generelle Fragen zum Netzwerksetup
-
Guten Abend zusammen,
ich möchte mein Heimnetzwerk gerne neu und sicherer aufbauen.
Aktuell läuft alles über das Netzerk einer Fritzbox. LAN + WLAN.
Auch sind alle Geräte (private und Smarthome) im gleichen Netzwerk.Ich frage mich, ob es sinnvoll ist hier eine Trennung vorzunehmen...?
Zum Beispiel:
Alle IOT Geräte in ein Netzwerk.
Der private Kram dann in ein zweites.
Gerne würde ich dafür den unifi ap einsetzen.Was ich mich frage, ob das überhaupt möglich ist, da ioBroker auf der Synology läuft.
Ich ergo privat aufs NAS zugreifen müsste, aber die IOT Geräte ja auch mit ioBroker kommunizieren müssen.
Ich nehme auch stark an, dass IOT Geräte und ioBroker im gleichen Netzwerk laufen müssen.Folgende Hardware ist vorhanden:
Fritzbox als DSL Gateway und WLAN Verteiler
Gigabit Switch/HUB
(Ubiquiti unifi ap ac lite) nicht im Einsatz
(Acer Router) nicht im Einsatz
Synology DS918+ ioBrocker via DockerWie habt Ihr das bei Euch gelöst?
Ich bin gespannt...Schönen Abend,
Philipp -
@Phil-Ipp Du benötigst z. B. einen Router der vlans aufziehen kann. Die Erreichbarkeiten der Geräte verschiedener vlan werden über Firewallregeln ermöglicht. Es müssen also nicht alle Geräte in einem Netzwerksegment hängen um miteinander zu reden.
-
@Phil-Ipp Ich will nicht sagen, dass Dein Vorhaben schon fast Standard ist, aber sehr viele hier im Forum werden genau das umgesetzt haben.
-
@Phil-Ipp Schau dir doch mal die Managed Switche an: https://www.amazon.de/Netgear-GS116E-200PES-16-Port-konfigurierbar-deutscher/dp/B00GBULIIG?th=1
Die gibt es bei den Prime-Day oft sehr günstig. -
danke für Eure Antworten!
@Meister-Mopper
meines Wissens kann der Ubiquity AP mehrere VLANs, aber da muss ich mich mal schlau machen.
Bin immer noch ein wenig positiv erstaunt, dass das zu trennen geht, obwohl ioBroker und NAS ein physisches Gerät sind.@Axel-Koeneke
schau ich mir an, danke.@braindead
hatte dazu leider, gerade in Bezug auf ioBroker, nichts gefunden.
Hättest Du evtl eine Anlaufstelle? Bzw mehr Infos?Danke und einen guten Start ins Wochenende,
Philipp -
@Phil-Ipp
Wie @Meister-Mopper schon schrieb. Ohne VLAN-fähigen Router wird das nichts. Da bringt es nichts, wenn es der Access Point oder ein Switch kann. Der Router muss es können, denn der routet dann zwischen den verschiedenen Netzen (wie der Name ja sagt). Und die Fritzbox kann es nicht.
Du könntest Dir jetzt einen (sehr teuren) Layer3-Switch kaufen, der selber routen kann, aber da wirst Du mit einem neuen Router glücklicher. Vorschlag, nehm die Fritzbox nur als reines Modem und hänge dahinter einen Unifi USG. Der kostet um 100€, kann das alles und noch viel mehr und Du kannst ihn auch gleich in den Unifi Controller einbinden und dort alles nur einmal konfigurieren. Den Controller musst Du eh als VM oder Container installieren oder auf einem raspi, um den AP zu konfigurieren. So habe ich auch angefangen und es lief problemos. Nur wollte ich mehr und bin dann auf einen Edgerouter umgestiegen, aber das wäre für Dich für den Anfang vermutlich zu viel.Aber, wie gesagt, nur mit dem Unifi AP geht es nicht!
