generelle Fragen zum Netzwerksetup
-
Mein Setup ist auch mit Unifi-APs realisiert. Allerdings nur WLAN. Der Rest ist von anderen Herstellern.
Ein Layer2-Switch mit VLAN-Funktion reicht, wenn ein entsprechender Router vorhanden ist.
Frage: Hast du die Möglichkeit VM's zu erstellen? Dann könnte man auch OPNSense installieren und damit das Routing realisieren.
Ist aber natürlich viel Arbeit. Aber wenns einmal rennt, dann rennt's.Ich hab z.B. nur einen Server bei mir rennen, der alles übernimmt. Also im wahrsten Sinne.... Router, NAS, ioBroker, NextCloud, UnifiController, Videoüberwachung, PiHole ... und und und
Dazu einen gebrauchten Lancom-Switch -> Fertig.
Alles virtualisiert. Habe 3 Unifi-APs und insgesamt 4 verschiedene WLANs/SSIDs, welche ihr eigenes VLAN haben. Hat mich dabei aber auch etwas Zeit gekostet die Sendestärken und Kanäle sinnvoll einzustellen. Das kann mitunter Tage dauern, da man immer mal wieder testen muss und sich fremde WLANs ja auch ändern können.
Das nur vorab gesagt.Bei mir erstreckt sich das also wie erwähnt über 4 WLANs bzw. VLANs
Management
Heimnetz
IOT Netz
GastnetzOPNSense regelt das Routing. Sei dir aber bewusst, dass einige Adapter evtl. in der Funktionalität eingeschränkt sind, Stichwort: Broadcast/Multicast/Bonjour. Dazu musste ich eine Slave-Installation vom ioBroker durchführen.
Mein Master ioBroker liegt im Management Netz
Mein Slave ioBroker liegt im Heimnetz
Meine ganzen IOT Geräte im IOT NetzPass auf... Im Management Netz liegt halt alles, was 24/7 läuft und niemanden was angeht.
Mein Heimnetz umfasst alles, wo ich selber halt meine Finger mit im Spiel haben will und alles was Internet benötigt. (Fernseher, Sonos, Mein Handy/Tablet/PC etc.)
Im IOT Netz liegen alles SmartHome Geräte. (Sonoff, ESP, Shelly etc.) Die haben auch alle KEIN Internet.
Über Firewall Regeln kannst du aber trotzdem noch bestimmten Geräten Internet erlauben/verbieten oder auch die interne Kommunikation der Geräte verfeinern (nur bestimmte Ports etc.)
Jedenfalls kommt's jetzt:
z.B. bekommst du Probleme mit dem Shelly Adapter. Der delektiert nämlich über Broadcast die Endgeräte. VLAN's sind ja aber genau dafür da, eben diesen nicht weiterzuleiten. Also wird der Adapter keine Shellys mehr finden... Ist schon etwas her und ich weiß nicht, ob es mittlerweile im Adapter Änderungen gibt, aber ich musste jedenfalls dafür dann meine Shellys alle auf MQTT umstellen, damit diese Dann die Verbindung zum Broker aufbauen.
Anderes Beispiel: Sonos-Adapter...
Da man ja die Möglichkeit behalten will mit dem Handy die Sonos zu steuern und aber auch mit ioBroker wird's wieder tricky. Denn Sonos werden afaik über einen Bonjour Dienst gesteuert. Jedenfalls funktioniert alles nur korrekt, wenn du im gleichen Netz bist.
Alle versuche mit Broadcast oder Bonjour Proxies kannst du gleich vergessen. Das läuft einfach nicht rund.
Musste also dafür wieder einen eigenen LXC/VM erstellen um die Sonos dann über HTTP-Requests zu steuern. Das war allerdings noch vor der Slave-Installation von ioBroker...Sind jetzt nur zwei Beispiele. Aber du wirst mit vielem halt ein bisschen Umdenken müssen. Spontan fallen mir da noch der Broadlink, Roku, Homebridge Adapter ein.
Klingt jetzt vielleicht auch alles etwas kompliziert und soll dich auch gar nicht abschrecken. Im Gegenteil. Ich ermutige sogar noch zum Vorhaben. Denn Dadurch wirst du sehr viel lernen.
Du musst das auch nicht unbedingt so machen wie ich. Ich habe auch glaube ich nicht so das übliche Setup.
