Neuer Blogbeitrag: Monatsrückblick - Dezember 2025 🎄

dslraser

@BBTown sagte in IP Adressen im Heimnetz:

@iomountain
@0018

Ich habe alle "Rechner" im 192.168.3.x und alles was Smarthome ist im 192.168.4.x .
Bei meinem Arbeitsplatzrechner entscheide ich dann, mit welchem Netz ich mich verbinde.

Je nachdem was man alles zu Hause im Netz hat, würde ich es noch weiter trennen:
bspw.
192.168.10.xxx für systemrelevante Geräte (Router, Switch, AP, usw.)
192.168.20.xxx für IoT (Smarthome, Alexa, usw.)
192.168.30.xxx für Unterhaltung (TV, SONOS, usw.)
192.168.40.xxx für IPCams
192168.50.xxx für Rechner (Desktop, Laptop, iPad, Handy, usw.)

So kann ich den gesamten Bereich 192.168.40.1/24 in meiner Firewall für WAN Eingang/Ausgang sperren und nur den Bereich 192.168.50.1/24 den Zugriff im LAN auf den Bereich 192.168.40.1/24 zulassen.
usw.

Ich interessiere mich ebenfalls für so eine Lösung.
Ausgangslage ist im Moment auch eine FritzBox 7580, drei AVM Repeater und zwei ungemanagte einfache Switche. Die 7580 brauche ich sicherlich weiterhin, da mehrere Dect Telefone darüber laufen und als DSL Modem. Mit meinem WLAN bin ich nicht überall im Haus zu frieden.
Ich habe mich schon bei unifi umgesehen, aber noch nichts gekauft.
Was bräuchte ich denn für Hardware bzw. mit welcher Hardware hast Du das bei Dir so umgesetzt ?

BBTown

@dslraser sagte in IP Adressen im Heimnetz:

Ich habe mich schon bei unifi umgesehen, aber noch nichts gekauft.
Was bräuchte ich denn für Hardware bzw. mit welcher Hardware hast Du das bei Dir so umgesetzt ?

Ich bin Stück für Stück vollständig auf UniFi umgestiegen.
Es begann bei mir mit der Anforderung für die unterschiedlichen Bereiche separate WLANs zur Verfügung zu haben (Multi-SSID) und daher habe ich mit einem AP-AC-Pro begonnen.
Meinen UniFi Controller fahre ich heute als LXC Container auf einem NUC

Komplett auf UniFi (Switche/Firewall (USG)) bin ich dann umgestiegen, damit ich
a.) zudem auf VLANs gehen kann (Das habe ich aber nach wie vor noch nicht umgesetzt).
b.) flexibel bei der PoE Versorgung meiner UniFi IP-Cams bin
c.) alles unter einer Verwaltungsoberfläche habe

Unbekannt

@BBTown sagte in IP Adressen im Heimnetz:

....
Je nachdem was man alles zu Hause im Netz hat, würde ich es noch weiter trennen:
bspw.
192.168.10.xxx für systemrelevante Geräte (Router, Switch, AP, usw.)
192.168.20.xxx für IoT (Smarthome, Alexa, usw.)
192.168.30.xxx für Unterhaltung (TV, SONOS, usw.)
192.168.40.xxx für IPCams
192168.50.xxx für Rechner (Desktop, Laptop, iPad, Handy, usw.)
....

Diese Lösung ist echt clever.

Ich kenn mich noch nicht so gut mit Netzwerkstrukturen aus, könnte daher mir jemand (mit einfachen Worten) erklären, wie dann z.B. ioBroker (IP-Bereich xxx) mit den IP-Cams (IP-Bereich yyy) kommuniziert wenn die Geräte unterschiedliche IP Bereiche haben?

Anderes Beispiel:
Ich möchte mit meinem Laptop auf den Netzwerkspeicher zugreifen, der jedoch einen anderen IP Bereich hat.

Ich bin bisher immer davon ausgegangen, dass alle Geräte in einem IP Bereich sein müssen, wie z.B. 192.168.178.X.

Gruß Markus

BBTown

@Unbekannt am Einfachsten geht das über die Subnet-Maske
Wenn diese auf 255.255.255.0 eingestellt ist, dann kannst Du nur innerhalb des Adressbereiche ein Device/Gerät adressieren/erreichen also bspw. 192.169.178.xxx (man schreibt dies auch als 192.168.178.1/24)

Lautet die Subnet-Maske allerdings auf 255.255.0.0, dann ist grundsätzlich der Zugriff auf 192.168.xxx.xxx möglich (192.168.1.1/16)

Im Internet findest Du diesbezüglich reichlich Dokumentationen

0018

@Unbekannt Das wird durch die Subnetzmaske geregelt. Im Standard-Heimnetz wie z.B. mit einer Fritz Box bist du im Standard-Fall im Bereich 192.168.178.X mit einer Subnetzmaske von 255.255.255 (Class C). unterwegs. Das bedeutet du kannst jede Adresse erreichen die von 192.168.178.0 - 255 liegt. Änderst du nun die Subnetzmaske auf 255.255.0.0 (Class B) kannst du alle Geräte erreichen die im Bereich von 192.168.0.0 bis 192.168.254.255 liegen.

