Unser neues Haus mit ein paar Anfängerfragen

Es gibt 109 Antworten in diesem Thema, welches 6.013 mal aufgerufen wurde. Der letzte Beitrag () ist von Dany250.

    Stelle es Dir so vor, dass "WLAN" einfach ein Aufsatz bzw. eine Erweiterung eines LANs (Kabelnetzwerks) ist. Ohne LAN kein WLAN. Mit VLANs hat das erstmal überhaupt nichts zu tun, das ist eine ganz andere Baustelle.


    Zitat von Dany250

    a) Warum kann ich einem WLAN nicht mehrere Netzwerke zuweisen?

    Weil ein Netzwerk grundsätzliche Parameter für Geräte in diesem Netzwerk bereit stellt. Welche IP-Adressen gelten, wo geht es ins Internet usw. .

    Innerhalb einer Organisation (also z.B. Deinem Haushalt) muss jedes Netzwerk eindeutige Parameter haben, Überschneidungen sind nicht erlaubt und würden zu Totalausfällen führen. (Einzige Ausnahme wären physisch getrennte Netze, aber so etwas existiert im Privatumfeld praktisch nicht).


    Wenn nun ein WLAN mehreren Netzwerken zugeordnet wäre, wofür sollte sich ein Gerät, welches dieses WLAN betritt, denn entscheiden? Ist es nun Teil des Netzwerkes A, B oder C? Das kann so nicht funktionieren.



    Zitat von Dany250

    b) Wie verbinde ich die restlichen VLANs mit einem WLAN, wenn einem WLAN nur ein spezielles VLAN zugeordnet werden kann?

    Keine Ahnung, ob ich verstehe, wa Du meinst, aber betrachte es so: Du möchtes drei Netzwerke (VLANs) mit den Namen A, B und C haben, diese bekommen z.B. die VLAN-IDs 11, 22 und 33.

    Du richtest diese Netzwerke ein, vergibst die VLAN-IDs und legst die VLANs für die Switchports fest, wie auch imemr Du sie benötigst, z.B.:


    A - 11 - Switchport 2

    B - 22 - Switchport 3

    C - 33 - Switchport 4


    Nun hast Du bereits drei getrennte Netzwerke, die von allen kabelgebundenen Geräten genutzt werden können. Verbindest Du ein Gerät mit Switchport 3, so wird es Teil des VLANs "B (22))" und erhält entsprechende Einstellungen.

    Solange wir nicht von sehr speziellen Geräten sprechen, muss auch hier alles für das Endgerät alles absolut eindeutig sein: Es möchte die Parameter aus genau einem Netz (VLAN) genannt bekommen und in genau diesem einen dann Mitglied sein. Die allermeisten Endgeräte verstehen keine VLAN-Tags!


    Nun zum WLAN: Wenn Du Geräte drahtlos mit Deinem VLAN A (11) verbinden möchtest, erstellst Du ein WLAN und verknüpst es mit dem Netzwerk A. Möchtest Du ein Gerät ins VLAN B (22) bringen, erstellst Du ein weiteres WLAN und verknüpfst es mit VLAN B. Hier wiederum muss die SSID eindeutig sein, das bedeutet, der Name Deines zweiten WLANs muss sich um mindestens ein Zeichen vom ersten WLAN unterscheiden. Das Passwort kann theoretisch gleich sein, dies ist zumindest technisch kein Problem.


    Jetzt verständlicher?

    Danke! Ich denke im Grunde habe ich es verstanden.


    Was aber, wenn ich beispielsweise 6 VLANs betreiben möchte und auch will, dass entsprechend jedes VLAN über eine eigene SSID ins Netz kommt (LAN Ports lass ich jetzt mit Absicht außen vor, es geht also nur um WLAN).


    Als Beispiel habe ich 6 WLAN Benutzergruppen, jeder Gruppe möchte ich eine eigene SSID geben um über entsprechende Regeln (in den VLANs) jeder dieser Gruppen Dinge zu erlauben und wieder nicht.


