IP-Adressen richtig aufteilen ?

Zitat von 4711Austria

Die Settings der UDM sind mir bekannt, ich habe damit schon gespielt. Aber seit 30 Jahren bin ich in einem Netz 192.168.0.x/24 verhaftet und will ich hier ausbrechen. Die Endgeräte werden immer mehr, der DHCP ist voll, die Offenheit im Intranet stört mich.

das scheint mir aktuell der richtige Weg:

192.168.0.x/24 = DHCP, offen, unkonfigurierte neue Geräte, allgemeiner Bereich (manche Geräte haben die 192.168.1.x als Std. hinterlegt)

192.168.1.x/24 = offen für Neugeräteanmeldung mit fixer IP

-

192.168.9.x/24 = offen für Neugeräteanmeldung mit fixer IP

....

192.168.10.0 /24 = VLAN 10 für z.b. zentrale Systeme wie Server

192.168.20.0 /24 = VLAN 20 für z.b. private Geräte wie Notebooks, PCs, Drucker,

192.168.30.0 /24 = VLAN 30 für z.b. Multimedia

....

192.168.100.0 /24 = das Managementnetz der Unifi wo alle Switche, AP usw. rein kommen.

....

192.168.250.0 / 25 = VLAN 250 für Gäste

Alles anzeigen

Hi eines ist mir aufgefallen. Du möchtest die 192.168.1.* für feste IP-ADRESSE verwenden.

Als Standard ist dies das Netzwerk Segment welches von Unifi genutzt wird. Sprich wenn man mal Geräte zurück setzen muss nutzen sie diesen Bereich. Es ist vielleicht empfehlenswert, diesen Range für den Mgt-Netz zu nutzen. Es gibt bei Unifi eine Liste, welche Geräte auf welche IPs bei Werkseinstellungen zurück fallen.

Ich würde einfach mal machen… du hast ja nix zu verlieren

Zitat von 4711Austria

das meinte ich, wenn neue Geräte kommen oder Werksreset stattfindet, haben die manchmal so eine IP hinterlegt

192.168.0.x/24 = DHCP, offen, unkonfigurierte neue Geräte, allgemeiner Bereich (manche Geräte haben die 192.168.1.x als Std. hinterlegt)

192.168.1.x/24 = offen für Neugeräteanmeldung mit fixer IP

-

192.168.9.x/24 = offen für Neugeräteanmeldung mit fixer IP

....

192.168.10.0 /24 = VLAN 10 für z.b. zentrale Systeme wie Server

ab 192.168.10 geht es mit meinem System dann erst los, kann natürlich sein, dass so ein Neugertät in diese IP-Range einsteigt, aber das hatte ich bisher nicht.

Alles anzeigen

Das was du da vor hast, ist ein gewaltiger Konfigurationsaufwand, der einen Radius-Server voraussetzt, welche anhand von MAC-Adresse die IP-Adressen und VLAN's zuweisst.

Mein Rat - mache dir die Baustelle erst garnicht auf, du wirst dran wahnsinnig werden, erst Recht wenn du gerade erst mal mit Unifi usw. anfängst.

( fürn Hausgebrauch in meinen Augen eh überflüssig und oversized )

Nehm dir ein Blatt Papier:

- male dir deine Netzwerkumgebung erst mal auf, was steht wo ( Switch, AccessPoints, Geräte ) und was soll wie angebunden werden ( LAN, WLAN )

- welche VLAN willst du haben und wofür, z.b. je eines für

• zentralle System wie Server, NAS
• private Geräte wie Notebooks, Smartphones, Tabletts
• evtl. Homeoffice für Firmen-Notebook
• Multimedia wie Alex's, AppleTV usw
• Smarthome-Systeme
• evtl eines extra für IoT-Geräte
• Telekommunikation wie VoIP-Telefone, Türsprechanlage, usw.
• Security wie Kameras, Alarmanlage usw.
• .....
• Gäste-Netz ( WLAN )

( das ist die grobe Einteilung, wie ich die gemach habe bei mir und bei Bekannten )

Dann gibst jedem VLAN einen eigenen IP-Bereich als /24 Netz, das macht es am einfachsten, also

VLAN 10 = 192.168.10.x/24

VLAN 20 = 192.168.20.x/24

....

VLAN zz = 192.168.zz.x/24

Dann nimmst das nächste Blatt Papier ( oder ne Excel-Tabelle ) und erstellst dir ne Kommunikationsmatrix, welche Geräte bzw. VLAN-Segmente davon ins Internet dürfen und welche nicht.

Dann welche VLAN / Geräte mit welchen anderen VLAN / Geräten kommunizieren müssen/dürfen und welche nicht.

Das ganz ist dann die Basis dafür, welche Firewall-Regeln du erstellen musst.

Wenn du das alles gemacht hast - und erst dann - nimmst dir die UDMPRo, stellt die auf dem Schreibtisch, hängst deinen PC dran und fängst an das Teil zu konfigurieren wie du es dir vorher geplant hat

Zitat von 4711Austria

haben die manchmal so eine IP hinterlegt

Hust... also Router haben meist ne bekannte feste IP. Was noch ? JEDES meiner Geräte wollte erst eingestellt werden.
Alles was nen Netzwerkstecker hat hatte DHCP, alles was WLAN hatte konnte DHCP oder der IOT kram der

pers Handy konfiguriert wir hatte max einen eignen AP zur Erstinstalation.

Klar ich kennen 1-2 Industrie gerate aus der ecke Wechselrichter, PV Steuerungen, Heizung Verwaltingsgedöns.

die mit der festen Initialen IP kommen..

Ist es da tonvoll oder willst du einen Sturm in einem Wasserglas entfesseln dafür ?

Hast du zig andere Geräte die sowas machen ? (wenn ja welche, macht mich neugierig)

Zitat von gierig

Hust... also Router haben meist ne bekannte feste IP. Was noch ? JEDES meiner Geräte wollte erst eingestellt werden.
Alles was nen Netzwerkstecker hat hatte DHCP, alles was WLAN hatte konnte DHCP oder der IOT kram der

pers Handy konfiguriert wir hatte max einen eignen AP zur Erstinstalation.

Sehe ich genauso, ich hab aktuell rund 90 Geräte im LAN / WLAN inkl. aller IoT-/Bastelgeräte wie ESP usw, die haben alle DHCP aktiv und bekomme ne feste IP per DHCP-Reservation von meiner Firewall zugeteilt.
Den Zirkus fange ich erst garnicht an, denen feste IP-Adressen am Geräte zu geben.

Zitat von gierig

Hust... also Router haben meist ne bekannte feste IP. Was noch ? JEDES meiner Geräte wollte erst eingestellt werden.
Alles was nen Netzwerkstecker hat hatte DHCP, alles was WLAN hatte konnte DHCP oder der IOT kram der

pers Handy konfiguriert wir hatte max einen eignen AP zur Erstinstalation.

Klar ich kennen 1-2 Industrie gerate aus der ecke Wechselrichter, PV Steuerungen, Heizung Verwaltingsgedöns.

die mit der festen Initialen IP kommen..

Ist es da tonvoll oder willst du einen Sturm in einem Wasserglas entfesseln dafür ?

Hast du zig andere Geräte die sowas machen ? (wenn ja welche, macht mich neugierig)

Alles anzeigen

Auch die anderen Unifi-Geräte haben eine im Netz 192.168.1.x z. B. der Accesspoint die IP Adresse 192.168.1.20 sofern im Netz kein DHCP läuft. Benutzername/Passwort lautet: ubnt/ubnt . Es gibt bei Unifi eine Liste. Ist blöd, wenn man anderen Geräten diese vergibt.

