Der gewünschte Thread ist, glaube ich, der hier: Link Das vorläufige Ergebnis ist, dass ich erstmal Portlocks verwenden werde. Grundsätzlich ist die Idee, den AP über SSH dazu zu bringen, sich im Gastnetz mit dem Controller zu verbinden. Problem ist, dass zwei der AP's an Switches hängen, die ja auch wiederum mit dem Controller Verbindung haben müssen. Das ist also (zumindest für mich) nicht mal eben ausprobiert im Moment. Sicherheitstechnisch würden bei uns die Portlocks sogar schon reichen, da die Räume nicht uneingeschränkt zugänglich sind. Trotzdem werde ich das irgendwann noch einmal probieren. Wenn das klappt mit der Anmeldung im Gast-VLAN, könnte zwar der AP vom Kabel getrennt werden, aber jeder, der über diesen Weg versuchen würde ins Netzwerk zu gelangen, würde dann nur im Gast-LAN landen. Im Moment gibt es bei uns aber einige wichtigere Baustellen und da nicht zwingend nötig, wird dieses Projekt auf erstmal unbestimmte Zeit verschoben. Sobald ich da aber Erfahrungen gesammelt habe, werde ich das auch im entsprechenden Thread posten.
Beiträge von cosmos
-
-
Ok, bei Vorder- und Hinterhaus habe ich an zwei separate Gebäude gedacht und dass du die LAN-Kabel schon in die Wand zementierst hast, wusste ich natürlich auch nicht. Wenn aber der Stand der Elektrik im Neubau auf den der Einliegerwohnung gebracht wird, sollte sich dein Problem auch so erledigt haben. Mit LWL wärs halt auf jeden Fall 100% sicher, dass es klappt. Und vom Equipment hättest du ja schon fast alles für ein 10gb Backbone gehabt und Kabel etc. sind soo viel teurer auch nicht. Deshalb war das für mich einfach eine naheliegende Idee. Aber so ist es doch auch gut. Muss halt noch ein bisschen Zeit überbrücken. Inwieweit Schirmung vom LAN-Kabel entfernen eine gute wäre, weiß ich nicht. Probieren würde ich es wahrscheinlich mal.
-
Theoretisch hat der UAP 6LR etwas mehr Power im Vergleich zum Lite. Die kann aber zumindest im größten Teil des 5Ghz-Bandes nicht (offiziell) genutzt werden, da in Deutschland nicht erlaubt.
-
Bei uns sollten zwei Gebäude per Kabel miteinander verbunden werden. Unser Elektriker des Vertrauens hat uns wegen des Potientalausgleichs dringend angeraten, dies nicht per LAN-Kabel, sondern per LWL zu tun. Am Ende wäre LAN-Kabel eh nicht gegangen da über 100m. Ich hätte aber an sowas wie Potentialausgleich nie im Leben gedacht. Er hat außerdem erzählt, dass durch den Potientialausgleich auch schonmal Geräte wie ein Switch zerschossen werden können.
-
- Fax
Das hatte ich ganz vergessen. VoIP und Fax ist ja mitunter nicht ganz unproblematisch. Mit der Fritz!Box gehts eigentlich ganz gut. Wenn man Fax braucht (wir brauchen es leider hin und wieder) auch nicht zu unterschätzen.
-
cosmos klar werde ich die AVM Geräte nicht wegwerfen, diese werden an Dritte weitergegeben.
Nur finde ich eine FritzBox 7590 ein wenig übertrieben nur für ein Telefon.
Ich werde mal die FreePBX ausprobieren als VM um einen SIP Trunk aufzubauen, wenn das Funktioniert, kann ich mir jedes mögliche IP Telefon Zuhause hinstellen.
Das hatte ich tatsächlich auch mal überlegt, war dann aber erschlagen von den Einstellmöglichkeiten. Ich hatte irgendwie Schiss, dass ich es hier dann am Ende nicht gescheit zum Laufen bekomme, v.a. in Verbindung mit den 4 AB's, die wir hier haben. Kannst ja mal berichten, wie es mit Free-PBX gelaufen ist. Vielleicht ja eine nette Spielerei für die Zukunft :-).
-
Das macht m.M.n. nur Sinn, wenn du anschließend die Fritz!Box verkaufst. Ansonsten wäre das pure Geldverschwendung. Die Fritz!Box taugt auch als Telefonanlage und kann da so einiges, zumindest wenn man sie privat einsetzt und/oder im kleineren geschäftlichen Umfeld einsetzen möchte. Wir hatten noch 3 Fritz!Boxen über und die funktionieren einwandfrei. Die Gigaset-Sachen habe ich wieder zurück geschickt.
-
Hallo Culpati,
der WIFI-Standard hat doch nix mit der UDM zu tun. Das was sich ändern könnte sind die Wifi-Standards, die betreffen in dem Fall nur die AP´s
Die UDM hat doch Wifi. Natürlich betreffen Wifi-Standards daher auch die UDM.
-
Hab jetzt noch einen UAP 6 Lite dazu bestellt für die Garage. Der Stromsparmodus wird wohl das Problem sein, warum er nach ein paar Stunden die Verbindung verliert. Leider kann man den auch nicht ausstellen. Jetzt kommt halt noch ein AP dazu. Dadurch dass die Garage auch Werkstatt ist, vielleicht auch grundsätzlich nicht schlecht, dort noch einen zusätzlichen AP zu haben (auch wenn der in der ursprünglichen Planung nicht vorgesehen war). Auf jeden Fall danke für die Antworten.
-
Alles anzeigen
Hi!
Ich habe auch einen smarten Garagentor-Öffner.
Damit dieser eine brauchbare WLAN-Verbindung etablieren konnte, musste ich einen UAP-AC-Lite in 1 (einem) Meter Entfernung hinbasteln.
Der Garagentor-Öffner ist so schwach im WLAN das es nur so geht.
Versuche mal einen AccessPoint versuchsweise sehr nah heran zu bringen!
Gruß!
@EJHome , ja, das könnte natürlich auch sein. Der AP hängt zwar nur 3-4m Luftlinie entfernt, dazwischen ist aber leider auch eine ziemlich dicke Wand und auch einige Wasserrohre. Hinzu kommt, dass der smarte Garagentoröffner direkt auf der Öffnungseinheit mitsamt Funkmodul sitzt. Sicherlich auch nicht gerade fördernd. Vielleicht kann man das Kabel vom Garagentoröffner auch einfach verlängern (ist ja sonst recht kurz) und dann in eine bessere Position bringen. Ein zusätzlicher AP wäre allerdings auch recht einfach anzubringen, also eine Überlegung wert. Habe übrigens direkt nach meinem Post (#11) festgestellt, dass ich versehentlich den Minimum RSSI statt auf die höchste Stufe (-67dBm), auf die kleinste Stufe (-90dBm) gestellt habe. Immerhin ist der smarte Garagentor-Öffner seitdem ununterbrochen verbunden. Schauen wir mal. Ein zusätzlicher AP wäre aber langfristig so oder so die bessere Variante.
-
Kurzer Zwischenbericht. WLAN läuft in unserer Wohnung einwandfrei. Das ist absolut klasse. Diese Woche werden bei uns auf dem Gelände noch einige UAP 6 LR's installiert. Ich hoffe, dass das auch gut klappt. Gestern habe ich schonmal den ersten ins Netz genommen. An diesem sollte sich eigentlich mein smarter Garagentoröffner anmelden. Leider klappt das nicht so, wie ich mir das wünsche. Anmeldung klappt zwar, aber nach spätestens 2-3h verliert der AP die Verbindung wieder. Da ich vermute, dass der AP versucht das Device ins 5Ghz zu schieben, habe ich schon probiert, die Minimum RSSI auf -67dBm zu stellen und gleichzeitig die Power vom 5Ghz-Netz zu reduzieren. Hat leider nichts gebracht. Ich benutze vom gleichen Hersteller (Meross) in der Wohnung noch Steckdosen, die sich problemlos mit den AP's (UAP 6 Lite) verbinden und diese Verbindung auch halten. Gut, einige verbinden sich mit einem eigentlicher weiter entfernten AP, aber funktionieren tadellos. Hat irgendeiner eine Idee, was ich noch probieren könnte?
-
Das sind exakt die gleichen Werte, die meine U6-Lite auch erreichen mit maximaler Sendeleistung. Die LR's sollten doch schon ein bisschen mehr Power haben. Die LR's werden aber hier erst nächste Woche installiert. Muss ich doch glatt mal nachschauen. Soweit ich aber meine zu wissen: Die Power ist im 5GHz-Band auf 23dbm (200mW) begrenzt, aber anscheinend nur in den unteren Kanälen bis 64. In den oberen Kanälen ab 100 dürften dann sogar 30dbm (1W) erlaubt sein. Angaben natürlich wie immer ohne Gewähr ;-).
-
ich muss da leider zurückrudern
ich hatte den falschen AP ausgewählt, habe es aber noch einmal getestet und ja es kommt niemand mehr durch... ist also unbrauchbarAuf jeden Fall danke fürs Klarstellen. Wäre dann halt sehr einfach gewesen.
-
Wenn ich hier bei mir den AP im Switch Port auf die Whitelist setzte funktionieren die Clients auf dem AP trotzdem noch wie gewohnt..
Kannst du das wirklich bestätigen. Das wäre echt interessant. Denn...
Hat schonmal jemand probiert, da kommen die WLAN Clients nicht mehr durch.
So hatte ich das auch in Erinnerung. Habe es aber noch nicht ausprobiert.
-
Eine etwas technisch aufwändigere Variante wäre die Einführung einer 802.1x Authentifizierung in kritischen Bereichen.
Das ist aber nichts, was "auf die schnelle mal konfiguriert wird". Hierzu bedarf es einem ordentlichen Konzepts.
Hallo Samhain, den Artikel hatte ich mir auch schon durchgelesen und ist auch schon teilweise in eine meiner Ideen eingeflossen, zumindest für die Ports auf denen das Technik-VLAN sein wird. In dem Fall würden die Techniker eine eigene Autorisierung bekommen und dann können die sich da einklinken. Wie sich das jetzt mit dem Gast-LAN und dem AP, der am Switch angeschlossen ist und von dem aus mindestens Technik und Guest WLAN gesendet werden muss, weiß ich noch nicht so genau. Das hängt davon ab, ob es z.B. auf den Ports eine Möglichkeit des Fallbacks gibt. Z.B. wäre es doch klasse, dass, wenn ich mich nicht am RADIUS-Server anmelden kann, automatisch ins Gast-LAN fallen würde. Wichtig wäre auch, dass der AP (Strenggenommen sind es sogar zwei AP's) dann noch beide WLAN's ausstrahlen würde. Hierzu hatte ich den Gedanken, den AP ins Gast-LAN zu nehmen und ihn dann über einen manuellen Controller-URL-Eintrag via SSH zum Controller zum bringen. In dem Fall müsste er die SSIDs ausstrahlen. Wird der Stecker aus dem AP rausgezogen und mit einem anderen Client verbunden, landet dieses automatisch im GAST-LAN. Würde das komplett mit RADIUS funktionieren, könnte sich halt ggf. niemand mehr irgendwo anmelden (wenn ich das wollen würde). Da ich aber ohnehin einen Fallback ins GAST-LAN wollen würde, wäre das vielleicht gar nicht so der Game-Changer. So eine 802.1x-RADIUS-Geschichte komplett durchzuziehen ist natürlich am Ende eine komplett saubere Sache, aber halt auch deutlich komplizierter und es braucht eine ordentliche Planung. Mal eben ausprobiert ist einfach nicht. Auf jeden Fall danke für den Tipp. Hab ja noch ein paar Tage Zeit, mir das zu überlegen. Im Grunde habe ich sogar Wochen Zeit, denn an Veranstaltungen ist im Moment ohnehin nicht zu denken...
-
Genau diese Transceiver-Module benutze ich auch. Kabel sind halt andere. Das Kurze ist, glaube ich, von Logi-Link oder so. Dein Kabel würde ich, wenn es mit den neuen klappen sollte, natürlich reklamieren.
-
Alles anzeigen
Moin,
Mir fallen 3 Möglichkeiten ein
Option 1
was ist den mit ner MAC Basierten Firewall regel.
Erst eine Allow die nur deine Geräte beinhaltet
danach drop all für alle anderen.
Option 2
Ein eigenes AP Netz unabhängig vom Management - dhcp aus und den Adressbereich so klein, dass nur deine APs rein passen.
Wenn du den AP abziehst und die IP kennst kommst du rein aber das ist doch etwas unrealistisch denke ich
Option 3
oder du dropst alles was nicht im Management gebraucht wird - 80 und 443 kannst du ja Blocken dann ist der Zugang quasi nutzlos.
Die Regel schaltest du nur ein wenn du es brauchst.
Evtl auch ne Mischung aus den 3
Glaube Option 2 sollte das beste "Aufwand-Nutzen" Verhältnis haben
Danke! Das sind ja auch nochmal ein paar coole Ideen zum Nachdenken. Option 2 wäre außerdem sehr leicht umsetzbar. Option 3 aber auch, die würde auch den Switch vor "missbräuchlicher" Verwendung schützen, denn der hängt ja auch im Management-LAN. Wenn einer sich an den Uplink hängen würde, würde ihm das nichts nützen, weil er dann keine IP bekäme. Muss ich mal drüber nachdenken...
-
Ports abschalten am Switch fände ich jetzt nicht so gut, denn die sollten bei Veranstaltungen ja auch genutzt werden können, ohne dass der Admin die jetzt erst wieder freischalten muss. Unsere Bild- und Tontechnik läuft mittlerweile schon großteils übers Netzwerk und wird in Zukunft nahezu komplett netzwerkbasiert sein. Das heißt, unsere Techniker müssen auf jeden Fall schonmal Zugang zum dafür geschaffenen VLAN haben. Und irgendwelche Redner, Künstler, geladene Gäste (die halt irgendeine Veranstaltung machen) usw. brauchen halt auch Zugang zum LAN. Das war in der Vergangenheit immer ein Thema, weshalb wir es jetzt ja auch umgebaut haben.
Wie auch immer: Ein Gedanke, den ich hatte, wäre noch: Ich gebe nur das Gast-VLAN und das Technik-VLAN auf den Switch und melde den AP im Gast-VLAN an und mache eine Radius-Geschichte oder MAC-Whitelist auf den Technikerports. Die Gastports wären dann einfach Gastports. Dem AP könnte ich dann über die Option 43 Zugang zum Controller verschaffen (weiß dann aber nicht, ob nicht alle anderen aus dem VLAN nicht auch Zugang zum Controller hätten. Das will ich ja zwingend vermeiden) oder ihn über einen manuellen-Controller-URL-Eintrag via SSH zum Controller bringen. In diesem Fall hätte auch nur der AP Zugriff zum Controller. Soweit in der (noch sehr begrenzten) Theorie. Ob das dann so klappt werden wir dann nächste Woche sehen. Vielleicht bin ich mit der Idee ja auch komplett auf dem Holzweg. Wird werden sehen. Spannend ist es auf jeden Fall. Und wenn es nicht klappt? LAN-Locks liegen schon bereit und Holz, Beschläge, Schrauben, Schloss und Co. sind auch in ausreichender Menge vorhanden. Dann kriegt das Teil halt einen Keuschheitsgürtel ;-). -
Nun ja, das stimmt, die Dinger hängen an der Decke. Die passende Netzwerkdose dazu ist aber auf Bodenhöhe. Mechanische Verriegelung geht natürlich immer (auch um die Netzwerkdose und den Sitz kann man ja eine Verriegelung bauen...). Möchte aber trotzdem herausfinden, was softwareseitig noch geht. Für mich ja auch ein Weg mit Unifi und der dazugehörigen Netzwerktechnik im Allgemeinden vertraut zu werden.
-
Ja stimmt, die Frage hätte ich mir auch sparen können. Vielen Dank für die Hilfestellung. Werde dann nächste Woche, wenn wir alle Leitungen gelegt haben, berichten, wie es geklappt hat. Wie auch immer, mit so einer Lösung und den Port-Locks hätte man schon ein gewisses Maß an Sicherheit, aber am Besten wäre es natürlich, wenn man es so einstellen könnte, dass nur der AP am Port sein darf, sich aber trotzdem alle WLANS über den AP senden lassen. Ich habe gerade im englischsprachigen UI-Forum gelesen, dass es (teurere) Hersteller gibt, die genau das ermöglichen. Für den Einsatz in z.B. einer Schule oder Hotels in denen nicht zwei physisch komplett voneinander getrennte Netzwerke betrieben werden können, wäre das auch absolut essenziell. Es gab wohl mal eine Wahl bei Ubiquiti (keine Ahnung, ob Ubiquiti sowas regelmäßig macht), in denen Kunden sich dieses Feature gewünscht hatten. Leider ist das bis heute nicht umgesetzt worden. Schade, da Ubiquiti die AP's für den Einsatz im öffentlichen Raum vorsieht, ist das, bis jetzt zumindest, noch nicht zu Ende gedacht,