Gruss, Jürgen
-
@Phil-Ipp ich stelle Morgen meine USG zum Verkauf ein. Bei Interesse schreib mir einfach eine PM.
-
@darkiop
Alles klar, danke.
PM Inbox -
Hallo Jürgen, danke für Deine Antwort, das hilft sehr!
Ich habe zwar generelles IT Verständnis, allerdings musste ich mich mit Netzwerk bis dato wenig, bis gar nicht beschäftigen. Deswegen bin ich hier noch etwas unsicher...
Dein Vorschlag klingt pragmatisch, sowas mag ich sehr ,) Schaue mir das Security Gateway gleich mal an.
Vorher checke ich aber noch, ob der Acer evtl mehrere VLANs kann. Das ist auch ein Modell, bei der bei Bedarf custom firmwares (open-WRT, etc.) aufgespielt werden können...Danke & guten Start ins Wochenende,
Philipp -
Mein Setup ist auch mit Unifi-APs realisiert. Allerdings nur WLAN. Der Rest ist von anderen Herstellern.
Ein Layer2-Switch mit VLAN-Funktion reicht, wenn ein entsprechender Router vorhanden ist.
Frage: Hast du die Möglichkeit VM's zu erstellen? Dann könnte man auch OPNSense installieren und damit das Routing realisieren.
Ist aber natürlich viel Arbeit. Aber wenns einmal rennt, dann rennt's.Ich hab z.B. nur einen Server bei mir rennen, der alles übernimmt. Also im wahrsten Sinne.... Router, NAS, ioBroker, NextCloud, UnifiController, Videoüberwachung, PiHole ... und und und
Dazu einen gebrauchten Lancom-Switch -> Fertig.
Alles virtualisiert. Habe 3 Unifi-APs und insgesamt 4 verschiedene WLANs/SSIDs, welche ihr eigenes VLAN haben. Hat mich dabei aber auch etwas Zeit gekostet die Sendestärken und Kanäle sinnvoll einzustellen. Das kann mitunter Tage dauern, da man immer mal wieder testen muss und sich fremde WLANs ja auch ändern können.
Das nur vorab gesagt.Bei mir erstreckt sich das also wie erwähnt über 4 WLANs bzw. VLANs
Management
Heimnetz
IOT Netz
GastnetzOPNSense regelt das Routing. Sei dir aber bewusst, dass einige Adapter evtl. in der Funktionalität eingeschränkt sind, Stichwort: Broadcast/Multicast/Bonjour. Dazu musste ich eine Slave-Installation vom ioBroker durchführen.
Mein Master ioBroker liegt im Management Netz
Mein Slave ioBroker liegt im Heimnetz
Meine ganzen IOT Geräte im IOT NetzPass auf... Im Management Netz liegt halt alles, was 24/7 läuft und niemanden was angeht.
Mein Heimnetz umfasst alles, wo ich selber halt meine Finger mit im Spiel haben will und alles was Internet benötigt. (Fernseher, Sonos, Mein Handy/Tablet/PC etc.)
Im IOT Netz liegen alles SmartHome Geräte. (Sonoff, ESP, Shelly etc.) Die haben auch alle KEIN Internet.
Über Firewall Regeln kannst du aber trotzdem noch bestimmten Geräten Internet erlauben/verbieten oder auch die interne Kommunikation der Geräte verfeinern (nur bestimmte Ports etc.)
Jedenfalls kommt's jetzt:
z.B. bekommst du Probleme mit dem Shelly Adapter. Der delektiert nämlich über Broadcast die Endgeräte. VLAN's sind ja aber genau dafür da, eben diesen nicht weiterzuleiten. Also wird der Adapter keine Shellys mehr finden... Ist schon etwas her und ich weiß nicht, ob es mittlerweile im Adapter Änderungen gibt, aber ich musste jedenfalls dafür dann meine Shellys alle auf MQTT umstellen, damit diese Dann die Verbindung zum Broker aufbauen.
