großes bestehendes UniFi-Netzwerk mit "leichten" Problemen

Es gibt 7 Antworten in diesem Thema, welches 7.396 mal aufgerufen wurde. Der letzte Beitrag () ist von Applehorsti.

    Hey @ all.

    Ich freue mich schon auf dieses Forum. Nicht zu groß und viel Kompetenz :grinning_face_with_smiling_eyes: Hab schon ein bisschen gestöbert und ein paar Kleinigkeiten konnte ich sogar schon selber herausfinden :smiling_face:


    Es geht um Folgendes.

    Ich habe ein großes Grundstück und Wohnhaus. Wohnfläche ca. 280qm² und Grundstück etwa 5500qm².

    Jetzt war natürlich der Anspruch alles ordentlich zu vernetzen.

    Im Wohnhaus war in jedem Raum ein Telefonkabel. Das hieß natürlich für mich bei der Renovierung ein haufen an Netzwerkdosen zu setzen. Jeder Raum ist nun mit 2 Cat7 Kabeln bestückt und erstmal gerüstet.


    WLAN darf natürlich auch nicht fehlen.

    Somit habe ich im Haus 5 Unifi AP AC Lite verbaut. Damit ist vom Obergeschoss bis in den Keller alles abgedeckt.

    Extern befinden sich 4 Unifi AP AC Mesh Outdoor AP's.

    Ich bin sehr zufrieden das ich mich für die Unifi Produkte entschieden habe. Alles läuft wie es soll und bietet eine gute Leistung. Mit einem guten Endgerät sind echt gute Übertragungsraten möglich.

    Einen Cloud Key habe ich fürs Management natürlich auch gesetzt. Alles läuft lückenlos.

    Zum Abschluss habe ich einen Kathrein Sat IP Receiver eingebaut. Dieser speist nun für 4 mögliche Endgeräte TV Signale in das Netzwerk ein. Das Problem war nämlich das ich im Gästezimmer keinen TV Anschluss hatte und kein Kabel durch das ganze Haus in den Keller ziehen wollte.

    Funktioniert wunderbar. Nun könnte ich überall im Garten den Sonntags Tatort genießen :grinning_face_with_smiling_eyes:

    Ich bin mit SIcherheit kein PC/Netzwerk Experte. Aber beschäftige mich schon seid 15 Jahren mit den Themen und habe die Entwicklung mitgemacht, daher würde ich behaupten das ich zumindest kein Laie mehr bin und man zumindest ein bisschen mit mir Arbeiten kann :grinning_face_with_smiling_eyes:


    Leider habe ich doch noch ein kleines Problem.


    Das erste ist das ich mein Netzwerk unsichtbar gemacht habe und die Mac Filterung aktiviert habe.

    Hier habe ich wirklich alle Geräte eingetragen und dies hat auch gut funktioniert.

    Vom Internet Radio bis hin zum letzten Fernseher sind alle eingetragen und funktionieren.

    Jetzt kommt jedoch das Problem das ich mein Privat Handy nicht eingeloggt kriege.

    Sobald ich die Filterung Aktiviere empfängt mein One Plus 2 keine Daten. Es loggt sich nicht ein.

    Selbst mein 6 Jahre altes Tablet schafft es. Ich habe überhaupt keine Idee warum nur mein Handy hier ein Problem hat.


    Das nächste ist das Zertifikat . Ich muss mich immer über unsicher einloggen. Ich finde einfach im Netz kein Zertifikat das mir hier abhilfe schaffen kann.

    Ich habe mir natürlich auch die App auf mein Tablet geladen um auch hiervon aus mal gucken zu können was los ist.

    Mein Tablet kommt aber nicht rein. Es wird mir ständig gemeldet :" Problem with TLS occured" Hier habe ich gelesen das ich auch Zertifikate auf meinem Andorid Tablet installieren muss, habe ich aber auch nix gefunden.


    Zuletzt hat mir mal ein Kollege mitgeteilt das mein Netzwerk durch das Unsichtbar machen und selbst über die Mac Filterung überhaupt nicht sicher sei.

