Beiträge von Networker

Zitat von anton

oder er macht einfach, wie hier in der Gruppe recht "üblich" entsprechende Vlans mit /24

Genau darauf will ich ja hinaus VLANs sind bei 192.168.0.0/16 eben nicht möglich. Zumindest nicht im Bereich 192.168... .

Zitat von CarMagician

Bei den VLANs müssen dann aber die Switche wieder alle mitspielen.....

Nicht zwingend alle, aber sicherlich alle, hinter denen viele Geräte oder noch ein weiterer Switch sitzt, ja. Ich hatte gedacht, Du würdest Deine IT jetzt einmal komplett modernisieren und auf Unifi umbauen, hatte ich dann wohl falsch verstanden, sorry.

Nicht zu segmentieren heißt aber natürlich auch, Filtermöglichkeiten (Firewall-regeln) nur pro Gerät, nicht pro Subnetz zur Verfügung zu haben. Außerdem kann man bei Unifi Geräte nur IP-Adressen in Firewall-Regeln adressieren, Du brauchst also für alle zu beschrönkenden Endgeräte feste IP-Adressen.

Ich würde mir überlegen, einmal den großen Schritt zu gehen und alles zu erneuern. Die Anschaffungskosten sind doch Betriebsausgaben, alles voll steuerlich absetzbar. Für mögliches stundenlanges Rumprobieren mit Switches verschiedener Hersteller oder generell Probleme mit der IT-Infrastruktur zahlt Dir niemand Deine Arbeitszeit oder den Verdienstausfall.

Was nicht implizieren soll, dass es mit einer rein Unifi-basierten Struktur nicht auch schon genug Probleme geben kann.

Es gibt doch überhaupt keinen Unterschied zwischen 192.168.0.1/16 und 10.0.0.1/16. Bei zweitem kann man das Netz bei Bedarf noch weiter vergrößern, aber da /16 schon 65.000 Hosts entspricht, ist diese Option für ein Netzwerk nicht relevant.

Zitat von CarMagician

Damit könnte ich ja auch meine Grüppchen machen

192.168.10.xxx = Workstations

192.168.20.xxx = Drucker

192.168.30.xxx = IP Kameras

Wenn Du dieses Schema in einem /16-Netz baust, hast Du aber keinerlei Möglichkeit, irgendwelche Firewall-Regeln zwischen Gerätegruppen zu setzen. Es ist ja alles dasselbe Netz.

So lange Du nicht mehr als ca. 150 Endgeräte des selben Typs (=kategorisiert im selben Subnetz) hast, brauchst Du keine Netzmasken größer als /24.

Ich sehe auch ehrlich gesagt keinen praktischen Anwendungsfall, in dem statische IP-Adressen auf einem iPhone oder iPad sinnvoll wären.

Endgeräte werden doch in aller Regel Adressen über DHCP beziehen, da braucht es keine Umstellung. Alle Geräte mit fest vergebenen Adressen einfach auf DHCP umstellen.

Das, was in Zukunft feste Adressen haben soll, würde ich bevorzugt auch über DHCP regeln, also über Reservierungen.

Jedes Gerät, welches DHCP (oder auch SLAAC) nutzt, ist ein Schmerz weniger bei einer Änderung im Netzwerk.

Bei LWL haben Farben eine Bedeutung, hier entspricht es der oben schon diskutierten Klassifizierung.

Bei Kupferkabeln kann man sich die Mantelfarben so zusammensuchen, wie es einem gefällt oder wie es für die Struktur sinnvoll ist. Es ist bei Kupfer wirklich ausschließlich die Optik.

Zitat von CarMagician

Schade das Ubiquiti selbst da nix hat.

Hat wohl damit zu tun, dass meines Wissens nach so etwas wie die Routerfreiheit in den USA nicht existiert. Die Leute bekommen also immer einen Zwangsrouter, hinter den sie dann anschließen können, was sie wollen. Es ergibt also keinen Sinn für Hersteller wie Ubiquiti, Router mit integrierten DSL-Modems zu bauen. Davon abgesehen wird die Mehrheit der Anschlüsse in den USA glaube ich über Koaxkabel realisiert.

Zitat von CarMagician

Die Stecker müssen dann ja an beiden Seiten LC/PC - LC/PC sein, richtig?

LC-LC, so wie das von Dir verlinkte Kabel.

Zitat von CarMagician

Kann man damit etwas kaputt machen, wenn man einfach immer die OM5 nimmt?

Nein, besser/höher geht immer. Ich würde mindestens OM4 einsetzen, die Preisersparnis für die geringeren Qualitäten lohnt sich i.d.R. nicht.

Zitat von CarMagician

Kann ich denn für den Anfang der Umstellung die Dream Machine SE hinter der Fritzbox betreiben, ja oder? Ich müsste halt DHCP usw. abschalten.

Ja, das ist grundsätzlich kein Problem, Du hast dann lediglich ein doppeltes NAT (auf IPv4). DHCP in der Fritzbox brauchst Du nicht abschalten, Du schließt ja keine weiteren Geräte als die UDM SE an ihr an.

Falls Du in irgendeiner Form vom Internet aus erreichbar sein willst (VPN z.B.) musst Du die benötigten Ports in der Fritzbox auf die SE weiterleiten. Oder die SE direkt als exposed host einstellen, das ist eine pauschale Weiterleitung von jeglichem Traffic.

Den Kommentar verstehe ich nicht. IPsec ist das VPN-Protokoll, was alle Unifi-Geräte schon immer konnten. Wireguard wurde kürzlich bei aktuellen Modellen ergänzt.

Außerdem hat mimika einen Dream Router und keine Dream Machine Pro.

Moin mtbz,

was mich bei dem Ganzen stutzig macht: Hast Du keine TAE gesetzt bekommen? Dann wäre die Installation durch die Telekom gar nicht vollständig, denn sowohl APL als auch TAE sind deren "Hoheitsgebiet" - und an den APL kannst Du ja kein Gerät anschließen.

Aggregation wirkt im Prinzip schon wie Bonding, allerdings nicht auf eine einzelne Verbindung.

Ein Download wird also trotzdem nur mit 1 Mbit/s laufen, dafür kann ein zweiter Rechner gleichzeitig nun auch mit 1 Mbit/s laden.

Grundsätzlich "ja" zu Wireguard, ist das modernere Protokoll und wenn es bei Dir läuft, solltest Du es auch bevorzugt nutzen.

Dass L2TP mit Windows oft Probleme bereitet, stimmt aber nicht. Ich nutze das seit vielen Jahren zu verschiedensten Destinationen völlig schmerzfrei; Wireguard gibt es ja noch nicht so lange.

Am Client unter Windows (ab 10) musst Du aber definitiv einen Registry-Eintrag setzen. Dann klappt es auch.

Deine Fritzbox kann lediglich L2TP, wenn sie nicht auf FritzOS 7.5 oder höher ist, daher nimmst Du natürlich auch im UDR den L2TP-Server. Dann ist es ganz wichtig, dass Du nicht versuchst, beide Boxen über dasselbe VPN-Konto zu verbinden, das kann nämlich nicht funktionieren. Ergo: Für jede FritzBox einen eigenen VPN-User.

Dann testest Du mal ganz systematisch und versuchst, von einem PC hinter einer Fritzbox den UDR über seine Dyndns-Adresse zu pingen. Wenn das klappt, versuchst Du, den VPN-Tunnel vom PC aus aufzubauen. Klappt auch dies, übernimmst Du die VPN-Daten in die FritzBox gemäß der AVM-Anleitung. Dann sollte eigentlich eine Verbindung möglich sein.

Eine öffentlich IPv4-Adresse (also kein CG-NAT) hast Du aber am Anschluss des UDR, oder?

Klar, man kann soetwas sogar auch von Ubiquiti bekommen ("Talk Telephone Adapter"). Meine Aussage war ja aber, dass es kein VoIP-Telefon gibt, welches zusätzlich Signaltrafo und Stecker-Adapter ist. So etwas hatte der OP ja gesucht, zumindest, wenn ich sein Posting richtig verstehe.

