Netzwerktrennung / Sicherheit

Hallo zusammen,

nachdem zuletzt die Schwiegereltern ständig ihre Musik auf unseren Sonos-Boxen ablaufen ließen, möchte ich hier mal ein bisschen Ordnung und auch Sicherheit bzgl. Gästen und China Saugrobotern reinbringen.

Was möchte ich erreichen?! Im Prinzip sollen Geräte die der Wohneinheit im EG zugeordnet sind nur auf diese zugreifen können und Geräte die der Wohneinheit im OG zugeordnet werden entsprechend nur auf diese. Die 3-4 Admin Geräte sollen jedoch auf alles zugreifen können und ein Gäste Netz mit only Internetzugang soll es auch geben.

Eigentlich war erstmal eine light Variante (WLAN-Gast) vorgesehen. Ich hatte auch eine schöne Anleitung im Internet gefunden bei der ich nur mittels Software-Controller die APs konfigurieren hätte müssen. Scheinbar funktioniert das aber nicht (mehr)? Oder habe ich einfach nur etwas falsch gemacht?

Ich bräuchte also eure Hilfe in Sachen Auswahl benötigter Unifi-HW und der entsprechenden Konfig dazu.

Viele Grüße

barney

Provider:

Welcher Internet Provider ist im Einsatz? Telekom

Wird der Provider demnächst gewechselt? nein

Welche Anschlusstechnik liegt vor? (VDSL, VDSL2, LTE, Kabel, LWL usw.) VDSL

Welche Anschlussbox kommt zum Einsatz? (Modem od. Router des Providers, Fritzbox, eigenes Gerät, Mietgerät, Versions Stand wenn bekannt) Fritzbox 7590

Welche IP Adressen werden vom Provider bereitgestellt? (Feste/dynamische IPV4 Adresse, feste/dynamische IPV6 Adresse) dynamisch

Hardware:

Welche Unifi Hardware kommt zum Einsatz? (Geräte aufzählen und wenn bekannt Versionsstände) AP AC Pro (OG), AP AC Lite (EG); eventuell noch ein vorhandener AP AC Lite, da im OG die WLAN-Abdeckung nicht überall ausreichend ist

Welche Netzabschluss ist vorhanden? (z.B. Fritzbox als Modem/Router ...) - Falls nicht bei Rubrik: "Provider" bereits beantwortet. Fritzbox 7590

Wenn noch nicht klar ist, welche Hardware benötigt wird, dann dies ebenfalls vermerken. Deswegen bin ich hier

Welche Verkabelungen sind schon vorhanden? (CAT5/6/7; LWL usw.) Cat 6A

Wieviele Endgeräte sollen versorgt werden? 20-30?! Davon vielleicht 10 parallel

Gibt es Fremdnetzwerktechnik (Switche, Router usw.) die zum Einsatz kommen sollen? D-LINK DGS-1100-24PV2/E 24-Port PoE; Fritzbox 7590;

Netzwerk:

Welche Endgeräte sollen angeschlossen werden? (bitte Unterscheidung nach LAN/WLAN)

LAN: 1x Mac Mini, 1x Laptop, 1x Qnap NAS, 6x Sonos (falls via WALN nicht stabil, 3x Drucker, 4x TV, 1x Wärmepumpe, 1x PV Anlage (später), KNX IP Interface, Siedle SG 150, eKey Controller, RasPi mit HomeAssistant,

WLAN: 4x Smartphone, 4x Tablet, 6x Sonos, 1x Laptop, Staubsaugerroboter, Bosch Home Connect,

Ist ein Gästenetz geplant? ja

Ist ein Netz für die Kids geplant? (Welche Restriktionen sollen zum Einsatz kommen?) später

Werden VLANs benötigt? (VLANs dienen der Strukturierung innerhalb des Netzes und erlauben Berechtigungskonzepte).deswegen bin ich hier

VPN-Zugang:

Ist ein Zugang von Aussen (Internet) nach Innen (LAN) notwendig? ja

Wird ein Filialkonzept benötigt( Site2Site Verbindung)? nein

Gibt es bereits ein DynDNS Konzept? nein

WLAN:

Wieviele WLAN Sender (Unifi Access Points) sind geplant oder schon vorhanden?