    Hierfür müsste ich ganz spezielle Dateien Runterladen und auf mein Geräte setzen. Halte ich für dämlich und nicht ganz einleuchtend.

    Hier wollte ich eigentlich nur einmal hören was ihr zu dem Thema meint. Quatsch? Oder kann man tatsächlich noch etwas für die Sicherheit tun?



    Ich bin schon mal mega auf eure Antworten gespannt :grinning_face_with_smiling_eyes:

    Hallo,
    was dein Problem angeht, ist weder die SSID auf unsichtbar zu stellen noch die Mac Filterung zielführend. Beides ist, wenn es hart auf hart kommt ,nur Spielerei für einen der wirklich ins Netz will.

    Ich hab das anders gelöst:

    Zum einen habe ich mehrere WLAN Netze (internes Netz, IOT Netz für Fernseher, Alexa und Konsorten, und noch mal eins als Work bezeichnet mit dem ich vom Home Office aus arbeite.) Sowohl Work als auch IOT kann in keine anderen Netze rein, da VLAN getrennt.

    Im internen WLAN bzw. im kompletten internen Netz habe ich zur Authentifizierung neben einen Active Directory (Windows 2000 19 essential Server) den NPS Server als Radius Server aufgesetzt in Verbindung mit einer PKI und dem dazugehörigen Zertifikat. Beim Zertifikat gibt es zwei Möglichkeiten, du kannst dir auf dem Windows Server eins erzeugen lassen (dann kommt bei der ersten Anmeldung eben der Hinweis das wäre nicht vertrauenswürdig, was aber nicht stimmt) oder du machst es wie ich, du kaufst dir ein echtes Zertifikat für deine Domain (ca. 300 € für drei Jahre) dann kommt dieser Hinweis nicht. Ich bin den Weg des echten Zertifikates gegangen, da ich noch diverse Web Server etc. laufen lasse und dieses Zertifikat eben überall zum Einsatz kommt. Mit diesem Zertifikat werden alle deine Geräte dann bestückt (Handys Pads, PCs, auch die im LAN) danach wird dein WLAN umgestellt auf WPA2 Enterprise (das müssen aber auch deine Geräte im internen LAN können) die Geräte Authentifizierung sich dann mit deinem Usernamen und Passwort aus der Active Directory (kann man so machen es aber nicht ganz so sicher) oder aber wie ich es gemacht habe, die Geräte Authentifizierung sich gegenüber dem Zertifikat, sodass ich weder Usernamen noch Passwort eingeben muss. Es kommt also kein Gerät welches dieses Zertifikat nicht hat in dein internes Netz herein. Da kann kommen wer will, die „möchtegern Hacker „lache ich schlicht aus wenn ich sehe wie viele Versuche hier passieren und sie immer und immer wieder scheitern. Der von mir vorgeschlagene Weg ist sicherlich etwas komplexer bis es mal läuft, aber danach brauchst du dir um nichts mehr Sorgen zu machen (vergessene Mac Adressen einzutragen, wie dies jetzt meine ID?) Du musst nichts anderes machen als auf deinem neuen Gerät das Zertifikat zu importieren und schon gehts los. Bei mir kommt nicht mal ein LAN-gebundenes Gerät ins Netz ohne dieses Zertifikat.

    Die anderen Geräte wie Fernseher Alexa etc. kommen gar nicht in mein internes LAN da sie es nicht brauchen und ich es vor allen Dingen nicht will. Diese haben geschrieben ein eigenes WLAN welches per VLAN direkt ins Internet geht.


    Zu guter letzt habe ich vor dem Security Gateway 4 noch eine Sophos UTM Firewall, die beide Internetverbindungen Policy basesd routet, die DMZ für meine „öffentlichen Server verwaltet und die Richtung Security Gateway rein gar nichts durchlässt, da dies wirklich der strickte interne Bereich ist für die ich außer einem VPN keinen Zugang benötige.