Man kann die Subnetzmaske auch noch weiter unterteilen, könnte dann aber etwas verwirren für den Anfang.

Die Lösung von BBTown läuft dann unter der Subnetz 255.255.0.0 bei allen Geräten, damit jeder mit jedem sprechen kann.

Wenn du im Netz noch weiter danach suchen willst, helfen auch Stichworte wie Class C oder B Netzwerk oder schaust mal hier Wikipedia

Unbekannt

Danke euch beiden für die wirklich einfache Erklärung :-)
Hier werde ich in nächster Zeit mal ansetzen und mein Netzwerk neu organisieren.

Aus reinem Interesse: Mehr Sicherheit zwecks Angriffen von außen habe ich durch so eine Unterteilung nicht, oder?
Wenn jemand erstmal in Netzwerk ist, könnte er alle Geräte die im Subnetz 255.255.xxx.xxx sind, finden, richtig?

BBTown

@Unbekannt sagte in IP Adressen im Heimnetz:

Aus reinem Interesse: Mehr Sicherheit zwecks Angriffen von außen habe ich durch so eine Unterteilung nicht, oder?
Wenn jemand erstmal in Netzwerk ist, könnte er alle Geräte die im Subnetz 255.255.xxx.xxx sind, finden, richtig?

Nein, jetzt kommt eine Firewall ins Spiel
Damit regel ich z.B. dass IP-Cam Signale (bzw. der Adressbereich 192.169.40.1/24) weder aus dem Internet (WAN) erreichbar sind, noch dass diese etwas hinausposaunen dürfen.

In der Firewall kann ich dann auch regeln, wleche andere(n) IP(s) in meinem Netz mit welchen Bereich kommunizieren darf.

Unbekannt

@BBTown sagte in IP Adressen im Heimnetz:

@Unbekannt sagte in IP Adressen im Heimnetz:

Aus reinem Interesse: Mehr Sicherheit zwecks Angriffen von außen habe ich durch so eine Unterteilung nicht, oder?
Wenn jemand erstmal in Netzwerk ist, könnte er alle Geräte die im Subnetz 255.255.xxx.xxx sind, finden, richtig?

Nein, jetzt kommt eine Firewall ins Spiel
Damit regel ich z.B. dass IP-Cam Signale (bzw. der Adressbereich 192.169.40.1/24) weder aus dem Internet (WAN) erreichbar sind, noch dass diese etwas hinausposaunen dürfen.

In der Firewall kann ich dann auch regeln, wleche andere(n) IP(s) in meinem Netz mit welchen Bereich kommunizieren darf.

okay, du nutzt aber keine Fritzbox oder? Ich habe mal eben kurz die Einstellungen überflogen und bin über die Routingtabellen gestolpert. Dort müsste ich das einstellen nehme ich an?!

Oder macht es hier Sinn, nach einem anderen Router ausschau zu halten? Ich liebäugle ja mit den Synology Routern rt1900ac oder rt2600ac. Vielleicht wäre damit eine Regelung der Firewall leichter?

dslraser

@BBTown
In meinem Fall dann ..?
Also fürs WLAN AP AC Pro und für das LAN dann gemanagte Switche von Unifi ?
Telefon (Dect) und DSL Router Fritzbox ?
Oder brauche ich dann auch einen anderen (Unifi Router plus DSL Modem)
Im Moment sind alle LAN Anschlüsse der Fritzbox belegt + zwei 4(oder 5, weiß ich gerade nicht genau) einfache Switche.

Dann bliebe für die Fritte noch Telefon über.

Samson71

@dslraser sagte in IP Adressen im Heimnetz:

Dann bliebe für die Fritte noch Telefon über.

Da ich Kabelkunde bin und mehr als 3 Nummern nutze und 2 Leitungen habe, musste ich auch die Fritte behalten. Die macht nur noch Telefon und VPN.

@dslraser sagte in IP Adressen im Heimnetz:

Oder brauche ich dann auch einen anderen (Unifi Router plus DSL Modem)

Kannst Du auch machen. Als Kabelkunde gibst Du dann i.d.R. aber eine evtl. 2 Leitung auf und bist auf 3 Nummern begrenzt.

Aktuell ist also die Fritte erstes (einziges) Gerät. Daran hängt ein USG und daran kommen dann die (UniFi-)Switche. Da ich leider keine zentrale Infrastruktur habe (Serverraum), setze ich aktuell 1x 16 POE-150W, 1x 8 POE-60W und 2x Switch 8 ein. Die kleinen haben den Vorteil, dass sie per POE versorgt werden können und damit keinen eigenen Stromanschluss am Einsatzort benötigen, also sehr flexibel einsetzbar sind. Der große Switch versorgt zentral die beiden AP-HD per POE. Das 1.OG (Mutter) habe ich (mangels direkter Netzwerkkabelverbindung) mit einem AP-nanoHD an einen der beiden AP-HD gekoppelt. IPCams, die Echos und das Gästenetzwerk laufen jeweils in eigenen (WLAN-)Netzen (VLAN's). Der UniFi-Controller läuft "nativ" als Package auf der Syno.

docadams

Hallo und vielen Dank für die interessante Diskussion.

Was ich noch nicht so verstanden habe ist Folgendes.
Wenn ich z.B. Meine ganzen iobroker-Teile (RasPi, Sonoff, Tablet zur Visualisierung,...) in einen Bereich außerhalb der bisherigen 192.158.178. gelegt habe, und diesen Bereich mit einer Firewall nach außen schützen möchte, wie bekommen dann einige Module ihre Daten von außen (Wetter, Tankerkönig, usw.)?

Ich finde, das ist echt eine Überlegung wert, den Umzugsaufwand zu betreiben...

BBTown

@docadams Du kannst den Zugriff der Systeme auf das Internet erlauben, hingegen die andere Richtung - den Zugriff auf die Systeme - sperren

krissi

Dazu kann ich das empfehlen. Hab ich auch so laufen
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html

Allerdings mit dieser Hardware
https://www.justiot.de/infrastruktur/vorstellung-watchguard-xtm-5-appliance-als-pfsense-firewall/

Gruß
Krissi

bauzi

Hallo ich habe auch vor das ganze jetzt mal ein wenig zu ordnen.
Habe mich eingelesen auch im Internet, jedoch habe ich folgende Frage?

Submasbe 255.255.0.0, Fritzbox

Kann ich folgende IP-Adressen verwenden, wenn ich diese in der Frutzbox eintrage.

Netzwerk IP 100.10.0.0

IP Range 100.10.0.1 - 100.10.255.254

Oder liege ich da falsch? Gibt es da was zu beachten aus Netzwerktechnischen gründen?

Gruß
Bauzi

smudu

@bauzi
Ja, es gibt was zu beachten.
Du kannst nur bestimmte, sog. private, Adressbereiche benutzen. Ansonsten endet das im Chaos. Auf die Schnelle:
Link Text

Es ist hier immer nur die Rede von „Firewall“.
Genau genommen geht es erst mal um „Routing“ wenn du Geräte in unterschiedliche IP-Netze packst. D.h. der Router kennt alle Netze und kann die Pakete entsprechend zwischen den Netzen vermitteln.

Der Firewall-Teil sitzt quasi noch oben drüber und entscheidet an Hand der Protokolle (HTTP, HTTPS, SMTP, etc.) welche Pakete wohin durchgelassen werden.

Die Fritzbox versteckt vieles davon. Je nachdem was du als Alternative nimmst, musst du das in Handarbeit konfigurieren. Mit entsprechenden Frust-Faktor.

bauzi

Ok danke. Insofern bin ich ausserhalb diese Bereichs oder?
Verstehe ich das so richtig, das die Vorgaben abhängig von der Submaske sind? Ich verwende ja 16, also 192.168.0.1 - 192.168.255.254.
Zudem wenn ich dich richtig verstehe kann es so auch wenig Probleme mit Routing und anderen Themen geben.

Danke nochmal

Gruß

BBTown

@bauzi sagte in IP Adressen im Heimnetz:

Insofern bin ich ausserhalb diese Bereichs oder

ja, wenn Du allerdings aus der ersten "100" eine "10" machst, dann passt es wieder

@bauzi sagte in IP Adressen im Heimnetz:

Verstehe ich das so richtig, das die Vorgaben abhängig von der Submaske sind?

völlig richtig. Dies wird im Link von @smudu dargestellt.

bauzi

Danke an alle die mir Auskunft gegeben haben. Ich werde es jetzt wie folgt machen.
192.168.0.1 - 192.168.255.254
255.255.0.0

Dann habe ich genug Möglichkeiten zu strukturieren und vermeide irgend welche Routingprobleme.

Samson71

@bauzi
Vermeide möglichst den Adressbereich 100, also xxx.xxx.100.x

Zumindest bei den Kabel-Fritten gibt das Stress beim Routing, weil der Bereich intern für Supportzwecke genutzt wird. Aktuell gerade erst erlebt beim Einbau eines Unifi-USG hinter einer 6490. Lt. Support von AVM soll der 100er Bereich nicht verwendet werden.

Ob das für die Nicht-Kabelboxen auch generell gilt vermag ich aber nicht sicher zu sagen.

Ein ehemaliger Benutzer

@bauzi sagte in IP Adressen im Heimnetz:

255.255.0.0

Dann habe ich genug Möglichkeiten zu strukturieren und vermeide irgend welche Routingprobleme.

Damit kannst du gut 64000 Geräte ins Netzwerk hängen, sollte erstmal für dieses Jahr reichen, oder :-)

Ich empfehle DHCP und die Adressreservierung der Fritzbox (also wenn die IP vergeben wurde, in der Fritzbox den Haken beim Gerät "immer diese IP Verwenden" setzen), dann ändert sich da nichts, auch wenn die Lease abgelaufen ist.

Arbeite selbst auch so und habe ca. 300 Geräte im Netzwerk, permanent immer 240-260...