Wechsel von AVM auf Ubiquiti: Ist das ohne weiteres möglich?

Es gibt 32 Antworten in diesem Thema, welches 1.638 mal aufgerufen wurde. Der letzte Beitrag () ist von Doktor.

    Hallo zusammen,


    ich habe hier eine Fritzbox Cable am laufen mit einem Meshnetzwerk.

    Was mich aber total nervt, dass ich das Netz nicht so konfigurieren kann, wie ich es gerne hätte.

    Zum einen würde ich gerne meine ganzen IoT-Geräte trennen von einer anderen IT (Alexa, Roborock, Netatmo, Meross, ....)

    Ich habe mich auch schon etwas schlau gelesen und würde gerne mit Euch mal diskutieren, ob ich das so umsetzen kann:


    Anforderungen:

    • Fritzbox Cable muss bleiben (gibt bei Vodafone nicht so richtig Alternativen)
    • VLANs (trivial)
    • Eigenes WLAN für IoT-Geräte (trivial)
    • Aufbau eines VPNs, über welches nur bestimmte Applikationen / IP-Ranges geroutet werden sollen - VPN Split Tunneling (schwieriger)
    • Unter Proxmox habe ich ein Homeassistent am Laufen: Daher sollen Geräte wie HMIP, Philips Hue, Sonos etc. erreichbar sein. (schwieriger?)


    Was hatte ich mir vorgestellt:


    Fritzbox <--> Cloud Gateway Ultra <--> 2 x 16 Port Switche <--> 2 oder 3 APs (6 Pro)


    VPN-Anbieter: Surfshark


    Aktuell knabbere ich noch an 3 Punkten:

    1) Kann ich mir der Firewall / Routing einstellen, dass entweder bestimmte IP-Rages (dann wohl per Routing) durch den VPN geroutet werden bzw. geht das sogar dass ich eine "App" angebe, wie z. B. Zattoo, YouTube, Netflix etc. und nur Datenpakete von diesen APPs durch den VPN geroutet werden und alle anderen "normal" ins internet geroutet werden?


    2) Wie müsste ich mein Netz konfigurieren, dass mein Home Assistent noch die notwendigen IoT Geräte erreichen kann (die nicht nur Cloudbasiert die Daten liefern) ohne dabei alle dieser IoTs doch wieder in das interne Hauptnetz mit aufzunehmen? Oder geht das trivial, da es ja Level 3 Switche sind und ich auch Komponenten aus dem IoT Netz vom Home Assistent erreichen kann?


    3) ich habe aktuell 2 x Netzgear Switche unmanaged mit jeweils 16 Ports. Jetzt würde ich ja managed benötigen. Gibt’s da eine günstigere Alternative als ca. 200 EUR pro Switch? Wahrscheinlich nicht...


    Ich hoffe ich konnte mich halbwegs verständlich ausdrücken und die Fragen sind nicht ganz blöde. :smiling_face:


    Ich freue mich auf Eure Rückmeldungen.


    Viele Grüße

    Doktor

    Hallo Doktor und willkommen im Forum!


    Dein geplantes Setup passt von der grundsätzlichen Struktur her.


    Zitat von Doktor

    1) Kann ich mir der Firewall / Routing einstellen, dass entweder bestimmte IP-Rages (dann wohl per Routing) durch den VPN geroutet werden bzw. geht das sogar dass ich eine "App" angebe, wie z. B. Zattoo, YouTube, Netflix etc. und nur Datenpakete von diesen APPs durch den VPN geroutet werden und alle anderen "normal" ins internet geroutet werden?

    Unifi beherrscht policy based routing, sodass man für bestimmte Quellen und/oder bestimmte Ziele ein Routing definieren kann. Inwieweit das mit einem Drittanbieter-VPN funktioniert, kann ich nicht sagen, so etwas löse ich auf dem Endgerät.


    Zitat von Doktor

    2) Wie müsste ich mein Netz konfigurieren, dass mein Home Assistent noch die notwendigen IoT Geräte erreichen kann (die nicht nur Cloudbasiert die Daten liefern) ohne dabei alle dieser IoTs doch wieder in das interne Hauptnetz mit aufzunehmen? Oder geht das trivial, da es ja Level 3 Switche sind und ich auch Komponenten aus dem IoT Netz vom Home Assistent erreichen kann?

