor", der er forbundet med fire afdelinger mærket "Afdeling", hvilket illustrerer en site-to-site-netværksopsætning. - hjælp til Unifi

UniFi SiteMagic er en enkel og moderne metode til at etablere VPN-forbindelser mellem flere UniFi sites. Løsningen kaldes også en SD-WAN-funktion, fordi den forenkler oprettelsen af site-to-site forbindelser mellem UniFi-gateways og gør det muligt at forbinde filialer, afdelinger eller lokationer på en mere strømlinet måde.

For mange virksomheder er det en stor fordel, at flere sites kan arbejde næsten som ét samlet netværk. Det kan for eksempel være relevant, hvis man vil dele filer, printere, interne systemer eller andre ressourcer på tværs af lokationer, uden at skulle opbygge og vedligeholde traditionelle VPN-tunneler manuelt.

Fordele ved UniFi SiteMagic

Den største styrke ved SiteMagic er, at opsætningen er gjort langt mere overskuelig end klassiske VPN-løsninger. Mange af de tekniske detaljer håndteres automatisk, hvilket reducerer kompleksiteten betydeligt for netværksadministratoren.

Derudover er løsningen skalerbar. Ifølge Ubiquitis dokumentation kan Site Magic Mesh understøtte op til 20 sites, hvilket gør det velegnet til organisationer, der forventer at vokse eller løbende vil tilføje nye lokationer. Administrationen samles i UniFi Site Manager, så man får ét centralt sted at styre forbindelser, netværk og delte ressourcer.

Begrænsninger og hensyn

SiteMagic er ikke en helt åben VPN-løsning. Den kræver UniFi-gateways, og alle involverede sites skal være under samme UniFi-kontoejer for at kunne oprettes og administreres korrekt. Det betyder, at løsningen er særligt stærk i rene UniFi-miljøer, men mindre fleksibel, hvis man arbejder med blandede netværksplatforme.

Selvom det er gatewayen, der skal være UniFi, kan man stadig tilgå andre netværksenheder på tværs af sites, så længe routing og firewall-regler er sat korrekt op. Til gengæld giver SiteMagic lidt mindre frihed end en fuldt manuel VPN-løsning, hvis man ønsker meget avanceret kontrol over routing og specialtilpassede sikkerhedsregler.

Typiske anvendelser

SiteMagic er oplagt i virksomheder med flere kontorer, butikker eller lokationer, hvor man ønsker sikker adgang til interne ressourcer. Det kan for eksempel være detailhandel, der skal dele lagerdata, eller kontormiljøer, hvor en filial skal kunne bruge en central server eller printere.

Det er også relevant i undervisningsmiljøer, hvor flere campusser eller bygninger skal kobles sammen, samt i private scenarier, hvor man ønsker adgang mellem hjem og sommerhus – eksempelvis til varmestyring, solceller eller andre IoT-løsninger.

Kom godt i gang

For at bruge SiteMagic skal dine UniFi-enheder være opdaterede, og mindst én gateway skal have en offentlig IP-adresse. Når du er logget ind på den UniFi-konto, der ejer alle sites, kan du aktivere Site Magic direkte fra UniFi Site Manager, vælge topologi og definere, hvilke netværk der skal deles.

Herefter er det en god idé at teste forbindelsen med ping og kontrollere, at firewall-reglerne tillader den ønskede trafik mellem sites. Når det er sat rigtigt op, får man en driftssikker og meget brugervenlig løsning til site-to-site kommunikation.

Skulle du have brug for hjælp og inspiration, kan du altid kontakte Mads og Safi.dk for hjælp: KONTAKT

Safi Aarhus - Diagram, der viser to bygninger med UniFi-enheder, der er forbundet til en sikker sky, og som illustrerer UniFi SiteMagic-funktionen til sikkert site-to-site-netværk. - hjælp til Unifi

Udgivet i af

Nøglen til det gode netværk!

Safi Aarhus - Illustration af en globus med påskriften "DNS" omgivet af netværksikoner, grafer og ordene "domain", "internet & networking" og "DNS" forskellige steder. - hjælp til Unifi

Når man opsætter netværk, er IP-adresser på mange måder nøglen til al kommunikation. Uden en korrekt adressering kan enhederne ganske enkelt ikke finde hinanden, og så stopper både intern trafik og adgang til internettet. Men det er ikke kun IP-adresser, der er centrale. DNS-serveren – eller navneserveren – er mindst lige så vigtig, fordi den sørger for at omsætte menneskeligt læsbare domænenavne til de IP-adresser, computere faktisk forstår.

