IP-Adressen richtig aufteilen ?

Zitat von 4711Austria

was möchte ich machen, es gibt Klasse A bis C IP-Adressen, ist es sinnvoll hier bereits zu unterscheiden?

Klasse A = 10.x.x.x = internet

Klasse B = 172.16-31.x.x = network

Klasse C = 192.168.x.x = Endgeräte

Bitte Löse dich von Klassendenken, sollte Dir das in den letzen 20 Jahren irgendeiner beigebracht haben und es nicht um Geschichte

handelte, nimm bitte einen schweren Baseballschläger und richte grüße aus den 80 aus.

CIDR ( Classless Inter-Domain Routing) ist seit 1992 stand der Dinge.

RFC1918 sagt für IPv4 das du die privaten Bereiche

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

Lustig wie ein bunter Vogel bei dir Benutzen darfst wie Du es für richtig hältst.

Die meisten Menschen werden aber Strukturiert vorgehen

und z.b sich aus 10.0.0/8 kleine Happen auszuschneiden um diese separat zu verwerten,

z.B:

10.0.1.0/24 - > Verwaltung

10.0.2.0/24 - > IOT

10.0.3.0/24 - > Cams

10.0.4.0/24 - > ....

Das sind Netze mit jeweils 254 gerate drinnen sein könnten, üblicherweise mehr als genug

im heimischen Umfeld. Davon kannst du dann 255 Stück anlegen, damit nötigenfalls

jeder Wasserkocher ein eigenes Netz Hat. (sinnvoll mag das dann aber nicht sein).

Zitat von 4711Austria

Klasse A = 10.x.x.x = internet

Klasse B = 172.16-31.x.x = intranet / netzwerk - geräte

Klasse C = 192.168.x.x = Endgeräte

so wäre meine Vorstellung, in den Klasse B/C dann noch virtuelle Netzwerke die Bereiche definieren (örtlich oder Gruppen).

Ist das so ein Weg, den man machen kann?

Alles anzeigen

Machs dir nicht so komplizeiert

Class A,B oder C unterscheidet nur die Größe der für private Netze ( also im Lokalen Netz zuhause oder Firmen ), also am Ende, wieviele IP-Adresse man zur Verfügung hat.

Alle drei IP-Bereich sind für private Netze reserviert mit dem Hintergrund, das solche IP-Adressen nicht im Internet geroutet werden - einfach gesagt, eine 172.16.x.x Adresse im Internet kann man nicht erreicht, weil es die auch nicht geben darf.

Der Standart zuhause ist, das man 192.168.x.x nutzt .

Dann nimmst z.b. 192.168.0.0/24 als Netz, damit hast du 254 IP-Adresse zur Verfügung,

.0 bezeichnet das Netz selber

.1 ist standartmässig das Gateway, also die Fritzbox oder UDMPro

.255 ist reserviert für Broadcast, darf nicht genutzt werden.

Also kann alle Adressen von .2 bis .254 nutzen.

Wenn du VLAN nutzen willst, nimmst eben mehrere IP-Bereich aus dem 192.168er Netz, z.b.

192.168.10.0/24 = VLAN 10

192.168.20.0/24 = VLAN 20

usw.

dann hast in jedem VLAN wiederum 254 mögliche IP-Adressen, wobei die 3. stelle dann direkt deine VLAN-ID ist - macht es übersichtlicher.

Du kannst aber wenn du Spass dran hast:

10.10.10.0/24

10.10.20.0/24

usw. für deine VLAN's nutzen

oder eben auch

172.16.10.0/24

172.16.20.0/24

usw.

das macht von der Funktion keinen Unterschied - ich würde nur davon absehen, die IP-Netze zu mischen, also wenn bleibt bei 192.168 oder 10.x.x.x oder 172.16.x.x

Wenn du Homeoffice machst, kleiner Tip, nutze nicht das selbe IP-Netz was in deiner Firma genutzt wird, wenn du dich mti VPN verbindest - das Problem hab ich, ich nutze 10.0.x.x Adresse für meien VLAN's aber in der Firma haben wir auch 10.x.x.x/8 als Netz und alle diese IP's gehen durch den VPN.

Zitat von 4711Austria

Danke.

Ich dachte die 10. und 172 bzw. 192 bezeichnen eine Art (Sicherheits-) Ebene, wobei das 192. das "offenste" Netz abbildet für alle Endgeräte und User, restriktiver je weiter man Richtung Web kommt.

am Ende ist es aber die Firewall, sprich Settings in der UDM, die die Sicherheit bringt und nicht mehr, korrekt?

Es hat absolut nichts mit Sicherheitsebenen zu tun, sondern ausschließlich mit der Größe des IP-Bereiches und entsprechend dann des Verwendungszweckes ( sprich Größe des Netzes der Firma dahinter ), welche für private Netze reserviert sind.

10.0.0.0/8 = 16.777.216 IP-Adressen

172.16.0.0/12 = 1.048.576 IP-Adressen

192.168.0.0/16 = 65.536 IP-Adressen

Große Firmen, z.b. mein AG nutzt das komplette 10er intern

Private Netze nutzen im Normalfall 192.168er Netze

Klar kannst du die IP-Bereiche mischen, aber ich rate dir davon dringend ab, das bringt dir sicherheitsmässig 0.0 Vorteil, sonder eher Nachteile, weil das Netzwerk komplexer wird.

Nehm für jedes VLAN einen /24 Netzsegment daraus und erstelle die die VLAN entsprechend wie ich es oben schon mal als Beispiel gemacht habe:

192.168.1.0 /24 = das Managementnetz der Unifi wo alle Switche, AP usw. rein kommen.

192.168.10.0 /24 = VLAN 10 für z.b. zentrale Systeme wie Server

192.168.20.0 /24 = VLAN 20 für z.b. private Geräte wie Notebooks, PCs, Drucker,

192.168.30.0 /24 = VLAN 30 für z.b. Multimedia

....

192.168.250.0 / 25 = VLAN 250 für Gäste

Mache die Netzsegmente nicht so groß

Zitat von 4711Austria

wie ist das mit Subnetmask, 255.255.0.0 in diesem 192.168.x.y Fall ?

Ist nicht böse gemeint, aber bevor du mit der Installation anfängst, solltest du dir mal elementare Grundlagen über Netzwerke, IP-Adressierung usw. aneignen - dir fehle Grundlage und einfach Sachen sid Subnetze usw. und ohne die wird die Installation eines Netzwerkes zu Chaos. Von Firewallregeln erstellen reden wir mal garnicht.

Zitat von 4711Austria

h ein Endgerät aus 192.168.10 muss über 172.x zu einem anderen Endgerät oder ins Internet.

Nein das ist falsch.

ein 192.168.10.x/24 (die /24 bedeutet 255.255.255.0 als Maske) kann erstmal nur mit 192.168.10.x/24

direkt kommunizieren. Das passiert direkt auf ethernet ebene im Layer2 (L2).

Wenn die 192.168.10.x/24 mit was anderes reden soll aus dem Gerät gesagt werden

wie es das andere Netzwerk erreicht. Default Router, Standartgatway werden die oft genant und ist IMMER

eine ip im gleichen Netzwerk (also192.168.10.x/24). Diese IP hat dann der Router (Layer3)

Der sieht: Ahhh da kommt was von 192.168.10.x/24 und will nach xx.xxx.xxx also aus ich das dahin weiterschicken.

(also ins internet oder lokal in ein anders Netzwerk).

genau hier kann dann auch gefiltert werden das 192.168.10.x/24 nicht auf 192.168.20.x/24 zugreifen darf.

Üblicherweise werden dazu dann schon auf L2 ebene VLAN angelegt, das sind einfach gesagt PORT Gruppen

die nur untereinander miteinander in Verbindung treten können.

So kann z.B

VLAN 10 192.168.10.x/24

VLAN 20 192.168.20.0/24

sein und selbst wenn du in VLAN 20 eine 192.168.10.x/24 vergibst wirst du kein Gerät aus VLAn 10 erreichen..

Mhh, ich würde viel weiter vorne anfangen.

Warum bist du nicht von der Fritz!Box begeistert? Könnte es du dies näher erläutern? Vielleicht konntest du aufgrund der geringen Netzwerkkenntnisse die Fritz!Box gar nicht vollumfänglich nutzen?
Neben den grundlegenden Netzwerkkenntnissen zu erlangen, wäre es gut aufzuschreiben, was jetzt nicht funktioniert und was du in Zukunft erreichen möchtest.

Und ohne UNIFI zu nahezutreten, die Funktionalität »Firewall« ist nicht ihre Kernkompetenz. Für sehr gute Sicherheit gibt es div. andere, auch kostenlose, Anbieter, aber nur sinnvoll mit guten Netzwerkkenntnissen. Du bist mit der UDM nicht besser gestellt als mit der Fritz!Box.
Der Kernbereich von UNIFI ist WLAN mit seinen sehr vielen verschieden Accesspoints und damit verbunden verschiedene Netzwerke (VLAN) zu erstellen und die Clients zu verwalten.
Für weitere Tipps wäre es auch sehr hilfreich zu wissen, wie die Netzwerktopologie deines zukünftigen Glasfaser-Anbieters aussieht. Es gibt bei GF 2 Übertragungstechniken und in jeder nochmals verschieden Authentifizierungen. Des Weiteren kommt dann noch das Thema auf, welch IP-Version genutzt wird. Nur IPv4 (private/öffentliche), IPv4 und IPv6 in Kombination mit verschieden Strukturen.
Dies sind alles Informationen für die WAN-Seite (WideAreaNetwork-=Internet), die du für die Konfiguration der UDM wissen solltest. Eine aktuelle Fritz!Box würde dir dies abnehmen.

Ich würde mich unbedingt an den Tipp-Geber wenden, der dir UNIFI empfohlen hat. UNIFI ist im semiprofessionellen Bereich angesiedelt. Ohne hinreichenden Netzwerkkenntnisse kann es gut sein, dass die UDM mit einem Klick offen wie ein Scheunentor ist, insbesondere wenn dein ISP (InternetServiceProvider) dir auch noch IPv6-Adressen verpasst.

Ganz am Ende, auf deine private LAN-Seite (LocalAreaNetwork), gibt es noch die Möglichkeit durch VLAN (VirtuelleLAN) zu erstellen. Die dort befindlichen Geräte sollten ja zum einen sich grundsätzlich nicht sehen, aber einige möchtest du dann doch aus anderen Netzen erreichen und nicht jeder darf immer ins Internet (Zockende KIds). Auch hier geht kaum etwas bei Unifi ohne Netzwerkkenntnisse weil alle Schritte per Hand erfolgen müssen. Gerade bei der Einschränkung von Internetzugängen und Zeiten ist die FB meilenweit leichter und detaillierter zu konfigurieren.

Ich möchte dir nicht den Schneid abnehmen, dich in Netzwerktechnik einzuarbeiten, aber es erfordert schon einiges an Grundlagen und Erfahrung. Ich bin 25 Jahre in Netzwerken unterwegs, habe aber oft genug noch Fragezeichen, hauptsächlich bei IPv6.

Einfach mal machen und nicht nur Reden. Fordert doch ein Landsmann von Dir in der aktuellen EON Kampagne auch.

Ein bisschen Futter:

- Video zu IP-Grundlagen

- Video zu DHCP-Grundlagen

Für sehr weitreichende Eklär-Video kann ich auch diesen Kanal empfehlen, Grundlagen sollten aber (gut) verstanden sein.

Zitat von 4711Austria

192.168.1.x/24 = offen für Neugeräteanmeldung mit fixer IP

Ich verstehe das Konzept dahinter nicht, muss ich aber natürlich auch nicht. IP-Adressen fest zu vergeben, ist gerade im Privatbereich in den allermeisten Fällen unnötig und macht nur mehr Arbeit. Lass den DHCP-Server seine Arbeit machen und wenn Du ein Gerät auf irgendwelchen Gründen unbedingt immer auf derselben IP-Adresse wiedersehen willst, nutze DHCP-Reservierungen.

Zitat von 4711Austria

im Portmanager geben ich dann die VLAN frei, die miteinander kommunizieren dürfen, korrekt?

Nein, der Portmanager hat mit Zugriffsregeln gar nichts zu tun. Wenn Du anfängst, Endgeräte-Ports mit mehreren VLANs zu taggen, wirst Du schnell feststellen, dass diese Geräte sich überhaupt nicht mehr verbinden.

Lies doch mal diesen ganz hilfreichen Artikel von Ubiquiti selbst um mehr darüber zu verstehen.

Wirklich lernen tust Du nur durch Fehler oder aber sehr konkreten Fragen.

Einfach nur Howtos und Tipps nachklickern geht zwar schneller... im zweifel hat man aber überhaupt nicht verstanden wieso, wesshalb und warum, auch wenns dann vielleicht läuft.

Das geht auch Leuten mit viel mehr Wissen so, da man sich gar nicht mehr mit allem auskennen kann. Nur ne Frage wie weit man über den Tellerrand schaut

Zitat von DoPe

Einfach nur Howtos und Tipps nachklickern geht zwar schneller... im zweifel hat man aber überhaupt nicht verstanden wieso, wesshalb und warum, auch wenns dann vielleicht läuft.

Leider ein riesen Problem im Internet geworden.

Die Leute glauben, weil die zwei YT-Videos gesehen haben, das die Netzwerk-Profi sind, weil die Youtuber ihnen das auch noch vorgaukeln.

Wer sich mit Netzwerken, Firewalls, WLAN usw. für zuhause beschäftigt, sollte mindestens mal Grundwissen von dem haben, was er machen will, spätestens wenn es nicht funktioniert und man nicht mehr vor und zurück weiss, wird das Geschrei gross, weil die Partnerin / Kinder hinter einem nerven, weils Internet nicht mehr funktioniert

( Leider kenne ich das aus dem Bekanntenkreis zur genüge )

Das mit der Familie ist Erziehungssache finde ich. Ist wie mit Kunden. Da gibts ja auch genug die Denken einmal was gekauft und lebenslangen gratis Support dabei xD