Will aber sagen das auf jeden Fall etwas mehr Komplexität auf dich zukommt. Aber bei richtiger Konfiguration eben auch klarere Definitionen und auch etwas mehr Sicherheit und vor allem Privatsphäre. Cloud-Anbieter gibts bei mir nicht.Sorry für das Wirrwarr. Nach den ersten Sätzen war ich im Flow und hab einfach auf die Tastatur gehackt. ^^
Edit: Ums kurz zu machen:
Mit Unifi geht das. brauchst letztlich nur nen Router (virtuell oder Physisch) und nen Switch, der VLANs beherrscht. ^^
-
@Phil-Ipp
Bitte, gern geschehen. Eins hatte ich noch vergessen. Wenn Du Switch im Gebrauch hast dann müssen die für das geplante Vorhaben auch VLAN-fähig sein, @cruunnerr hatte es ja schon erwähnt. Zumindest, wenn mehr als ein VLAN über den Switch laufen soll. Wenn Du aber 2 Switch hast und hinter einem nur Geräte aus dem einen VLAN und beim zweiten nur Geräte vom anderen VLAN, dann geht es noch. Sobald aber z.B. ein Unifi AP hinter einem Switch hängt und dieser zwei WLAN für verschiedene VLAN aufmachen soll, muss der Switch auch mit VLAN umgehen können!Gruss, Jürgen
-
@Wildbill
ah, danke sehr guter Hinweis. wenn ich das richtig sehe ist das oben genannte Netgear VLAN-fähig.
Wäre das kompatibel zur USG und Unifi AP?@cruunnerr
danke für den ausführlichen post, das hilft mir sehr mich in die thematik reinzuarbeiten.
habe es gerade nur überflogen, weil on the run, melde mich bestimmt später noch mal mit rückfragen
danke! -
@Phil-Ipp
Kompatibel im Sinne von funktionieren würde ich ja sagen. Wenn ein switch Vlan-fähig passt das. Das ist standardisiert. Nur konfigurieren musst Du ihn halt separat, das geht nicht aus dem Unifi-Controller. Aber sonst kein Problem. Ich habe auch den Edgerouter, Zyxel-Switche und Unifi APs. Arbeitet auch alles problemlos zusammen, muss aber halt separat und korrekt konfiguriert sein.Gruß, Jürgen
-
@Wildbill klingt sehr interessant das ganze bin auch mit so einer Idee am überlegen. Wie ist das denn mit VPN wenn ich meine Fritzbox nur als Modem nutze und dahinter ein USG komme ich dann mit dem VPN von der Fritzbox (DNS) noch auf mein Netzwerk und kann mich einloggen?
-
@Phil-Ipp
Wenn du neue Switche anschaffen willst/musst und sowohl Unifi AP's als auch ein USG einsetzen wirst, dann schau Dich auch bei den Switchen nach Unifi um. Dann kannst Du alles unter einer Oberfläche verwalten. -
@ThaBam
So mache ich es auch. Die Fritte ist das Eingangstor für VPN. VPN Server ist die Snology hinter dem USG. -
@ThaBam sagte in generelle Fragen zum Netzwerksetup:
@Wildbill klingt sehr interessant das ganze bin auch mit so einer Idee am überlegen. Wie ist das denn mit VPN wenn ich meine Fritzbox nur als Modem nutze und dahinter ein USG komme ich dann mit dem VPN von der Fritzbox (DNS) noch auf mein Netzwerk und kann mich einloggen?
Wenn die Fritzbox nur noch als Modem arbeitet brauchst Du dahinter einen anderen VPN-Server. Das kann ein Synology NAS sein, der Unifi USG kann das AFAIK auch.
Was dann etwas tricky wird ist, wenn man von außen auf verschiedene VLAN zugreifen will. Da muss man dann mit internen Routen arbeiten, das ist für Anfänger evtl. etwas zu anspruchsvoll..Zum Thema Unifi USG und Co empfehle ich auch mal die Seiten und Videos von iDomix. Einfach googlen. Der erklärt das Recht gut und auch anfängerfreundlich.
Gruß, Jürgen
-
@Wildbill Der USG kann es definitiv. So läuft's bei mir und ich hab's auch über das iDomix-Video konfiguriert.
-
@Wildbill sagte in generelle Fragen zum Netzwerksetup:
Zum Thema Unifi USG und Co empfehle ich auch mal die Seiten und Videos von iDomix. Einfach googlen. Der erklärt das Recht gut und auch anfängerfreundlich.
Kann ich unterschreiben.
kleiner Tip noch bevor man so eine Umrüstung anfängt...
