Neuaufbau mit Unifi – Aufteilung in VLANs mit Radius so sinnvoll?

    Hallo,

    ich möchte mein Netzwerk jetzt mit Unifi-Produkten neu gestallten und in der Wartung einfacher machen.

    Aktuelle HW ist:

    • Cloud Gateway Ultra
    • USW-24-POE
    • AP Mesh 6
      Hier werde ich am Ende noch weitere AP dazukaufen

    Am Ende möchte ich mein Heimnetzwerk in verschiedene Netze aufteilen.

    Zentraler Punkt der Lösung wird ein Cloud Gateway Ultra sein.

    Folgendes Konzept hätte ich mir für die internen Netze hinter dem WAN-Port überlegt. Das Internet wird durch die Fritz-Box bereitgestellt.

    • Management LAN: 192.168.1.0/24
    • VLAN10 (192.168.10.1/24):
      Hauptnetz: Alle PCs, Notebooks, eigene Handys und Tablets, Drucker
    • VLAN20 (192.168.20.1/24):
      Offline-Netz: Alte PCs die keine Sicherheitsupdates mehr bekommen
    • VLAN30 (192.168.30.1/24):
      IoT-Netz
    • VLAN40 (192.168.40.1/24):
      Gast Netz
      Alle Geräte die nicht per MAC-Filter oder Radius-Authentifizierung keinem anderem VLAN zugewiesen werden
    • VLAN50 (192.168.50.1/24):
      Außenkameras

    Macht diese Aufteilung aus euerer Sicht erst mal Sinn oder habe ich etwas wichtiges vergessen?

    Dann mache ich mir Gedanken wie ich es am besten technisch Löse.

    Reichte es aus vom CGU mit nur einem tagged Port zum Switch zu gehen oder sollte ich besser alle 4 Ports des CGU ausnutzen?

    Wenn ich es richtig verstehe, dann kann das CGU nur mit 1GBit/s routen und es ist am Ende egal, ob ich einen oder mehrere Ports nutze. Vorteil bei einem tagged Port wäre, dass ich am Switch Ports einsparen könnte, da ich hier so und so zu wenige habe um alle Netzwerkdosen voll zu belegen.

    Für das WLAN würde ich nur ein Hauptnetz und ein Gastnetz als SSID ausstrahlen wollen und im Hauptnetz die Geräte per Radius und MAC-Filter in die entsprechenden VLANs dynamische eingruppieren.

    Ist das eurer Meinung nach Sinnvoll oder nicht?

    Generell könnte man sich bei Radius das Gastnetz als SSID eigentlich auch sparen, aber dann hätte „jeder“ mein „Hauptpasswort“ für das WLAN und wenn der Radius nicht korrekt läuft, dann wäre das nicht so ideal.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.


    Auch wäre das VLAN40 am Ende sowohl in der SSID für das Hauptnetz als auch in der SSID für das Gastnetz enthalten. Das sollte keine Probleme machen oder?

    Ich verstehe das Konstrukt mit den VLANs und SSIDs nicht so ganz. Du kannst ohne Radius eine SSID genau einem VLAN zuweisen. Mit Radius hat man im Idealfall nur eine SSID und der Radius rückt entsprechend für den Client die SSID raus. In diesem Konstrukt gehört die SSID zu keinem expliziten VLAN. Von daher verstehe ich den letzten Satz gar nicht.

    Hast Du dir schon konkrete Gadanken zur Umsetzung der Radiuslösung gemacht? Beim integrierten Unifi Radius gibt es für WiFi kein Fallback Netz im Gegensatz zur verkabelten Lösung. Wird also mit den Boardmitteln schwierig Gast WLAN Geräte in das VLAN 40 zu schieben und man möchte ja nicht Besucher MAC Adressen einpflegen müssen, die dann wohlmöglich auch nur zufällige MACs sind. Mal davon ab, dass die Unifi Radius Einträge ziemlich gaga sind ... eine stumpfe Liste von MAC Adressen ohne jede Möglichkeit für Notizen welche MAC welches Gerät ist.

    Ansonsten hast Du zumindest mal eine Aufteilung der Geräte. Inwiefern die sinnvoll ist, kannst vermutlich nur Du selbst beurteilen.

    Quote from Tomcat

    wenn du es einfacher haben willst, das lasse den Radius-Mist weg - vollkommen übertrieben im Heimnetz.

    Wie kriege ich dann WLAN Geräte in verschiedene VLANs ohne für jedes VLAN eine separate SSID auszustrahlen?

    Quote from DoPe

    Hast Du dir schon konkrete Gadanken zur Umsetzung der Radiuslösung gemacht? Beim integrierten Unifi Radius gibt es für WiFi kein Fallback Netz im Gegensatz zur verkabelten Lösung.

    Nein noch nicht. Kenne es nur von der OPNsene, dachte das geht im CGU sicher auch ähnlich.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from Networker88

    Wie kriege ich dann WLAN Geräte in verschiedene VLANs ohne für jedes VLAN eine separate SSID auszustrahlen?

    Ohne Radius:

    Über die "Private-Shared-keys" Damit kannst du mit einem anderen Passwort auf der gleichen SSSI ein anderen VLAN

    Mappen lassen...

    hier die ersterbenden sind das "Default" netz was der SSID uzugewiesen ist.

    Der dritte ist dann in meinen "Vlan 50"...


Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login