Beiträge von hollywoot

Allgemein: Ohne USG/UDM/VLAN-Router/Firewall kannst du das knicken - die FritzBox kann nicht mit VLAN's (außer mit Freetz - vielleicht!).

1. Thema:
Eigenes VLAN für diese Geräte.
Jedes VLAN, in welches WLAN-Clients sollen, muss ein eigenes Wireless(-Network) haben. Du musst also ein Netzwerk anlegen, diesem Netzwerk eine VLAN-ID zuteilen und das entsprechende WLAN mit der gleichen VLAN-ID versorgen.
Inter-VLAN-Routing ist standardmäßig erlaubt auf dem USG bzw. der UDM. Somit hast du keinerlei Zugriffsprobleme. Du solltest dann allerdings in der Firewall den Zugriff standardmäßig blockieren und nur für einzelne Clients zulassen (dein PC, dein Handy, ...)

2.

Gleiches Prinzip.

Sind es WLAN-Cams, brauchen sie wieder ihr eigenes Netzwerk + WLAN + VLAN-ID.

Auch hier solltest du den inter-VLAN-Zugriff blockieren und nur den Weg von Cam -> Surveillance freischaufeln.

Natürlich kannst du noch den Zugriff von deinen Clients zu den Cams gestatten.

Sind es kabelgebundene Cams, musst du sie am Switch entsprechend in das richtige Netz taggen.

Deine Accesspoints musst du natürlich dann noch in die entsprechenden VLANs taggen, damit sie das entsprechende WLAN auch ausgeben können.

Also Backup einspielen funktioniert nicht soweit ich weiß.

Bekommst du von deinem Modem denn überhaupt eine IP zugeteilt?

Ich kenne keine Funktion den Proxy über DHCP mitzugeben.

Man muss an den jeweiligen Clients ja auch einstellen, ob diese einen Proxy nutzen sollen oder nicht.

Hätte ich so nicht gemacht.

Variante 1:
kleiner Switch an den LAN-Port des Routers, AP dazu, fertig.

Vorteil: kleine Kosten

Nachteil: Security

Variante 2:

USG an den LAN-Port, Switch dahinter, AP dazu, fertig.

Vorteil: Security

Nachteil: kost' bisschen mehr, mehr Konfigurationsaufwand (Stichwort Exposed Host, ARRIS-Firewall...)

Keinen Cloudkey oder so'n Gedöns kaufen. Den CK braucht nun wirklich kein "normaler" Mensch. Jeder, der 'nen PC besitzt, startet den Controller da im Bedarfsfall.

Ich kenn' es btw. von Kabelanbietern so, dass die Modems sich mit dem Anbieter syncen und sich somit die Zugangsdaten fischen.

Wenn du DECT brauchst, wirst du mit dem Telekom-Gerät allerdings nicht glücklich; da müsstest du dann Tatsächlich 'ne Fritte kaufen. Es gibt ja aber auch noch sehr viele Leute, die noch eine klassische Gigaset-Basisstation im Einsatz haben - die könntest du auch an den ARRIS stecken.

Deine Fritzbox wird nur noch als Modem genutzt.
Wenn du nun über dein P2P-VPN in dein Heimnetz willst, musst du sämtliche Anfragen an dein USG weiterleiten.

Dein USG verwaltet schließlich jetzt dein Heimnetz.

Trag das USG in deiner Fritzbox mal als Exposed Host ein.

Wenn du eh zwei NAS hast, würde ich mir den Controller "dockern".

Gerade beim Aufbau eines neuen Netzes, erwischt man sich doch recht häufig selbst dabei, dass man ständig reingucken will/muss.

Und dann lässt den einfach laufen oder schaltest ihn bei Bedarf einfach wieder zu.

Alles andere wurde schon gesagt.

Ich würde auch in jedes Stockwerk nen AP hängen und bei Bedarf von mehreren Netzwerkdosen einfach einen Switch vorschalten.
Aber da ist es auch egal, welcher Hersteller...

Zitat von erisel

Er kann auch erstmal kleiner anfangen, d.h. ohne Cloud Key und ohne UniFi PoE Switch. Es funktioniert auch prima ohne. Die PoE Injektoren sind im Lieferumfang dabei und zur Einrichtung kann die Controller Software auf einem Rechner laufen.

Nach der Einrichtung muss sie nicht dauerhaft laufen, die APs laufen autark mit den Einstellungen. Wenn man Specials wie VLANs oder die Anmeldung über ein Gästeportal nicht braucht, ist der Cloud Key nicht notwendig. Ein Gast WLAN mit Grundfunktionen geht auch so.

Da bin ich komplett bei dir.

Man muss nicht immer in neues Gebiet eintauchen und gleich von 0 auf 100 alles mitnehmen.
Für ein Standard-WLAN-Gedöns reichen die Injektoren und die AP's. Den Cloudkey würde ich auch nicht kaufen. Die Software wie oben schon geschrieben einfach auf 'nem PC starten. Man kann mit der Zeit immer noch neue Komponenten kaufen.

Gut zu wissen!

Bei mir hat einer der AP's mal von heut' auf morgen komplett rumgesponnen und genau die selben Symptome gezeigt wie bei dir.

Bei mir was es tatsächlich das Patchkabel zum AP bzw. dessen Stecker. Den hab ich abgekniffen und einen neuen draufgecrimpt - läuft bislang.

Zitat von alex

Hallo,

Wenn Du keine IP bekommst, aber den DHCP richtig eingestellt hast würde ich jetzt zusammen mit meiner Glaskugel auf ein Fehler im vlan tippen. Vielleicht ein Uplink vergessen zu taggen ?

Genau dahin geht auch meine Vermutung. Ohne Screens wird das aber nur ein lustiges Ratespiel.

