Hallo erstmal,
ich bin total neu in der Welt von Ubiquiti und möchte eigentlich nur eine wichtige Frage stellen, gerne einfach nur zu diesem Punkt springen, stelle aber vorher das gesamte Projekt vor.
So können gewisse Rückfragen vielleicht gleich geklärt werden UND falls ich gerade etwas plane, was gar keinen Sinn macht - könnt ihr mich vielleicht vor einem Fehler bewahren.
Ich versuche meine Gedanken zu begründen in Orange, so könnt ihr mich hier gerne korrigieren oder ergänzen.
Für morgen befindet sich im Zulauf die UDM-SE, Standard 24 Switch, Flex Mini Switch, 3x AP U6+, 1x Swiss Knife, 1x U7 Pro InWall.
Derzeit in Verwendung eine Fritte mit direktem Glasfaser Anschluss, 2 Switchen und zwei APs.
Aufbau des Internets:
Schritt 1: UDM-SE hinter die Fritte und mit Doppel NAT erstmal das gesamte Unifi Netzwerk in Ruhe aufbauen, subnetten, Firewall etc. regeln
Schritt 2: erste Testgeräte umziehen und schauen ob alles klappt (gerade durch Smart Home habe ich einige Abhängigkeiten und feste IPs die irgendwo eingetragen sind, daher Step by Step)
Schritt 3: alles umziehen
Schritt 4: Fritte gegen Telekom Glasfaser Modem 2 austauschen
Schritt 5: (wenn geliefert), Modem gegen SFP GPOON Modul tauschen
Ich habe HomeAssistant über einen Cloudflare Tunnel freigegeben, könnte hier das Doppel-NAT im Schritt 1-3 ein Problem werden?
Verkabelung:
Das wird einfach: Fritte erstmal an WAN, die APs an die PoE Ports der UDM. UDM via Direct Attach Cable an den 24er Switch.
VLAN:
VLAN 1: Default
VLAN 2: Prio Endgeräte (MacBook, iPhones usw.)
VLAN 3: HomeAssistant Zentrale und alle HomePods, sowie der Drucker
-
VLAN 5: Energie (EVCC, EnergyMeter, Wechselrichter, Wallbox usw)
VLAN 6: der Rest (SmartHome Bridges und Endgeräte, Gäste die öfter hier sind und SmartHome steuern dürfen)
VLAN 10: IoT (Playstation, Miele usw.)
VLAN 100: Gastnetzwerk
Ich würde alle VLANs und 10.X.X.X /24 machen, auch wenn 1 und 2 mit Sicherheit kleiner sein könnten. Spricht ja in der Performance nichts dagegen oder?
10.X.X.X da evtl. familiär mal Netzwerke zusammengelegt werden sollen.
FireWall-Regeln
Ich kürze VLAN mit V ab. Wenn es nur um eine IP geht schreibe ich z.B. V5.2 für den zweiten Client im VLAN 5.
- Alle dürfen ins Internet
- V1 darf mit allen Kommunizieren
- V2 darf mit V3 und mit V5.2
- V2 darf innerhalb V2 kommunizieren
- V3 darf mit V2 und V6 kommunizieren (Ich vermute AppleHome macht sonst doof, wenn sie nicht mit dem iPhone sprechen dürfen)
- V3 darf innerhalb V3 kommunizieren
- V5 darf innerhalb von V5 kommunizieren
- V5.2 darf mit V3.2 reden, auch umgedreht (EVCC aus V5 mit HomeAssistant V3)
- V6 darf mit V3 kommunizieren
- V6 darf nicht innerhalb kommunizieren
- V10 darf in kein anderes VLAN
- V10 darf nicht untereinander sprechen (dann ist ja VLAN4 gekapselt wie Gast - könnte ich hier gleich Gast-Einstellungen machen oder bringt das andere Nachteile mit sich?)
Bewusst alles etwas verkapselt, da nicht immer jeder mit jedem muss, bei Apple aber wieder schon und da gibt es noch keine feste Zentrale.
WLAN und Verteilung auf die VLANs via Radius:
Ich möchte nicht für jedes VLAN eine eigene SSID. Es soll nur zwei geben: Haupt- und Gast-W-Lan.
Radius mit MAC-Auth..... Gedanke:
Ich habe irgendwo gelesen, man könne über verschiedene Passwörter zur gleichen SSID eine Zuweisung zum VLAN machen. Glaube das könnte gerade mit HomePods und Apple Geräten problematisch werden, zudem bisher nur irgendwo aufgeschnappt - keine Anleitung gesehen. 802.1X unterstützen einige Geräte nicht... daher blieb nur MAC-Auth - auch wenn ein hoher Pflegeaufwand.
Da ja ein LAN Kabel am AP draußen hängt, möchte ich hier auch ausschließen, dass sich jemand während eines längeren Urlaubs Zutritt verschaffen kann, von daher auch MAC-Auth auf den Port?
Ich wäre gerne Admin - aber nicht immer
Klar ich kann eigene Regeln für bestimmte IP-Adressen machen. So mache ich es ja auch mit den Zentralen. Ich möchte ja mit der Zentrale quatschen können und sie mir auch antworten.
Aber wenn ich z.B. mal händisch auf das Interface des Wechselrichter zugreifen möchte, könnte ich das derzeit nicht. Ich möchte das auch nicht dauerhaft, Whitelist ist ja was tolles in der Sicherheit.
Wie im Microsoft-AD oder ähnlichen fällen wo ich mich aktiv nur für eine Tätigkeit temporär zum Admin mache.
Optionen die mir einfallen: Ich gebe nur meiner festen LAN-IP des MacBooks (Hauptgerät) die Regeln auf alles zuzugreifen. Ich bin doch meistens übers W-Lan angebunden. Noch sicherer, nur auf einem LAN-Port je Etage bekommt mein MacBook die IP mit allen Zugängen.
Gibt es Möglichkeiten über eine VPN Verbindungen und evtl weiteren VLAN? Radius läuft ja eh - so könnte ich es auch von unterwegs nutzen, was ich nicht unwichtig finde!
Oder wird auch über VPN meine W-LAN/LAN MAC mitgegeben und würde durch Doppeleintrag "futsch gehen".
Mit (nur meinem) iPhone möchte ich gelegentlich auf die SmartHomeBridges aus VLAN 6 zugreifen. Das müsste eigentlich eh alles übers Internet laufen, aber falls sich da Ausnahmen feststellen, wäre hier ja vielleicht der Admin VPN fürs iPhone sinnvoll, um nicht das komplette VLAN freizugeben.
Gibt es Möglichkeiten die Unifi noch so bietet? Wie macht ihr das?