Vorhanden: 1x AP AC Pro im OG, 1x AP AC Lite im EG

Geplant: 1x WLAN im Keller, 1x AP im OG für bessere Abdeckung

Welche WLAN Technik soll zum Einsatz kommen? (2,4 GHz; 5 GHz; WPA2; WPA3) 2,4 GHz, 5 GHz

Telefonie:

Gibt es eine Telefonanlage? Ja eine Elmeg ISDN TK Anlage…Typ müsste ich nochmal im Keller nachschauen

Gibt es mobile Telefonie? ja

Gibt es Festnetztelefone? (Welche Technik kommt zum Einsatz? analog, ISDN, VoIP?) nein

Gibt es Fax, Anrufbeantworter, andere Endgeräte?

Wie wird bisher Telefonie gelöst? Wie zukünftig?

Aktuell: 1x Gigaset mit einem Mobilteil im EG; Im OG aktuell noch keins

Zukünftig: EG -> weiterhin das Gigaset…eventuell Fritzfon; OG -> Fritzfon zwecks Anzeige des Kamerabildes der Siedler Türsprechanlage

IoT:

Welche IoT Endgeräte sind im Einsatz? (LAN und/oder WLAN Endgeräte?)

Ist eine Netztrennung vorgesehen? Ja

Kann die IP Adressstruktur den neuen Gegebenheiten angepasst werden? Ja

Welche Homekit Zentralen kommen zum Einsatz? (Homematic, ioBroker, Home Assistant, HUE usw.) Home Assistant, KNX, zukünftig eventuell Gardena

Security:

Gibt es schützenswerte Bereiche? NAS / Backup

Welches Berechtigungskonzept ist geplant bzw. muss noch entwickelt werden? Geräte die der Wohneinheit im EG zugeordnet werden sollen nur auf diese zugreifen können; Geräte die der Wohneinheit im OG zugeordnet werden sollen nur auf diese zugreifen können; 3-4 Admin Geräte sollen auf alles zugreifen können

Ist ein Zugriff auf das interne Netz aus dem Internet notwendig? - Wenn ja, auf welche Geräte/Netze? Ja…entsprechend dem Berechtigungskonzept

Sonstiges:

Privates Netzwerk / Firmen Netzwerk? Privat

Verfügbarkeit (7x24 Stunden, USV ?) USV nicht nötig

Skalierbarkeit? (was ist zukünftig geplant?) eventuell Kindernetz

Skill Selbsteinschätzung (Anfänger, oberflächliches Fachwissen vorhanden, Netzwerkprofi) Anfänger / gefährliches Halbwissen

Aus <https://ubiquiti-networks-forum.de/register/>

Hallo Networker ,

bitte entschuldige die späte Antwort und vielen Dank erstmal für deine Infos!

Aufgrund von Arbeit- und Freitzeitstress komme ich erst jetzt dazu mir wieder etwas mehr Gedanken über das Netzwerk zu machen.

Soweit ich mich bzgl. doppeltem NAT informiert hatte, sollte ich das vermeiden, wenn ich mich via VPN von unterwegs in mein Heimnetzwerk einwählen möchte und mein SmartHome (KNX, HomeAssistant) bedienen möchte. Ist das korrekt?

Bzgl. den Access Points -> hier bräuchte ich noch einen im OG und einen im Keller. Welchen sollte ich hier kaufen? Gleich den U7 Pro? Sollte ich diesen mit 2,5GbE betreiben wollen, dann müsste ich sogar einen USW-Pro-Max-24-PoE nehmen, weil es für den U7 Pro keine Injektoren gibt, korrekt?

Im Prinzip reicht mir die Geschwindigkeit meiner bisherigen.

Bzgl. Switch aus der Pro Reihe...ich denke das macht bei mir keinen Sinn. Dafür müsste ich dann eine neue NAS (mit 10GbE Port) kaufen, damit Backups vom Mac-Mini schneller laufen. Ich glaube da bleibe ich lieber dabei, dass ich die Backups über Nacht laufen lasse. Und die 100Mbit meines DSL Anschlusses reichen mir aktuell auch vollkommen aus. Somit dürfte hier der Flaschenhals mein Internetanschluss sein.

Die Elmeg kann noch kein VoIP in Richtung Provider, somit müsste die FritzBox zumindest als Konverter bleiben. Vielleicht stelle ich aber auch auf VoIP Telefone um. Hierfür muss ich aber erst noch recherchieren, ob es schnurlose VoIP-Telefone gibt, auf denen das Video-Bild meiner Siedle Sprechanlage angezeigt wird.

Bzgl. Konfig vorab schon mal eine Verständnisfrage...die Zuordnung der jeweiligen Geräte erfolgt dann z.B. so?!

• WLAN SSID "EG" -> VLAN-1
• Switchport 1-4 mit Geräten aus EG -> VLAN-1
• WLAN SSID "OG -> VLAN-2
• Switchport 5-8 mit Geräten aus OG -> VLAN-2
• Firewallregel -> VLAN-1 darf nicht mit VLAN-2 kommunizieren und VLAN-2 nicht mit VLAN-1

Wie mache ich es dann mit den 3-4 Admingeräten, welche auf alles einen Zugriff bekommen sollen? Weiteres VLAN-3 und als Firewallregel VLAN-3 darf mit allen?!

Zitat von Networker

Nein, solange Du den Unifi-Router im vorgelagerten Gerät entweder als exposed host konfigurierst oder die entsprechenden Ports freigibst, ist doppeltes NAT für Anwendungen wie VPN kein Problem.

Doppeltes NAT stört in den seltensten Fällen. Mittlerweile hat sich die Welt auch weitergedreht und man kann in Unifi-Routern NAT abschalten, wenn man denn möchte. Das ging im Juni noch nicht.

Ok, dann passt das und ich trage in der FritzBox das UCG-Max (ist bestellt) als exosep host ein.

Zitat von Networker

Wieso nicht? Ubiquiti bietet doch für jeglichen Strombedarf Injektoren - und Geräte von anderen Herstellern würden ja auch funktionieren.

Es geht nicht um den Strombedarf sondern um die unterstützte Geschwindigkeit von 2,5GbE. Soweit ich das gelesen habe, haben die alle nur 1GbE.

Bei anderen Herstellern hatte ich jetzt noch nicht geschaut.

Zitat von Networker

Sieht grundsätzlich plausibel aus. Bei den Firewall-Regeln bietet es sich in den meisten Fällen an, die Kommuunikation aller VLANs miteinander zu verbieten und dann einzelne Freigaben zu setzen.

Man kann die Logik auch anders herum fahren, je nachdem, auf welchem Weg man weniger Regeln benötigt.

Ok...für die Firewallregeln habe ich zwei Wikis gefunden an denen ich mich dann langhangeln werde.

Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de)

Firewall-Regeln by Naichbindas - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de)

Ist das egal welche ich als Vorlage nehme?

Zitat von Networker

Für die schreibst Du Ausnahmen von der Regel. In ein separates VLAN müssen diese nicht zwingend, aber wie oben schon erwähnt - wenn es die Komplexität Deines individuellen Regelsatzes reduziert, kann ein VLAN eigens dafür sinnvoll sein.

Bedenken muss man immer nur, dass Geräte in unterschiedlichen VLANs zwingend durch die Firewall miteinander kommunizieren, was sehr hohen Durchsatz wie z.B. 10 Gbit/s verhindert. Lösen könnte man dies wiederum mit Layer3-Switching, was einen entsprechenden Switch voraussetze, der dies beherrscht.

Gut...10GbE kommt bei mir eh nicht zustande. Ich bleibe erstmal überall bei 1GbE.

Folgende Komponenten habe ich jetzt bestellt.

• 1x USW-24-POE
• 1x UCG-Max
• 2x U7-Pro
  
• 1x UACC-CM-RJ45-1G