Erstes "echtes" Netzwerk: Endlich netzwerktechnisch verwirklichen...

Es gibt 97 Antworten in diesem Thema, welches 10.416 mal aufgerufen wurde. Der letzte Beitrag () ist von UltrAslan.

    Abend zusammen,


    ich habe jetzt alles zusammen.

    Als Pro Max 24 PoE

    Alles andere blieb gleich: UDM SE; 10GB Aggrigation Switch; U6 Enterprise.


    Jetzt geht es um die Einrichtung.

    Ich weiß nicht ob ich mir hierfür Hilfe holen soll oder ob man dies via Forum und YouTube selbst machen kann. Insbesondere VLANs, VPN und Firewall Regeln. Was ist eure Einschätzung?

    Für's Selbermachen spricht, dass Du Dein eigenes Netzwerk im Zweifel viel besser verstehst, als wenn Du es machen lässt (und hinterher stolz sein kannst).

    Dagegen spricht, dass man mit zu wenig Ahnung schnell Konfigurationsfehler macht, die Verbindungen kaputt machen oder Sicherheitslöcher öffnen.

    Kommt also sehr drauf an, wie kritisch die ganze Struktur für Dich ist und ob ggf. eine Frau/Familie Terror macht, wenn es häufiger Verbindungsabbrüche beim Telefonieren oder Streamingkonsum gibt. :winking_face:

    Da ich erst die VLANs sauber aufgesetzt haben möchte, bevor ich alle IoT Geräte einbinde und auch ein "echtes" (KNX) Netzwerk dran hängt, wäre es mich schon wichtig, das alles korrekt aufgesetzt ist. Alles weitere würde ich machen und lernen (wollen)... daher spricht aktuell alles für ein erstes Setup durch einen Profi / jemanden der sich mit der Materie auskennt.

    Ich habe beschlossen, alles selbst einzurichten musste aber sofort mein der Inbetriebnahme passen.


    Nochmal in Kürze das Setup:

    UDM Pro SE

    via DAC Kabel

    10 GB Aggregation Switch

    via 2 DAC Kabel

    Pro MAX 24 (hier ist alles angeschlossen, inkl. dem AP U6 Enterprise)



    Ich hatte kein Internet (Routerwechsel) was aber mit einem Anruf bei der Deutschen Glasfaser behoben wurde. Daher habe ich (dumm von mir) den Setup Wizard abgebrochen und auch Offline konfigurieren gedrückt (in der Unifi Android App). Zu dem Zeitpunkt hatte die App die UDM Pro SE aber gefunden.


    Nachdem das Internet nun kam, können aber die Geräte nicht gefunden werden.

    Was mache ich falsch? Wie komme ich in die Config?

    Die App lässt Du am besten mal weg.

    Schließe einen Rechner an den Switch der UDM SE an, dann wird er eine IP-Adresse aus dem Netz 192.168.1.0/24 bekommen, sofern noch nicht in den Unifi-Geräten umkonfiguriert wurde.


    Rufe die Adresse 192.168.1.1 auf, dann kommst Du in den Einrichtungsassistenten.

    Zitat von UltrAslan

    daher spricht aktuell alles für ein erstes Setup durch einen Profi / jemanden der sich mit der Materie auskennt.

    Wenn du zuviel Geld hast.


    Mein Rat: stellt dir die die UDM auf den Schreibtisch, hönge die WAN-Seitig an dein vorhandene Netz, damit die ins Internet kommt und LAN-seitig dein PC/Notebook dran und fange an das Teil zu verstehen, eben mit der Dokumentation, YT-Videos usw.

    Aber vor allen, mache dir erste mal einen ordentlich Plan, wie dein Netzwerk konfiguriert werden soll, welche VLAN du haben willst und welche von dene mit welchen anderen oder dem Internet kommunizieren dürfen / nicht dürfen.
    ( das würde ein Profi auch als erstes mal machen und am Ende auch dokumentieren )

    Tomcat: Habe mich auf dazu entschlossen es selbst anzugehen. Ich habe 5-6 Videos auf YT die mir helfen konnten und ansonsten würde ich hier im Forum dokumentieren was ich machen werden.