Zitat von phino

Auch die anderen Unifi-Geräte haben eine im Netz 192.168.1.x

Punkt für dich die .20 für Switche und accessPoint und die .30 für router.. früher auch mal andere...

Die hat ein Gerät dann ich nur wenn sie keine andere IP via DCHP bekommt..

Ich dachte da mher an Endgeräte wie z.B Handys, Uhren, Streaming boxen, Saugrobotoren,

Kühlschränke usw..

Kontext oder Details ?

Weil Google sagt mir das du entweder von einem enOcean Gateway sprichst oder einem BatterySaftyManger für Solar Kram.

anway. BEIDE stellen bei Inbetriebnahme einen eignen AccesPoint zu Verfügung an dem man sich anmelden muss und

der eine default IP besitzt. Das kannst du nicht verhindern, niemals. Das währe so als wenn du bei dir einen Schalter umlegst und

des Nachbars WLAN hat auf einmal andere Einstellungen. Warum auch. Üblicherweise wird der "eingebaute AccesPoint"

nach der Konfiguration deaktiviert und die Büchse meldet sich an ein vorhandene WLAN an mit den passenden Einstellungen dazu.

Das machen genau so recht viele ESP Basierte IOT gerate die ohne Display / Knöpfe und Fancy HandyApp kommen.

Shellys machen das auch so. Weder ist das schlimm noch ein Lücke im System,, den der kram hat ja keinen zugriff auf irgendwas anders.

Zitat von 4711Austria

Ja, Solarkram

bei dem muss ich dann mit dem Handy auf den Accesspoint und die IP im Browser aufrufen, andere machen sowas im Lan und das möchte ich abfangen, dass ich hier keine Kollision bekomme. daher 192.168.0 - 192.168.9 nicht verwendet, aber angelegt, sollte sich dort was einloggen.

Again, totaler Blödsinn. es ist ein Eigner AP mit einem Eignen Netzwerk der nur zum Konfigurieren benutzt wird und abgeschaltet werden kann

Der hat doch so wie er ist KEIEN Verbidung zu deinem Netzwerk. Und wenn du ihn konfiguriert dann doch mit Daten die zu deinem netz passen.

Das Einzug fahrlässige währe es bei dem Default WLAN zu belassen so das jeder sich mit "BSM" verbinden kann um den Solar kram

in die Luft zu jagen (dramatisch dargestellt)

Zitat von 4711Austria

(hab die Videos noch nicht gesehen)

andere Idee, die Subnetmask auf /16 , alle 192.168.x.y können miteinander reden und dann mit Firewall? Einstellungen einschrenken?

wäre das in Summe weniger Arbeit bzw. einfacher?

zumindest kann man sich mit den VLAN austoben wie man will

Wenn Du nur ein riesen IP Subnet aufmachst, wird die Firewall des Routers da nichts einschränken können. Denn die Kommunikation innerhalb eines IP Subnetzes läuft nicht über den Router.

Hallo 4711Austria,

du hast ja ganz schön was vor :-).

Mein Tipp, fang klein an und geh dann Stück für Stück weiter.

Folgende Konfig ist nur ein Vorschlag für dich.

Bau dir erstmal dementsprechend deine Netze. Ich würde erstmal ein Produktivnetz bauen in dem sich deine Unifi Hardware befindet.

Produktivnetz:

10.101.230./24 > Isolate Network anhaken (dann kannst du von dem Netz in keine anderen Netze gelangen und andersherum genauso).

Firmennetz

10.101.30/24 > gleiches Spiel

Privates Netz

192.168.30/24 > gleiches Spiel

(Die IP Adressen kannst du natürlich wählen wie du möchtest)

Dann hast du schon mal drei Netz mit jeweils 254 möglichen IP Adressen. Wenn dir die IP Adresse nicht reichen musst du das Subnetz umbauen, aber dafür gibt es sicher kompetentere User wie mich :-).

Durch den DHCP Lease Time von 24 Stunden werden die IP Adressen von nicht verbunden Geräte wieder freigegeben.

