Zones und Planung - Neuer user, Neues Setup, viel zu lernen

Quote from mty

Meine akute Frage ist wie ich ein guestnetwork ohne captive Portal aufsetze und dann aber trotzdem mit der Firewall bzw als Zone vom Rest trennen kann.

Das konfigurierst du bei den VLAN Einstellungen: VLAN ID 90, unter DHCP Gastnetzwerk einstellen, Isolation sollte dann auch ausgewählt sein sonst auch auswählen, aber keine Landing Page (unter WLAN Settings dann) aktivieren. VLAN 90 ist dann von den anderen nicht Gast-Netzen isoliert, nur Clients innerhalb eines Gastnetzes können untereinander kommunizieren sowie Gast-Netze zu andern Gast-Netzen. Alle erforderlichen Firewallregeln werden dadurch automatisch erzeugt. Im zugehörenden WLAN für das Gastnetz kannst du auch die Internetgeschwindigkeit Down und Upload begrenzen. Dazu eine Gruppe hierfür anlegen und Limits eintragen, das WLAN dieser Gruppe zuweisen. Gute Werte inkl. für Streaming sind 25-50 Mbit/s down und 10-20 Mbit/s up, hängt aber von deinem Vertrag und Geschwindigkeiten ab.

Für dich, da du keine Landing Page verwenden willst:

Alternativ einfach bei den VLAN Einstellungen für VLAN ID 90 unter DHCP 4 Netzwerk Isolieren anklicken, damit sehen sich die Clients nur in diesem Netzwerk, aber sind von allen anderen Netzwerken isoliert. Die Begrenzung der Geschwindigkeiten analog einrichten.

Quote from mty

Welche Einstellungen muss ich an welcher Stelle nutzen um ein isoliertes gastnetzwerk was auch auf mein Gateway nicht zugreifen kann zu erstellen wo man einfach einmal den wi-fi-code eingibt und dann immer wenn man bei mir zu Besuch ist direkt ins WLAN kommt

Wifi Code - damit meinst du das WLAN Passwort für das Gästenetz? Wenn ja, dann wie beschrieben einrichten ohne Hotspot zu aktivieren.

Quote from mty

isoliertes gastnetzwerk was auch auf mein Gateway nicht zugreifen kann zu erstellen

Alle Lan-Netze und WLANs greifen auf das Gateway zu, ist ja die zentrale Komponente. Wenn du den Zugriff auf die Konsole meinst: ich habe neben Passwort auch 2FA eingestellt (ist eh ein MUSS!), da ich es bei meinen betreuten Netzwerken (u.a. Hotel) als angenehm empfinde, immer auf die Konsole zu kommen, auch wenn ich testweise im Gastnetz angemeldet bin. Es gab da wohl eine Einstellung das zu unterbinden, habe ich aber nicht mehr parat.

Quote from mty

20 Home Automation und Energie

30 IoT (Shady China stuff)

Überlege dir dabei, welche IOT, Cams, Automationen Internet Zugang benötigen, sind oft dann Dienste mit Cloud-Zwang bzw. Cloud-Zugang weil es bequemer ist. Meine Kameras inkl. „China-Modelle“ sowie Shelly Plugs betreibe ich nur lokal, da kann kein Gerät nach Hause telefonieren (Einstellung dazu Im Lan-Netzwerk, für das entsprechende VLAN bei Internet Zugang einfach deaktivieren). Wechselrichter hat Cloud-Zugang da ich deren App aus Bequemlichkeit nutze und keine eigene HA aufgesetzt habe. Wenn ich Zugriff auf meine Cams von Aussen möchte wähle ich mich per VPN ein.

Quote from mty

Und an die Trolle: Ja, bin neu im Thema, aber nein, blöd bin ich nicht, nur unerfahren

Jeder Einstieg hat seine Lernkurve, die nach kurzer Zeit steiler wird. Ich selbst verwende Unifi seit langer Zeit, Einstieg damals mit dem USG3 Router Modell, und muss heute noch laufend dazu lernen wegen neuen Features oder weil mit neuer Netzwerk-Software die Einstellungen wieder komplett anders angeordnet sind 😁Also hier fragen und Trolle ignorieren, denn es gibt keine „dummen“ Fragen.

Quote from mty

Standard Hotspot und IOT

Standart Hotspot: ist für Gästenetzwerke, diese erhalten dann eine Landing Page = Webseite, um eine Zugangscode = Voucher einzugeben, um Internetzugang zu erhalten. Voucher kann zeitlich begrenzt sein, Geld kosten etc. und ist nicht das Wifi-Passwort. Du möchtest aber mit dem Wifi-Passwort arbeiten, halte ich für sinnvoll, wenn Gäste von dir wieder kommen haben sie es bereits gespeichert.

