UDM7 zum Aufbau eines Services Netzwerkes hinter einer FB7690

Hallo und willkommen hier im Forum!

Hast Du auf Deinem UDR7 denn die WAN-Schnittstelle konfiguriert? Bei der Einrichtung über die Assistenten kommt man da eigentlich kaum drum herum und wenn der UDR7 über die Fritzbox ins Internet kommt, sollten auch alle Clients im "Service-Netz" ohne weitere Einstellungen online sein. Zumindest über IPv4.

Wenn Du den Netzaufbau so lassen willst (was ich nicht empfehlen würde), muss der UDR7 mit seinem WAN-Port an einem LAN-Port Deiner Fritzbox hängen und der UDR7 darf weder mit seinem "Basis-Netz" noch mit irgendeinem seiner VLANs den IP-Adressbereich der Fritzbox nutzen. Stelle das auf jeden Fall mal sicher.

Nicht empfehlen würde ich Dir diese Struktur, weil es zum einen netzwerktechnisch immer etwas hässlich ist, zwei Router quasi gleichwertig nebeneinander zu betreiben, zum anderen wirst Du Deine Anforderung, dass Du vom Fritzboxnetz das Servicenetz erreichen willst, nicht gut umsetzen können. Sinnvoll wäre es, die Fritzbox komplett durch den UDR7 abzulösen bzw. maximal noch als "Modem" und Telefonzentrale zu verwenden. Damit hast Du dann alle Möglichkeiten und Dein "Home"-Netzwerk profiziert noch von einer potentiell besseren Absicherung über die Firewall des UDR7.

Info am Rande: Bei Unifi sollte man sehr niedrige VLAN-IDs besser vermeiden, fange ab 20 an.

Noch schlimmer ist in der Konstellation, dass wenn man es nicht verbietet ... das Heimnetz aus dem Servicenetz erreichbar ist, das das ja bereits einfach mal schon "Internet" ist.

Die Anforderung das Servicenetz MAC basiert abzusichern ist fragwürdig, da das Netzwerk ohnehin nicht Vertrauenswürdig ist. Geht halt per WLAN über MAC Adressfilter ... viel Spaß mit den Privacy Funktionen der Geräte und per Kabel gehts halt nur mit 802.1x und mac basierter VLAN Zuweisung ... unbekannte MACs kommen ins Fallback VLAN (schwarzes Loch) und die MAC Adressen aus dem radius bekommen das Service VLAN zugewiesen.

So ganz grob, weil ewignicht mehr gemacht.

Der Switch muss es können, was bei den meisten Unifis gegeben ist.

Der interne Radius muss aktiviert und gefüttert werden mit den MAC Adressen. Da war was von wegen alles groß oder klein und ohne Trennzeichen. An der Stelle weißt Du dann quasi auch schon das vlan für die MAC zu.

Dann muss man am Switch mit den zu schützenden Ports 802.1x aktivieren und ein fallback LAN einstellen. Hierfür legste ein nicht genutztes, isoliertes VLAN ohne Internet an. Gerne auch ohne DHCP. Da kannst Du kreativ sein dem Eindringling den Spaß zu verderben.

Zu guterletzt müssen die zu schützenden Ports umgestellt werden. Meist muss man switch neu starten damit es geht.

Und damit keine falsche Erwartungen geweckt werden: MAC-Sicherheit lässt sich relativ leicht aushebeln. Wenn ich physischen Zugriff auf den Port habe, habe ich damit auch Zugriff auf die Schnittstelle des Endgerätes. Dessen MAC-Adresse kann ich demnach auslesen und diese Adresse dann in meinem Gerät spoofen, mit dem ich Dein Netz angreifen möchte. So etwas ließe sich auch nur dann verhindern, wenn ein Switch seinen Port direkt abschalten würde, sobald der Link verloren geht. Oder über zusätzliche Authentifikations-Mechanismen, wo dann Zertifikate zum Einsatz kommen - damit kenne ich mich aber nicht mehr aus und Unifi kann das meine ich auch nicht.

Es ist demnach prizipiell gute Praxis, im eigenen Netz "Zero Trust"-Prinzipien einzusetzen. Z.B. kein Zugriff auf Geräte ohne zusätzliche Authentifikation für LAN-Clients.

Vor allem werden irgendwelche pv Geräte nichts mit Zertifikaten am hut haben. Die können ja so schon oft kaum geradeaus laufen.

Wäre aber das einzige was überhaupt machbar wäre.