    Aber erstmal von vorne:

    Zuerst möchte ich meine Begeisterung kundtun. Alleine die Hardware (danke für den Support bei der Auswahl) macht mich glücklich.

    Und auch im unkonfigurierten Zustand sind das Dashboard und die Möglichkeiten Klasse.


    Bevor ich ins Detail gehe, habe ich folgende Fragen:


    VLAN

    1.) VLAN für das Netzwerk

    In einem Video hatte ich gesehen, das auch das Netzwerk an sich ein VLAN bekommen sollte und die Geräte eine statische IP hatten.

    Macht das Sinn?


    2.) "Format" der IP Adressen

    Gibt es Nachteile wenn ich im Format 192.168.1.1/24 bleibe oder sollte es im Format 10.69.1.1/24 sein?


    VLAN Anzahl

    1. Netzwerk VLAN (Siehe Frage 1)

    2. Haupt VLAN (PC, Handy, Tablet, TV, NAS, ...)

    3. Gäste WLAN

    4. IoT

    5. Smarthome


    3.) Frage sind weitere VLANs notwendig?


    4.) Macht es Sinn IoT und Smarthome (bei mir ein KNX System via Funk) zu trennen oder sollten beide in einem VLAN sein?


    Firewall Rules

    5.) Welche "sinnvollen" Regeln gibt es, außer die Kommunikation zwischen den einzelnen VLANs zu unterbinden?


    6.) Sollte, sofern ich (Siehe Frage 4) IoT und Smarthome trenne, die Kommunkation erlaubt sein?

    So das ich über mein Smarthome z.B. meine Hue Leuchten (IoT) steuern kann.


    DNS Server

    7.) Macht es Sinn DNS Server hinzuzufügen?

    Wenn ja wie viele und welche? Cloudfare?Google?


    AdBlocker

    8.) Die Einrichtung scheint sehr einfach und schnell. Gibt es hier etwas zu beachten?


    VPN Smarthome

    9.) Mein Smarthome ist an einem Netzwerk Port am Server verbunden. Da ich das Smarthome von außen erreichen möchte, ist die Frage ob hier (nur für diesen Port) eine VPN Verbindung notwendig ist.


    IPV4/IPV6

    10.) Auch hier weiß ich nicht ob und was ich beachten muss.



    Danke und morgen allen einen schönen Feiertag!

    Sind ja direkt 10 Fragen auch einmal, ich versuchs mal in Kurzfassung:


    1. Du meiste das Default oder Managementnetz oder LAN oder wie Unifi das heute auch immer nennt, das hat per Default die VLAN-ID 1 und die kann man nicht ändern, soll man auch nicht.


    2. Welches IP-Netz du nimmst, kannst du selber entscheiden, fürs Private Netz sollte das auf jeden Fall aus dem dafür vorgesehen IP-Bereichen:

    10.0.0.0 bis 10.255.255.255

    172.16.0.0 bis 172.31.255.255

    192.168.0.0 bis 192.168.255.255


    3. VLAN, welche du anlegst hängt von deinen persönlichen Vorlieben ab, weitere kannst später immer noch erstellen

    Mit den 5 bist du schon gut versorgt fürs erste


    4. gute Frage, ich habs bei mir getrennt, beim Bekannten haben wir es zusammen gelegt, da viele IoT-Geräte mit dem Smarthomenetz kommunizieren müssen, da machte die Trennung keinen Sinn mehr ( auch KNX-Netz bei ihn mit KNX-IP-Routern )


    5. kann man keine pauschale Vorgaben machen, hängt davon ab, was in deinem Netz los ist, welche Geräte, wer mit wem kommunizieren soll/darf/nicht darf.