IOT: sind spezielle Einstellung für IOT-Geräte Netzwerke. Ich würde für ein IOT Lan/Wlan einfach ein eigenes VLan und WLan einrichten, das nur nur im 2,4 Ghz Bereich funkt, dazu keine Einstellungen wie Fast Roaming etc., also bei den Einstellungen Lan/WLan alles minimalistisch halten.

Genereller Tip: alle Auto-Updates für Unifi Komponenten ausschalten! Manche Releases machten dann doch Probleme und durch das Auto-Update wirst du überrascht. Ob du Release Candidate oder Early Access Software/Firmware verwenden möchtest kannst du dir überlegen. Für den Anfang würde ich das alles nicht sehen, denn unter Umständen musst du ein Recovery auf einen früheren Stand durchführen. Das nur wenn du mehr Erfahrungen gesammelt hast und du RC/EA testen möchtest.

Quote from mty

Womit kann ich testen ob die Geräte wirklich isoliert sind?

Einfachste Tests:

Melde dich im entsprechenden Netz (Gast, IOT, HA) an, z.b. mit Handy. Es gibt Apps für Handys wie z.B. Fing die Ping Tool haben (in der kostenlosen Version) und dann kannst du verschiedene IP-Adressen ausprobieren (innerhalb deines Unifi Universums sowie ausserhalb dann mal heise.de etc. aufrufen) sowie Scan des Lan Netz durchführen. Dazu auch z.B. lokal in einer Cam anmelden und Prüfung auf Updates anstossen. Wenn kein Internet Zugriff erlaubt wurde kommt dann eine Fehlermeldung. Fing mit Scans und Pings sind schon gute Tests.

Quote from mty

OS 4.4.6 und

Network 10.0.162 ein

Auch wenn mich die Null nach dem ersten Punkt immer etwas misstrauisch macht

Ist ein guter Stand, das unifi Forum ist zwar voll mit Problemen dazu aber bei sehr vielen läuft das stabil und man meldet oft nur Probleme.

Die Null stört mich weniger als wenn es 10.99.xxx wäre, da würde ich dann eher 11…. erwarten 😁

Quote from mty

Hotspot bzw das UniFi Verständnis von einem gastnetzwerk mehr auf einen Kaffee als auf privat ausgerichtet ist. Also einfach

Ja, Cafe, Shops und Hotels vorallem. Früher war die Landing Page inkl. Nutzungsbedingungen ein Muss, vor vielen Jahren wurde dann die Betreiberhaftung entschärft, damit kann man dann Wlan einfach anbieten, wenn man will als offenenes.

mty Hast Du Dir mal das Wiki bzgl. ZBF angeschaut? Ich habe mir das damals zusammengeschrieben, um es selbst nicht zu vergessen - sollte aber auch Dir einen ziemlich guten Start in das Thema ermöglichen.

Quote from digger-de

Einfachste Tests:

Melde dich im entsprechenden Netz (Gast, IOT, HA) an, z.b. mit Handy. Es gibt Apps für Handys wie z.B. Fing die Ping Tool haben (in der kostenlosen Version) und dann kannst du verschiedene IP-Adressen ausprobieren (innerhalb deines Unifi Universums sowie ausserhalb dann mal heise.de etc. aufrufen) sowie Scan des Lan Netz durchführen. Dazu auch z.B. lokal in einer Cam anmelden und Prüfung auf Updates anstossen. Wenn kein Internet Zugriff erlaubt wurde kommt dann eine Fehlermeldung. Fing mit Scans und Pings sind schon gute Tests.

Was ich euch auf jeden Fall empfehlen kann: Ubiquiti hat auch ein cooles Tool für Android und iOS, die App nennt sich Wifiman. Damit kann man die Umgebung nach WLANs abscannen und analysieren, wie voll zwischen den Kanälen sind. Die App kann auch Netzwerke scannen und Ports abklopfen. Da ist es sehr nützlich, zu prüfen, ob das Gast-Netzwerk wirklich isoliert ist. Probiere es mal aus.

Danke, ich bin für Verbesserungsvorschläge sehr offen - man entwickelt ja auch eine gewisse Betriebsblindheit mit der Zeit.

Eigentlich erstellt Unifi kaum irgendwelche Firewall-Regeln von selbst, es sei denn Du erstellst solche Spezialitäten wie ein Hotspot-VLAN. Die ZBF sollte eigentlich nach einem Blick auf die Übersicht selbsterklärend sein - lies Dir diese Seite gemütlich durch, da wird einem schon vieles klarer. VLANs innerhalb derselben Zone können erst einmal problemlos miteinander kommunizieren, es gibt keine Einschränkungen. Du willst die Kommunikation der Netze untereinander einschränken? Gar kein Problem, einfach eine separate Zone erstellen, oder die Regeln aus dem Wiki anwenden.