Grob die vorgenommene Infrastruktur aufzeichnen. Nur so wie ein Blockschaltbild.
Excel-Tabelle erstellen und alle Teilnehmer der jeweiligen VLANs eintragen.
Bei mir sind mittlerweile knapp 80 Netzwerkgeräte von denen mind. 60 immer online sind. Da verliert man irgendwann den Überblick mit den ganzen IP-Adressen und Hostnamen.
Meine Excel-Datei umfasst jeweils eine Tabelle pro VLAN und dort steht jedes Endgerät mit IP-Adresse und MAC-Adresse drin. Wenn man das von Beginn an macht, dann danken es dir später evtl. deine Nerven.Edit: Und nochmal, denk dran dass es evtl. von Nöten ist in jedem VLAN auch noch eine ioBroker Instanz im Slave-Modus zu installieren. Dann ist ein bzw. drei Raspberry Pi's eher Bastellösung und ich empfehle gleich die ganzen Installationen auf einem Virtualisierungsserver zu packen (z.B. Intel NUC oder Synology (wenn die VLANs beherrscht))
-
Ich muss auch mal was fragen.
Wir haben bei uns 2 Häuser (3 Familien).
Diese 2 Häuser nutzen 1 Internet.Jeder Haushalt betreibt sein eigenes WLAN. Also 3 unterschiedliche SSIDs.
Und jeder Haushalt hat andere APs (TP-Link, Asus, Fritz).Haushalt 1 ist der Hauptknoten (Fritzbox, Fritzrepeater, TP-Link)
Haushalt 2 und Haushalt 3 beziehen ihr Internet von Haushalt 1.Ist es vernünftiger, alle APs auf die SSID von Haushalt 1 umzustellen, oder bringt es nicht wirklich was?
Unify kommt aus Kostengründen derzeit nicht in Frage (Haushalt 2+3 wäre das zuviel). Eventuell
alle APs gegen Fritz Mesh Repeater tauschen (alle übers LAN verbunden)? -
@Negalein sagte in generelle Fragen zum Netzwerksetup:
Eventuell
alle APs gegen Fritz Mesh Repeater tauschen (alle übers LAN verbunden)?Dann gast du sowieso überall die gleiche SSID
-
@Homoran sagte in generelle Fragen zum Netzwerksetup:
Dann gast du sowieso überall die gleiche SSID
Ja, würde ich vernünftiger finden, als 3-4 SSIDs.
Dann wird denen jetzt ein Fritz Mesh aufgezwungen
-
Ich habe mich nun für den Unifi-Weg entschieden. Bin sehr gespannt, was da noch auf mich zukommt...
Ich werde die Tage mal die, von @cruunnerr vorgeschlagene, .xlsx Tabelle anfangen und die Infrastruktur aufzeichnen.Habe nun einen Unifi AP lite und das USG. Macht es Sinn schon mit dem Aufbau zu beginnen, oder besser aufs Switch warten?
Welches wäre denn das kleinste Unifi Switch, was sich hierfür eignet?@cruunnerr said in generelle Fragen zum Netzwerksetup:
(...)Edit: Und nochmal, denk dran dass es evtl. von Nöten ist in jedem VLAN auch noch eine ioBroker Instanz im Slave-Modus zu installieren. Dann ist ein bzw. drei Raspberry Pi's eher Bastellösung und ich empfehle gleich die ganzen Installationen auf einem Virtualisierungsserver zu packen (z.B. Intel NUC oder Synology (wenn die VLANs beherrscht))
Ich habe den ioBroker aktuell auf der Synology im Doker am Laufen. Verstehe ich Dich richtig, dass ich dann keine weiteren slave-Pi`s mehr benötige?
Bin gespannt, wie sich das realisieren lässt, dass das NAS in VLAN1 und der ioBroker in VLAN2 läuft, obwohl es physisch das selbe Gerät ist.
Und generell, wie sich die VLANs untereinander verbinden lassen.Für Zwischenrufe zum Unifi Setup bin ich weiterhin sehr dankbar!
-
@Phil-Ipp sagte in generelle Fragen zum Netzwerksetup:
Ich habe den ioBroker aktuell auf der Synology im Doker am Laufen. Verstehe ich Dich richtig, dass ich dann keine weiteren slave-Pi`s mehr benötige?
Bei mir läuft ioBroker im Docker auf der Syno und der Unifi-Controller ebenfalls. Ich brauche keine Slave-Instanzen. Die Kommunikation zwischen den vlans bzw. einzelner IT-Geräte daraus regelst Du über Firewall-Regeln des Unifi-Controllers. Du musst Dich daher noch entscheiden, ob Du den Controller als Softwarelösung auf eigener Hardware betreibst oder als Fertigbaustein auch von Unifi nimmst.
Empfehlung:
Fang erstmal ohne vlans an Dich mit dem Unifi System überhaupt vertraut zu machen und stell dann Segmentweise um, z.B. mit den IPCams und pack die in ein eigenes vlan. Ich würde daher auch auf den Switch warten und als Gesamtpaket starten. Für vlan eignen sich alle Switche von Unifi. Ist eher die Frage was Du brauchst in Sachen Anzahl Ports und ggf. POE. Ich bin mittlerweile bei 2 von den 16er Switchen mit 150W, einem 8er mit 60W und zwei kleinen 8ern, die ohne Netzteil über POE gepowert werden können. -
Hallo zusammen,
ich habe nun alles rudimentär auf Unifi am Laufen! Was soll ich sagen, es rennt.
USG + POE Switch + Cloudkey + UAP AC Lite
Die Fritzbox wurde zum DSL Modem degradiert. Frage: Muss hier noch etwas eingestellt/optimiert werden?Netzwerk inkl NAS liefen quasi Plug'n'Play direkt weiter.
Aktuell auch noch alles in einem Netzwerk/VLAN.Was ich mich nun Frage, wie muss ich ioBroker noch beim Umzug unter die Arme greifen?
Die Deconz/Zigbee sachen scheinen weiter zu laufen. Aber zum Beispiel die WLAN Yeelights tauchen noch auf, aber können nicht mehr gesteuert werden. Dazu werde ich an passender Stellen noch mal eine eigenen Thread starten.Danke und schönen Sonntag in die Runde!
-
@Phil-Ipp sagte in generelle Fragen zum Netzwerksetup:
Die Fritzbox wurde zum DSL Modem degradiert. Frage: Muss hier noch etwas eingestellt/optimiert werden?
Das kommt drauf an wie Du sie "degradiert" hast. Bridge-Modus? Dann ist alles gut. Bei mir war das nicht möglich wg. der Telefonie (Kabel-Vodafone), daher habe ich das NAT im USG deaktiviert um kein Doppel-NAT zu haben.
-
@Samson71 said in generelle Fragen zum Netzwerksetup:
@Phil-Ipp sagte in generelle Fragen zum Netzwerksetup:
Die Fritzbox wurde zum DSL Modem degradiert. Frage: Muss hier noch etwas eingestellt/optimiert werden?
Das kommt drauf an wie Du sie "degradiert" hast. Bridge-Modus? Dann ist alles gut. Bei mir war das nicht möglich wg. der Telefonie (Kabel-Vodafone), daher habe ich das NAT im USG deaktiviert um kein Doppel-NAT zu haben.
hmm, bei meiner 7490 habe ich keine "Bridge-Option". Bzw wurde dies wohl seitens AVM entfernt.
Aktuell läuft es mit doppeltem NAT.
Ich will heute Abend mal den Weg über den exposed host probieren.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/131_DMZ-in-FRITZ-Box-einrichten/Sonstige Funktionen (Telefonie, etc) der FB sind nicht im Einsatz. Daher auch die Überlegung, evtl ein einfaches DSL Modem anzuschaffen...
-
@Phil-Ipp
Wenn Du von der Fritte keine Funktionen zwingend brauchst würde ich auch nen reines Modem vor das USG setzen. Würde ich auch gerne machen. Meine Wahl wäre dann ein Draytek Vigor. Ich werde als Kabelkunde meine Box als 1. Endgerät am Anschluss nicht los, da die zwangsweise von Vodafone direkt provisioniert wird. -
@Samson71 sagte in generelle Fragen zum Netzwerksetup:
Die Kommunikation zwischen den vlans bzw. einzelner IT-Geräte daraus regelst Du über Firewall-Regeln des Unifi-Controllers.
Hast du da vielleicht eine Beispiel-Rule für mich? Oder einen Link zu einer Beschreibung? Irgendwie habe dabei keinen Durchblick. Bestimmten MAC-Adressen das WAN zu verbieten habe ich ebenso geschafft wie eine Portweiterleitung. Doch die Verbindung zwischen zwei VLAN ist mir nicht klar. "LAN eingehen", "LAN ausgehend" oder "LAN lokal"? Alleine da weiß ich schon nicht wo rein.