    Am besten mache dir eine Kommunikationsmatrix als Tabelle ( z.b. excel, notfalls Papier )


    6.klar, wenn Smarthome auf HUE zugreifen soll, musst du das erlauben


    7. eigenen DNS = macht keinen Sinn

    weitere DNS-Server als Ziele eintragen: kann Sinn machen, ist Geschmackssache


    8. Adblocker auf Unifi: kann ich nichts zu sagen

    Ich nutze selber AdGuardHome, der bei mir auf meiner Firewall läufft mit einem UnBound als Upstream-DNS-Server

    Die Kombi ist genial gut, weil damit auch problemlos alle lokalen Hostnamen aufgelöst werden


    9. VPN ist aus Sciherheitsgründen immer gegenüber einen reinen Portfreischaltung vorzuziehen

    Portfreischaltung ist wie "Haustüre 5-fach verriegelt, aber Kellertüre offen stehen lassen" - kurz gesagt eine Einladung für Hacker


    10. IPv6 ist bei Unifi derzeit noch ein Trauerspiel, wenn nicht unbedingt benötigt, lasse es sein.


    Hier noch ein Beispiel für eine Kommunikationsmatrix aus meinen Netz, die ist aber nicht mehr ganz aktuell

    Ja sorry, sind im Moment viele Fragen. Will mir endlich mal die Zeit nehmen und alles zum Laufen bringen.


    Zu 1.)

    Gemeint war das Default Netzwerk.


    Es ging dabei nicht um eine neue / andere VLAN ID, sondern neue IP Adressen für alle Geräte des Netzwerkes (UDM Pro SE, Switches und AP).

    So wurde die UDM Pro umbenannt (von Default auf einen individuellen Namen und die IP Adresse wurde von 192.168.1.1. umgeändert).

    Auch an den Switches und dem AP wurde von DHCP auf Statische IP gewechselt.


    Zu 2.)

    Genau das meinte ich. Im Video wurde mit der 10.XXXX gearbeitet.

    Ich würde aber tatsächlich bei 192.XXXX bleiben.

    Wollte nur sicherstellen das dies keine Nachteile hat.


    Zu 3.)

    Denke auch dass das reicht, wollte sichergehen das ich nichts übersehe.


    Zu 4.)

    Fasse beides zusammen, da das Smarthome „nur“ ein Port ist und es Sinn macht, dies mit den IoT Geräten in einem VLAN zu haben.


    Zu 5.)

    Starte erstmal damit, dass ich alle VLANs voneinander trenne. Was anderes würde mir nicht einfallen.

    Jedes VLAN hat ja auch (sofern WLAN erforderlich ist), sein eigenes WLAN Netzwerk. Dieses würde ich auf nicht sichtbar stellen, damit ich nicht immer 4-5 WLAN Netzwerke sehe sondern nur das Haupt WLAN und Gäste Netzwerk.


    Was ich auch nicht ganz verstehe:

    Angenommen mein AppleTV (im Haupt Netzwerk), soll auch IOT Geräte steuern. Wäre dann die Config: Hauptnetzwerk darf mit IOT kommunizieren aber IOT nicht mit dem Hauptnetzwerk?


    Zu 6.)

    Siehe 4


    Zu 7.)

    Kein eigener DNS Server, sondern die Einstellung vom DNS Server (Auto è spezifische Adresse (im Video wurde 1.1.1.3 und 1.0.0.3 genutzt).


    Zu 8.)

    Würde den einschalten und erstmal nutzen.

    Bis dann irgendwann Server / NAS aktiv sind, mit Spielereien wie PihIle, Adguard, Crowdsec, …


    Zu 9.)

    Genau, will auch den externen Zugriff von gering wie möglich haben. Daher die Frage VPN via Wireguard und dann nur für den Port, an dem das KNX System hängt?


    Zu 10.)

    Alles klar. Dann muss ich vorerst nicht ui IPV6 machen.




    Vielen Dank für die Hilfe!

    Moin,


    zu 1: was du nimmst ist Ansichtssache.