Zitat von PauloPinto

Ich nutze seit vielen Jahren das AVM Telefon. SIP Telefon hatte ich auch schon überlegt, habe aber noch nichts passendes mit z.B. einer Basis samt TAE Anschluß gefunden,

So etwas gibt es auch nicht. Telefone sind immer nur in einer Welt zu Hause, VoIP oder leitungsvermittelte Telefonie. So lange Du Geräte wie Deine Alarmanlage hast, wirst Du leider immer eine Mini-Telefonanlage à la Fritzbox brauchen, um leitungsvermittelte Geräte an Deinem VoIP-Anschluss betreiben zu können.

Ja, das sollte normalerweise schon funktionieren. Richte es doch einfach mal gemäß der Anleitung ein, die ich Dir verlinkt habe. Wenn dann Fehler auftreten, können wir ja nochmal konkret darüber sprechen.

Hallo mimika,

zunächst mal: Benötigst Du eine direkte Verbindung zwischen A->B, B->C und A->C? Ansonsten würde ich Dir eine Stern-Topologie mit dem UDR als "Zentrale" empfehlen. Richte hier den IPsec-VPN-Server ein und lass die beiden FritzBoxen sich als Client damit verbinden.

Eine Software für Konfigurationsdateien sollte es dazu nicht brauchen.

Moin PauloPinto,

prinzipiell bist Du voll auf dem richtigen Weg - auch wenn Du leider offen lässt, was für Telefone Du nutzt. Eine Einstellung in der Fritzbox ist sehr wichtig, wenn sie im Client-Modus läuft: "Portweiterleitung des Internet-Routers für Telefonie aktiv halten". Stell das auf 30 Sekunden ein, ansonsten kann es sein, dass Du von extern nicht erreichbar bist.

Ansonsten sind die Telefonie-Einstellungen nicht anders, als wann die FB der 1. Router am Anschluss ist.

Richtige VoIP-Telefone kann man übrigens direkt mit SIP-Accounts füttern, da ist dann keine Fritzbox als Mittler mehr nötig. Dies aber nur am Rande, denn durch Deine Alarmanlage kannst Du ja eh nicht auf eine Box verzichten.

Zitat von phino

Dieses mehr mit den Keystone macht in dieser Situation keinen Sinn, ist viel zu teuer.

Naja, teuer...

12 Keystone-Module kosten 30-40 €, das Panel kostet ähnlich einem LSA-Panel, ist eher billiger. Endkundenpreise, Installateure kommen vermutlich für die Hälfte dran.

So eine Installation macht man 1-2 Mal im Leben und nutzt die Infrastruktur Jahrzehnte. Da ist der Aufpreis Keystone vs. LSA aus meiner Sicht total zu vernachlässigen.

Aber klar, wenn man jetzt schon weiß, dass die Installation für die nächsten 20 Jahre nicht mehr angefasst wird, kann man sich den Aufpreis natürlich sparen.

Für IN der Wand, also unterputz, gibt es glaube ich nichts. Zum regulär an die Wand schrauben gibt es z.B. dieses Modell.

Aber was meinst Du mit "vom Verlegekabel weg"? Die Dosen in den einzelnen Räumen Deiner Immobilie werden mit Verlegekabel angebunden, alles andere wäre Pfusch. Dir ging es doch um die frage, wie Du dann die "Übersetzung" vom Verlegekabel auf den Switch gestaltest, wenn ich es richtig verstanden habe.

Die Frage liegt zwar schon zwei Monate zurück, aber vielleicht hilft diese Option ja trotzdem noch jemandem: Stecker direkt auf Verlegekabel würde ich lassen, alleine schon, weil Verlegekabel sehr starr und unflexibel ist. Entweder ein Patchfeld, wie noexpand schon schrieb, oder aber Keystone-Module auf die einzelnen Kabel.

Somit hat man RJ-45-Buchsen auf den Leitungen und kann über normale Patchkabel an die UDW gehen.

EDIT: Auch für ein Patchfeld würde ich grundsätzlich empfehlen, dieses nicht über LSA zu machen, sondern ebenfalls Keystone zu verwenden.