IP-Adressen richtig aufteilen ?

Zitat von 4711Austria

Aktuell komm ich hier nicht wirklich weiter, ich stocherer unwissend in den Firewallsettings und werde wohl mit einem 192.168.0.0/16 starten, dann kann ich meine IP-Bereich Gerätebezogen vergeben und hab noch keine Kommunikationseinschränkung, diese dann step by step durchtesten....

ernsthaft?!? Naja kannst dann ja bei Bedarf noch 2 weitere Netze mit 10.0.0.0/8 und 172.16.0.0/12 aufmachen. Beim 4. Netz hast Du ja dann noch immer die Auswahl, welche IPs im Internet Du nicht mehr erreichen willst.

Mir kommt die Lernkurve in diesem Thread ziemlich flach vor ...

Zitat von 4711Austria

ihr denkt hier zu tief und kompliziert

Nun ich habe keine liste mit 21 VLAN präsentiert von dem die eine hälfte unsinnig erscheint die andere recht kleinteilig

Zitat von 4711Austria

Nach Außen soll nichts offen sein, bzw. nur das, was notwendig

Erledigt. von außen ist die Kiste zu, sei denen werden Löcher aufgemacht.

Zitat von 4711Austria

wenn das Smarthome mit den Shellys kommunizieren will, läuft das über Mqtt, hier muss dann ein "Tunnel" ?? geöffnet werden.

Again, ohne elementare Grundlagen stocherst du nur im Dunkeln und weist nichtmal was du da machst.

Der Shelly muss den Broker erreichen auf den richtigen ports und umgekehrt. Sind die beiden in unterschiedlichen Netzwerken

router der router was sein Kernaufgabe ist zwischen den netzen und mittels Paketfilter aka Firewall kannst du

bestimmen was erlaubt oder nicht erlaubt ist. Nichts nötig was Netzwerker unter einem "Tunnel" verstehen.

Zitat von 4711Austria

ch stocherer unwissend in den Firewallsettings

Nun hier wird keiner deine Hausaufgaben machen, verweise ins wiki, links zu "Network for beginners" hast du bekommen.

Dazu nen Haufen hinweise das viel von Persönlichen Geschmack abhängt es also kein "ideal" gibt.

Auch wenn der vergleich hingt und fast schon böse klingt

.einen JumboJet kannst du nicht fliegen wenn du grade auf dem Modelflugplatz ein Papierflieger in die Luft bekommst.

Zitat von 4711Austria

Hab leider nicht die Zeit mich hier Tage/Wochen/Monate/Jahre einzulernen und zu beschäftigen.

Ja ne ist klar.

Zitat von 4711Austria

wäre nicht immer mein Vorhaben zu kritisieren,

Ja doch, das sollte erst recht helfen dir hier keiner nach den Mund redet wird und sagen wird:

"Ja mein jung wird alles gut schön hast du machst."

Wahrheit mag doof sein aber ist eine Notwendigkeit.

Zitat von 4711Austria

Ich will, dass nicht alle Geräte in der 192.168.0.x/24 sind, das war und wird nicht mehr sein!

Sau gut leg ein VLAN an mit der 192.168.25.0/24, ziel erricht. Sollte ein Gerät Automatisch eine IP aus

einen anderen Bereich haben... fein weis wird nicht funktionieren.

Hoffnungsloser Fall. Wenn man sich nicht einarbeiten möchte, sollte man kein System kaufen, in das man sich einarbeiten muss. Und schon gar nicht sollte man dann erwarten, dass in einem Forum jemand Deinen Job übernimmt.

Ich bin hier mal raus.

@4711Austria ich kann dich verstehen was du meinst und kann deinen "Frust" ein Stückweit nachvollziehen.

Aber tatsächlich gibt es so viele Anwendungsbeispiele und Kriterien zu beachten, da ist eine pauschale Antwort nicht machbar. Gerade erst wenn jemand, und da schließe ich mich mit ein kein Profi ist.

Als ich auf das Forum hier gestoßen bin hatte ich auch eine Menge Fragen wie und was und nur wenige Kommentare haben mir weitergeholfen. Aber heute verstehe ich das jeder Mensch eine Frage oder Antwort anders auffasst und eine Ausgangssituation in IT Hinsicht schwer zu beschreiben ist. Zudem hat jeder andere Anwendungsfälle zu dem es kein Allgemeinrezept gibt in das man sich lrdiglich hineinlesen muss.

Und Zeit und Geduld ist nun mal das wichtigste was du mitbringen musst wenn du dich in Hard- und Software einarbeiten willst in der du dich noch unsicher bewegst. Geht mir ja nicht anders.

Ich habe viele Tage und viele Niederlagen mit meiner Konfiguration der UDM hinter mir, in der wahrscheinlich andere User sie Hände über den Kopf zusammenschlagen würden. Bisher läuft es aber so wie ich mir das vorstelle und das ist das wichtigste. Aber auch meine Anwendungsbeispiele gab es nirgends im Netz zu finden, "nur" Wegweiser die dich aber auch Stück für Stück ans Ziel bringen. Mit jedem klick und mit jedem Rückschlag lernst du dazu. Und wenn gar nichts mehr geht, reset und von vorne. Vielleicht immer wieder Zwischendurch eine Sicherung der Konfig durchführen.

Keiner der User meint es sicherlich böse mit dir, aber auch du musst deinen Teil dazu beitragen :-).

4711Austria Hier sind wirklich schon viele Vorschläge für dein Vorhaben auf den Tisch gelegt worden. Im prinzip willst du ja nichts anderes erreichen, wie es schon defcon in seinem Tutorial im Wiki beschrieben hat. Ich habe mir dieses Tutorial auch vor einigen Monaten zur Brust genommen, da ich wie Du, mein Netzwerk in verschiedene Segmente aufgeteilt habe und nun die VLANs endlich gegenseitig abschotten wollte. Auch dieses Tutorial kann natürlich nicht eins zu eins übernommen werden und muss natürlich deinen Bedürfnissen angepasst werden.

Aber immer dran denken, eine Voraussetzung für so ein Projekt, ist natürlich die Einarbeitung in die Materie. Weil Blind einfach irgendetwas nach zu klicken was man bei Youtube gesehen hat, hilft dir nicht wirklich weiter. Bei Netzwerken sollte man verstehen was man tut. Man wird nicht über Nacht zu einem Netzwerk Profi weil man irgendeine Anleitung blind Nachbaut. Spätestens bei den ersten Problemen ist man schnell wieder mit seinem Latein am Ende und guckt in die Röhre.

Nimm dir das Tutorial mal zur Brust und versuche das für Dich Schritt für Schritt umzusetzen. Im Prinzip ist es genau das, was du willst.

Zitat von 4711Austria

Hab leider nicht die Zeit mich hier Tage/Wochen/Monate/Jahre einzulernen und zu beschäftigen.

Sorry, aber dann solltest du dir ne FritzBox kaufen

Du wirst nicht drum rum kommen, die in das Thema Netzwerke, IP-Adressen, usw. und vor allem Unifi-Eigenarten einzulesen.

Zitat von 4711Austria

Ja, das Tutorial habe ich versucht zu verstehen, da fehlt mir noch manches Wissen, um zu verstehen, was das bedeutet, was ich davon benötige und was nicht. Und dann ist man schon raus....

Puh! viel wissen muss man jetzt eigentlich nicht um das Tutorial für seine Bedürfnisse umsetzen zu wollen. Weil besser beschrieben wie dort findet man eigentlich nicht im Netz. Die meisten Anleitungen sind noch viel oberflächlicher. Die Grundlage für das einrichten verschiedener Netze ist im Tutorial vorhanden. Das VLAN mit den eigenen DNS Server wirst du erstmal nicht benötigen. An alles andere tastet man sich schritt für schritt ran.