    Im Job würde ich bei allen Netzwerkgeräten immer feste IP-Adressen am Gerät eintragen

    Zuhause habe ich auch für die AP's und Switche DHCP-Reservation.


    Nutze das Netz auch nur für die Netzwerkgeräte wie Switche, AP, Cloudkey usw, da haben Clients nichts drin verloren.


    IP-Adresse kannst du bedenkenlos ändern, aber mache das wenn direkt als erstes, Unifi war da früher sehr zickig mit.


    zu 2: solange du "private" IP-Adressebereiche nimmst, ist es egal welche du nimmst.

    Ich nutze zuhause z.b. 10.0.x.x Pools, würde ich heute nicht mehr machen, weil ich vom Firmennotebook bei aktiven VPN nicht mehr auf meine Geräte zuhause zugreifen kann ( Drucker, NAS ), da unser Firmennetz auch 10.x.x.x ist und Verbidnungen so in den VPN-Tunnel gehen.


    zu 5:

    Unsichtbare WLAN-SSID kannst dir schenken, das ist NULL-Sicherheitsgewinn und die Geräte gehen sowie in das Netz, was die schon kennen.


    Und ja, das AppleTV muss dann mit dem IoT Netz reden können und mit dem Hauptnetz braucht es nicht reden können


    zu 7: welche DNS du nutzt ist Geschmackssache, ich bevorzuge Cloudflare und Quad9 ( 1.1.1.1 / 9.9.9.9 bzw deren TLS-Adressen ), da ich aber Adguard+Unbound nutzen, geht der eh direkt an die ROOT-DNS-Server

    Ich würde nen Apple TV von Haus aus ins IOT Netz hängen, hab ich auch bei meinen beiden so gemacht. Klappt wunderbar, iphone, ipad,… hängt in einem anderen Vlan, macht nix

    Kein guter Tag. Nicht das geschafft, was ich schaffen wollte.


    Noch schlimmer: Komme in meinen Unifi Account aber nicht mehr auf die UDM Pro SE ==> PW vergessen :frowning_face:

    War heute quasi heute das Sahnehäubchen. Konnte nicht sehen wo ich dieses zurücksetzen kann. Jemand eine idee?



    Ich muss schritt für Schritt alles abarbeiten daher bleibe ich bei Frage 1:


    Für mich ist zuerst wichtig ob ich ein Default VLAN (VLAN 0) mit allen Geräten haben sollte und ob ich denen statische IPs geben sollte.

    Muss ich dabei auf etwas aufpassen?



    Zitat von anton

    Ich würde nen Apple TV von Haus aus ins IOT Netz hängen, hab ich auch bei meinen beiden so gemacht. Klappt wunderbar, iphone, ipad,… hängt in einem anderen Vlan, macht nix

    Anton ich glaube ich habe dich nicht ganz verstanden. Hängt dein ATV in einem anderen VLAN oder im IOT VLAN?

    Ich möchte es eigentlich nicht im IOT VLAN haben aber es soll dennoch das IOT VLAN steuern können.


    Haupt VLAN: PC, Laptop, Tablet, Handy, TV, ATV, NAS, Server, ...

    Gäste: Nur als Gäste WLAN gedacht

    IOT: Smarthome, Hue, alle IOT Geräte, ...

    Zitat von UltrAslan

    Ich möchte es eigentlich nicht im IOT VLAN haben

    Wieso? Dann musst du die Firewall entsprechend so machen, dass die IOT Geräte mit dem anderen Vlan (wo der Apple TV ist) reden können. Sicherheitstechnisch kein Vorteil. Abgesehen davon dass die halben IOT Dinger damit wegen mehrerer Vlans ihre Problemchen haben werden.


    Hast du den Apple TV hingegen im IOT Vlan, muss nur der „raus telefonieren“ können. Und nem Apple TV vertraue ich 100x mehr als 50 unterschiedliche IOT Dinger


    Zitat von UltrAslan

    Hängt dein ATV in einem anderen VLAN oder im IOT VLAN?

    Wie oben schon geschrieben, die Apple TV (hab mehrere) sind alle im IOT Vlan(per LAN), und das sind die einzigen Geräte die in andere Vlans rein dürfen (zwecks Airplay,…). Klappt wunderbar

    Jetzt habe ich es verstanden. Mir war nicht bewusst, das man ausnahmen für gewisse Geräte definieren kann.

    Muss mal schauen wie das geht.


    Würde mit der Logik auch den TV ins IOT VLAN aufnehmen und nicht ins Haupt VLAN.

    Das mit den Ausnahmen geht am besten indem du die Geräte für die du eine Ausnahme definieren willst (in der Firewall) einfach zu einer Gruppe zusammenfügst. Das macht auch dann Sinn, wenn du zb aktuell nur einen Apple TV hast. Dann machst du mal eine Gruppe mit nur einem Apple TV und definierst für die Gruppe die Regeln, kommt mal ein zweiter dazu, brauchst du den nur der Gruppe hinzufügen und es werden auch für den alle Regeln übernommen


    Das geht unter Profiles - IP Groups. Zb so wie am Bild (die Apple TV´s haben immer die selbe IP Adresse bei mir)


    Bei den Firewall Regeln,….. kannst du dann die Gruppen nehmen.


    Ich hab auch Gruppen für bestimmte Ports (wie zb den lokalen Pi Hole oder die Zeit Server) definiert, und die dann für alle Vlans entsprechend einfach freigegeben. Kommt dann zb ein zusätzlicher DNS,… dazu, brauch ich den nur in der IP Gruppe hinzufügen


    Auch hab ich da Gruppen für „trusted Vlans“ bzw „untrusted vlans“ , und da die jeweiligen Vlans in den Gruppen (untrusted ist zb IOT und Gäste, trusted ist server, clients, management,…), und darüber zb Firewall Regeln gemacht.



    Moin,


    ich habe im Büro 10.156.xxx.xxx und zu Hause 10.128.xxx.xxx - keinerlei Probleme beim Zugriff auf die jeweiligen Geräte auf der anderen Seite. Auch nicht bei VPN-Verbindungen zu anderen Netzen.

    Diverser Netzwerkkram halt. :upside_down_face:

    Zitat von Dreamer

    Moin,


    ich habe im Büro 10.156.xxx.xxx und zu Hause 10.128.xxx.xxx - keinerlei Probleme beim Zugriff auf die jeweiligen Geräte auf der anderen Seite. Auch nicht bei VPN-Verbindungen zu anderen Netzen.

    Ich würde mal sagen das kommt auf die Größe der Firma und der Menge an dort existierenden IP-Adressbereiche an, dementsprechend finde ich den Hinweis hier gut. War bei mir ebenfalls so, mein Homeoffice VLAN war aus dem 10er Bereich, und mein Firmenlaptop konnte auf einmal keine Updates mehr fahren. Mein Arbeitgeber ist ein großer Konzern, und unsere Rechner sind dementsprechend gemastert und für die Mitarbeiter was die Einstellmöglichkeiten angeht gesperrt. Hab das Homeoffice VLAN dann auf 192.168.178.x gestellt, und alles läuft wieder wie gewünscht.

    FTTH 500/100 (Telekom) | UniFi Cloud Gateway Ultra + UniFi 24er Switch w/o PoE + UniFi 8er Switch + 2x UniFi 5er Switch (Flex Mini) + 2x UniFi AP AC Pro | Phone: Gigaset S850A GO + 1x CL660HX | NAS: Synology DS215j mit 2x 4TB WD Red

    Zitat von Dreamer

    ich habe im Büro 10.156.xxx.xxx und zu Hause 10.128.xxx.xxx - keinerlei Probleme beim Zugriff auf die jeweiligen Geräte auf der anderen Seite. Auch nicht bei VPN-Verbindungen zu anderen Netzen.

    Unser Firmennetz ist aber nun mal was größer.

    Und alles was 10.x.x.x ist, geht ins VPN