    Mit Layer-3-Switches (nicht "Level-3") hat das überhaupt nichts zu tun. Solltests Du den USW-Lite-16-PoE ins Auge gefasst haben, so ist dieser auch überhaupt kein L3-Switch.

    Man legt einfach eine Firewall-Regel an, die dem HA erlaubt, mit den IoT-Geräten in den anderen VLANs zu sprechen. Simple as that.


    Zitat von Doktor

    3) ich habe aktuell 2 x Netzgear Switche unmanaged mit jeweils 16 Ports. Jetzt würde ich ja managed benötigen. Gibt’s da eine günstigere Alternative als ca. 200 EUR pro Switch? Wahrscheinlich nicht...

    Bei TP-Link und Zyxel würdest Du sogar 24-Port-Switches (ohne PoE) für unter 100 € bekommen, aber so wirklich empfehlenswert ist es nicht, an dieser Stelle zu sparen. Die Unifi-Serie wird insbesondere durch das zentrale und einfache Management so stark, dies wird durch Geräte anderer Anbieter eingechränkt (funktionieren würde es natürlich, schließlich folgen all diese Geräte denselben Standards).

    Zitat von Doktor

    3) ich habe aktuell 2 x Netzgear Switche unmanaged mit jeweils 16 Ports. Jetzt würde ich ja managed benötigen. Gibt’s da eine günstigere Alternative als ca. 200 EUR pro Switch? Wahrscheinlich nicht...

    Egal von welchem Hersteller, unmanaged Switch sind im Netz nicht sichtbar. Man kann mit ihnen den Netzwerkverkehr in keinster Weise steuern.

    Wenn du layer-2-Switch von anderen Herstellern nimmst funktioniert zwar alles was du dir vorstellst, aber der Administrationsaufwand steigt erheblich wie auch mögliche Fehlerquellen.

    Aber du kannst natürlich erstmal die alten weiter nutzen, halt ein paar Möglichkeiten weniger.

    Stimmt...ist nicht "Level", sondern "Layer" :smiling_face:


    USW-Lite-16-PoE : ja, den meinte ich...aber stimmt ja..ist ja nur ein Layer-2 Switch. Aber der kann dann doch gar nicht mit VLANs umgehen, oder? Dann wäre es dort der falsche....
    Was wäre denn für VLANs der richtige Switch?


    AP: Im Moment habe ich gar kein WiFi 7 Gerät. Daher tendiere ich zum 6 Pro ...weiß aber gar nicht, ob das nicht sinnvoller wäre für ein paar EURs doch den 7 / 7 Pro zu holen, wobei der schon einiges mehr an Strom zieht....was meint Ihr?

    "Layer 3" bedeutet nicht gleich "VLAN-fähig"! Layer 3-Switches bieten Routing-Funktionen, das braucht man im Heimnetz grundsätzlich nicht.

    Bei Unifi sind alle Switches "managebar", bieten also VLAN-Unterstützung, selbst die kleinsten 30 €-Modelle (diese mit leichten Abstrichen).


    Bei den Access Points solltest Du Dich fragen, ob Du überhaupt mehr als "Internet" über WLAN überträgst. Denn dafür würde selbst WiFi 5 reichen, wenn Du nicht gerade zu den wenigen Glücklichen mit einer Gigabit-Glasfaser gehörst.

    Zitat von Networker

    "Layer 3" bedeutet nicht gleich "VLAN-fähig"! Layer 3-Switches bieten Routing-Funktionen, das braucht man im Heimnetz grundsätzlich nicht.

    Bei Unifi sind alle Switches "managebar", bieten also VLAN-Unterstützung, selbst die kleinsten 30 €-Modelle (diese mit leichten Abstrichen).


    Bei den Access Points solltest Du Dich fragen, ob Du überhaupt mehr als "Internet" über WLAN überträgst. Denn dafür würde selbst WiFi 5 reichen, wenn Du nicht gerade zu den wenigen Glücklichen mit einer Gigabit-Glasfaser gehörst.

    Ich benötige auch keine Switch mir Routing-Funktion für das oben aufgeführte Szenario, dass ich ein VPN Split-Tunneling machen möchte?

    Falls nein, ist der USW-Lite-16-PoE so der "Home-Switch" den man so verwendet?


    AP: Ja, ich habe wirklich 1 Gigabit..aber über TV-Kabel. Mir geht es um gute Performance und gute WLAN-Abdeckung.

    Zitat von Networker

    Bei den Access Points solltest Du Dich fragen, ob Du überhaupt mehr als "Internet" über WLAN überträgst. Denn dafür würde selbst WiFi 5 reichen, wenn Du nicht gerade zu den wenigen Glücklichen mit einer Gigabit-Glasfaser gehörst.

    Und selbst bei einem GBit-Anschluss reicht Wifi5 locker, weil keiner wird den Unterschied bemerken, ob eine Webseite über Wifi5 oder Wifi7 aufgerufen wird. Ich hab zuhause über AC-Pro locker 500 Mbit/s über Wifi.
    Große Datenmengen, wie Backups übertrage ich vom Notebook eh nur per Kabel.

    Zitat von Doktor

    VPN-Anbieter: Surfshark

    Das könnte deine Pläne durchkreuzen. Ich hab selbst das Cloud Gateway Ultra, und ebenfalls Surfshark als VPN-Anbieter. Seitdem ich mein USG durch das Cloud Gateway Ultra ersetzt habe, versuche ich, Routing von z.B. dem FireTV Stick oder der Domain Zattoo.ch oder ähnliche Szenarien über einen vordefinierten WireGuard VPN-Client zu routen. Bisher immer ohne Erfolg, und ich hab gefühlt alles mögliche schon probiert. Diverse Suchen haben immer als Antwort gebracht, dass das wohl ein Problem im Zusammenspiel mit Surfshark ist, mit anderen Anbietern soll es wohl funktionieren. Ich muss bei Gelegenheit mal testweise nen anderen Anbieter für nen Monat buchen um das zu testen.

    FTTH 600/300 (Telekom) | UniFi Cloud Gateway Ultra + UniFi 24er Switch w/o PoE + UniFi 8er Switch + 2x UniFi 5er Switch (Flex Mini) + 2x UniFi AP AC Pro | Phone: Gigaset S850A GO + 1x CL660HX | NAS: Synology DS215j mit 2x 4TB WD Red

    Die Datenrate liegt im Byte-Bereich, es lädt einfach nicht wirklich.

    FTTH 600/300 (Telekom) | UniFi Cloud Gateway Ultra + UniFi 24er Switch w/o PoE + UniFi 8er Switch + 2x UniFi 5er Switch (Flex Mini) + 2x UniFi AP AC Pro | Phone: Gigaset S850A GO + 1x CL660HX | NAS: Synology DS215j mit 2x 4TB WD Red

    So...ich habe mal Nägel mit Köpfen gemacht und mir folgendes Bestellt:

    • Cloud Gateway Ultra
    • 2 x USW-Lite-16-PoE
    • 2 x AP U6-Pro

    Da ich Kabelinternet habe, wird die Fritz!Box auch weiter bestehen bleiben.

    Wir gehe ich denn bei der Einrichtung am besten vor? Ich würde gerne das UCGU mit den APs einrichten, dann nach und nach die Geräte von den alten AVM-APs auf die Unifi APs umhängen und erst dann das alte WLAN deaktivieren. Solange muss meine Fritz!Box aber noch als Gateway und DNS fungieren. Geht das ohne weiteres?

    Wenn ich dann alles auf die neuen APs umgestellt habe, dann trage ich in der Fritz!Box das UCGU als Exposted Host ein und das UCGU übernimmt das Routing etc?


    Passt das so?

    Zitat von Doktor

    Wenn ich dann alles auf die neuen APs umgestellt habe, dann trage ich in der Fritz!Box das UCGU als Exposted Host ein und das UCGU übernimmt das Routing etc?

    Das UCG übernimmt sofort das Routing für die Geräte die in den Netzen des UCGs hängen. Exposed Host hat quasi nichts mit dem Routing zu tun. Das ist eher eine MEGA Portweiterleitung, entspricht dem Weiterleiten aller Ports, die nicht explizit ein anderes Umleitungsziel haben oder von der Fritzbox selbst genutzt werden. Das macht die Sache einfacher, da Du dann bei Bedarf nur noch im UCG die Portweiterleitung auf das entsprechende Device konfigurieren musst. Exposed Host kannst Du auch gleich einstellen oder später - wie Du willst. Wenn Du die Geräte umgehängt hast und Du auch Portweiterleitungen benutzt hast, dann musst Du diese noch aus der Fritzbox löschen damit Exposed Host die Ports zur UCG weiterleitet.

    Zitat von DoPe

    Das UCG übernimmt sofort das Routing für die Geräte die in den Netzen des UCGs hängen. Exposed Host hat quasi nichts mit dem Routing zu tun. Das ist eher eine MEGA Portweiterleitung, entspricht dem Weiterleiten aller Ports, die nicht explizit ein anderes Umleitungsziel haben oder von der Fritzbox selbst genutzt werden. Das macht die Sache einfacher, da Du dann bei Bedarf nur noch im UCG die Portweiterleitung auf das entsprechende Device konfigurieren musst. Exposed Host kannst Du auch gleich einstellen oder später - wie Du willst. Wenn Du die Geräte umgehängt hast und Du auch Portweiterleitungen benutzt hast, dann musst Du diese noch aus der Fritzbox löschen damit Exposed Host die Ports zur UCG weiterleitet.

    Danke für die Erklärung.


    Ist das aber nicht so:

    ich verwende im Moment 192.168.0.0/24 für mein Netz.

    Fritzbox: .0.1

    UCG: würde ich 0.2 machen

    und im UCG müsste ich dann als Gateway die 0.1 eintragen, richtig?

    Auf der WAN-Schnittstelle konfigurierst Du im UCG gar nichts, sondern lässt alles schön die Fritzbox machen.

    Auf der LAN-Schnittstelle musst Du zwingend ein anderes Netzwerk definieren als 192.168.0.0/24 - ansonsten wird kein Gerät hinter dem UCG ins Internet kommen.

    OK...da ich gerne die IP-Adressen bei meinen Rechnern so lassen würde,

    müsste ich den Range der Fritzbox ändern und das UCG auf den alten Range der Fitzbox konfigurieren, richtig?


    Frage2:

    Bei der Fritzbox unter Netzwerkeinstellungen: Dort lasse ich die Option: Internet Router, richtig?

    Und muss ich da händisch noch eine IPv4 Route setzten für das Netz des UCG?

    Zitat von Doktor

    OK...da ich gerne die IP-Adressen bei meinen Rechnern so lassen würde,

    müsste ich den Range der Fritzbox ändern und das UCG auf den alten Range der Fitzbox konfigurieren, richtig?

    Richtig.



    Zitat von Doktor

    Bei der Fritzbox unter Netzwerkeinstellungen: Dort lasse ich die Option: Internet Router, richtig?

    Richtig. Du hast ab sofort eine sogenannte Router-Kaskade.



    Zitat von Doktor

    Und muss ich da händisch noch eine IPv4 Route setzten für das Netz des UCG?

    Nein.

    ok...nur noch eine Sache wo ich gerade auf dem Schlauch stehe:


    Fritzbox: 192.168.10.1

    UCG: 192.168.0.1 (alte Fritzbox IP). UCG ist am WAN Port angeschlossen und bei der Fitzbox einfach in einem Ethernetport.


    Woher weiß die Fritzbox, wohin es die Pakete für das 192.168.0.1 Netz Routen soll...es ist ja ein anderes Netz wie die Fritzbox...nur weil es per Ethernetkabel verbunden ist?

    Zitat von Doktor

    Woher weiß die Fritzbox, wohin es die Pakete für das 192.168.0.1 Netz Routen soll

    Weiß sie nicht (direkt) und muss sie auch nicht wissen.


    Alle Anfragen ans Internet gehen von innen nach außen, dafür legt sich ein Router Routingtabellen an und weiß somit, an welches Gerät er welche Antwort aus dem Internet zustellen muss.

    Für alles von außen nach innen gibt es den exposed host.