Anderes Beispiel: Sonos-Adapter...
Da man ja die Möglichkeit behalten will mit dem Handy die Sonos zu steuern und aber auch mit ioBroker wird's wieder tricky. Denn Sonos werden afaik über einen Bonjour Dienst gesteuert. Jedenfalls funktioniert alles nur korrekt, wenn du im gleichen Netz bist.
Alle versuche mit Broadcast oder Bonjour Proxies kannst du gleich vergessen. Das läuft einfach nicht rund.
Musste also dafür wieder einen eigenen LXC/VM erstellen um die Sonos dann über HTTP-Requests zu steuern. Das war allerdings noch vor der Slave-Installation von ioBroker...Sind jetzt nur zwei Beispiele. Aber du wirst mit vielem halt ein bisschen Umdenken müssen. Spontan fallen mir da noch der Broadlink, Roku, Homebridge Adapter ein.
Klingt jetzt vielleicht auch alles etwas kompliziert und soll dich auch gar nicht abschrecken. Im Gegenteil. Ich ermutige sogar noch zum Vorhaben. Denn Dadurch wirst du sehr viel lernen.
Du musst das auch nicht unbedingt so machen wie ich. Ich habe auch glaube ich nicht so das übliche Setup.
Will aber sagen das auf jeden Fall etwas mehr Komplexität auf dich zukommt. Aber bei richtiger Konfiguration eben auch klarere Definitionen und auch etwas mehr Sicherheit und vor allem Privatsphäre. Cloud-Anbieter gibts bei mir nicht.Sorry für das Wirrwarr. Nach den ersten Sätzen war ich im Flow und hab einfach auf die Tastatur gehackt. ^^
Edit: Ums kurz zu machen:
Mit Unifi geht das. brauchst letztlich nur nen Router (virtuell oder Physisch) und nen Switch, der VLANs beherrscht. ^^
-
@Phil-Ipp
Bitte, gern geschehen. Eins hatte ich noch vergessen. Wenn Du Switch im Gebrauch hast dann müssen die für das geplante Vorhaben auch VLAN-fähig sein, @cruunnerr hatte es ja schon erwähnt. Zumindest, wenn mehr als ein VLAN über den Switch laufen soll. Wenn Du aber 2 Switch hast und hinter einem nur Geräte aus dem einen VLAN und beim zweiten nur Geräte vom anderen VLAN, dann geht es noch. Sobald aber z.B. ein Unifi AP hinter einem Switch hängt und dieser zwei WLAN für verschiedene VLAN aufmachen soll, muss der Switch auch mit VLAN umgehen können!Gruss, Jürgen
-
@Wildbill
ah, danke sehr guter Hinweis. wenn ich das richtig sehe ist das oben genannte Netgear VLAN-fähig.
Wäre das kompatibel zur USG und Unifi AP?@cruunnerr
danke für den ausführlichen post, das hilft mir sehr mich in die thematik reinzuarbeiten.
habe es gerade nur überflogen, weil on the run, melde mich bestimmt später noch mal mit rückfragen
danke! -
@Phil-Ipp
Kompatibel im Sinne von funktionieren würde ich ja sagen. Wenn ein switch Vlan-fähig passt das. Das ist standardisiert. Nur konfigurieren musst Du ihn halt separat, das geht nicht aus dem Unifi-Controller. Aber sonst kein Problem. Ich habe auch den Edgerouter, Zyxel-Switche und Unifi APs. Arbeitet auch alles problemlos zusammen, muss aber halt separat und korrekt konfiguriert sein.Gruß, Jürgen
-
@Wildbill klingt sehr interessant das ganze bin auch mit so einer Idee am überlegen. Wie ist das denn mit VPN wenn ich meine Fritzbox nur als Modem nutze und dahinter ein USG komme ich dann mit dem VPN von der Fritzbox (DNS) noch auf mein Netzwerk und kann mich einloggen?
