Neue Netzwerkinstallation: Hilfe für Auswahl der passenden Hardware gesucht

Hallo zusammen,

ich bin neu dabei und habe Grundkenntnisse was Netzwerktechnik angeht, bin aber von der Vielfalt der Möglichkeiten etwas erschlagen. Klar ist nach längerer Recherche, dass ich mein Netzwerk auf Unifi umstellen möchte :-). Für die konkrete Umsetzung bin ich aber auf Hilfe angewiesen und bin sehr froh, auf dieses Forum gestoßen zu sein. Es geht um folgendes Projekt:

Wir haben ein Einfamilienhaus renoviert und in die meisten Zimmer auch LAN Kabel gezogen (insgesamt 18 Leitungen). Die Kabel habe ich nun (endlich!) alle auf einem Patch Panel aufgelegt und die Netzwerkdosen installiert, sowie alle Leitungen durchgemessen. Momentan gehen die wichtigsten drei Ports vom Patch-Panel an einen alten Netgear 10/100 Switch, den ich noch hatte, und von dort dann an eine Fritzbox, die als WLAN-Router fungiert.

Mir geht es bei dem ganzen Projekt um folgende Ziele:

- gute und stabile WLAN Abdeckung

- übersichtliche, beherrschbare und wartungsarme Überwachung / Aufzeichnung / Einstellbarkeit des Netzwerkzustands und Verkehrs (VLAN für IoT Geräte, welche teilweise per WLAN bzw. Kabel angeschlossen sind)

- vor allem eine deutliche Steigerung der Sicherheit des Netzwerks nach außen hin (deswegen bin ich überhaupt erst auf Unifi gekommen)

- Möglichkeit zentral das Netzwerk als VPN Client für eine Verbindung zu einem kommerziellen VPN-Anbieter wie NordVPN herzustellen (ich glaube dafür ist OpenVPN nötig...)

Nach den ersten Recherchen, wäre mein Plan jetzt folgender (von Telefonanschluss bis zum Patchpanel)

1. Vorhandene Fritzbox als reines Modem verwenden (Bridge-Mode, oder?)
2. Entweder Dream Machine Pro oder Security Gateway (normal oder Pro)
3. 24er Switch (wahrscheinlich ohne PoE)
4. Patchpanel für Kabel und ein oder zwei Kabel per PoE-Adapter auf WLAN Access Points im Flur bzw. Wohnzimmer
5. Zusätzlich NAS an Switch hängen (um auf das NAS von außen zugreifen zu können, würde ich dann eine VPN Verbindung zu meinem Netzwerk aufbauen können müssen)

So, und jetzt kommt Ihr ins Spiel :-).

- funktioniert das grundsätzlich so, wie ich mir das vorstelle?

- Dream Machine oder Security Gateway? Wenn ich es richtig verstanden habe, brauche ich bei Verwendung des Security Gateway aber noch einen zusätzlichen Rechner / KeyGen um den Netzwerkverkehr aufzuzeichnen; das fände ich eher umständlich; ich habe aber vielleicht auch noch nicht so ganz grundsätzlich verstanden welches Gerät wann eingesetzt wird / werden sollte...

- kann ich bei der Dream Machine denn OpenVPN Verbindungen einrichten? Was ich bisher gelesen habe, war nicht ganz klar...

- was wäre die beste Einbindung für das NAS, so dass es nach außen sicher ist, aber man dennoch drauf zugreifen kann

- welchen AccessPoint könnt Ihr empfehlen, was sind Eure Erfahrungen?

- Funktioniert das mit einem normalen Switch und dem einzelnen PoE Adapter, so wie ich mir das vorstelle?

- Wie sollte man die Fritzbox einstellen; gibt es da irgendwas Wichtiges zu beachten?

- Tipps / Ratschläge / Hinweise zu Sachen, an die ich nicht gedacht habe, jederzeit gerne!

Bin gespannt auf Eure Ideen / Antworten!

Viele Grüße und schönes Wochenende allerseits,

Sebastian

Liebe Leute, ganz herzlichen Dank schon mal für die Antworten und den vielen Input - so habe ich mir das vorgestellt! Das werde ich jetzt alles erst mal verdauen und versuchen alles so weit nachzuvollziehen. Ich komme dann wieder mit Nachfragen

.

Vorab aber noch kurz:

Bin mir bewusst, dass das alles nicht ohne den Willen geht, sich selbst einzuarbeiten und Wissen anzueignen. Dafür bin ich definitiv bereit und freu mich drauf! Allerdings würde mich Eure Einschätzung dazu interessieren, wieviel MUSS und wieviel KANN bei der Administration eines Unifi-Netzwerks nötig ist. Oder anders: Wie gut ist der Schutz und die Performance mit den "Grundeinstellungen" nach erfolgreichem Setup?

Viele Grüße, Sebastian

Hallo zusammen,

erstmal Entschuldigung für die seeeehr späte Rückmeldung meinerseits. Die letzten beiden Jahre waren leider etwas wahnsinnig und viele Projekte sind bei mir liegengeblieben. Jetzt sieht es zeitlich besser aus und ich bin fest entschlossen das Netzwerk-Projekt jetzt durchzuziehen 😊 !

Ich habe mich zunächst wieder in die ganze Materie eingearbeitet und Eure Antworten studiert - nochmal ganz herzlichen Dank für den super Input, der hat mich sehr viel weitergebracht!

Habe meinen Plan entsprechend Eurer Hinweise angepasst und er würde momentan so aussehen (von Telefonanschluss bis zum Patchpanel; siehe auch Grafik)

1. vorhandene Fritzbox als reines Modem verwenden
2. Dream Machine SE
   1. Verbindung zu Switch via SFP+
   2. ein paar WLAN-Access-Points über die PoE-Anschlüsse der UDM-SE
3. 24er Switch Pro 24 oder Pro Max 24 (ohne PoE; finanziell grade einfach nicht drin und die 8 Ports mit PoE der Dream Machine sollten für meine Wünsche mehr als genug sein…)
4. Patchpanel für Kabel
5. zusätzlich Synology-NAS an Switch hängen

Da es jetzt alles konkreter geworden ist, hätte ich noch ein paar Nachfragen zu Euren Hinweisen / Ratschlägen, damit ich es möglichst gut und komplett richtig verstehe, bevor ich die Sachen anschaffe und einen einigermaßen „fertigen“ Plan habe, den ich dann direkt umsetzen kann.

Internetanschluss/Exposed Host Ich habe DSL mit Fritzbox über DualStack.

• von Euch wurde Exposed Host empfohlen. Welches Gerät genau soll als Exposed Host freigeschaltet werden? Die Fritzbox oder die Dream Machine? Bzw. macht das einen Unterschied?
• Warum eigentlich genau diese Einstellung? Mein Verständnis würde jetzt sagen, dass die Dream Machine ja eh als Firewall für das Netzwerk dient und deswegen die Fritzbox das nicht mehr übernehmen muss. Zudem könnte man ohne den Exposed Host die Dream Machine (und damit das dahinterliegende Netzwerk / NAS etc.) gar nicht mehr von außen erreichen bzw. jeder einzelne Port müsste wieder manuell in der Fritzbox freigegeben werden, richtig?
• Wäre es aber evtl. sicherer, wenn man nicht die Fritzbox als Exposed Host, sondern die Dream Machine als Exposed Host schaltet? Das wäre fürs Netzwerk hinter der Dream Machine wahrscheinlich egal, aber andere Geräte, die direkt an der Fritzbox hängen (z.B. Telefon) wären weiterhin durch die Fritzbox geschützt, oder?
• muss man neben der Exposed Host Einstellung (von Fritzbox oder Dream Machine) dann noch was Zusätzliches machen (Einstellungen bei der Fritzbox? Bridge-Modus..? Welche Dienste abschalten?..) – will hier nur sichergehen, nichts falsch zu machen, weil Hauptziel ist ja MEHR Sicherheit für das Netzwerk und nicht neue Angriffsfläche…

Zugriff auf Netzwerk / VPN / NAS-Server (Synology) von außen?

• wo richte ich am besten einen privaten VPN-Server ein, damit ich von außen ins Netzwerk komme? Geht das auf der Dream Machine oder besser auf dem NAS-Server? Fritzbox scheidet ja aus, weil es „vor“ der Sicherung durch die Dream Machine ist, richtig?
• Welches VPN-Protokoll empfehlt Ihr? OpenVPN, L2TP / IPsec, PPTP ?
• Ganz grundsätzlich: Ich müsste ja eine feste IP4-Adresse haben; falls das nicht geht, muss es eh über einen DDNS laufen, richtig? Welchen Anbieter könnt Ihr da empfehlen?
• Brauche ich mit einem VPN überhaupt noch Portweiterleitungen (z.B. für NAS)? Wenn einmal ein VPN-Server auf der Dream Machine eingerichtet ist, kann ich mich doch dann auf diesen von außen einloggen (z.B. mit Wireguard) als wäre ich ganz normal im Heimnetzwerk und kann dann entsprechend auch direkt auf den NAS zugreifen über dessen Heimnetzwerk-IP-Adresse, oder?

Das wäre zunächst mal alles von mir. Ich weiß, dass es noch sehr viele Fragen sind und mir da noch etwas Grundlagenwissen fehlt. Ich hoffe Ihr könnt/wollt mir trotzdem nochmal unter die Arme greifen.

Besten Dank und viele Grüße, Sebastian