Die Kameras sind der Hammer - ich find das echt genial mit dieser Einbauvariante.

Schön hast Du es zuhause. Die Verkabelung am Switch würde mich aber wahnsinnig machen - ist mir persönlich zu schmuddelig

Und wenn die besseren Hälften nicht wären, wären wir wohl alle schon pleite, hätten aber eine Überwachung wie ein Hochsicherheitstrakt.

Der DNS ist solange uninteressant, bis per DHCP auch eine IP kommt. Wenn ich keine IP zugewiesen bekomme, bekomme ich auch keinen DNS zugewiesen.

Ich hatte auch schon ähnliche Probleme, ich erinnere mich schwach

Wenn Du mit ein paar Screenshots deiner Config um die Ecke kommst, kann Dir wohl geholfen werden.

Zitat von Tha.Piranha

Weiss jetzt nicht der genaue Wortlaut, aber es gibt eine Option aehnlich wie 'fuer aeltere Geraete',... also etwas fuer Geraete welche mit den neueren Wi-Fi's nicht mehr koennen. Wenn man das deaktiviert hat das Wi-Fi etwas mehr Schub/Leistung.

Ich denke, du meinst Fast Roaming.

Man könnte sich auch mal etwas in IGMP einlesen, vielleicht hilft das weiter.

Ja, ist groß, hast Du Recht. Dass alle Hosts im selben Subnetz liegen, ist auch richtig.

Wenn ich allerdings sämtliche Ports mit "All" tagge, bringen mir die VLAN's auch nichts.

Scheinbar haben wir eine unterschiedliche Auffassung vom Nutzen von VLAN's.

Zitat von razor

Das ist doch arg groß für zu Hause. Außerdem liegen angegebenen LANs alle im selben Subnetz - ist irgendwie unnötig, wenn Du VLANs einsetzen solltest.

Das mit der 16er Maske scheint nicht richtig angekommen zu sein.

Wenn du ein Class-B Netz nutzt, brauchst du keine VLAN's mehr. Vorausgesetzt du willst die unterschiedlichen Netzwerke nur der Optik wegen. Was ich bei diesem Fall stark vermute, da wie schon erwähnt die Kommunikation zwischen den VLAN's in keinster Weise beeinträchtigt wird.

Btw ist eine 24er Mask immer noch "arg" groß für zuhause

Bei einigen VLAN's sollte man sich daher überlegen, ob man nicht höhere Masken vergibt.

Dass die Website nicht angezeigt wird, ist seltsam.

Der IE wäre jetzt nicht mal die kleinste Option für mich gewesen

Probiere doch mal den Firefox, Opera, Edge (den neuen!) oder was weiß ich. Aber doch bitte nicht den IE

VLAN's machen nur wirklich Sinn, wenn du sie mit der Firewall auch wirklich voneinander trennst.

Du verbindest dich mit deinem Handy mit deinem VLAN30. Dadurch, dass deine FW nichts! sperrt, kommst du überall hin, ins VLAN1, VLAN15. Das ist nicht Sinn der Sache. VLAN's baust du dir, damit du verschiedene Netze voneinander trennst. Und zwar komplett. Bei Ausnahmen wird der Zugriff mithilfe der Firewall genehmigt, ansonsten grundsätzlich geblockt.

Das gleiche hast du natürlich auch mit deinem VLAN40 (wenn du es nicht als Guest deklarierst).

Jeder, der zuhause in deinem WLAN rumschwirrt, kann theoretisch auch Unsinn in deinem LAN treiben, weil dein AP nämlich über das "All" Profil im Netzwerk baumelt.

Mir scheint das so, dass du mit deinen VLAN's eine schöne Übersicht bauen möchtest. Dafür könntest du aber besser ein Class-B-Netz aufbauen und deine Geräte in verschiedene Subnetze klatschen.
Router, Switch = 192.168.1.0/16

Server = 192.168.2.0/16

Drucker = 192.168.90.0/16

usw ...

Hast du mal getestet den Drucker ins VLAN30 zu packen?

Ok, klingt gut.

Mal abgesehen davon, dass du deine VLAN's scheinbar überhaupt nicht voneinander trennst. Aber das ist eine andere Geschichte.

Ich vermute stark, dass es AirPrint selber ist, der in seinem Netz nach Druckern sucht.

Dein WLAN hat z.B. 10.30.0.0/24 als Subnetz. Dann sucht AirPrint auch nur von 10.30.0.1-10.30.0.255.

Dein Drucker ist aber im M-LAN und hat 192.168.1.20/24.

Untagge deinen Drucker doch mal am Switch auf VLAN30. Alle anderen Netze Excluden.
Der Drucker sollte dann eine IP aus deinem WLAN-Bereich bekommen und dein AirPrint sollte ihn aufspüren.

Zitat von itstg

Wo genau muss ich die Regel eintragen, LAN Lokal oder? Und was muss ich genau frei geben (welche Ports)- sorry, bzgl. Firewall bin ich nicht sonderlich fit...

Wenn du in der Firewall noch nie was gemacht hast, ist auch die Kommunikation zwischen den VLAN's "Default Allow".
Somit wird das nicht dein Problem sein.

Mach mal den Test, zieh das Kabel ab und binde den Drucken auch ins WLAN.
Du versuchst mit deinem WLAN-Client auf dem Drucker zu drucken der sich in einem völlig anderen Netz befindet.
Ich weiß nicht zu 100% wie das Handy nach Druckern sucht, kann mir aber vorstellen, dass es nur den eigenen Subnetzbereich abgrast.

Dein VLAN-Tagging in den Switches stimmt aber?

Wieso nicht über OpenVPN?