-
@Phil-Ipp
Wenn du neue Switche anschaffen willst/musst und sowohl Unifi AP's als auch ein USG einsetzen wirst, dann schau Dich auch bei den Switchen nach Unifi um. Dann kannst Du alles unter einer Oberfläche verwalten. -
@ThaBam
So mache ich es auch. Die Fritte ist das Eingangstor für VPN. VPN Server ist die Snology hinter dem USG. -
@ThaBam sagte in generelle Fragen zum Netzwerksetup:
@Wildbill klingt sehr interessant das ganze bin auch mit so einer Idee am überlegen. Wie ist das denn mit VPN wenn ich meine Fritzbox nur als Modem nutze und dahinter ein USG komme ich dann mit dem VPN von der Fritzbox (DNS) noch auf mein Netzwerk und kann mich einloggen?
Wenn die Fritzbox nur noch als Modem arbeitet brauchst Du dahinter einen anderen VPN-Server. Das kann ein Synology NAS sein, der Unifi USG kann das AFAIK auch.
Was dann etwas tricky wird ist, wenn man von außen auf verschiedene VLAN zugreifen will. Da muss man dann mit internen Routen arbeiten, das ist für Anfänger evtl. etwas zu anspruchsvoll..Zum Thema Unifi USG und Co empfehle ich auch mal die Seiten und Videos von iDomix. Einfach googlen. Der erklärt das Recht gut und auch anfängerfreundlich.
Gruß, Jürgen
-
@Wildbill Der USG kann es definitiv. So läuft's bei mir und ich hab's auch über das iDomix-Video konfiguriert.
-
@Wildbill sagte in generelle Fragen zum Netzwerksetup:
Zum Thema Unifi USG und Co empfehle ich auch mal die Seiten und Videos von iDomix. Einfach googlen. Der erklärt das Recht gut und auch anfängerfreundlich.
Kann ich unterschreiben.
kleiner Tip noch bevor man so eine Umrüstung anfängt...
Grob die vorgenommene Infrastruktur aufzeichnen. Nur so wie ein Blockschaltbild.
Excel-Tabelle erstellen und alle Teilnehmer der jeweiligen VLANs eintragen.
Bei mir sind mittlerweile knapp 80 Netzwerkgeräte von denen mind. 60 immer online sind. Da verliert man irgendwann den Überblick mit den ganzen IP-Adressen und Hostnamen.
Meine Excel-Datei umfasst jeweils eine Tabelle pro VLAN und dort steht jedes Endgerät mit IP-Adresse und MAC-Adresse drin. Wenn man das von Beginn an macht, dann danken es dir später evtl. deine Nerven.Edit: Und nochmal, denk dran dass es evtl. von Nöten ist in jedem VLAN auch noch eine ioBroker Instanz im Slave-Modus zu installieren. Dann ist ein bzw. drei Raspberry Pi's eher Bastellösung und ich empfehle gleich die ganzen Installationen auf einem Virtualisierungsserver zu packen (z.B. Intel NUC oder Synology (wenn die VLANs beherrscht))
-
Ich muss auch mal was fragen.
Wir haben bei uns 2 Häuser (3 Familien).
Diese 2 Häuser nutzen 1 Internet.Jeder Haushalt betreibt sein eigenes WLAN. Also 3 unterschiedliche SSIDs.
Und jeder Haushalt hat andere APs (TP-Link, Asus, Fritz).Haushalt 1 ist der Hauptknoten (Fritzbox, Fritzrepeater, TP-Link)
Haushalt 2 und Haushalt 3 beziehen ihr Internet von Haushalt 1.Ist es vernünftiger, alle APs auf die SSID von Haushalt 1 umzustellen, oder bringt es nicht wirklich was?
Unify kommt aus Kostengründen derzeit nicht in Frage (Haushalt 2+3 wäre das zuviel). Eventuell
alle APs gegen Fritz Mesh Repeater tauschen (alle übers LAN verbunden)?
