Netzwerktrennung / Sicherheit

Es gibt 2 Antworten in diesem Thema, welches 242 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Hallo zusammen,


    nachdem zuletzt die Schwiegereltern ständig ihre Musik auf unseren Sonos-Boxen ablaufen ließen, möchte ich hier mal ein bisschen Ordnung und auch Sicherheit bzgl. Gästen und China Saugrobotern reinbringen. :smiling_face_with_sunglasses:

    Was möchte ich erreichen?! Im Prinzip sollen Geräte die der Wohneinheit im EG zugeordnet sind nur auf diese zugreifen können und Geräte die der Wohneinheit im OG zugeordnet werden entsprechend nur auf diese. Die 3-4 Admin Geräte sollen jedoch auf alles zugreifen können und ein Gäste Netz mit only Internetzugang soll es auch geben.


    Eigentlich war erstmal eine light Variante (WLAN-Gast) vorgesehen. Ich hatte auch eine schöne Anleitung im Internet gefunden bei der ich nur mittels Software-Controller die APs konfigurieren hätte müssen. Scheinbar funktioniert das aber nicht (mehr)? Oder habe ich einfach nur etwas falsch gemacht?


    Ich bräuchte also eure Hilfe in Sachen Auswahl benötigter Unifi-HW und der entsprechenden Konfig dazu.


    Viele Grüße

    barney

    Provider:


    Welcher Internet Provider ist im Einsatz? Telekom

    Wird der Provider demnächst gewechselt? nein

    Welche Anschlusstechnik liegt vor? (VDSL, VDSL2, LTE, Kabel, LWL usw.) VDSL

    Welche Anschlussbox kommt zum Einsatz? (Modem od. Router des Providers, Fritzbox, eigenes Gerät, Mietgerät, Versions Stand wenn bekannt) Fritzbox 7590

    Welche IP Adressen werden vom Provider bereitgestellt? (Feste/dynamische IPV4 Adresse, feste/dynamische IPV6 Adresse) dynamisch


    Hardware:


    Welche Unifi Hardware kommt zum Einsatz? (Geräte aufzählen und wenn bekannt Versionsstände) AP AC Pro (OG), AP AC Lite (EG); eventuell noch ein vorhandener AP AC Lite, da im OG die WLAN-Abdeckung nicht überall ausreichend ist

    Welche Netzabschluss ist vorhanden? (z.B. Fritzbox als Modem/Router ...) - Falls nicht bei Rubrik: "Provider" bereits beantwortet. Fritzbox 7590

    Wenn noch nicht klar ist, welche Hardware benötigt wird, dann dies ebenfalls vermerken. Deswegen bin ich hier :smiling_face:

    Welche Verkabelungen sind schon vorhanden? (CAT5/6/7; LWL usw.) Cat 6A

    Wieviele Endgeräte sollen versorgt werden? 20-30?! Davon vielleicht 10 parallel

    Gibt es Fremdnetzwerktechnik (Switche, Router usw.) die zum Einsatz kommen sollen? D-LINK DGS-1100-24PV2/E 24-Port PoE; Fritzbox 7590;


    Netzwerk:


    Welche Endgeräte sollen angeschlossen werden? (bitte Unterscheidung nach LAN/WLAN)

    LAN: 1x Mac Mini, 1x Laptop, 1x Qnap NAS, 6x Sonos (falls via WALN nicht stabil, 3x Drucker, 4x TV, 1x Wärmepumpe, 1x PV Anlage (später), KNX IP Interface, Siedle SG 150, eKey Controller, RasPi mit HomeAssistant,

    WLAN: 4x Smartphone, 4x Tablet, 6x Sonos, 1x Laptop, Staubsaugerroboter, Bosch Home Connect,

    Ist ein Gästenetz geplant? ja

    Ist ein Netz für die Kids geplant? (Welche Restriktionen sollen zum Einsatz kommen?) später

    Werden VLANs benötigt? (VLANs dienen der Strukturierung innerhalb des Netzes und erlauben Berechtigungskonzepte).deswegen bin ich hier :smiling_face:


    VPN-Zugang:


    Ist ein Zugang von Aussen (Internet) nach Innen (LAN) notwendig? ja

    Wird ein Filialkonzept benötigt( Site2Site Verbindung)? nein

    Gibt es bereits ein DynDNS Konzept? nein


    WLAN:


    Wieviele WLAN Sender (Unifi Access Points) sind geplant oder schon vorhanden?

    Vorhanden: 1x AP AC Pro im OG, 1x AP AC Lite im EG

    Geplant: 1x WLAN im Keller, 1x AP im OG für bessere Abdeckung

    Welche WLAN Technik soll zum Einsatz kommen? (2,4 GHz; 5 GHz; WPA2; WPA3) 2,4 GHz, 5 GHz



    Telefonie:


    Gibt es eine Telefonanlage? Ja eine Elmeg ISDN TK Anlage…Typ müsste ich nochmal im Keller nachschauen

    Gibt es mobile Telefonie? ja

    Gibt es Festnetztelefone? (Welche Technik kommt zum Einsatz? analog, ISDN, VoIP?) nein

    Gibt es Fax, Anrufbeantworter, andere Endgeräte?

