Beiträge von noexpand

Bei WLAN sollte man grundsätzlich bedenken, dass es ein Shared Medium ist. Im Gegensatz zu einem Ethernetkabel teilen sich eventuell mehrere Geräte den Kanal, mehrere WLANs den Kanal und generell mehrere Kanäle insgesamt die Luftschnittstelle. Und alle stören sich gegenseitig mehr oder weniger.

Es muss sich also gar nicht mal um ein Fehler in deinem Netzwerk handeln, es reicht schon, wen der Nachbar auf dem gleichen (oder einem überlappenden) Kanal funkt und Traffic erzeugt.

Als erstes würde ich an deiner Stelle schauen, auf welchen Kanälen deine APs funken, ob sie sich eventuell gegenseitig stören oder ob Nachbarn dort ebenfalls senden. In der Regel wirst du im 2,4GHz-Band allerdings keinen ungestörten Bereich finden, vielleicht findest du einem mit weniger Störung.

Dann: du hast "Fast Roaming" ausgeschaltet. Selbst wenn du nur 5m vom AP entfernt bist, bringt dir das herzlich wenig, wenn das Gerät trotzdem (noch?) mit dem anderen AP verbunden ist! Wenn du also wieder das Gefühl hast, dein WLAN sei langsam: kontrolliere, welche Geräte mit welchem AP verbunden sind.

Stimmt, laut Specsheet kann der 802.1X.

Ich weiß, eigentlich sollte das egal sein, aber hast du mal nen anderen Port probiert? Vielleicht einen Nicht-PoE-Port?

Ich habe die Pro-Version von dem Switch, aber bisher noch nicht mit 802.1X herumexperimentiert ...

Neuer Fahrradsattel. Den alten 602 hatte ich jetzt ziemlich runterrockt, da musste ein neuer her.

SQlab GmbH Online Shop | Saddle 602 ERGOLUX® active 2.1 14cm | Ergonomic bike equipment

SQlab bicycle saddle ✓Ergonomic ✓Comfortable ✓Women and men - Saddle 602 ERGOLUX® active 2.1 by SQlab purchase at SQlab. ✓Delivery 0€ ✓Fast Delivery ✓Award…

www.sq-lab.com

Hier gibt es ja einige, die Radius einsetzen. Eine (noch) theoretische Lücke:

https://www.heise.de/news/Blast-RADIUS-Sicherheitsluecke-im-Netzwerkprotokoll-RADIUS-veroeffentlicht-9797185.html

Zitat von backslash1970

Hi und danke für die schnelle Antwort.

Das ist wirklich alles ?

Nein.

Zitat von backslash1970

Uplink Ports sind alle auf Native VLAN / Network -> Standard Netzwerk - Tagged VLAN -> Allow all

Was muss ich tun das das neue IoT VLAN Netzwerk auf alle Switches verfügbar ist ?

Muss ich ein Profil anlegen mit beide Netzwerke ? Und dieses Profil auf den Uplink Ports der Switche konfigurieren ?

Ja.

Ein Port-Profil ist nicht zwingend notwendig, ich finde aber, dass es die Übersichtlichkeit erhöht. Das ist aber Geschmacksfrage.

Wichtig ist, dass nicht nur die Uplink-Ports auf "all" stehen, sondern auch die entsprechenden Downlink-Ports, an denen die Switche angeschlossen sind. Und die Downlinks, an denen die APs angeschlossen sind.

Gehe von deinem Gateway aus einmal zu jedem AP, der das IoT-Netz ausstrahlen soll. Jeder Port auf dem Weg muss das IoT-Netz durchlassen.

Bei mir sind alle Switches und APs im Groben gleich konfiguriert, daher habe ich mir Port-Profile "Uplink", "Switch" und "AP" gebaut. Alle Uplinks bekommen "Uplink", alle Downlinks je nachdem "Switch" oder "AP".

Und weiterhin sollte man bedenken, dass man in dem remote angeschlossenen Switch nur die VLANs zur Verfügung hat, die auch per WLAN übertragen werden.

Ich habe das spaßeshalber mal ausprobiert und mich dann gewundert, dass ich den Switch nicht im Controller verwalten konnte. Naja, weil halt mein Management-Netz nur per Kabel verteilt wird ...

Zitat von amaskus

Moin,

Ein Pi 4 reicht vollkommen aus, theoretisch auch n 3er.

Das kommt stark auf das Netz an, bzw. nach meiner Erfahrung in erster Linie auf die Zahl an Clients, die sich in dem Netz tummeln.

Wenn man Freifunk über seine Unifi-APs verteilt, hat man leider seeeehr viele Clients "in seinem Netz". Da hat der RPi3 überhaupt keine Chance und selbst die UDM-P ächzt.

PS: ich bin aus dem Unifi-Controller-auf-Raspi-Thema ein bisschen raus, aber ist es nicht so, dass der aktuelle Controller nur 64-bittig laufen will? Das kann ein Raspi 3 nicht, dafür wird zwingend ein 4er benötigt.

Zitat von phino

kasop Bei der Glasfasertechnik GPON sind auf deiner Glasfaser die Daten von allen User die zu dem Zweig gehören(1-64). Damit du nicht die falschen Daten erhältst sind diese verschlüsselt. Der Schlüssel wird festgemacht an der Modem-ID des ONT oder SFP-MODUL. Dies ist der Grund warum diese beim ISP hinterlegt sein muss.

Noch ein Nachteil der GPON Technik ist, das man sich die Bandbreite teilt.

Was das angeht, ist ein GPON-Anschluß eigentlich recht ähnlich zu einem Kabel-Anschluß. Auch dort sind die Daten von allen Usern des Zweiges auf dem Kabel und man teilt sich die Bandbreite.

Grundsätzlich sollte man Reichweite eines AP und Roaming zwischen verschiedenen APs nicht miteinander vermischen. Das sind zwei zwar miteinander verwandte aber doch größtenteils voneinander unabhängige Probleme. Daher solltest du die auch getrennt voneinander behandeln.

Kümmere dich erst um das eine, und wenn du das im Griff hast, um das andere Problem.

Ich weiß noch, dass ich locker 'nen Monat gebraucht habe, bis das Roaming in meiner Installation lief. In der Zeit habe ich viel mit den Einstellungen experimentiert und fast täglich neue Konfigurationen ausprobiert.

Die WLAN-Abdeckung bei mir zu optimieren hat mehrere Jahre gedauert. (Weil ich dann schlußendlich doch noch ein paar Kabel gezogen habe.)

Zitat von Dany250

Könntest du mir noch erklären, warum 4 Antennen besser sind (wenn es nicht um die Reichweite geht)?

Weil man dann aggregieren oder besser parallelisieren kann.

Wenn ein AP nur eine Antenne hat, dann kann er immer nur eine einzige Verbindung zu einem WLAN-Client zur Zeit aufbauen. In der Realität geschieht das allerdings so schnell hintereinander, dass auch bei mehreren Clients jeder "mal drankommt" und ein Eindruck von Parallelität entsteht.

Wenn ein AP 4 Antennen hat, kann er mit 4 Clients wirklich gleichzeitig kommunizieren. Wenn sehr viele Clients versorgt werden müssen, sind mehr Antennen also sehr hilfreich.

Außerdem gibt es MIMO. Das bedeutet, dass (wenn sowohl der AP als auch der Client das unterstützt) der AP vier parallele Verbindungen gleichzeitig mit einem Client aufbauen kann, um dann die vierfache Bandbreite einer Antenne einem einzigen Client zur Verfügung stellen zu können. (Oder je 2 parallele Verbindungen zu 2 Clients.)

Mit anderen Worten: wenn du auf maximale Datenübertragungsraten Wert legst oder wenn du viele Clients versorgen willst, sind viele Antennen von Vorteil. Der U6-LR ist einer der wenigen Unifi-APs, die im 2,4GHz-Band 4 Antennen mitbringen.

Zitat von franzbertbua

das ist korrekt, der LR bietet in der EU keinen Mehrwert, weil die Sendeleistung limitiert ist.

Keinen Mehrwert stimmt nicht ganz. Ich habe das mal im Wiki etwas aufgedröselt. Der U6-LR hat durchaus seine Daseinsberechtigung (auch in der EU!), allerdings handelt es sich dabei nicht um "Long Range" ...

Mit anderen Worten: du hast ja im Prinzip Recht, das "keinen" ist für einen Korinthenkacker wie mich aber falsch

Könnte man realisieren, indem nur der BR auf Protect zugreifen kann. Wenn dann jemand außerhalb des BR draufschauen möchte, muss die Person eben zum BR gehen und das dort machen.

Als erstes würde ich die Kanalbreite reduzieren. Sowohl bei 2,4 als auch bei 5GHz. Je breiter der Kanal, desto schwieriger ist es für die APs, einen Bereich zu finden, in dem sie nicht von dem Nachbar-AP gestört werden.

Je schmaler allerdings der Kanal, desto größer die Reichweite. Du solltest dann mit den Sendeleistungen spielen und bei denjenigen APs, die sehr gestört werden, die Sendeleistungen der Nachbar-APs reduzieren.

Du wirst viel ausprobieren müssen und im schlimmsten Fall sogar abhängig vom Wetter reagieren müssen. Denn bei feuchter Luft sinkt die Reichweite von WLAN, bei trockener Luft erhöht sie sich ...

Deine Fragen kann man nicht allgemein beantworten. Wenn es eine allgemeingültige Antwort gäbe, hätte Ubiquiti die schon längst zum Default gemacht. Es kommt halt immer auf die konkrete Situation an.

Ich versuche es trotzdem mal:

1. Welcher RSSI-Wert

Kommt drauf an. So hoch wie möglich, so tief wie nötig. Wenn er zu tief ist, bleiben Clients zu lange auf dem AP, obwohl ein anderer AP vielleicht schon stärker empfangen wird. Wenn er zu hoch ist, werden Clients bei AP rausgeschmissen, obwohl kein anderer AP besser zu empfangen ist. Dann stehen sie ohne Verbindung da ...

Grundsätzlich sollte man aber erst dann anfangen, mit dem RSSI-Wert zu spielen, wenn man alle andere Möglichkeiten bereits ausgeschöpft hat.

2. Sendeleistung

Kommt drauf an. Bei einer hohen AP-Dichte sollte die Sendeleistung heruntergefahren werden, damit sich die APs nicht alle gegenseitig stören. Allerdings muss natürlich trotzdem eine gewisse Überlappung sichergestellt werden, sonst gibt es eventuell Stellen, an denen kein oder nur zu schlechter Empfang herrscht.

3. In Wall durch Enterprise ersetzen

Kommt drauf an. In Walls sitzen in der Regel auf Steckdosenhöhe, die Enterprise würde man in der Regel unter die Decke schrauben. Beides kann Vorteile und Nachteile habe, je nach Situation: Auf Steckdosenhöhe wird das Signal durch die ~70l-Wassersäcke (aka Menschen) blockiert. Bei einer hohen AP-Dichte ist das von Vorteil, dann stören sich die APs nicht gegenseitig. Die Enterprise unter der Decke haben dagegen "direkte Sicht" auf viel mehr Client-Geräte, aber eben auch auf die Nachbar-APs, die so gestört werden.

Ich bin aus Osnabrück, aber wie DoPe bereits gesagt hat: mit Unifi (Netzwerk) kenne ich mich zwar ein bisschen aus, von Unify (Telefon) habe ich keine Ahnung.

Zitat von franzbertbua

Der alte Griller ist doch schon etwas in die Jahre gekommen

Frag mich mal ...

Zitat von gierig

Nun folgen nur noch Sarkastische Kommentare, weiterlesen lohnt nicht...

Oh, doch! Ich habe herzlich gelacht, Danke dafür!

Zitat von legi

Verd... jetzt habe ich es auch gefunden, dann bleibt es halt bei 1Gbps, werde trotzdem wo möglich Glas reinmachen.

Den Fasern ist es herzlich egal, ob da SFP oder SFP+ dranhängt, bzw. ob da 1Gps oder 10Gps an Daten durchgehen.

Sprich: wenn du Glas ziehst, kannst du nachträglich durch ersetzen der Switches immer noch auf 10G (oder mehr) "upgraden".

Ok, die Möglichkeit hast du mit CAT7 im Prinzip auch, da kommt dann aber wieder zum Tragen, was DoPe oben schrieb: die Glas-Module sind deutlich stromsparender als die RJ45-Module und werden nicht so heiß. Pauschal gesagt: 10G-Verkabelung will man mit Glas machen.

Wir reden offensichtlich etwas aneinander vorbei.

Zitat von Networker

Ich kann auch tatsächlich nicht verstehen, was an der generellen Empfehlung "pack es hinter ein VPN" falsch sein soll - das ist geringer Aufwand bei riesigem Sicherheitsgewinn und sollte für 99% der Anwender ohne viel Erfahrung der Weg zum Ziel sein.

Sicherheit ist immer der Feind von Bequemlichkeit, das liegt in der Natur der Sache. Wenn ich mir doch aber wie hier mit minimalem Bequemlichkeitsverlust so viel mehr Sicherheit kaufen kann, sollte der Fall eigentlich klar sein.

Das habe ich doch auch gar nicht bestritten?!

In diesem Thread geht es um NAS. Daher habe ich deine Aussage der "wirklich massiv vielen Sicherheitsprobleme von Synology", die du dann auf Nachfrage mit der Zahl "29" untermauerst, in erster Linie auf deren NAS-Geräte bezogen.

Und da du in deiner Aussage Synology explizit nennst habe ich in deine Aussage hineininterpretiert, dass deiner Meinung nach die Geräte anderer Hersteller besser dran sind.

Mir geht es darum, aufzuzeigen, dass die Zahl "29" auf Synology-NAS bezogen komplett falsch ist. Ich betreibe ein Synology-NAS, daher verfolge ich die CVEs dazu einigermaßen intensiv. Mehrfach habe ich festgestellt, dass die Firmware-Version zur Mitigation eines CVEs bereits seit längerem auf meinem Gerät installiert war. Und mehrfach habe ich festgestellt, dass ich gar nicht betroffen bin, weil ich bspw. netatalk gar nicht aktiviert habe. (Das benutzt doch seit langem schon kein Schwein mehr ...) Bei keiner einzigen CVE musste ich akut aktiv werden, sie alle stellten sich für mich als Fehlalarm heraus. Die Heise-Meldungen zu QNAS lasen sich hingegen immer bedrohlicher. Aber: das ist nur meine Wahrnehmung.

Ja, ich weiß: die Zahl der CVEs als Metrik für Sicherheit anzusehen ist mindestens problematisch, aber damit hast du angefangen.

Es kommt nicht auf die Zahl der CVEs an, es kommt auch nicht darauf an, ob das Gerät hinter nem VPN sitzt oder nicht. Es kommt mehr darauf an, ob sich jemand aktiv um das Teil kümmert, sich dazu Gedanken macht und geeignete Maßnahmen ergreift. Das kann - muss aber nicht zwangsläufig - ein VPN sein.

Zitat von Networker

Für Synology gibt es 29 CVE-Einträge alleine seit 2023. Die allermeisten davon mit hohem oder sogar kritischem Risiko.

Das musst du aber differenzierter sehen. AFAIR handelte es sich bei den meisten um privilege ecalation. Wenn du dich erfolgreich auf der Kiste angemeldet hast, konntest du Admin werden. Wenn du aber nur vertrauenswürdigen Personen einen Account gegeben hast: wo ist das Problem?

Darüber hinaus: die meisten deiner 29 Einträge beziehen sich auf ganz andere Geräte: die Survailiance Station hat 2024 bspw. große Probleme (15 der 29 Einträge), der Router Manager hatte 2023 kein gutes Jahr (7 Einträge). Übrig bleiben nichtmal eine Handvoll minderschwere Vorfälle, die eventuell, wie oben geschrieben, im Betrieb gar keine Auswirkung haben.

Zitat von Njaclogoo

Wo würde ich das denn machen bei den Einstellungen in Unifi?

Wie DoPe oben schon schrieb:

Zitat

Die Dreammachine vergibt genau das, was Du im entsprechenden VLAN dort eingestellt hast.

Also hier: Settings/Networks/Dein Netzwerk/Subnet: