Moin zusammen,
ich bin neu hier und auch in diesem Thema, habe aber beschlossen, meine Netzwerkkenntnisse zu verbessern. Lasst mich zunächst meine Konfiguration erklären:
Mein Internetanbieter ist Vodafone, und sie stellen eine Kabelverbindung mit 1000 Mbit/s Download und 50 Mbit/s Upload bereit (EURO Docsis 3.1), die vollständig synchronisiert ist (Empfang: 1126,4 Mbit/s, 32 Kanäle; Senden: 52,5 Mbit/s, 5 Kanäle). Ich erhalte sowohl IPv4- als auch IPv6-Adressen mit einer Präfixdelegation von /59. Ich verwende eine AVM Fritzbox 6690 als Kabelmodem.
Ich möchte men Heimnetzwerk professioneller gestalten, also habe ich mich entschieden, UniFi-Geräte zu verwenden. Ich verwende eine Dream Machine SE als meinen Hauptrouter, mit drei U6-IW-Acesspoints. Die Anzahl der LAN-Anschlüsse an der UDM ist ausreichend.
Nun zu den Clients:
Mehrere Mobiltelefone, Tablets, Laptops, einige Fernseher, viele IoT-Geräte für die Smart-Home-Nutzung und ein kleiner Server, der Home Assistant, Cloud-/Backup-Speicher, Pi-hole und andere Dienste hostet.
Um doppeltes NAT zu verhindern, habe ich die Fritzbox in den Bridge-Modus versetzt und meine UDM über eine 2,5-G-Ethernet-Verbindung angeschlossen. Es funktioniert einwandfrei - meine UDM erhält eine IPv4- und IPv6-Adresse von meinem Internetanbieter.
Nun möchte ich mein Heimnetzwerk sicherer machen, indem ich VLANs und dedizierte SSIDs verwende. Hier ist mein Subnetzplan:
Name | VLAN-ID | Subnetz |
Management | 10 | 10.10.10.0 |
Server | 20 | 10.10.20.0 |
Main | 30 | 10.10.30.0 |
IoT | 40 | 10.10.40.0 |
Guest | 50 | 10.10.50.0 |
Work | 60 | 10.10.60.0 |
Management ist für alle UniFi-Geräte, Server für meine Server (derzeit nur einer, aber mit mehreren Docker-Containern), Main für all meine Hauptgeräte und vertrauenswürdigen Geräte (Laptops, Handys, Tablets, PCs), IoT für all meine Smart-Home-IoT-Geräte und Streaming-Geräte (nur Amazon-Geräte, Fire TV, Echo, usw.), Gast für ein Gästenetzwerk und Work für die Arbeitsgeräte meiner Frau.
Ich habe IPv6 für alle VLANs aktiviert, bin mir aber nicht sicher, wie ich innerhalb meines Netzwerks in Bezug auf IPv6-Adressen subnetten soll. Es funktioniert jedoch vorerst, und alle meine Geräte erhalten IPv6-Adressen. Ich habe den DHCP-Bereich für ipv4 von 100 aufwärts eingestellt, damit ich statische IPs unterhalb von 100 zuweisen kann.
Nun zum WLAN:
Ich lebe in einer stark überlasteten WLAN-Gegend. Ich gehe davon aus, dass die Zuweisung individueller SSIDs an alle meine VLANs zu einer schlechten WLAN-Performance führen wird. Hier ist also mein Plan:
Allgemein
IoT
Beide mit 2,4 GHz und 5 GHz Wi-Fi aktiviert. Ich werde einen RADIUS-Server verwenden, um Geräte in die richtigen VLANs zu verschieben.
Ich setze auf ein dediziertes IoT-WLAN, weil die meisten IoT-Geräte keine 802.1x-Authentifizierung unterstützen, sodass ich RADIUS nicht für sie verwenden kann. Alle anderen Geräte werden sich mit dem Allgemeinen WLAN verbinden, und basierend auf ihrer MAC-Adresse werden sie in das zugewiesene VLAN verschoben. Wenn es keinen RADIUS-Benutzer gibt, werden sie in das Gast-VLAN verschoben.
Das ist mein Plan.
Habt ihr irgendwelche Vorschläge oder Verbesserungen?
Sollte ich mit private psk arbeiten und die Geräte anhand dessen in das richtige VLAN schicken? Dann könnte ich mir gar die zweite SSID auch noch sparen.