IP-Adressen richtig aufteilen ?

Es gibt 74 Antworten in diesem Thema, welches 5.447 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

  • nicht philosophisch werden :smiling_face:

    Ich bin hier um von euch zu lernen, Tipps und Todos zu bekommen. Ich bin weder ein Profi noch verkaufe ich mein Wissen...

    Ja, das mit der Familie ist immer so, aber da müssen sie auch mit durch, einfach nur schreien gibt's mal gar nicht.

    Dass ein paar Probleme auftauchen werden, ist wie das Amen im Gebet, daher werde ich es versuchen, strukturiert umzustellen.

    Der Start ist das vorhandene Intranet auf 192.168.0.x, ich werde dann sukzessive einzeln die Geräte in die neue IP-Struktur überführen.

    Wie kann ich testen, ob ein Gerät ein anderes sieht usw. am PC mit Ping ist das einfach, aber an einem Endgerät.. ?
    Ich müsste dann mit einem PC in die einzelnen VLan einloggen und pingen, oder gibt es da eine Alternative?

  • Hi eines ist mir aufgefallen. Du möchtest die 192.168.1.* für feste IP-ADRESSE verwenden.

    Als Standard ist dies das Netzwerk Segment welches von Unifi genutzt wird. Sprich wenn man mal Geräte zurück setzen muss nutzen sie diesen Bereich. Es ist vielleicht empfehlenswert, diesen Range für den Mgt-Netz zu nutzen. Es gibt bei Unifi eine Liste, welche Geräte auf welche IPs bei Werkseinstellungen zurück fallen.

  • das meinte ich, wenn neue Geräte kommen oder Werksreset stattfindet, haben die manchmal so eine IP hinterlegt

    192.168.0.x/24 = DHCP, offen, unkonfigurierte neue Geräte, allgemeiner Bereich (manche Geräte haben die 192.168.1.x als Std. hinterlegt)

    192.168.1.x/24 = offen für Neugeräteanmeldung mit fixer IP

    -

    192.168.9.x/24 = offen für Neugeräteanmeldung mit fixer IP

    ....

    192.168.10.0 /24 = VLAN 10 für z.b. zentrale Systeme wie Server


    ab 192.168.10 geht es mit meinem System dann erst los, kann natürlich sein, dass so ein Neugertät in diese IP-Range einsteigt, aber das hatte ich bisher nicht.

  • Ich würde einfach mal machen… du hast ja nix zu verlieren

    Gruß

    defcon

  • Das was du da vor hast, ist ein gewaltiger Konfigurationsaufwand, der einen Radius-Server voraussetzt, welche anhand von MAC-Adresse die IP-Adressen und VLAN's zuweisst.

    Mein Rat - mache dir die Baustelle erst garnicht auf, du wirst dran wahnsinnig werden, erst Recht wenn du gerade erst mal mit Unifi usw. anfängst.

    ( fürn Hausgebrauch in meinen Augen eh überflüssig und oversized )


    Nehm dir ein Blatt Papier:

    - male dir deine Netzwerkumgebung erst mal auf, was steht wo ( Switch, AccessPoints, Geräte ) und was soll wie angebunden werden ( LAN, WLAN )

    - welche VLAN willst du haben und wofür, z.b. je eines für

    • zentralle System wie Server, NAS
    • private Geräte wie Notebooks, Smartphones, Tabletts
    • evtl. Homeoffice für Firmen-Notebook
    • Multimedia wie Alex's, AppleTV usw
    • Smarthome-Systeme
    • evtl eines extra für IoT-Geräte
    • Telekommunikation wie VoIP-Telefone, Türsprechanlage, usw.
    • Security wie Kameras, Alarmanlage usw.
    • .....
    • Gäste-Netz ( WLAN )

    ( das ist die grobe Einteilung, wie ich die gemach habe bei mir und bei Bekannten )

    Dann gibst jedem VLAN einen eigenen IP-Bereich als /24 Netz, das macht es am einfachsten, also

    VLAN 10 = 192.168.10.x/24

    VLAN 20 = 192.168.20.x/24

    ....

    VLAN zz = 192.168.zz.x/24



    Dann nimmst das nächste Blatt Papier ( oder ne Excel-Tabelle ) und erstellst dir ne Kommunikationsmatrix, welche Geräte bzw. VLAN-Segmente davon ins Internet dürfen und welche nicht.

    Dann welche VLAN / Geräte mit welchen anderen VLAN / Geräten kommunizieren müssen/dürfen und welche nicht.


    Das ganz ist dann die Basis dafür, welche Firewall-Regeln du erstellen musst.


    Wenn du das alles gemacht hast - und erst dann - nimmst dir die UDMPRo, stellt die auf dem Schreibtisch, hängst deinen PC dran und fängst an das Teil zu konfigurieren wie du es dir vorher geplant hat

  • haben die manchmal so eine IP hinterlegt

    Hust... also Router haben meist ne bekannte feste IP. Was noch ? JEDES meiner Geräte wollte erst eingestellt werden.
    Alles was nen Netzwerkstecker hat hatte DHCP, alles was WLAN hatte konnte DHCP oder der IOT kram der

    pers Handy konfiguriert wir hatte max einen eignen AP zur Erstinstalation.


    Klar ich kennen 1-2 Industrie gerate aus der ecke Wechselrichter, PV Steuerungen, Heizung Verwaltingsgedöns.

    die mit der festen Initialen IP kommen..


    Ist es da tonvoll oder willst du einen Sturm in einem Wasserglas entfesseln dafür ?

    Hast du zig andere Geräte die sowas machen ? (wenn ja welche, macht mich neugierig)

  • Hust... also Router haben meist ne bekannte feste IP. Was noch ? JEDES meiner Geräte wollte erst eingestellt werden.
    Alles was nen Netzwerkstecker hat hatte DHCP, alles was WLAN hatte konnte DHCP oder der IOT kram der

    pers Handy konfiguriert wir hatte max einen eignen AP zur Erstinstalation.

    Sehe ich genauso, ich hab aktuell rund 90 Geräte im LAN / WLAN inkl. aller IoT-/Bastelgeräte wie ESP usw, die haben alle DHCP aktiv und bekomme ne feste IP per DHCP-Reservation von meiner Firewall zugeteilt.
    Den Zirkus fange ich erst garnicht an, denen feste IP-Adressen am Geräte zu geben.

  • Auch die anderen Unifi-Geräte haben eine im Netz 192.168.1.x z. B. der Accesspoint die IP Adresse 192.168.1.20 sofern im Netz kein DHCP läuft. Benutzername/Passwort lautet: ubnt/ubnt . Es gibt bei Unifi eine Liste. Ist blöd, wenn man anderen Geräten diese vergibt.

  • Auch die anderen Unifi-Geräte haben eine im Netz 192.168.1.x

    Punkt für dich die .20 für Switche und accessPoint und die .30 für router.. früher auch mal andere...

    Die hat ein Gerät dann ich nur wenn sie keine andere IP via DCHP bekommt..


    Ich dachte da mher an Endgeräte wie z.B Handys, Uhren, Streaming boxen, Saugrobotoren,

    Kühlschränke usw..

  • Kontext oder Details ?


    Weil Google sagt mir das du entweder von einem enOcean Gateway sprichst oder einem BatterySaftyManger für Solar Kram.

    anway. BEIDE stellen bei Inbetriebnahme einen eignen AccesPoint zu Verfügung an dem man sich anmelden muss und

    der eine default IP besitzt. Das kannst du nicht verhindern, niemals. Das währe so als wenn du bei dir einen Schalter umlegst und

    des Nachbars WLAN hat auf einmal andere Einstellungen. Warum auch. Üblicherweise wird der "eingebaute AccesPoint"

    nach der Konfiguration deaktiviert und die Büchse meldet sich an ein vorhandene WLAN an mit den passenden Einstellungen dazu.


    Das machen genau so recht viele ESP Basierte IOT gerate die ohne Display / Knöpfe und Fancy HandyApp kommen.

    Shellys machen das auch so. Weder ist das schlimm noch ein Lücke im System,, den der kram hat ja keinen zugriff auf irgendwas anders.



  • Ja, Solarkram :winking_face:

    bei dem muss ich dann mit dem Handy auf den Accesspoint und die IP im Browser aufrufen, andere machen sowas im Lan und das möchte ich abfangen, dass ich hier keine Kollision bekomme. daher 192.168.0 - 192.168.9 nicht verwendet, aber angelegt, sollte sich dort was einloggen.

  • (hab die Videos noch nicht gesehen)


    andere Idee, die Subnetmask auf /16 , alle 192.168.x.y können miteinander reden und dann mit Firewall? Einstellungen einschrenken?

    wäre das in Summe weniger Arbeit bzw. einfacher?

    zumindest kann man sich mit den VLAN austoben wie man will

  • Ja, Solarkram :winking_face:

    bei dem muss ich dann mit dem Handy auf den Accesspoint und die IP im Browser aufrufen, andere machen sowas im Lan und das möchte ich abfangen, dass ich hier keine Kollision bekomme. daher 192.168.0 - 192.168.9 nicht verwendet, aber angelegt, sollte sich dort was einloggen.

    Again, totaler Blödsinn. es ist ein Eigner AP mit einem Eignen Netzwerk der nur zum Konfigurieren benutzt wird und abgeschaltet werden kann

    Der hat doch so wie er ist KEIEN Verbidung zu deinem Netzwerk. Und wenn du ihn konfiguriert dann doch mit Daten die zu deinem netz passen.


    Das Einzug fahrlässige währe es bei dem Default WLAN zu belassen so das jeder sich mit "BSM" verbinden kann um den Solar kram

    in die Luft zu jagen (dramatisch dargestellt)

  • (hab die Videos noch nicht gesehen)


    andere Idee, die Subnetmask auf /16 , alle 192.168.x.y können miteinander reden und dann mit Firewall? Einstellungen einschrenken?

    wäre das in Summe weniger Arbeit bzw. einfacher?

    zumindest kann man sich mit den VLAN austoben wie man will

    Wenn Du nur ein riesen IP Subnet aufmachst, wird die Firewall des Routers da nichts einschränken können. Denn die Kommunikation innerhalb eines IP Subnetzes läuft nicht über den Router.

  • Hallo 4711Austria,

    du hast ja ganz schön was vor :-).


    Mein Tipp, fang klein an und geh dann Stück für Stück weiter.

    Folgende Konfig ist nur ein Vorschlag für dich.


    Bau dir erstmal dementsprechend deine Netze. Ich würde erstmal ein Produktivnetz bauen in dem sich deine Unifi Hardware befindet.


    Produktivnetz:

    10.101.230./24 > Isolate Network anhaken (dann kannst du von dem Netz in keine anderen Netze gelangen und andersherum genauso).


    Firmennetz

    10.101.30/24 > gleiches Spiel


    Privates Netz

    192.168.30/24 > gleiches Spiel

    (Die IP Adressen kannst du natürlich wählen wie du möchtest)


    Dann hast du schon mal drei Netz mit jeweils 254 möglichen IP Adressen. Wenn dir die IP Adresse nicht reichen musst du das Subnetz umbauen, aber dafür gibt es sicher kompetentere User wie mich :-).

    Durch den DHCP Lease Time von 24 Stunden werden die IP Adressen von nicht verbunden Geräte wieder freigegeben.


    Dann musst du dir dementsprechende Wifis anlegen und den Netzen zuweisen.

    Das wäre mal so der Start.


    Später oder gleich kannst du noch ein Kamera Netz erstellen. Relativ zeitnah muss du dementsprechend die Firewall Regeln setzten. Die UDM ist im default in der Firewall offen wie ein Scheunentor (um es mit den Worten des Kollegen zu sagen :-).

    Vodafone Cable Gigabit > Fritzbox Cable 6660

    Unifi UDM Pro / Sonicwall TZ400 / Unifi U6-LR / USW-24 G2 / US 8 150W / US 8

  • wenn ich VLAN 10 / 20 /30 anlege, wo stelle ich ein, dass die miteinander reden dürfen? Firewall?

    Dann einfach NICHT den Haken bei "Isolate Network" setzten :-). Dann können die Netzwerke miteinander reden.

    Es kann aber noch sein das du Funktionen wie "Multicast DNS" (Bei z.B. Verwendung von Airplay über verschiedene Netzwerke hinweg) anhaken musst, je nach dem was du verwendest.


    Aber da kannst du dich spielen damit. Umso komplexer dein Netzwerk wird, umso mehr musst du parametrisieren und beachten. Du kannst nur dazu lernen :-).



    zum Scheunentor, könntet ihr mir dazu sagen, wie ich sie mal dicht mache?

    Vielleicht kann dazu ein anderer User sich zu Worte melden. Ich möchte dir kein falsches Wissen vermitteln.

    Ich habe es bei mir so sicher gemacht das ich jeden Port und jedes Gerät das ich verwenden möchte erst in einem Profil packe und dann als Regel hinzufüge und ansonsten nichts raus oder rein geht wenn ich es nicht freigegeben habe. Sehr komplex und mit viel Aufwand verbunden wo ich oft selbst nicht mehr durchblicke. Ich bin immer noch dabei mich intensiv in das Firewall Thema einzuarbeiten und habe mir schon oft genug selbst ein Ei gelegt :-D.


    Hier ein toller Beitrag von "Defcon", vielelicht hilft dir dieser weiter:

    Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de)

    Vodafone Cable Gigabit > Fritzbox Cable 6660

    Unifi UDM Pro / Sonicwall TZ400 / Unifi U6-LR / USW-24 G2 / US 8 150W / US 8

  • Vielleicht kann dazu ein anderer User sich zu Worte melden. Ich möchte dir kein falsches Wissen vermitteln.

    Ich habe es bei mir so sicher gemacht das ich jeden Port und jedes Gerät das ich verwenden möchte erst in einem Profil packe und dann als Regel hinzufüge und ansonsten nichts raus oder rein geht wenn ich es nicht freigegeben habe. Sehr komplex und mit viel Aufwand verbunden wo ich oft selbst nicht mehr durchblicke. Ich bin immer noch dabei mich intensiv in das Firewall Thema einzuarbeiten und habe mir schon oft genug selbst ein Ei gelegt :-D.

    Ich nutze keine UDM etc als Firewall, sondern ne OPNSense, aber im Grund mache ich das genauso, außer das die OPNSense per Default alle dicht hat und man explizit Sachen freischalten muss.


    Ich nutze dort die Aliase ( das selbe wie Profil/Gruppen bei Unifi ) wo gleiche Geräte mit ihren IP's drin eingetragen sind und das selbe als Alias noch mal für Port's nach Anwendungen, z.b. Alias_Port_http_https

    Die Firewall-Regeln baue ich dann entsprechend mit den Aliases für die IP's als Source und dem Aliase für die Ports


    Beispiel:

    - Geräte im IoT Netz dürfen mit dem HomeAssistant-Server im Server-VLAN reden ( und nur mit dem )

    - mein Notebook im "Privat-VLAN" darf ssh, http,https mit dem kompletten Server-VLAN ( = alle Geräte, Alias "Server_VLAN.net, Default von der OPNSense angelegt ) sprechen, wobei der alias für die http/https-Ports nicht nur Port 80 & 443 beinhalten sondern auch andere, die Applikationen nutzen.


    Man muss dazu aber auch sagen, das die OPNSense in Sachen Firewalling weit aus mehr Möglichkeiten bietet.

  • Ich habe es bei mir so sicher gemacht das ich jeden Port und jedes Gerät das ich verwenden möchte erst in einem Profil packe und dann als Regel hinzufüge und ansonsten nichts raus oder rein geht wenn ich es nicht freigegeben habe.

    danke für den Link, der beschreibt die VLans im Intranet,

    aber wie geht das mit der Absicherung zum Web, Profil? wie machst du das? und vor allem wo?