DNS (Domain Name System) er internettets telefonbog, der oversætter menneskelige domænenavne (f.eks. google.dk) til maskinlæsbare IP-adresser (f.eks. 172.217.22.14). Når du indtaster en URL, sørger DNS-servere for at finde den korrekte server, så du lander på den rigtige hjemmeside. Uden DNS skulle man huske lange talserier for hvert websted.

For at sikre høj sikkerhed og god hastighed i et lokalt netværk er det afgørende, at enhederne kommunikerer internt på LAN’et (Local Area Network), mens forbindelsen til internettet går gennem en router med en global WAN-adresse (Wide Area Network) tildelt af internetudbyderen. På den måde adskiller man det lokale netværk fra den eksterne internetforbindelse, hvilket både giver bedre kontrol og en langt mere overskuelig drift.

Der er defineret nogle særlige IP-adresseområder, som udelukkende må bruges i lokale netværk. Det er vigtigt ikke at anvende adresser uden for disse scopes, da det kan skabe konflikter og fejl i routingen. De klassiske lokale adresseområder er:

  • 10.0.0.0/8 – 10.0.0.0 til 10.255.255.255
  • 172.16.0.0/12 – 172.16.0.0 til 172.31.255.255
  • 192.168.0.0/16 – 192.168.0.0 til 192.168.255.255
  • 100.64.0.0/10 – 100.64.0.0 til 100.127.255.255, også kendt som CGNAT

Hvis en enhed i netværket skal have adgang til internettet fra en lokal adresse, sker det gennem routeren. Routeren modtager sin offentlige IP-adresse fra internetudbyderen og fungerer samtidig som det centrale punkt, hvor DNS-servere også typisk defineres. Netop DNS er det, der gør det muligt at skrive dr.dk i browseren i stedet for at skulle kende den bagvedliggende IP-adresse. DNS fungerer i praksis som en slags indholdsfortegnelse for internettet: den slår navnet op og returnerer den relevante adresse, som browseren kan forbinde til.

Hvis der ikke er en fungerende DNS-server, eller hvis den er sat forkert op, kan domænenavne ikke oversættes korrekt. Det betyder, at brugeren måske stadig har forbindelse til netværket, men ikke kan åbne hjemmesider på normal vis. Derfor er DNS ofte et af de første steder, en netværkstekniker bør kigge, når der opstår fejl. I mange tilfælde er det nemlig ikke forbindelsen i sig selv, der er problemet, men navneopslagene.

Internetudbydere tilbyder ofte deres egne DNS-servere, som de anbefaler at bruge, men i praksis vælger mange administratorer selv en anden løsning. Det kan være af hensyn til hastighed, filtrering eller stabilitet. Der findes både hurtige og langsommere DNS-servere, og nogle udbydere tilbyder også indbygget blokering af eksempelvis malware, annoncer eller voksenindhold.

DNS kan bruges både direkte i routeren og på den enkelte enhed. Mange netværk er sat op sådan, at klienterne blot bruger routeren som DNS-server, hvorefter routeren selv videresender forespørgslerne til den valgte upstream-DNS. Det er derfor helt normalt at se en lokal adresse som 192.168.1.1 stå som DNS-server på en computer eller telefon. Hvis man ønsker at omgå routerens DNS og i stedet bruge en anden, kan det som regel ændres direkte på enheden.

Nøglepunkter om DNS:
  • Oversættelse: Konverterer navne til IP-adresser.
  • Hierarkisk system: Systemet bruger rodservere, TLD-servere (Top-Level Domain) og autoritative navneservere til at finde IP-adressen.
  • Oplevelse: Når DNS ikke svarer, kan du ikke tilgå hjemmesider, hvilket ofte skyldes lokale routerproblemer.
  • Sikkerhed (DNSSEC): DNSSEC er en udvidelse, der sikrer, at DNS-oplysninger er ægte og ikke ændret af kriminelle.
  • DNS-records: Forskellige poster (f.eks. A, CNAME, MX) fortæller, hvor domænet peger hen, f.eks. til en webserver eller mailserver.

Blandt netværksfolk er der en klassisk sætning, som dukker op igen og igen: “It is always the DNS!” Når noget bøvler i netværket, er det ofte DNS, der viser sig at være synderen – eller i hvert fald det første sted, man bør fejlsøge.

Er du i tvivl, så spørg Mads!

Safi Aarhus - En frustreret mand med en bærbar computer, der viser "Connected to Wi-Fi but no Internet", får råd af en anden mand, der holder et skilt med teksten "Try Google DNS: 8.8.8.8, 8.8.4.4". - hjælp til Unifi