Problem bei Netzwerksegmentierung

Es gibt 4 Antworten in diesem Thema, welches 1.332 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Hallo zusammen,


    ich helfe aktuell einem kleinen Wohnprojekt beim etablieren eines sinnvoll strukturierten Netzwerkes. Die Idee ist, dass sich vier "Parteien" den Internetzugang und einige Geräte (NAS etc.) teilen, aber jeweils voneinander abgeschottete Subnetze nutzen.

    Die Geräte-Grundlage bilden zur Zeit eine UDM Pro und ein USW-16-POE. Es gibt leider lediglich zwei Patchports für jede Wohneinheit, daher arbeiten wir noch mit Unifi Switch Flex Minis in der Unterverteilung.


    Ich habe nun für jede Partei ein eigenes Netzwerk angelegt (vollwertig, kein VLAN-only). Mein Problem bzw. meine Frage mache ich an einem Beispiel deutlich:

    Ich lege für die Ports 1&2 am USW-16 das Profil "Wohnung Müller" fest, denn was auf beiden Netzwerknschlüssen in der Wohnung Müller "rauskommen" soll, ist ja lediglich dieses Subnetz. Kabelgebunden funktioniert dies auch einwandfrei, ich erhalte hinter dem Switch Flex Mini IP-Adressen aus dem Subnetz Müller. Am zweiten Netzwerkanschluss hängt ein Unifi 6 Lite AP - und über WLAN bekomme ich keine Adresse, es sei denn ich konfiguriere das Profil auf dem entsprechenden Port auf dem USW-16-POE auf "all".


    Ich möchte die gesamte Struktur möglichst manipulationssicher gestalten, daher hätte ich ein ungutes Gefühl, auf allen WLAN-AP bezogenen Netzwerkport keine Profileinschränkung setzen zu können.

    Vielleicht kennt jemand ja dieses Phänomen und kann mir einen Denkanstoß geben - möglicherweise habe ich auch nur ein Verständnisproblem oder muss mein Netzwerkdesign überdenken.


    Danke für Eure Tipps!

    USW-16-POE

    Sorry, hätte ich gleich dazu schreiben können: Ih habe das WLAN "Wohnung Müller" angelegt und als Basis Netzwerk dafür das VLAN "Wohnung Müller".

    Derzeit bekommt der AP eine IP-Adresse über DHCP, eine statische Konfiguration hatte ich auch schon ausprobiert. Es wäre mir egal, ob der AP mit seiner eigenen IP-Adresse im Hauptnetz (wie UDM Pro, 16-Port-Switch und die gemeinsamen Geräte) hängt, oder eine Adresse aus dem Subnetz von "Wohnung Müller" bekommt.


    Ich glaube, wie der AP netzwerkseitig konfiguriert ist, ist unerheblich für die über WLAN verbundenen Clients, oder?

    Ich glaube, ich habe die Antwort gerade selbst entdeckt - toll, nach einem halben Tag knobeln und dann dem Eintrag hier im Forum. :grinning_squinting_face:


    Man kann für die Switches eigene Portprofile definieren und bei diesen dann das Hauptnetz plus ein oder mehrere Subnetze einschließen. Das ist im Prinzip genau das, was ich gesucht habe.


    Muss nun noch ein wenig rumexperimentieren...

    Eine weitere Erkenntnis: Wenn ich das custom port profile auf den Anschluss für den Switch Flex Mini anwende, bekomme ich hinter diesem eine IP-Adresse aus dem Haupnetz, nicht wie gewünscht aus dem Subnetz.

    Das custom profile darf also nur für die WLAN-APs gesetzt werden. Nicht besonders intuitiv, aber immerhin ist nun klar, wie man zum Ziel kommt.