    Mir ist klar, ich könnte nach dem Login jedem einzelnen Nutzer in einer Gruppe Regeln zuweisen, dass möchte ich aber nicht, ich möchte das jeder Neuankömmling allein durch die SSID in seine Schranken verwiesen wird.


    Wenn ich dich richtig verstanden habe, geht das mit meiner Konfiguration aber dann gar nicht. Somit nutzen mir auch mehr VLANs nichts, oder (immer noch so lange ich die LAN Anschlüsse außer Betracht lasse)?

    Ja, wenn ich die Bänder splitte…


    Eure Antworten zeigen mir, dass ich richtig liege und mein Vorhaben ohne weiteres nicht möglich ist.


    Heißt aber auch, die Welt scheint damit gut klar zu kommen, also kann ich das sicherlich auch.


    Mein Gedanke kreist darüber, potenziell unsicheren Geräten nicht einen WLAN Schlüssel zu geben, den andere Nutzer auch nutzen.

    Wie macht ihr das dann, gebt ihr tatsächlich jedem Gerät den Schlüssel und verbietet ihm dann händisch unerwünschte Aktivitäten?




    EDIT:

    Zitat von DoPe

    Genau 8 SSIDs wenn Du Wireless Mesh Systemweit deaktivierst.

    Was bitte bedeutet das nun wieder?

    Zitat von Dany250

    Warum kann ich einem WLAN nicht mehrere Netzwerke zuweisen

    Als ganz „dummes“ beispiel:

    Lan = Steckdose

    Wlan= Elektrogerät


    Du kannst mehrere Elektrogeräte in eine Steckdose stecken, aber nicht ein Elektrogerät in mehrere Steckdosen.

    Zitat von Dany250

    - Server

    Für Server braucht man eigentlich ja kein Wlan ? Wüsste keinen Server den man per Wlan anbindet ?


    Als Vlan für ein lan, klar.


    Server ist bei mir auch das einzige Netz, dass kein Wlan hat




    Und, bei deiner Aufzählung fehlt das Management/default Netzwerk&Wlan. Das ist vordefiniert und für die Unifi Geräte gedacht(klar, du legst es nicht an extra, aber vorhanden ists ja trotzdem)

    Zitat von Dany250

    Ja, wenn ich die Bänder splitte…

    Nein!! Du kannst "ganz normal" 8 WLAN-SSIDs erstellen, die dann im 2,4, 5 und meinetwegen auch 6 GhZ-Band gleichzeitig funken!

    Keine Ahnung, woher Du Deine gegenteilige Ansicht beziehst.


    Zitat von Dany250

    Eure Antworten zeigen mir, dass ich richtig liege und mein Vorhaben ohne weiteres nicht möglich ist.

    ???


    Ich weiß manchmal nicht, warum ich das hier mache, aber hier, bitteschön, meine angepasste Konfiguration, nur damit Du uns glaubst:


    Und um entgültig Verwirrung zu stiften, selbst wenn Server ein WLAN brauchen würden, dann sind die eher nicht mobil und diese SSID bräuchte nur auf einem AP zu laufen...


    Genau genommen sind es 8 SSIDs auf einem Accesspoint. Man kann also auch noch mehr SSIDs erzeugen wenn man die auf den Accesspoints verteilt. Manchmal sogar sinnvoll, hab ein System eingerichtet mit 35 bis 40 SSIDs ungefähr.


    Das mit den WLAN Schlüssel potentiell unsicherer Geräte und anderen Benutzern (eher Geräte) verstehe ich auch nicht wirklich. Die haben nichts in einem VLAN zu suchen, ergo auch nicht die gleiche SSID zu nutzen. Was willst Du eigentlich erreichen?

    Ich kann nur vier erstellen, erst wenn ich einem WLAN ein Band nehme, kann ich ein weiteres erstellen (siehe Anhang).


    Darf ich dich zu deiner Konfiguration noch fragen, wie viele VLANs du erstellt hast?


    (Es gibt übrigens keinen Grund euch nicht zu glauben, natürlich glaube ich euch Profis erst einmal alles. Ich habe noch überhaupt keine Ahnung und versuch mich grade in diese neue Welt einzuarbeiten. Es ist alles sehr viel anders als mit einer einfachen Fritzbox zu arbeiten, aber ich will es verstehen und umsetzen. Je mehr Videos ich jedoch anschaue und Beiträge darüber lese, desto komplizierter scheint alles für mich zu werden. Ich hoffe sehr auf euer Verständnis zu all meinen „dummen“ Fragen und hoffe wirklich dieses Vorhaben mit euch umsetzen zu können.)

    LOL, wenn du lange genug suchst findest hier nen Bild aus 2021 wo ich Ähnliches demonstriert habe..

    es wiederholt sich alles :smiling_face:



    Ganz nebenbei damit das nochmal jemand sagt:

    Wenn das nicht reicht. Ein AP kann individuell eingestellt werden welche SSID er sendet.

    Sollte die 8 ProBand nicht reichen. Dann halt nen zweiten AP mit anderen SSID.


    Damit sind dann dann mit genügend AP auch ein paar duzend SSIDs möglich.


    SINNVOLL ist das je nach verlangen aber schon nach 3-4 SSID nicht mehr.

    Die Teilen sich Pro AP die Gleichen Kanäle

    wollen ihre Bacons Versenden und den anderen Zeit geben.

    Airtime ist hier der Faktor der das ganze runterzieht und langsam machen wird ohne

    das auch nur ein client wirklich Daten auftaucht.


    Unifi macht es einfach mit dem "Private Pre-Shared Keys" eine SSID zu erstellen

    und mit unterschiedlichen Passwörter den Client in ein anderes VLAN zu Quetschen.


    Sprich "SSID: MEINWLAN"

    mit Passwort: 1234 -> VLAN IOT

    mit Passwort: 7809 -> VLAN Sonstiges


    Schon braucht es keine "hunderte" SSID und kein Radius Gedöns


    Zitat von DoPe

    Was willst Du eigentlich erreichen?

    Entschuldige, irgendwie schein ich deine Antwort übersehen zu haben :frowning_face:.


    Ich möchte ehrlich sein, so wirklich weiß ich es selbst noch nicht. Ich möchte ein möglichst sicheres Netzwerk erstellen und nicht genau so schludrig weitermachen wie bisher. Deshalb versuche ich auch irgendwie alles zu trennen was möglich ist, merke aber schon, dass mir das später auch wieder auf die Füße fallen kann, weil kein Gerät mehr mit dem anderen reden kann.


    Bisher habe ich mit meiner Fritzbox eigentlich alles umsetzen können was mir in den Sinn gekommen ist. Auch wenn ich nicht wirklich Ahnung von der Materie hatte läuft alles. Ich nehm beispielsweise mit einem Sat-Receiver bei den Schwiegereltern Formel 1 aus dem österreichischem TV auf, lad mir die Aufnahmen danach auf mein NAS, welches an meinem Kabel-Receiver angeschlossen ist und schau dann einfach über den Aufnahmenordner meines Receiver Formel 1. Ich betreibe einen eigenen Mail-Server den ich eigentlich nicht brauche, etc. Mit anderen Worten mach ich lauter Dummheiten und hatte bisher einfach nur Glück, dass in der Vergangenheit noch nichts schlimmes mit all meinen Daten passiert ist. Ich bin sicher, meine "Haustür" steht das ganze Jahr über sperrangelweit offen, bisher hat sich einfach nur noch niemand für mich interessiert.

    Ich hab das Gefühl, dass es dumm ist einem ungesicherten Receiver Zugriff von außen auf mein NAS zu geben, auf dem all meine persönlichen Dinge abgelegt sind. Zudem hat ein weiterer Receiver Zugriff auf mein NAS im selben Netzwerk, der an meinem mit dem Internet verbundenen Fernseher hängt. Im selben WLAN/Netzwerk hängen chinesische Thermometer, Saugroboter, Kameras, etc.


    Das muss jetzt anders werden. Im neuen Haus hängen fast alle zum Leben notwendigen Systeme am Netz, es fängt mit der Lichtsteuerung über Hue an, Außenjalousien von Somfy, Haustür über eKey und Nuki, Fenstersensoren von Eve, Raumthermostate und Rauchmelder von Bosch, Kameras von XY, es hört kaum, Wärmepumpe, Lüftungsanlage, Wechselrichter, Kühl- und Gefrierschrank, Backofen, Spülmaschiene, usw, usw. usw. Und am Ende soll noch alles über Apples HomeKit und einem iPad an der Wand und über die Stimme via Amazons Alexa gesteuert werden können. Das funktioniert sicher alles, aber es fühlt sich sooo unsicher an... Alles hängt irgendwie im Internet und darf keinen Kontakt zu meinen persönlichen Dingen haben und auch nicht zu den sensiblen Geräten, die das Haus eigentlich schützen sollen.


    Ich weiß nicht wie ich das unter einen Hut bekommen soll, beispielsweise soll der Drucker aus dem Büro nicht nur vom Arbeitsrechner aus genutzt werden sollen, sondern eigentlich im ganzen Haus via AirPrint, das Büronetzwerk soll aber eigentlich getrennt werden, da ich nicht will, dass irgendein ITler aus der Firma meine privaten Urlaubsbilder anschauen kann...


    Ich weiß, dass ich das irgendwie kann, aber es scheitert aktuell schon am Anfang, in dem ich scheinbar nicht mal verstehe was VLAN tut und warum ich einem WLAN nur immer ein VLAN zuordnen kann... Ist grad ein bisschen demotivierend...

    Unifi Mesh ist nicht das gleiche wie bei AVM oder irgendeinem anderen Hersteller. Da kocht jeder seine eigene Suppe und verwendet den Namen für unterschiedlichste Aufgaben.


    Bei Unifi besteht die Möglichkeit, Accesspoints drahtlos in das System einzubinden. Diese Accesspoints werden halt mit einem POE Injektor mit Strom versorgt (LAN Kabel nur vom Injektor zum Accesspoint). Genau diese Möglichkeit ist das Mesh bei Unifi. Nachteil ist die Reduzierung der möglichen WLAN Bandbreite, bei jedem wireless hop halbiert sich diese. Klares Ziel daher ist immer alle Accesspoints per Kabel in das System einzubinden. Und wenn man kein Mesh benötigt, weil Ziel erreicht, dann sollte das Mesh systemweit ausgeschaltet werden. Macht man das nicht, dann gibts irgendwann Probleme in der Form, dass eigentlich verkabelte Accesspoints auf einmal in den Mesh Modus wechseln können, weil die LAN Verbindung aus welchen Gründen auch immer im falschen Moment nicht funktioniert. Defektes Kabel, Neustart irgendwelcher vorgelagerten Switche oder umpatchen von Verbindungen im Netz.


    Und durchs ausschalten, werden eben die sonst vom Mesh "verbrauchten" hidden SSIDs für dich nutzbar gemacht.



    Für die Trennung deiner Geräte, solltest Du dir mal eine Tabelle (Matrix) erstellen. Dann kannst Du genau Eintragen welches Gerät zu welchem eine Verbindung aufbauen können soll und welche eben nicht. Am besten machst Du das auch gleich für beide Richtungen ... also Device A startet Verbindung zu Device B und Device B startet eine Verbindung zu Device A.


    Nachdem Du das gemacht hast, siehst Du deutlich einfacher welche Geräte zu trennen sinnvoll ist und welche nicht. Allgemein sollte man dann später, wo möglich auch nur die benötigten Ports erlauben und nicht pauschal die komplette IP mit allen Ports. Was fremde Geräte angeht wie diesen Receiver der auf dein NAS zugreift, da hilft es manchmal nur dem Gerät zu vertrauen oder man kann diese Funktion nicht nutzen. Man kann aber die Sicherheit erhöhen, indem man eine extra Freigabe und Benutzer für den Receiver verwendet und jeglichen Zugriff auf andere Feigaben für den Receiver Benutzer untersagt. Zusätzlich auch nur den entsprechenden Port (445tcp für SMB denke ich) für den Receiver zugänglich machen über die NAS interne Firewall oder besser über die Firewall des Routers. Und natürlich nur via VPN und auf keinen Fall Portforwarding zum NAS!

    Zitat von Dany250

    Ich möchte ehrlich sein, so wirklich weiß ich es selbst noch nicht. Ich möchte ein möglichst sicheres Netzwerk erstellen und nicht genau so schludrig weitermachen wie bisher.

    Leute, macht euch erst mal Gedanken, was ihr wollt, was ihr braucht und fang danach erst an eine Einkaufsliste zu machen zu das Zeug zu kaufen.


    - immer erst einen Blatt Papier nehmen, Plan malen, welche Räume, wo Netzwerk hin, wo WLAN-AP's, wo der "Netzwerkschrank", wo sind welche Geräte

    - dann am besten ne Excel-Tabelle und ne Kommunkationsmatrix machen, welche Geräte sollen zusammen in ein Netz ( VLAN ) , welche VLAN's sollen/müssen/dürfen mit welchen VLAN kommunizieren oder nicht, welche VLAN's dürfen ins Internet. Und dann noch welche VLAN überhaupt WLAN benötigen.

    WLAN ist unsinnig, WLAN für VoIP-Telefone auch in den meisten Fällen, weil die mit PoE am Kabel hängen, WLAN für Überwachungskameras ist Grenzwertig, ich würde nur Kabelgebundene Kamera nutzen.


    Der Kollegen hat das recht ausführliche gemacht, reicht aber auch die einfache Version: Link zur K-Matrix


    Wenn du das hast, kannst du dir Gedanken drum machen, wie und womit kann man das umsetzen.

    DoPe


    DANKEEEEE!!!!! Für deine Ausführliche Antwort!


    Was das Mesh anbelangt, meine ich verstanden zu haben, dass das ungefähr die Aufgabe darstellt, die bei AVM Repeater haben. Das WLAN wird einfach nur weitergegeben, aber es kommt eben immer schwächer an jedem Punkt an. Und wenn ich dich weiter richtig verstanden habe, ist deine Empfehlung für mich (weil ich alle APs per Kabel anbinden konnte) nach gierig Anleitung mesh bei mir auszuschalten.


    Ich werde mit einer Matrix anfangen, danke! Kann nur etwas dauern... Was aber meinst du mit Verbindung starten, A zu B und B zu A. Wenn ich beispielsweise eine Verbindung zum Receiver möchte, dann muss er nicht direkt eine Verbindung zu mir haben, was aber, wenn ich an seine Aufnahmen möchte? Oder wie schlüssle ich das mit dem Drucker auf?


    Wie ist das eigentlich mit all den Geräten die ohne jegliche von mir freigegebene Weiterleitung dennoch von außen angesprochen werden können (Lampen, Kameras, Saugroboter, Thermometer, etc.). Warum können die das und sind diese Geräte nicht eine potenzielle Gefahr (auch für sich untereinander)?


    Natürlich habe ich in der Vergangenheit alles über Portforwarding erledigt :speak_no_evil_monkey: . Noch nie irgendwas über VPN erledigt...

    Tomcat


    Ich werd mir das mit der Matrix genauer anschauen!


    Die anderen Dinge die von dir aufgezählt wurden sind durch, Haus ist fertig, Verkabelung entsprechend auch und die "erste" Hardware sitzt da wo sie sein soll, siehe eben diesen Thread. Da lässt sich jetzt nichts mehr dran rütteln...


    Aber wie gesagt, die Matrix scheint meine nächste Hürde zu werden...