Netzwerk mit UBNT :)

Es gibt 23 Antworten in diesem Thema, welches 10.550 mal aufgerufen wurde. Der letzte Beitrag () ist von N0head.

    Moin Freunde!


    Wie schon mal im Forum Ende letzten Jahres erwähnt, baue ich gerade mit meinem Bruder ein großes Einfamilienhaus zu einem 2 Parteienhaus um.

    Die Verkabelung mit Netzwerkkabel ist im kompletten Haus schon geschehen, die eingesetzten Komponenten von Ubqt sind teilweise schon vorhanden.


    Nun habe ich eine Frage:

    Ich will ein physisches Netzwerk aufbauen, dabei sollen alle AccessPoints für jede Wohneinheit eine gesonderte SSID ausstrahlen, die einem bestimmten VLAN zugeordnet ist.

    Außerdem soll ebenfalls - wenn möglich - ein zusätzliches Gästenetzwerk ausgestrahlt werden.

    Heißt, es wäre schön, wenn alle APs letzten Endes 3 SSIDs mit unterschiedlichen IP-Ranges ausstrahlen.


    Welche Komponenten brauche ich dazu?

    Ursprünglich dachte ich der Cloud Key reicht dazu aus, so wie ich meine Anforderungen einschätze, werde ich aber über das Security Gateway nicht drumrum kommen, korrekt?



    Danke vorab!

    • Offizieller Beitrag

    Moin N0head ,


    pro Profil kannst Du 4 WLANs (SSIDs) mit je einem eigenen VLAN ausstrahlen. Wenn Du 2,4 und 5GHz von einander trennst (Suffix), dann sind es sogar 8.

    Der CK ist für das eingebaute Gastnetz unumgänglich, das USG ist dann die logische Konsequenz, da es vieles vereinfacht, aber nicht nötig.

    Bei der DreamMachine schließe ich mich den Meinungen mangels eigener Erfahrung an.

    razor : heißt, de facto brauche ich die USG nicht wirklich?


    Hintergrund ist der, dass ich das ganze Netzwerk nicht unnötig komplizierter gestalten will, als nötig.

    Will ja nur im Prinzip die Wohneinheiten voneinander trennen :smiling_face:

    Update:


    Alle Komponenten nun vorhanden :smiling_face:

    -Cloud Key Gen 2+

    -Unify Security Gateway (das kleine)

    -Unify PoE 16 Port Switch

    - 5 x AC Pro

    - 1x G3


    G3 hängt bereits und die Testbilder waren erste Sahne.


    Frage:

    Ich möchte weiterhin gerne eine Fritzbox als erste Instanz am Anschluss nutzen.

    Wie umgehe ich diesbezüglich Doppel NAT (bzw. eine Ebene tiefer: ist es möglich die Fritzbox in mein lokales LAN (VLAN meiner Wohnung) zu integrieren)?

    Zum Thema Doppel NAT : einfach mein USG als Exposed Host in der Fritzbox konfigurieren und gut ist?


    Hintergrund:

    Anschluss im Keller

    Von dort aus strukturierte Verkabelung mittels CAT7 Duplexkabel in die Räume


    Idee:

    DSL Leitung auf eins der beiden Kabel (die im Wohnzimmer enden) stecken. Darauf dann im Wohnzimmer die Fritzbox am DSL Port.

    Anderes Cat7 Kabel wiederum als Ableitung zum Keller / Switch und restlicher Verteilung (Vorteil: ich habe im WZ die Möglichkeit zu sehen, ob und wann das DSL ausfällt - optisch wahrnehmbar. Dazu kann ich die FB auch mal neustarten falls notwendig ohne 2 Treppen zu gehen + Telefonie nutzbar - ja Festznetz ist garnicht so übel :P)


    Außerdem kann ich an einen LAN Port der FB den Entertain Receiver dran ballern, der brauch ja bloß "Internet".



    Oder erkennt noch Jemand einen Denkfehler?

    Bin für alle Meinungen / Ratschläge dankbar. :smiling_face:


    Danke vorab

    Dann ziehst Du quasi vom Keller aus ein TAE Kabel bis ins Wohnzimmer, um dort Deinen Router anzuschließen?

    Soweit mit bekannt geht das nicht mit CAT7 da die Pin Belegung am WAN Port eine andere ist.

    Außerdem sind das glaube ich auch andere Stecke. RJ11 anstatt RJ45.

    nene, ich "missbrauche" eine meiner wertvollen Cat7 Leitungen für die DSL Verbindung ins OG.


    Ergo Keller mit TAE Dose -> Signaturkabel auf Cat7 Kabel ins WZ -> Fritzbox -> Patchkabel-> Andere Cat7 Leitung zurück zum Keller - WAN Anschluss USG.

    (Die relevante Belegung für DSL ist 4/5, daher denke ich du hast etwas missverstanden).

    Einmal editiert, zuletzt von N0head ()

    Gefällt mir 1

    Hallo,


    aus deinen Ausführungen lese ich, dass es sich um einen Telekom DSL (VDSL) Anschluß dreht. Bezüglich der Nutzung eines "dummen" Modems vor der USG, so wie es Applehorsti beschreibt, wäre noch wichtig, welche Bandbreite du nutzt, oder ob es vielleicht sogar ein Glasfaseranschluß und kein VDSL ist.

    Bei VDSL bis 100Mbit geht der Vigor 130 mit Supervectorig bis 250 Mbit brauchst du ein Vigor 165. Beide Router können auch als "dummes" Modem im bridge mode betrieben werden. Damit hättest du dann Doppel NAT elegant umschifft. Der Telekom Speedport Smart 3 sollte aber auch als reines Modem nutzbar sein.


    Wollt ihr nur einen Internet-/Telefonanschluß für beide Wohneinheiten nutzen?


    Die Idee mit dem Duplexkabel für Fritzbox im WZ find ich gut. Bei mir läuft ein Kabelanschluß aber auch mit Doppel-NAT und USG als exposed host ohne Probleme.


    Gruß aus BT

    • Offizieller Beitrag


    Du brauchst:


    unifi switch

    Cloudkey + usg oder udm


    Empfehlung


    udm pro mit ein unifi switch und ac ap pro.


    dann ist alles machbar vlan / ssids und gäste


    Jeden ap kannst du dann genau sagen welche ssids ausstrahlen soll.


    nur die frage wie Vorgänger gestellt hat was hast du für internet?

    Moin Moin,



    derzeit geht an der Adresse leider nur VDSL 50 (beauftragt bei Telekom, da im Störungsfall direkt der "Leitungsinhaber" und kein Subbler rausmuss ;)) Aktuell wird aber im Ort ausgebaut d.h. langfristig wird vermutlich 100 bzw. 250 gehen.

    Daher würde ich mir vielleicht doch - nach den bisherigen Rückmeldungen - ein Vigor 165 bestellen (sollte ja problemlos an jedweder Art von VDSL von 50 - 250 betrieben werden können).



    ps: iTweek : ich habe doch meine komponenten nochmal aufgelistet :smiling_face:

    In dem Fall würde ich auch kein UDM Pro nehmen. Der einzige Vorteil liegt in der hohen Leistung des IPS. Bei der geringen Bandbreite, die du momentan und in absehbarer Zeit hast würde ich ein USG-4 Pro nehmen, insbesondere, da du den Cloud Key schon hast.

    Guten Morgen :smiling_face: (kurzarbeit lässt grüßen),



    ich merke schon, man ist sich nicht ganz einig. Sicher gibt es mehrere Wege, wie man was umsetzt.


    Wie es der Zufall so wollte, habe ich bei uns im "Ablageregal" im Geschäft ein mehr oder weniger ausgemustertes Vigor 130 gefunden.

    Daher habe ich derzeit alle Möglichkeiten zum ausprobieren, wobei ich aktuell (kann sich gefühlt täglich ändern :D) dann auch die Lösung mit Modem präferiere.


    MacUniFi


    ich erwähnte doch bereits meine vorhandenen Komponenten weiter oben, aber hier noch einmal zitiert.


    "Alle Komponenten nun vorhanden :smiling_face:

    -Cloud Key Gen 2+

    -Unify Security Gateway (das kleine)

    -Unify PoE 16 Port Switch

    - 5 x AC Pro

    - 1x G3 Pro Kamera"


    Kannst du mir erklären, wieso ich ein USG 4 Pro nehmen sollte?