Dann musst du dir dementsprechende Wifis anlegen und den Netzen zuweisen.

Das wäre mal so der Start.

Später oder gleich kannst du noch ein Kamera Netz erstellen. Relativ zeitnah muss du dementsprechend die Firewall Regeln setzten. Die UDM ist im default in der Firewall offen wie ein Scheunentor (um es mit den Worten des Kollegen zu sagen :-).

Zitat von 4711Austria

wenn ich VLAN 10 / 20 /30 anlege, wo stelle ich ein, dass die miteinander reden dürfen? Firewall?

Dann einfach NICHT den Haken bei "Isolate Network" setzten :-). Dann können die Netzwerke miteinander reden.

Es kann aber noch sein das du Funktionen wie "Multicast DNS" (Bei z.B. Verwendung von Airplay über verschiedene Netzwerke hinweg) anhaken musst, je nach dem was du verwendest.

Aber da kannst du dich spielen damit. Umso komplexer dein Netzwerk wird, umso mehr musst du parametrisieren und beachten. Du kannst nur dazu lernen :-).

Zitat von 4711Austria

zum Scheunentor, könntet ihr mir dazu sagen, wie ich sie mal dicht mache?

Vielleicht kann dazu ein anderer User sich zu Worte melden. Ich möchte dir kein falsches Wissen vermitteln.

Ich habe es bei mir so sicher gemacht das ich jeden Port und jedes Gerät das ich verwenden möchte erst in einem Profil packe und dann als Regel hinzufüge und ansonsten nichts raus oder rein geht wenn ich es nicht freigegeben habe. Sehr komplex und mit viel Aufwand verbunden wo ich oft selbst nicht mehr durchblicke. Ich bin immer noch dabei mich intensiv in das Firewall Thema einzuarbeiten und habe mir schon oft genug selbst ein Ei gelegt :-D.

Hier ein toller Beitrag von "Defcon", vielelicht hilft dir dieser weiter:

Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de)

Zitat von Patrick089

Vielleicht kann dazu ein anderer User sich zu Worte melden. Ich möchte dir kein falsches Wissen vermitteln.

Ich habe es bei mir so sicher gemacht das ich jeden Port und jedes Gerät das ich verwenden möchte erst in einem Profil packe und dann als Regel hinzufüge und ansonsten nichts raus oder rein geht wenn ich es nicht freigegeben habe. Sehr komplex und mit viel Aufwand verbunden wo ich oft selbst nicht mehr durchblicke. Ich bin immer noch dabei mich intensiv in das Firewall Thema einzuarbeiten und habe mir schon oft genug selbst ein Ei gelegt :-D.

Ich nutze keine UDM etc als Firewall, sondern ne OPNSense, aber im Grund mache ich das genauso, außer das die OPNSense per Default alle dicht hat und man explizit Sachen freischalten muss.

Ich nutze dort die Aliase ( das selbe wie Profil/Gruppen bei Unifi ) wo gleiche Geräte mit ihren IP's drin eingetragen sind und das selbe als Alias noch mal für Port's nach Anwendungen, z.b. Alias_Port_http_https

Die Firewall-Regeln baue ich dann entsprechend mit den Aliases für die IP's als Source und dem Aliase für die Ports

Beispiel:

- Geräte im IoT Netz dürfen mit dem HomeAssistant-Server im Server-VLAN reden ( und nur mit dem )

- mein Notebook im "Privat-VLAN" darf ssh, http,https mit dem kompletten Server-VLAN ( = alle Geräte, Alias "Server_VLAN.net, Default von der OPNSense angelegt ) sprechen, wobei der alias für die http/https-Ports nicht nur Port 80 & 443 beinhalten sondern auch andere, die Applikationen nutzen.

Man muss dazu aber auch sagen, das die OPNSense in Sachen Firewalling weit aus mehr Möglichkeiten bietet.