    Wie wird bisher Telefonie gelöst? Wie zukünftig?

    Aktuell: 1x Gigaset mit einem Mobilteil im EG; Im OG aktuell noch keins

    Zukünftig: EG -> weiterhin das Gigaset…eventuell Fritzfon; OG -> Fritzfon zwecks Anzeige des Kamerabildes der Siedler Türsprechanlage


    IoT:


    Welche IoT Endgeräte sind im Einsatz? (LAN und/oder WLAN Endgeräte?)

    Ist eine Netztrennung vorgesehen? Ja

    Kann die IP Adressstruktur den neuen Gegebenheiten angepasst werden? Ja

    Welche Homekit Zentralen kommen zum Einsatz? (Homematic, ioBroker, Home Assistant, HUE usw.) Home Assistant, KNX, zukünftig eventuell Gardena


    Security:


    Gibt es schützenswerte Bereiche? NAS / Backup

    Welches Berechtigungskonzept ist geplant bzw. muss noch entwickelt werden? Geräte die der Wohneinheit im EG zugeordnet werden sollen nur auf diese zugreifen können; Geräte die der Wohneinheit im OG zugeordnet werden sollen nur auf diese zugreifen können; 3-4 Admin Geräte sollen auf alles zugreifen können

    Ist ein Zugriff auf das interne Netz aus dem Internet notwendig? - Wenn ja, auf welche Geräte/Netze? Ja…entsprechend dem Berechtigungskonzept


    Sonstiges:


    Privates Netzwerk / Firmen Netzwerk? Privat

    Verfügbarkeit (7x24 Stunden, USV ?) USV nicht nötig

    Skalierbarkeit? (was ist zukünftig geplant?) eventuell Kindernetz

    Skill Selbsteinschätzung (Anfänger, oberflächliches Fachwissen vorhanden, Netzwerkprofi) Anfänger / gefährliches Halbwissen :smiling_face:


    Aus <https://ubiquiti-networks-forum.de/register/>

    Hallo barney , herzlich willkommen hier!


    Ich schreibe einfach mal, was ein sinnvoller Weg für Dich sein *könnte*. Sozusagen als Diskussionsgrundlage und für konkretere Fragen durch Dich.


    Als Router passt ein UCG-Ultra, das ist ein günstiger, aber leistungsstarker Einstieg. Am VDSL-Anschluss brauchst Du dazu noch ein Modem, hier gibt es dann zwei Varianten:

    1. Ein Draytek Vigor 166 oder 167 (kann auch ein anderer Hersteller sein, aber diese Geräte sind gut und nicht zu teuer).

    2. Du behältst die Fritzbox direkt am Anschluss und nimmst doppeltes NAT in Kauf (Nachteile bitte über Suchfunktion recherchieren)


    Als Switch ist Dein D-Link grundsätzlich geeignet, er beherrscht VLANs. Insbesondere als Einsteiger mit angeblich gefährlichem Halbwissen würde ich Dir aber empfehlen, auf einen Ubiquiti-Switch zu wechseln, denn nur so kannst Du alle nötigen Einstellungen an einer zentralen Stelle (im Controller) vornehmen und musst nicht Geräte in ihrer Konfiguration aufeinander abstimmen.

    Der USW-24-POE würde Dir reichen (ist leider auch schon teuer genug und zudem im Moment häufiger mal ausverkauft). Noch schöner wäre ein Switch aus der Pro-Reihe aufgrund der 10 GbE-Ports, aber diese sind schon sehr spürbar teurer.

    Wenn es nur wenige PoE-Geräte gibt, kann man auch überlegen, einen viel günstigeren Non-PoE-Switch zu nehmen und dafür mit zwei, drei Injektoren zu arbeiten. Weniger sexy, spart aber etwas Geld.

    Manche Geräte gibt es bei deutschen Onlinehändlern ein gutes Stück günstiger als bei Ubiquiti direkt, ich verlinke aber aufgrund der Übersichtlichkeit immer auf den Hersteller.


    Deine offenbar schon vorhandenen AC-Access Points sind nicht mehr taufrisch, können aber natürlich weiter verwendet werden, wenn Dir die Leistung ausreicht. Hier ist ein späteres Upgrade ja sehr simpel und schnell erledigt.


    Mit diesem Setup kannst Du alle gewünschten Subnetze (VLANs) anlegen und so die Geräte ganz nach Deinem Bedarf trennen oder zusammenlegen. Konfiguriert werden Trennungen und Freigaben dann mit Firewall-Regeln, dazu gibt es hier im Forum genügend Lesestoff. Konkret nachfragen kannst Du natürlich auch jederzeit.


    Kann Deine Elmeg in Richtung Provider schon VoIP? Falls ja, könntest Du die Fritzbox ganz aus der Konfiguration nehmen (und zu Geld machen). Falls nicht, muss die Fritzbox als Medienkonverter VoIP auf ISDN/S0 weiter bleiben, sie kann dann, wenn Du Dich für den Kauf eines VDSL-Modems entscheidest, im sogenannten Client-Modus hinter Deinem neuen Unifi-Router arbeiten.