    Habe jetzt eben "nur" das kleine USG besorgt, auch aus Platzgründen.

    https://www.ui.com/unifi-routing/usg/



    PS: Telekom hat tatsächlich vor 2 Tagen geschalten.Ich werde zwar erst gegen September einziehen, aber wollte vorab sehen, ob die Leitung stabil läuft :face_with_tongue:


    Ist halt noch harte Baustelle, daher hängt derzeit mal die FB3490 und die G3 drin, kann das Bild via VPN abgreifen.

    Meine Empfehlung ging eher weg von der UDM (Pro) und hin zur USG (Pro), weil du die hohe Leistung nicht benötigst.


    Wenn du eine USG hast musst du die natürlich nicht wegwerfen und gleich eine Pro kaufen. Bei der hat man allerdings den Vorteil einer höheren Performance, wenn auch deutlich niedriger als bei der UDM, und die Möglichkeit eine zweite WAN Verbindung aufbauen zu können. Gerade momentan ist letzteres sehr angenehm.


    Für mich spricht bei der Großen auch das 19"-Format. Einmal ein Rack aufgebaut mit Patchfeld und man hat immer eine saubere Umgebung.


    Übrigens ist es nicht erforderlich, mit VPN die Kamera anzusehen. Das geht über Protect auch ohne.

    SO, lange Zeit hab ich nix hören lassen, aber so ein Umzug inklusive Abwasserschaden in der Bestandsverrohrung NACH Einzug lässt das Thema Netzwerk mal etwas in den Hintergrund rücken *g



    Mittlerweile hab ich das Setup mit einer Fritzbox in Betrieb. Sprich DoppelNAT. Bisher keine Probleme.

    3 VLANs angelegt (Wohnung 1 = administratives VLAN (meins höhö), Wohnung 2, Gast).


    Fragen, die sich mir stellen:


    Beim Erstellen eines Netzwerkes über die Weboberfläche bekommt man die Auswahlmöglichkeiten

    "Unternehmen" bzw. "Gast".



    Ich habe festgestellt, dass, insofern mehrere Netzwerke als "Unternehmen / Corporate" mit unterschiedlichen IP Netzen angelegt werden, diese direkt eine vertrauensstellung haben und aufeinander zugreifen können (Beispielsweise komme ich dann aus dem Netz 192.168.5.x direkt auf meinen Cloudkey, der sich im 192.168.2.x Netz befindet).

    Da ich das NICHT möchte musste ich das Netzwerk von Wohnung 2 als "Gast" anlegen (natürlich ohne Gastrichtlichten bzw. Captive Portal und den ganzen Firlefanz.)


    Nun möchte ich aber einzelnen Geräten durchaus erlauben, dass diese netzübergreifend agieren - nicht aber wie oben beschrieben jedes Gerät.


    Wo mache ich das und vor allem wie?

    Ich vermute in den Einstellungen "Firewall" - hat da einer ein Best Practice für mich?




    Frage 2:

    Kann mir jemand was zum integrierten Schutz sagen?

    Wie funktioniert das, was tut es genau?


    Zitat:


    UniFis Intrusion Prevention System schützt Ihr Netzwerk vor Angriffen und bösartigen Aktivitäten. Verbindungen, die Ihre Sicherheit gefährden könnten, werden gesperrt und beendet.

    Warnung: Das Aktivieren von Threat Management beeinflusst den maximalen Durchsatz (85 Mbps) von USG-3P.

    Warnung: Das Aktivieren von Threat Management deaktiviert die Hardwarebeschleunigung.



    Gerade das mit dem maximalen Durchsatz ist mir ein bisschen suspekt.




    Frage 3:

    Momentan habe ich ja die Fritzbox als "erstes" Gerät am Anschluss, logischerweise auch erstmal als "Firewall".

    Insofern es je mal das USG direkt hinter einem Modem ist, wie ist diese konfiguriert (bezogen auf die Standardeinstellungen)?

    Sie blockt erstmal sämtliche Anfragen, oder? Sprich ich muss gewünschte Ports explizit erlauben




    Danke für jede Antwort.

    Bilder gibts dann auch mal, aktuell ist mein Datenschrank noch etwas wirr :face_with_tongue: