Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 97 Antworten in diesem Thema, welches 10.639 mal aufgerufen wurde. Der letzte Beitrag () ist von UltrAslan.
Verwendete IP Subnetze sind immer wieder toll. Bei Wachstum kommt man immer wieder an die Grenzen der ursprünglichen Planung. Da wird mal eine Firma aufgekauft und die nutzen zufällig ein schon verwendetes Subnet und ähnliche Spielchen.
Tomcat habt ihr echt fast 17 Mio IP Adressen ins VPN geschubst?
habt ihr echt fast 17 Mio IP Adressen ins VPN geschubst?
Meines Wissen wird das komplette 10er Netz ins VPN geroutet.
Wir sind ein weltweites Grossunternehmen, was sind da 1 Mio. IP-Adressen ?
So, gefühlt ein stückchen schlauer und weiter:
PW ist mir dann doch eingefallen, sonst hätte ich anscheinend die UDM zurücksetzen müssen.
VLAN 1: Management (hat per default anscheinend keine VLAN Nummer, würde hier aber gerne die 1 vergeben).
DHCP Range:
192.168.1.100 - 192.169.1.199
Vergebe allen Geräten eine statische IP
Die UDM bleibt bei der 192.168.1.1*
Switch 1: 192.168.1.2
Switch 2: 192.168.1.3
AP: 192.169.1.200
Subnet Mask: Bei allen 225.225.225.0
DNS Server:
1.1.1.3
1.0.0.3
*Habe ich es richtig verstanden, das ich einen Domaine Name vergeben kann unter der ich die UDM erreichen kann.
Beispiel: udm.local anstatt 192.168.1.1
VLAN 10: Hauptnetzwerk
192.168.10.0/24
VLAN 20: IOT
192.168.20.0/24
VLAN 30: Gäste WLAN
192.168.30.0/24
Bei allen die ersten 100 für ggf. statische IPs, DHCP Range also wieder 100-199
= Passt das so alles?
Wenn ja, komme ich zu Kapitel 2
Alles anzeigenDas mit den Ausnahmen geht am besten indem du die Geräte für die du eine Ausnahme definieren willst (in der Firewall) einfach zu einer Gruppe zusammenfügst. Das macht auch dann Sinn, wenn du zb aktuell nur einen Apple TV hast. Dann machst du mal eine Gruppe mit nur einem Apple TV und definierst für die Gruppe die Regeln, kommt mal ein zweiter dazu, brauchst du den nur der Gruppe hinzufügen und es werden auch für den alle Regeln übernommen
Das geht unter Profiles - IP Groups. Zb so wie am Bild (die Apple TV´s haben immer die selbe IP Adresse bei mir)
Bei den Firewall Regeln,….. kannst du dann die Gruppen nehmen.
Ich hab auch Gruppen für bestimmte Ports (wie zb den lokalen Pi Hole oder die Zeit Server) definiert, und die dann für alle Vlans entsprechend einfach freigegeben. Kommt dann zb ein zusätzlicher DNS,… dazu, brauch ich den nur in der IP Gruppe hinzufügen
Auch hab ich da Gruppen für „trusted Vlans“ bzw „untrusted vlans“ , und da die jeweiligen Vlans in den Gruppen (untrusted ist zb IOT und Gäste, trusted ist server, clients, management,…), und darüber zb Firewall Regeln gemacht.
Verstanden! Klingt plausibel.
Dumme Frage aber dennoch: Muss ich hierfür den betroffenen Geräten (in meinem Fall TV und ATV) eine statische IP zuordnen, um diese dann in der IP Gruppe anzugeben oder kann ich die bereit zugewiesene IP dafür nutzen?
Verstanden! Klingt plausibel.
Dumme Frage aber dennoch: Muss ich hierfür den betroffenen Geräten (in meinem Fall TV und ATV) eine statische IP zuordnen, um diese dann in der IP Gruppe anzugeben oder kann ich die bereit zugewiesene IP dafür nutzen?
Ich hab per DHCP die adresse „fixiert“. Also sie bekommen immer die selbe, aber vom DHCP. Anders ists blöd wenn man IP Adressen in eine Gruppe aufnimmt
Alles anzeigenVLAN 1: Management (hat per default anscheinend keine VLAN Nummer, würde hier aber gerne die 1 vergeben).
DHCP Range:
192.168.1.100 - 192.169.1.199
Vergebe allen Geräten eine statische IP
........
Subnet Mask: Bei allen 225.225.225.0
*Habe ich es richtig verstanden, das ich einen Domaine Name vergeben kann unter der ich die UDM erreichen kann.
Beispiel: udm.local anstatt 192.168.1.1
= Passt das so alles?
Nein 
VLAN1: lasse es so wie es von Unifi eingerichtet ist
Deine Subnetzmaske stimmt nicht, bei einem /24 Netz ist das 255.255.255.0
Domainnamen kannst du vergeben, es muss aber auch ein DNS-Server im Netz vorhanden sein, das diese Namen dann auflöst, im Regelfall sollte das die UDMPro machen.
Wenn Du den Domain name in den DHCP Optionen meinst, das ist dann das verbindungsspezifische DNS Präfix. Damit erreichst Du nicht die udm (wie fritz.box)
Das wird bei unvollständigen hostname bei DNA Anfragen angehängt.
Also z.B. ping pc1 wird dann in Deinem Beispiel als pc1.udm.local versucht aufzulösen und dann angepingt zu werden.
Wenn ich mich nicht irre würdest Du mit https://unifi.udm.local bei der udm rauskommen.
Ich hab per DHCP die adresse „fixiert“. Also sie bekommen immer die selbe, aber vom DHCP. Anders ists blöd wenn man IP Adressen in eine Gruppe aufnimmt
Wieder was dazugelernt. Wusste nicht dass das geht. Umso besser. Teste ich mal.
Nein
VLAN1: lasse es so wie es von Unifi eingerichtet ist
Deine Subnetzmaske stimmt nicht, bei einem /24 Netz ist das 255.255.255.0
Domainnamen kannst du vergeben, es muss aber auch ein DNS-Server im Netz vorhanden sein, das diese Namen dann auflöst, im Regelfall sollte das die UDMPro machen.
Wieso Nein?
Subnetzmaske hatte ich doch 1:1 die gleiche angegeben?
Würde das VLAN 1 ja auch genau so lassen, nur die VLAN Nummer 1 zuweisen.
Oder übersehe ich da was?
Alles anzeigenWenn Du den Domain name in den DHCP Optionen meinst, das ist dann das verbindungsspezifische DNS Präfix. Damit erreichst Du nicht die udm (wie fritz.box)
Das wird bei unvollständigen hostname bei DNA Anfragen angehängt.
Also z.B. ping pc1 wird dann in Deinem Beispiel als pc1.udm.local versucht aufzulösen und dann angepingt zu werden.
Wenn ich mich nicht irre würdest Du mit https://unifi.udm.local bei der udm rauskommen.
Genau das war mein Ziel (sprich so die UDM zu erreichen). Daher lasse ich es.
Nein, du hattest bei der Subnet maske 225 statt 255 geschrieben. Vielleicht nur ein Tippfehler?
Dein Plam mit den fixen und vom DHCP vergebenen IP-Adressen ist so OK.
Wo der Unterschied sein soll, ob ich einem Gerät selber eine fixe Ip gebe oder über DHCP eine fixe zuordne um dann eine Gruppenbildung zu machen hat sich mir nicht erschlossen.
Ich wollte nochmal etwas zum 10er IP Adressbereich sagen:
Da ja in allen möglich Tutorials (fast) immer auf den 192er IP-Bereich abgestellt wird, stellt der 10er IP-Bereich zumindest für ein paar Script-Kiddies eine weitere Hürde dar.
Nein, du hattest bei der Subnet maske 225 statt 255 geschrieben. Vielleicht nur ein Tippfehler?
Dein Plam mit den fixen und vom DHCP vergebenen IP-Adressen ist so OK.
Wo der Unterschied sein soll, ob ich einem Gerät selber eine fixe Ip gebe oder über DHCP eine fixe zuordne um dann eine Gruppenbildung zu machen hat sich mir nicht erschlossen.
Oh ja! Danke, falsch abgetippt. Gut dass das hier auffällt!
Alles anzeigenIch möchte gerne auch die Logik verstehen:
Per default ist die UDM Pro auf der 192.168.1.1. aber der DPCP Bereich start er bei 192.168.1.6
Sprich neue Geräte kriegen eine IP in diesem Bereich, aber es kann dennoch Geräte geben die im VLAN sind aber eine IP außerhalb der DHCP range haben. Richtig?
Das würde ja in meinem oben beschriebenen Plan ja auch so sein:
Möchte eine Range von 100 bis 199, dadrunter fixe IP Adressen.
Wollte es verstehen, bevor ich das Default Netzwerk entsprechend anpasse.
Außer der Frage oben, hätte ich noch zwei Punkte:
1.) WLAN Netze
Ich möchte nicht 4-5 Netze "sehen", daher hatte ich mich gefreut zu sehen das man auch ein Netzwerk aufsetzen kann und mit unterschiedlichen Passwörtern es den jeweiligen VLANs zuzuordnen.
Was dann aber nicht geht, das Netzwerk VLAN spezifisch konfigurieren. Bestes Beispiel IOT WLAN nur soll nur auf 2,4 funken.
Daher werde ich wohl für jedes ein eigenes anlegen und dann auf unsichtbar stellen (sodass man dannach suchen muss).
2.) FW Rules vs. Traffic Rules
Die Traffic Rules sind ja eine erleichterung bei der Erstellung von FW Rules.
Hat es irgendwelche Nachteile, wenn ich die Traffic Rules verwende?
Alles anzeigen1.) WLAN Netze
Ich möchte nicht 4-5 Netze "sehen", daher hatte ich mich gefreut zu sehen das man auch ein Netzwerk aufsetzen kann und mit unterschiedlichen Passwörtern es den jeweiligen VLANs zuzuordnen.
Was dann aber nicht geht, das Netzwerk VLAN spezifisch konfigurieren. Bestes Beispiel IOT WLAN nur soll nur auf 2,4 funken.
Daher werde ich wohl für jedes ein eigenes anlegen und dann auf unsichtbar stellen (sodass man dannach suchen muss).
2.) FW Rules vs. Traffic Rules
Die Traffic Rules sind ja eine erleichterung bei der Erstellung von FW Rules.
Hat es irgendwelche Nachteile, wenn ich die Traffic Rules verwende?
zu 1:
Verstecker WLAN kann man nicht suchen, da muss man die SSID kennen - aber ehrlich gesagt, pfeif drauf, "versteckt SSIDs" bringen Null Sicherheitvorteil.
Wenn du unterschiedliche WLAN haben willst, muss du die anlegen und entsprechend den VLAN zuordnent, ob die nun 2,4 und/oder 5Ghz nutze, bestimmst du in der Einstellung.
zu 2:
gibt gerade ein anderen Thread dazu, das die ggf. noch nicht gut funktionieren, weil zu neu.
Das einzige was ich noch nicht verstanden habe, wie kann ich ein VLAN wissen, ob eine IP zum VLAN gehört, wenn die IP außerhalb der festgelegten DHCP Range ist?
Die Größe eines Netzwerkes und die darin enthaltenen IP-Adressen werden durch die Subnetzmaske bestimmt (bei IPv4, bei IPv6 ist es die prefix length und alles läuft ziemlich anders ab).
DHCP hat damit gar nichts zu tun und ist lediglich ein Dienst, der in einem Netzwerk benutzt werden kann, aber auch nicht muss. Du kannst Netzwerke auch völlig ohne DHCP-Server betreiben.
Woher weiß das VLAN aber welches Gerät ins VLAN gehört?
Das weiß es nicht und muss es auch gar nicht. Ein VLAN hat keine Ahnung davon, ob es außer ihm noch andere "da draußen gibt".
Kommt es "nur" darauf an, in welchen WLAN ich bin und welchem VLAN dieses Netz zugeordnet ist?
Ja.
Worauf zielt Deine Frage denn eigentlich ab? Die "Intelligenz" sitzt in Netzwerken in den Routern, Switches und APs.
Woher weiß das VLAN aber welches Gerät ins VLAN gehört?
Kabelgebunden:
Die die Kabelgebunden sind, kann ich via Port einem VLAN zuweisen. Ist das die "einzige" VLAN zuweisung?
Kabellos:
Kommt es "nur" darauf an, in welchen WLAN ich bin und welchem VLAN dieses Netz zugeordnet ist?
Kabelgebunden: Aufgrund des VLAN, welches dem Switchport zu geordnet ist, woran das Gerät hängt
Kabellos: Über das WLAN, welches einem VLAN zugewiesen ist.
Worauf zielt Deine Frage denn eigentlich ab? Die "Intelligenz" sitzt in Netzwerken in den Routern, Switches und APs.
Tatsächlich möchte ich es verstehen und mit dem Thema beschäftigen.
Kabelgebunden: Aufgrund des VLAN, welches dem Switchport zu geordnet ist, woran das Gerät hängt
Kabellos: Über das WLAN, welches einem VLAN zugewiesen ist.
Danke!
Somit, geht es zur nächsten und größten Baustelle: Firewall Rules.
zur Zeit sind 64 Mitglieder und 165 Gäste online - Rekord: 129 Benutzer ()