Aber ohne Eigeninitiative und Einarbeitung in die Materie, wird es niemals was werden, da jedes Netzwerk speziell seinen Anforderungen und Gegebenheiten Angepasst werden muss. Da führt kein Weg dran vorbei. Am Anfang ist alles noch neu und auch mit vielen ??? bestückt, aber nicht aufgeben und dran bleiben, irgendwann fügt sich alles zusammen und dann fällt der Groschen.

und vor allen alles Schritt-für-Schritt machen und nicht 10 verschiedenen Sachen gleichzeitig konfigurieren zu wollen, der Schuß geht dann nach hinten los ( mit Ansage )

Fang klein an, erst mal die UDM einrichten mit einem Netzwerk, dann DHCP-Server dafür und immer wieder testen, testen, testen.

Dann machst ein VLAN mit eigenem IP-Bereich, DHCP-Server einrichten, testen ob alles funktioniert, dann ersten Firewall-Regeln anlegen und wieder testen.

Usw.

So hab ich das damals mit meiner OPNSense auch gemacht, die stand auf dem Schreibtisch und ich hab die komplett offline konfigurieren und mit rum gespielt, weil ich mit dem Teil auch bei Null angefangen habe.

Jung, ich musste mich die ganze hier Zeit zurückhalten, habe schonmal geschrieben mach es einfach...
Ich betreibe bei mir zu Hause ein Netzwerk mit ca. 70 clients aufgeteilt auf 4 VLANs

Man kann ein Projekt auch kaputt planen... deine Ansätze sind grundsätzlich nicht verkehrt!

Lege 4 VLANs an:

Home

Office

IoT

NoT

Fertig - mache eine Liste welches Gerät wohin kommt und gut!

Blocke alles und gebe gezielt frei

Setze mal etwas um bevor du 1000 Fragen stellst ... hier gibt es so viele Beiträge!

Es ist ganz einfach, um so weniger Einträge in der Datenbank, um so weniger Fehler können sich einschleichen. In eine FW (was die UDM nicht wirklich ist) sollte es möglichst übersichtlich sein.

Zitat von gierig

Again, ohne elementare Grundlagen stocherst du nur im Dunkeln und weist nichtmal was du da machst.

Der Shelly muss den Broker erreichen auf den richtigen ports und umgekehrt. Sind die beiden in unterschiedlichen Netzwerken

router der router was sein Kernaufgabe ist zwischen den netzen und mittels Paketfilter aka Firewall kannst du

bestimmen was erlaubt oder nicht erlaubt ist. Nichts nötig was Netzwerker unter einem "Tunnel" verstehen.

Hier setzt mein gemachter Vorschlag an, warum ist der IoBrocker/Mqtt nicht in demselben Netz wie deine Shelly? Damit sparst du dir ein VLAN und Regeln.

Zitat von 4711Austria

ich verstehe noch immer nicht, was daran so dramatisch sein soll mehrere VLans zu kreieren, mit den Profilen doch ein leichtes diese dann zu verbinden ?

Gar nichts, kannst du soviele VLAN anlegen wie die willst - naja nicht ganz, das Limit liegt irgendwo bei 4094.

Ich nutze bevorzugt VLAN um Geräte in ein Netz zu separieren, hab z.b. mehrer VLAN, wo nur 1 oder 2 Geräte drin sind, z.b. mein LoRaWAN-Gateway ist im eigenen Netz, darf nur ins Internet und sonst nirgentwo hin. Oder Büronetz, ist nur das Firmennotebook drin, weil auch ohne AdBlocker und abgetrennt von meinem restlichen Netzwerk

Ich hab aber auch eine Trennung zwischen Smarthome und IoT.

Smarthome sind z.b. meine ganzen WLAN-Steckdosen usw., im IoT dann die ganzen ESP-Controller, beide können mehr oder weniger aber auch mit dem SmartHome-Server kommunizieren, der im Server-VLAN hängt, dafür gibt es dann aber auch entsprechende Firewall-Regeln