    Wie gesagt, der vorgeschlagene Weg ist etwas komplexer wenn du aber sicher gehen willst und ich meine wirklich sicher dann geht diesen Weg.

    Hey.

    Vielen Dank schon einmal für deine sehr ausführliche Antwort :smiling_face:

    Ja das scheint mir zu Komplex. Ich möchte ungern noch einmal soviel Geld ausgeben für Zertifikate.

    Wir sind noch am Bauen und da zählt momentan natürlich noch jeder Euro.

    Theoretisch könnte es mir egal sein. Bei mir gibt es im Netzwerk nix spannendes zu entdecken.

    Weder Firmen Daten oder Brisante Fotos/Videos. Denke das könnte keinen interessieren.


    Wahrscheinlich eher Daten die ich über mein Online Banking Behandel.


    Was wäre denn eine Alternative?

    Die Netzwerke zu Trennen?

    Hier greife ich aber auch im Wohnzimmer gerne auf meinen NAS Speicher zu um am WE mal einen Film zu schauen.

    Auf meinem Nas liegen halt die großen Daten und alles was richtig Persönlich ist, sind auf 2 Externen Platten abgelegt die ich nicht am Netz betreibe.

    Das Problem ist leider das mir hier nicht mehr als eine 8.000er Leitung ansteht. D.h. das hier kein Interesse an einer schnellen Verbindung liegt, da wir mitm Handy bzw LTE auf 50Mbits kommen.

    Ford Nox war jetzt nicht mein Ziel aber zumindest mit einfachen mitteln die Maximale Sicherheit rauszuholen.


    Hast du vill zu den anderen Problemen noch eine Idee?


    Aber nochmals vielen Dank für deinen fundierten und ausgiebigen Beitrag :smiling_face:

    Was für ein NAS hast Du denn ? ggfl. kannst Du auf dem einen Radiusserver betreiben. Mein Synology kann das...Damit bist Du schon recht Sicher, auch mit dem selbsterstellten Zertifikat das ausgestellt wird.


    Ich würde die Netze auf jeden Fall trennen, d.h. alles was IOT ist (Fernseher, etc) in ein eigens VLAN rein. Ich mag es nicht wenn die Dinger in meinem Netzt rumschnüffeln, und das tun Sie alle....


    Du kannst ja nach wie vor aus Deinem internen Netz Regeln erstellen die Dir den Zugriff auf Geräte im IOT zulassen, aber umgekehrt nicht in das private Netz reinkommen.


    Du siehst, alles ist möglich, nichts ist ein Muss :smiling_face:

    Hey Applehorsti,


    schön geschrieben. Der Windows Server ist bestimmt 2019 und nicht „2000 19“, oder?

    Du schreibst von einem NPS-Server: ist das ein Feature von MS?

    Wie hast Du das Thema mit der CA gelöst? Hast da ein Feature im Server nachinstalliert oder ein anderes Produkt verwendet?


    Viele Grüße und einen schönen 4. Advent.


    Hi,

    Natürlich meine ich Windows 2019, aber ich war schon immer meiner Zeit voraus :smiling_face:


    Der NPS (Netzwerkrichtlinien Server) ist eine Server Rolle von Windows 2016 Server oder eben 2019. Ich habe den 2019er Server sowohl als Active Directory als auch als NPS laufen. Des weiteren habe ich dort eine PKI installiert wo auch mein CA Root Zertifikat installiert ist. Das Zusammenspiel dieser Konstellation ist einfach traumhaft, da ich, wie schon oben beschrieben habe einfach das Zertifikat auf dem jeweiligen Endgerät installiere und ohne dieses Zertifikat kommt keiner in mein WLAN rein. Wie AOL schon vor vielen Jahren beworben hatte „du kommst hier net rein" :smiling_face:


    Zeitaufwand maximal 1 Stunde, dann hast du ein sehr sehr sicheres Netz. Betreiben wir dienstlich auch mit 320.000 Mitarbeitern.