VLAN für IoT Geräte

Es gibt 13 Antworten in diesem Thema, welches 13.539 mal aufgerufen wurde. Der letzte Beitrag () ist von hommes.

    Liebes Forum,


    ich habe schon einiges gelesen, extern und hier im Forum, aber noch so keine richtige Vorstellung davon, wie ich mein Vorhaben umsetzen kann.


    Folgende Konfig:

    FritzBox 6591 Cable

    16 Port PoE Unifi Switch

    2 x AP AC pro

    Controller Software auf Docker auf Synology Diskstation


    Mein Netzwerk ist aktuell nur in 2 Bereiche unterteilt:

    1. LAN / WLAN für alle Geräte im Haushalt

    2. Gäste WLAN über ein VLAN, was über den Switch auf den LAN4 Port der Fritzbox geroutet wird.


    Das ist für meine bisherigen Bedürfnisse auch alles fein. Die Gäste kommen nicht ins interne Netz und "sehen" die Geräte noch nicht einmal.


    1. Thema:

    Nun würde ich aber gerne die IoT Geräte (Gartenberegnung, Mähroboter, Shellys, etc) gerne aus dem Hausnetz heraushalten.

    Dennoch möchte ich sie natürlich mit den üblichen Mitteln (Smartphone, Tablet, PC) dennoch erreichen.

    Wie stelle ich das am besten an?


    2. Thema:

    Ich denke, das ist etwas schwieriger.

    Ich habe 2 Sicherheitskameras, die auf meine Synology NAS streamen. Die Synology ist natürlich im Hausnetz und darauf läuft auch der Unifi Controller.

    Gibt es die Möglichkeit, die Kameras aus dem Hausnetz zu verbannen und ihnen dennoch das Streamen auf die Diskstation erlauben?


    Ich habe mich zwar einigermaßen gut in die Unifi Welt eingearbeitet. Was Netzwerkarchitektur, VLANs, etc. angeht, bin ich aber eher (ambitionierter) Laie.


    Vielen Dank vorab für Anregungen und Input

  • Zum Hilfreichsten Beitrag springen

    Allgemein: Ohne USG/UDM/VLAN-Router/Firewall kannst du das knicken - die FritzBox kann nicht mit VLAN's (außer mit Freetz - vielleicht!).


    1. Thema:
    Eigenes VLAN für diese Geräte.
    Jedes VLAN, in welches WLAN-Clients sollen, muss ein eigenes Wireless(-Network) haben. Du musst also ein Netzwerk anlegen, diesem Netzwerk eine VLAN-ID zuteilen und das entsprechende WLAN mit der gleichen VLAN-ID versorgen.
    Inter-VLAN-Routing ist standardmäßig erlaubt auf dem USG bzw. der UDM. Somit hast du keinerlei Zugriffsprobleme. Du solltest dann allerdings in der Firewall den Zugriff standardmäßig blockieren und nur für einzelne Clients zulassen (dein PC, dein Handy, ...)


    2.

    Gleiches Prinzip.

    Sind es WLAN-Cams, brauchen sie wieder ihr eigenes Netzwerk + WLAN + VLAN-ID.

    Auch hier solltest du den inter-VLAN-Zugriff blockieren und nur den Weg von Cam -> Surveillance freischaufeln.

    Natürlich kannst du noch den Zugriff von deinen Clients zu den Cams gestatten.

    Sind es kabelgebundene Cams, musst du sie am Switch entsprechend in das richtige Netz taggen.



    Deine Accesspoints musst du natürlich dann noch in die entsprechenden VLANs taggen, damit sie das entsprechende WLAN auch ausgeben können.

    Entschuldige die vielleicht doofe Nachfrage.

    Aktuell habe ich bereits ein VLAN für Gäste:




    Das habe ich über ein Switch Port Profil über die AP ACs verteilt.

    Gleichzeitig habe ich das Guest VLAN dem Port am Switch zugeordnet, das den Uplink zu LAN4 der Fritzbox (Gästenetzwerk) darstellt.


    Das heißt VLAN generell geht schon. Merkwürdigerweise könnte ich den Bereich "Firewall" in der Unifi Software auch bearbeiten. In anderen wie "Static Routes" steht, dass dafür ein USG erforderlich ist. Das hätte ich auch für die Firewalls erwartet.

    Oder geht das ohne USG?


    Sorry für die Fragen, die einem Profi wahrscheinlich die Haare zu Berge stehen lassen. :smiling_face:

    • Hilfreich

    Du kannst selbstverständlich 100e VLAN's erstellen (auf dem Switch) und die in 100 verschiedene Fritzboxen/Router stecken oder ohne betreiben - das geht.

    Nur macht das wenig/keinen Sinn; du willst ja auch irgendwo hin ... in deinem Fall von einem VLAN in ein anderes VLAN. Dafür brauchst du einen Router der mit VLANs arbeiten kann.

    Für die Fritzbox ist das Gäste-Netz ja prinzipiell nichts anderes als ein VLAN - aber da hört es dann auch auf. Mehr kann sie nicht.

    Wenn du den Firewall-Bereich im Controller bearbeitest, wird es keinerlei Auswirkungen haben weil du ja keine Firewall hast :smiling_face:

    Dankeschön! Ich denke, jetzt hab ich's verstanden.

    Beim Hinweis, dass das Gäste-Netz der Fritzbox im Prinzip ein VLAN ist (das einzige) , hat's Klick gemacht.


    Ich denke, dann lass ich das Vorhaben vorerst sein, die IoT Geräte auszusperren. Der Schritt zu einer USG/UDM ist mir mit meinem Halbwissen doch (noch) etwas zu gewagt.

    Zitat von hollywoot

    Ohne selbst mal was auszuprobieren, wirst du dein Wissen aber nicht sonderlich erhöhen können.

    Das Projekt UniFi ist kein Hexenwerk. :smiling_face:

    Außerdem hast du ja auch noch ein Forum :winking_face:

    Damit hast du absolut recht. 😁


    Das, was ich weiß, hab ich mir auch nur durch lesen und Interesse an der Thematik angeeignet. So wie ich mich kenn, werde ich es irgendwann demnächst mal angehen. Ich warte noch ein wenig ab, bis die Kinderkrankheiten der UDM pro ausgemerzt sind sie evtl. auch etwas günstiger geworden ist. 😏

    • Offizieller Beitrag
    Zitat von erisel

    Damit hast du absolut recht. 😁


    Das, was ich weiß, hab ich mir auch nur durch lesen und Interesse an der Thematik angeeignet. So wie ich mich kenn, werde ich es irgendwann demnächst mal angehen. Ich warte noch ein wenig ab, bis die Kinderkrankheiten der UDM pro ausgemerzt sind sie evtl. auch etwas günstiger geworden ist. 😏

    Moin,


    das mit dem Preis hast Du leider gerade verpasst. :frowning_face:

    • Offizieller Beitrag

    Moin hatten ein Angebot beim EU Ubiquiti Store für keine 200 € für die UDMP, ich hatte es auch zu spät bekommen.

    • Offizieller Beitrag

    Moin, ich meine am Dienstag, war aber schon um 9:00 Uhr alles wieder ausverkauft ... leider

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz