Beiträge von willy

Hallo Peterfido,

IPS Filter hatte ich bereits ebenfalls ausgeschaltet. Das hatte keine Auswirkung bei mir.

Als DNS-Server verwende ich Google (8.8.8.8 und 8.8.4.4 in der WAN Konfiguration). Ich hatte dort bereits Cloudflare 1.1.1.1 eingetragen. Muss ich hier etwas neustarten oder ziehen die sofort? Welchen DNS verwendest du denn?

Vielen Dank für deine Mühe! Vielleicht hat noch jemand eine Idee?!

Hallo maxim.webster,

ich versuche die Webseite normal über den Browser aufzurufen. Sowohl vom PC also auch vom Android-Phone ist es aus dem Netzwerk nicht möglich.

Hallo zusammen,

ich habe ein Problem mit einem Seitenaufruf aus meinem internen Netzwerk. Meinen Internetanschluss habe ich bei "Deutsche Glasfaser" und verwende direkt hinter meinem NT eine UDM Pro. Wenn ich nun versuche die Webseite https://ekom21.de aufzurufen, erhalte ich eine Fehlermeldung "400 Bad Request". Im Networktrace sieht das wie folgt aus:

1. Step ekom21.de

• Request Method: GET
• Status Code: 301 Moved Permanently
• Remote Address: 80.69.201.235:443

2. Step ekom21.de

• Request Method: GET
• Status Code: 303
• Remote Address: 80.69.201.63:443

3. Step 400.html?.....

• Request Method: GET
• Status Code: 400
• Remote Address: 80.69.201.63:443

Wenn ich das ganze per Hotspot mit meinem Telefon aufrufe funktioniert die Webseite:

1. Step ekom21.de

• Request Method: GET
• Status Code: 301 Moved Permanently
• Remote Address: [64:ff9b::5045:c9eb]:443

2. Step ekom21.de

• Request Method: GET
• Status Code: 200
• Remote Address: [64:ff9b::5045:c93f]:443

Folgende Dinge fallen auf:

1. Wenn ich per Hotspot auf die Seite zugreife, wird keine IPV4-, sondern eine IPV6-Adresse aufgerufen. Ich habe dazu in meiner UDM geschaut und gesehen, dass ich bisher nur IPV4 aktiviert hatte. Ich habe dann IPV6 aktiviert und über https://ipv6-test.com/ auch sichergestellt, dass IPV6 nun aktiviert ist. Das hat nichts geholfen.
2. Ich habe bei einem Bekannten angerufen, der auch einen Anschluss über "Deutsche Glasfaser" hat. Bei dem funktioniert der Zugriff ganz normal. Ich vermute daher, dass irgendetwas in meiner Netzwerkeinstellung nicht ganz richtig ist.

Hat jemand von euch einen Tipp wie ich hier am besten vorgehen kann oder sieht vielleicht schon jemand den Fehler, weshalb ein Aufruf nicht möglich ist? Vor ca. fünf Tagen ging alles noch wie gewohnt. An meiner Netzwerkkonfiguration habe ich in den letzten Wochen nichts verändert.

Grüße

Willy

Hallo und vielen Dank mal wieder für die ganzen Kommentare. Wie gewohnt findet ihr die Antworten nachfolgend in den einzelnen Zitatboxen.

Zitat von EJHome

Hi!

Beeindruckende Matrix.

Ich unterstelle, dass grüne Quadrate eine erlaubte Kommunikation repräsentiert.

Richtig.

Nun sollte die diagonale Reihe zumindest grau eingefärbt werden.

Es macht für mich keinen Sinn, dass die Lüftung eine Kommunikationsbeziehung mit sich selbst haben darf!

Tatsächlich hatte ich diese Darstellungsform in meiner ersten Version gewählt, die ich dann aber wieder gelöscht habe. In der nächsten Version werde ich diesen Gedanken aber auch visuell wieder so umsetzen.

Das setzt sich jedoch bei allen Geräten fort. Alle Geräte dürfen mit sich selbst Kommunikationsbeziehungen haben?

Macht das Sinn?

Korrekt. Hier müsste einfach die diagonale grau/schwarz eingefärbt werden.

Alle Kameras dürfen mit allen Kameras Kommunikationsbeziehungen aufbauen.

Macht das Sinn?

Tatsächlich ein sinnvoller Einwand. Es gibt aus meiner Sicht keine Funktionalität die eine Kommunikation unter den Kameras notwendig macht. Ein gutes Beispiel für eine solche notwendige Kommunikation ist die Gruppenschaltung einer Außenbeleuchtung. Wenn es beispielsweise mehrere Lampen mit eigenen Bewegungsmeldern auf der Terrassenseite eines Hauses gibt, sollen bei erkannter Bewegung einer Lampe alle anderen Lampen auch angeschaltet werden. Dies würde dann über eine Kommunikationsleitung zwischen den einzelnen Lampen ermöglicht werden.

Ich habe das natürlich im Grunde verstanden, aber ich möchte hier diese Gedanken an den Man bringen!

Ein Grund warum ich hier bin. Euer Input sehr wertvoll und kann hoffentlich nicht nur mir, sondern auch anderen Leuten, die vor diesem Thema stehen weiterhelfen. Dazu kann gerne dieser Thread dienen, aber mir kam auch schon die Idee am Ende - ein Ende wird es vielleicht nie geben, aber dann in einer späteren Phase des Projekts - alles etwas strukturierter in einem Wiki-Artikel zusammenzufassen. Dabei würde ich dann natürlich auf bestehende Wikiseiten, wie dein Firewallregeln verweisen. So wie es sich nun mal für ein Wiki gehört.

Gruß!

Alles anzeigen

Zitat von defcon

willy & @EJHome 

Die Kommunikationsmatrix kommt mir bekannt vor, jedoch aus einem anderen Gewerk...

Jedes Gerät muss erstmal mit sich selbst kommunizieren könne, ja s.o.

z.B. darf aber Smartphone1 die Lüftung, PV und Heizung abfragen oder steuern.

Bei der Matrix ist Luft nach oben aber der Grundgedanke passt - ich kann es mehr oder weniger nachvollziehen weil ich diese Art Matrix von einem anderen Gewerk kenne!

Bei dem Begriff Gewerk denke ich zwangsläufig an etwas aus dem handwerklichen oder bautechnischen Sektor. Welcher Bereich wäre das denn? Ich kenne es tatsächlich eher aus dem Bereich des Projektmanagements.

Alles anzeigen

Zitat von Samhain

Super!

Genauso war das gedacht und mein Ziel war, dass man sich über die Kommunikationsmatrix klar wird, welche Verbindungen zwingend realisiert werden müssen, dass sie weiterhin funktionieren. Deine Erkenntnisse sind sicherlich auch für viele andere hier eine wichtige Hilfe

Was derzeit noch unberücksichtigt bleibt sind funktionelle Probleme, wenn Systeme in unterschiedlichen VLANs platziert sind.

Ich mache mal ein Beispiel mit dem ich gerade kämpfe:

Die Datensicherung meiner MACs erfolgt im Wesentlichen über TimeMachine. Apple lässt es aber leider nicht zu, dass Quelle/Ziel (=MAC/TimeMachine Server od. Time Capsule) in unterschiedlichen VLANs platziert sind.

Sicherlich gibt es da noch mehr Abhängigkeiten bei Appliances bzw. gekapselten Systemen.

Auf diese Abhängigkeiten bin ich auch schon gestoßen. Aktuell habe ich meine provisorischen VLANs laufen, mit denen ich mich am Anfang beschäftigt habe. Dort konnte ich VLAN-übergreifend nicht direkt auf die Sonos-Speaker zugreifen, sondern erst nach Anpassung speziell für diese Geräte. Aktuell erreiche ich die Sonos-Speaker aber auch nicht mehr, obwohl ich nichts geändert habe. Darum kümmere ich mich dann aber, wenn ich soweit durch bin mit meiner Planung und wieder Hand am System anlege. Des Weiteren ist mir heute aufgefallen, dass ich meinen Fernseher nicht mehr über Airplay erreichen kann. Da wird wahrscheinlich auch noch eine Sondereinstellung (Stichwort spezielle Firewallregeln und/order mDNS Reflector) notwendig sein bzw. die Notwendigkeit bestehen ein VLAN für Smartphones, Fernseher und Sonos-Speaker zu erstellen. Das ganze werde ich aber auch dokumentieren.

Alles anzeigen

Zitat von petra92

ich würde eher mehr vlans anlegen ruhig auch für nur ein management gerät

wenn zuviel auf geräte ebene geregelt wird muss man bei gerätewechsel wieder individuell anpassen

wenn mit vlans gearbeitet wird muss das neue gerät nur dem passenden vlan zugeordnet werden und die regeln müssen nicht angefasst werden

Vielen Dank für deinen Kommentar. Das geht tatsächlich genau in die andere Richtung als ich es weiter oben beschrieben hatte. Das mit der veränderten Gerätelandschaft ist aber natürlich korrekt. Bei einem Berechtigungskonzept hängt man grundsätzlich auch keine Einzelberechtigungen an Personen/Geräte, sondern hängt diese an logische Gruppen die eher einer definierten und fixen Struktur entsprechen um genau dieses Problem zu unterbinden. Dabei hilft mir aber sehr stark die Kommunikationsmatrix, da ich gleiche Kommunikationsmuster unterschiedlicher Geräte erkennen kann.

Eine Anmerkung dazu sei mir noch gestattet. Wenn ich Regeln auf Geräteebene definiere, sprich für spezielle IPs, hätte ich kein Problem bei einem Wechsel des Geräts, sofern ich statische IP-Adressen vergeben habe. Dann müsste ich nur sicherstellen, dass mein neues Handy dieselbe IP-Adresse wie das Gerät davor hat, korrekt?

Außerdem darf ich die Limitierung der VLANs an APs nicht vergessen. Wie ich bereits gelernt habe, funktioniert das gut bei kabelgebundenen Geräten. Wenn ich nun aber viele Geräte am WLAN hängen habe, benötige ich pro VLAN eine SSID. Da ein AP aber nur vier SSIDs erzeugen kann, bin ich hier in der Anzahl der VLANs technisch limitiert. Ich denke daher, dass ich einen Mittelweg wählen muss, der genau für meinen Anwendungsfall passt.

Alles anzeigen

Zitat von EJHome

willy

Hi!

In der Auseinandersetzung mit Deinem Thema und Vorhaben, bin ich auf zwei für mich wichtige Schlussfolgerungen gestoßen, die ich Dir mitteilen möchte.

Ganz zu Beginn, hast Du den Willen geäußert, die Strukturen möglichst flach zu halten und angelehnt an das Pareto-Prinzip umzusetzen.

Mit dem oben zitierten Punkt 2. gehst Du es nun aus meiner Sicht gegenteilig an.

Die "Unterteilung und Aussteuerung der Kommunikation zwischen Geräten" durch "spezifische Firewall-Regeln pro Gerät" wird Dich sehr viel Aufwand (80%) kosten aber nur wenig (20%) des Gesamtprojektes ausmachen.

Zudem sind doch Regeln geltende Richtlinien für Bereiche oder Gruppen, nicht für einzelne Geräte.

Einzelne oder wenige Geräte werden von den Regeln ausgeschlossen oder es gelten andere Regeln für diese, weil sie sich in einer anderen Gruppe befinden.

Bitte verstehe meine Hinweise als Impuls nochmal über die grundsätzliche Herangehensweise nachzudenken.

Ich verletzte tatsächlich meine "Grundprinzipien" dahingehend, dass ich vorher von einer "kleinen" Lösung ohne extrem viel Aufwand ausgegangen bin, jetzt aber immer größer werde. Das hängt zum einen damit zusammen, dass ich sehr viel Spaß daran entwickle mich damit auseinanderzusetzen und extrem viel durch die Recherche und eure Anregungen lerne. Dadurch erhält das Projekt auch eine ganz neue Bewertung der für mich notwendigen Bestandteile. Vieles sind aber erstmal Gedankenexperimente, weil ich tatsächlich jeden Kommentar mit einfließen lasse und damit den Aufwand von euch wertschätzen möchte. Die Umsetzung wirkt daher vielleicht ziemlich ausufernd und das Vorgehen nicht ganz klar strukturiert. Das ist vor allem meiner Unwissenheit geschuldet.

Das weitere Vorgehen sieht so aus:

1. Überarbeitung der Kommunikationsmatrix

2. Ableiten logischer Gruppen meiner Geräte

3. Vorschlag über die Umsetzung von VLANs und Regeln.

4. Einfließen lassen von euern Kommentaren und tatsächlich anpassen meiner Landschaft um auch die Hände ans System zu bekommen. Hier werden - wie weiter oben schon genannt - bestimmt noch die ein oder anderen Stolpersteine auf mich warten. Ich könnte mich wahrscheinlich noch Monate konzeptionell damit beschäftigen, aber irgendwann muss man die Sachen auch mal angehen.

Gruß!

Alles anzeigen

Guten Abend zusammen,

vielen Dank nochmal für die ganzen Kommentare und Anregungen. Besonders an Samhain für die Idee mit der Kommunikationsmatrix. Ich habe mich soeben mit einem ersten Entwurf einer Kommunikationsmatrix beschäftigt. Den Stand möchte ich euch nicht vorenthalten.

ubiquiti-networks-forum.de/gallery/image/163/

Sie ist von links nach rechts zu lesen (wer hätte es gedacht. ). Zum Beispiel darf Tablet 1 mit der Heizung im Netzwerk kommunizieren. Die Heizung wiederum darf aber nicht von sich aus eine Verbindung zum Tablet 1 herstellen.

Habe ich den Aufbau der Kommunikationsmatrix aus eurer Sicht richtig verstanden und ist es so aufgebaut, wie ihr euch das vorgestellt habt?

Folgende Dinge wurden mir während der Erstellung der Kommunikationsmatrix deutlich, an die ich vorher nicht gedacht hatte:

1. Geräte lassen sich nicht nur einfach nach ihrem Typ gruppieren! Nur weil sie eine bestimmten Gruppe angehören, können sie individuelle Kommunikationswege innerhalb des Netzwerks haben. Zum Beispiel darf nur ein spezielles Smartphone auf die Haustechnik zugreifen, während ein anderes dies nicht darf.
2. Eine Unterteilung und Aussteuerung der Kommunikation zwischen Geräten nur durch VLANs ist nicht zielführend. Vom Gefühl her, würde ich tatsächlich weniger VLANs einrichten und dann spezifische Firewall-Regeln pro Gerät innerhalb dieser VLANs zuweisen. Hier ist mir aber noch nicht ganz klar wo ich den Schnitt mache. Das werde ich mir die nächsten Tage überlegen und dann meine Gedanken vorstellen.

DIe nächsten Schritte sind:

• Einarbeiten eurer Kommentare und Justierung der Kommunikationsmatrix
• Das verlinkte Video von Ronny1978 anschauen und das neu gewonnene Wissen mit in der Kommunikationsmatrix einfließen lassen. Dazu werde ich mir nochmal die Aufteilung der VLANs und die Firewallregeln überlegen. Zudem werde ich schauen wie ich diese Informationen vielleicht sogar in der Kommunikationsmatrix abbilden kann.

Einen guten Start ins Wochenende.

Hallo zusammen,

vielen Dank für eure ganzen und ausführlichen Antworten. Gerne möchte ich nachfolgend darauf eingehen. Ihr findet die Antworten in den jeweiligen Zitatboxen. Bitte dafür einfach aufklappen.

Zitat von EJHome

Hi!

So kann man beginnen, keine Frage!

Als Lektüre empfehle ich

Firewall-Regeln >Basis-Wissen< (EJ)

Super Artikel. Hat mir nochmal sehr gut weitergeholfen, vor allem im Bezug auf meine falsche Annahme erst die gesamte Kommunikation zwischen den VLANs zu verbieten und dann punktuell zu erlauben. Den Abarbeitungspfad habe ich nicht berücksichtigt.

Gruß!

Alles anzeigen

Zitat von EJHome

Grundsätzlich macht Deine Aufteilung sinn!

Der Backbone der UDM Pro hat eine max. Switch-Leistung von 1GBit!

Die Geräte die an dem 8-Port-Feld hängen teilen sich die Switch-Leistung. Keine gute Idee!

Ein sehr guter Hinweis. Für mich zur Einordnung: Es handelt sich beim Backplane um ein Bussystem, über den der gesamte Datenverkehr der 8 Ports geleitet wird. Dieser ist bei der UDM Pro auf 1GBit limitiert. Die SFP+ Ports hängen aber nicht an dem Bussystem, sondern haben vermutlich ein eigenes Bussystem?! Hier auch ein guter Beitrag bei dem das ganze mal untersucht wurde. (IMHO: Da frage ich mich wirklich, wieso solch eine Entscheidung bei einem Pro Produkt getroffen wurde)

In meinem speziellen Anwendungsfall habe ich da wahrscheinlich keine Einschränkung zu befürchten. Die Haustechnikgeräte benötigen kaum bis gar keine Bandbreite. Etwas entzerren und optimieren könnte ich das ganze wahrscheinlich, wenn ich die UDM Pro per SFP-Kabel mit dem Switch verbinde. Hierbei muss ich allerdings daran denken, den Port auf Link Speed 1 Gbps FDX zu stellen, da mein Switch nur SFP kann.

Bei den Firewall-Regeln musst Du auf die Reihenfolge achten.

Verbieten und dann erlauben, funktioniert nicht.

Erst erlauben und den Rest verbieten, so ist es richtig!

Danke. Das war gut in deinem Artikel von oben beschrieben.

Das mit dem VLAN Tagging musst Du Dir nochmal durchlesen.

Nachdem ich jetzt noch ein paar Artikel zu dem Thema gelesen habe, verstehe ich es so, dass mein Port der als Link zwischen UDM Pro und Switch verwendet wird als Tagged bezeichnet wird. Es wird also jedem Datenframe/Ethernetframe ein "Tag" mit der VLAN ID zugeordnet. Die Ports, an denen Clients hängen sind dann portbasiert und dementsprechend Untagged. Wenn mein Verständnis korrekt ist, müsste nach dieser Definition zusätzlich jeder Switch Port an dem ein AP mit mehreren SSIDS und VLANs hängt als Tagged definiert werden. Ist das richtig?

Switch-Port-Profile ist eher ein dritter oder vierter Schritt.

Switch-Port-Profile sind für mich dann dafür da, die einzelnen Ports überhaupt als Tagged definieren zu können, da ich hier unterschiedliche VLANs zu einem Tagged Network zusammenfassen kann. Standardmäßig gibt es das Switch-Port-Profile "All" was automatisch alle VLANs als ein Tagged Network zusammenfasst. Dieses Profil wird dann z. B. dem Link Port am Switch zugeordnet. Wenn jetzt meine Annahme von weiter oben richtig ist mit den APs, könnte ich dieses Profil ebenfalls dem Port am Switch zuordnen wo der AP angebunden ist. Wenn ich nun aber z. B. ein VLAN explizit nicht durch den AP verwenden möchte, muss ich mir selber ein Switch-Port-Profile anlegen, indem dieses spezifische VLAN exkludiert ist.

Ein WLAN wird immer an ein Subnetz oder VLAN gebunden.

Access Points sollen mehrere WLANs ausstrahlen, nicht ein WLAN soll mehrere VLANs haben (das ist von der Denkweise falsch)!

Grundsätzlich kann jeder Access Point vier WLANs ausstrahlen.

Danke. Die Angabe war mir nicht bekannt.

Zu LAN Local hast Du alles richtig zitiert! Den Ausführungen dort ist nichts hinzuzufügen.

Das mit den Sonos-Boxen ist etwas schwierig, aber Du hast es ja gelöst!

Ein Gastnetzwerk kann als "Corporate" erstellt werden. Es gibt jedoch auch die Auswahl Gast.

Das habe ich bewusst gemacht, weil ich hier etwas Freiheit haben wollte um die Firewall-Regeln selber definieren zu können. Ob das bei meinem Wissenstand sinnvoll ist, werden wir sehen. Ist ja zum Glück nur bei mir zu Hause und nicht in einem hochkritischen Bereich.

Ich empfehle eine Baustelle nach der anderen zu erledigen!

Gruß!

Alles anzeigen

Zitat von uboot21

hallo,

Ich habe es fast identisch. ich habe deine Gebäudetechnik nur NoT genannt (Network of Things im Gegensatz Internet of Things), die Geräte können untereinander kommunizieren, aber nur das IoT darf ins Internet, das NoT darf nur ins eigene VLAN und ins IoT
Ergänzend möchte ich nur erwähnen, im Managment VLAN habe ich nur die Infrastruktur, also Switch, Router, AP, etc. die Geräte wie PC, Tablet, Handy und so habe ich in einem VLAN Main, weil man will ja auch nicht das alle mit einem Rechner Zugriff auf die Infrastruktur haben. (Kinder zb)

Freut mich, dass es Personen gibt, die einen ähnlichen Ansatz haben. Leider wird das mit dem NoT-Netzwerk nicht funktionieren, da ich z. B. für die PV Anlage eine aktive Internetverbindung benötige, damit ich am Einspeisemanagement teilnehmen kann und die Wirkleistungsbegrenzung nicht fix auf 70% eingestellt werden musste. Welches Gerät verwendest du denn dann im Management VLAN um auf die Hardware zuzugreifen? Hast du da einen speziellen Client, der sich in dem VLAN befindet um auf die Management-Geräte wie Switch, Router, etc. zugreifen zu können oder wie hast du das gelöst?

Zitat von Samhain

Ich empfehle vor Inbetriebnahme erstmal eine Kommunikationsmatrix (WER muss mit WEM sprechen und zwar JETZT und in ZUKUNFT) zu erstellen.

Grundsätzlich ist der Denkansatz sicherlich möglich. Die Frage ist, ob die Philosophie bis zum Ende durchgehalten werden kann.

Ich mache mal ein paar Beispiele:

IoTs dürfen nicht ins Internet sprechen. KANN man machen. Spätestens dann, wenn man Updates machen möchte, dann wird's schon schwierig mit der Regel. Oder man arbeitet später mit Cloudlösungen, dann geht sowas so gar nicht bzw. erfordert aufwändige Proxytechniken.

Haustechnik darf nicht mit dem Rest sprechen. Spätestens dann, wenn man mit "Anwesenheiten" arbeitet (z.B. ist ein Samrtphone eingebucht, dann mache das Licht an), wird's auch an dieser Stelle schwierig.

Kurzum:

Eine gute Planung im Vorfeld ist sehr sehr wichtig und schon jetzt kann ich Dir sagen, dass ich den Anlauf auch schon ein paar Mal gemacht habe entsprechende Subnetze zu basteln. Dies scheitert dann oft an der Kommunikation/Funktionalität, weil irgendwas sich dann nicht umsetzen lässt.

Klar kann man alles irgendwie mit Firewall Regeln lösen. Die Frage ist nur, ist es diesen Aufwand wert und bleibt die Wartbarkeit / Fehlersuche dabei nicht auf der Strecke.

Mein Rat im PRIVATEN UMFELD:

Möglichst flache Strukturen und so wenig wie mögliche VLANs.

Danke für den Hinweis. Ich habe vor das ganze recht flach zu halten und in Anlehnung an das Pareto-Prinzip umzusetzen.

Btw.: Du kannst maximal 4 WLAN SSIDs an den APs einrichten. Das bitte als Rahmenbedingung beachten.

Auch dir danke für die Anmerkung. Das war mir wirklich nicht bewusst. Ich strebe aber auch hier so wenig wie möglich an, werde es aber auch nochmal genauer planen. Den Vorschlag mit der Kommunikationsmatrix schaue ich mir auch an!

Alles anzeigen

Hallo zusammen,

da ich nun etwas Zeit habe mich wieder meinem Netzwerk zu widmen, möchte ich gerne VLANs bei mir einrichten und würde gerne eure Ideen / Empfehlungen / Hinweise zu meiner Planung hören.

Die Hardware-Ausgangslage der UniFi-Produkte sieht so aus:

• 1x UDM PRO
• 1x UniFi Switch 24 PoE
• 2x UniFi AC Pro
• 1x UniFi Mesh Access Point
• 2x UniFi Protect G4-PRO Camera
• 1x UniFi Protect G3 FLEX Camera

Netzwerkgeräte im Haushalt sind u.a.

• Heizung
• Lüftungsanlage
• PV Anlage
• Mobile Geräte wie Tablets, Smartphones, Notebooks
• Desktop PC
• TV
• Sonos Speaker

Ziel ist es nun, dass ich gerne unterschiedliche Netze aufbauen möchte um die Kommunikation zwischen bestimmten Gruppen nicht zu ermöglichen. Ich möchte z. B. nicht, dass die Haustechnik mit dem Sonos Speaker oder anderen IoT-Geräten kommunizieren kann. Ich möchte allerdings, dass ich weiterhin von meinem Management VLAN mit allen Geräten kommunizieren kann.

Meine laienhafte Planung sieht wie folgt aus:

ubiquiti-networks-forum.de/gallery/image/159/

Ich plane fünf verschiedene VLANs

• Management VLAN 10 = Kann mit allen VLANs kommunizieren. Hierbei können die Geräte im kabelgebunden LAN, aber auch im WLAN sein.
• Gebäudetechnik VLAN 20 = Alle Geräte sind per LAN-Kabel direkt mit der UDM Pro verbunden
• Kamera VLAN 30 = Bisher sind alle Kameras kabelgebunden
• IoT VLAN 40 = Geräte teilweise kabelgebunden und auch im WLAN
• Gäste VLAN 50 = Nur mobile Geräte die im WLAN hängen

Meine Fragen bereits an dieser Stelle:

• Macht die Aufteilung Sinn? Ich möchte eine generelle Struktur etablieren, aber auch nicht übertreiben mit der Anzahl an unterschiedlichen VLANs. Vor allem im Hinblick darauf, dass ich nur einen Layer-2 Switch habe und das Routing damit komplett über die UDM Pro läuft. Auch wenn ich hier aufgrund der Datenmengen wahrscheinlich keine Probleme bekomme, oder?
• Gibt es hier Nachteile, dass die Geräte an der UDM Pro angeschlossen sind? Ich musste leider diesen Weg gehen, da am Switch fast alle Ports durch die Anschlüsse im Haus belegt sind. Die Zeichnung ist nur schematisch und zeigt nur die Gruppen der kabelgebundenen Geräte, aber nicht immer die tatsächliche Anzahl.

Was habe ich bereits umgesetzt bzw. gelernt habe. Über Hinweise ob ich alles richtig verstanden habe, bin ich sehr dankbar. Vielleicht hilft es auch anderen Teilnehmern in diesem Forum.

• Ich habe bisher mit den unterschiedlichen Einstellungen gespielt um das Prinzip der VLANs – hoffentlich – richtig zu verstehen. Das heißt, ich habe bereits einzelne VLANs zum Test erstellt und die Geräte eingebunden. Anschließend habe ich die Verbindung getestet, dass ich z. B. über mein Management VLAN auf die Geräte in anderen VLANs zugreifen kann. Das funktioniert auch soweit, wobei es u.a. bei dem Sonos Speaker anfangs Probleme gab, die ich aber nun in den Griff bekommen habe.
• Wichtig: Uplink Port zwischen UDM Pro und Switch das Port Profil All geben, damit darüber alle Daten der Tagged Networks übertragen werden können. Hier hatte ich erst das falsche Profil gesetzt und konnte meine Kameras nicht mehr erreichen, nachdem ich dem zugehörigen Port das VLAN 30 zugewiesen hatte
• Firewall
  • Gruppe erstellt für RFC1918 IP-Adressen
  • LAN IN Regeln
    • Block interVLAN routing à Quelle Gruppe RFC1918 zu Ziel Gruppe RFC1918 mit Action Block, damit erstmal jede Kommunikation zwischen den Netzen geblockt wird, außer ich erlaube es grundsätzlich
    • Allow management LAN to access all VLANS à Quelle Netzwerk LAN zu Ziel Gruppe RFC1918 mit Action Allow
• Switch Port Profiles dienen dazu den einzelnen Ports am Switch und der UDM mitzuteilen, welche VLANs sie übertragen. Hierbei handelt es sich um Tagged VLANs. Z. B. gebe ich dem Port an dem meine Kamera hängt das Switch Port Profile von VLAN 30
• Beim AP sieht das anscheinend so aus, dass ich einem Wireless Network nicht mehrere VLANs mitgeben kann, korrekt? Hier muss ich also pro VLAN ein eigenes WLAN erstellen. Ähnlich dem Gastnetzwerk. Wichtig ist dann nur, dass ich in einem Switch Port Profile die relevanten VLANs als Tagged Network zusammenfasse und dieses Profil dem Port an dem der AP hängt zuweise. Alternative wäre die Verwendung eines Radius Server, bei dem ich nur eine SSID benötige und über den Radius Server die Geräte/Benutzer dem korrekten VLAN zugeordnet werden. Korrekt?
• Wie handhabt ihr das mit WLANs die unterschiedliche VLANs haben sollen. Je weniger aktive WLANs ich hier habe, desto besser ist das doch für meine Frequenzen, damit diese sich nicht untereinander stören. Gibt es hier eine andere Möglichkeit das auszusteuern?
• Was hat es mit dem Bereich LAN LOCAL auf sich? Ich verstehe leider nicht wann oder wofür dort Regeln gepflegt werden sollten. Aus der offiziellen Hilfe kann ich mir leider nichts genaueres vorstellen.
  • For example, firewall rules configured under LAN In will apply to traffic from the LAN (Corporate) network, destined for other networks. Firewall rules configured under LAN Local will apply to traffic from the LAN (Corporate) network, destined for the UDM/USG itself.
• Die Sonos Boxen konnte ich nach der Einstellung des VLANs nur mit folgendem Hinweis finden: VLAN inter-accessibility for MultiCast devices (SONOS/Chromecast/Airtame/etc)
  • Controller - Settings - Services - MDNS - Set Enable Multicast DNS to ON
  • Controller - Settings - Networks -> Edit LAN and WLAN networks each -> Tick Enable IGMP Snooping (Box checked)
• Das Gästenetzwerk basiert auch auf einem Corporate Network. Ich habe außerdem eine spezielle Benutzergruppe erstellt, damit die Bandbreite für Gäste im Up- und Download reduziert ist.

Ich hoffe, dass meine Ausführungen und Ziele verständlich sind. Ich bin noch ein Laie was Netzwerktechnik angeht, möchte mich aber gerne verstärkt damit beschäftigen und das ganze besser verstehen. Genau deswegen habe ich mich auch für die dargestellte Kombination der Hardware entschieden. Jetzt freue ich mich aber auf jegliche Art von Rückmeldungen.

Hallo zusammen,

Danke für eure Antworten. Das heißt aber, dass ich den Mesh ebenfalls mit per Netzwerkkabel verbinden kann ohne das er eine Verbindung zu dem Wlan im Haus hat?

Viele Grüße

Hallo zusammen,

ich suche für meine Garage einen geeigneten AP. Aktuell betreibe ich im Haus zwei AC Pro mit denen ich sehr zufrieden bin. Da aber in die Garage noch eine Werkbank kommt und WLAN für das HomeKit-fähige Garagentor vorhanden sein soll, möchte ich dort gerne einen AP installieren. Es gibt in der Garage eine Netzwerkdose die ich dafür verwenden kann. Da es sich allerdings um eine "kalte" Garage handelt ohne Dämmung handelt, war ich etwas skeptisch ob ich dort ebenfalls einen AC Pro verwenden sollte und bin bei dem UniFi AC Mesh gelandet, da dieser outdoorfähig ist und ein breiteres Temperaturspektrum besitzt. Hier stelle ich mir nur die Frage ob der Ethernet-Port nur für die PoE Stromversorgung gedacht ist oder auch hierüber das Internet an den AC Mesh von meinem Switch übertragen werden kann. Hintergrund ist nämlich der, dass ich aus der Garage kein Wlan-Signal aus dem Haus habe. Wie würdet ihr vorgehen? Welches Produkt würdet ihr denn verwenden?

Viele Grüße

oppen30

Im WAN Network habe ich deine Einstellungen eingetragen. Zusätzlich muss ich bei der "Deutsche Glasfaser" aber auch in dem LAN Network folgende Einstellungen wie folgt setzen, damit es funktioniert, oder? Der https://ipv6-test.com/ war zumindest erfolgreich. Gibt es bei den Einstellungen denn aber irgendetwas aus sicherheitskritischen Aspekten zu berücksichtigen?

Viele Grüße

Hallo iTweek,

verstanden, vielen Dank für die schnelle Antwort. Dann habe ich wohl einfach zu kompliziert gedacht. Das scheint dann einfach die "einfachere" und vielleicht sogar modernere Lösung für die ISPs zu sein. Die Modems sind bereits vorkonfiguriert und die Anwender müssen nur noch Ihre Router dahinter anschließen ohne hier mit Zugangsdaten jonglieren zu müssen.

Übrigens hatte ich nach dem Firmware Update meines Switches (USW-24-POE-EU) Probleme mit dem eingebauten Display. Trotz erfolgreichem Update wurde hier nichts mehr angezeigt und das Display hat auf Eingaben nicht mehr reagiert. Das scheint auch bei einigen anderen Beteiligten für Verwirrung gesorgt zu haben (Link zum Unifi Forum). Bei mir hat ein Neustart mit anschließendem Warten geholfen. Nach ca. 15 Minuten ging das Display auch wieder.

Bei den UniFi-Produkten scheint die Komponente Zeit und Geduld häufig eine Rolle bei einer möglichen Problemlösung zu spielen.

oppen30

Ich sehe in deinem Screenshot bei der IPv6 Aktivierung, dass du die "Prefix Delegation Size" auf 56 gestellt hast. Ich finde diesen Wert auch immer wieder in Foren zu den Anschlüssen von "Deutsche Glasfaser", frage mich aber wo ich offiziell diese Information herbekomme. Ich nehme an, dass diese Einstellung dann auch für meinen Anschluss verwendet werden kann. Laut UniFi müsste man diesen Wert bei dem ISP erfragen (Link zur offiziellen Hilfeseite)

Viele Grüße

Guten Abend,

ich hätte eine grundsätzliche Frage zur Netzwerktechnik, die mir bei der Einrichtung der UDM Pro gekommen ist. Vielleicht kann mir jemand die Unterschiede bzw. auch Nachteile zwischen den beiden Verbindungseinstellungen DHCP und PPPoE im Zusammenhang mit der UDM Pro erklären?

Ich verstehe es so, dass DHCP und PPPoE nicht direkt miteinander verglichen werden können, weil sie nicht verwandt sind. PPPoE beschreibt eine Methode um sich mit dem ISP durch Benutzername/Passwort zu verbinden. DHCP ist ein Protokoll zum Abrufen/Verteilen von IP-Adressen. Was bedeutet das für meine UDM Pro die im DHCP Modus läuft? Welche Einschränkungen habe ich dadurch? Welche Freiheiten gebe ich auf und wäre es sinnvoll beim ISP anzufragen ob man auch die Möglichkeit hat Zugangsdaten für eine PPPoE-Verbindung zu erhalten? Welche Aufgabe übernimmt das Nokia NT jetzt durch dei Einstellung "DHCP" an der UDM Pro zur Internetverbindung?

Entschuldigt bitte diese Anfängerfragen, aber mir fehlt hier glaube ich grundlegendes Wissen, das ich mir aber gerne aneignen möchte.

Viele Grüße

Weitere Fragen werden mit Sicherheit kommen.

Die Anbindung der UDM Pro an den USW-24-POE funktioniert ebenfalls mit dem Kabel das iTweek genannt hat (Link zum SFP+ Kabel). Aufgrund neuerer Firmwares hatte ich zwar gehofft, dass der Switch bereits mit dem Standardprofil am SFP+ Port erkannt wird, was aber leider nicht der Fall war. Dementsprechend habe ich ein neues Profile für den SFP Port angelegt mit der Einstellung Link Speed "1 Gbps FDX" statt "Autonegotiation". Jetzt funktioniert auch diese Verbindung.

Viele Grüße

Hallo zusammen,

vielen Dank für die Hinweise. Ich hatte die UDM Pro bereits auf Werkseinstellungen zurückgesetzt und den NT ebenfalls zurückgesetzt. Nachdem ich nun beim Mittagessen war und wiederkam, hat auf einmal alles funktioniert mit den DHCP Einstellungen ohne VLAN-ID. Falls noch jemand die Probleme haben sollte, einfach ein bisschen warten.

Viele Grüße

Hallo zusammen,

ich habe nun meine Hardware erhalten und alles angeschlossen. Leider erhält die UDM Pro keine Internetverbindung. Die UDM Pro ist per Ethernet-Kabel mit dem NT an dem WAN-Anschluss verbunden. Wenn ich nun DHCP auswähle, bekommt die UDM Pro allerdings keine Internetverbindung. Zum Test habe ich nochmal meine Fritzbox an dem NT angeschlossen. Diese funktioniert ohne Probleme. Hat hier vielleicht jemand einen Tipp oder Erfahrungen mit den Problemen?

Viele Grüße

Hallo zusammen,

entschuldigt, aber mein Plan war vielleicht nicht gut genug dargestellt. Die beiden Geräte (UDMP und UniFi Switch) werden in einem Rack untereinander verbaut sein. Die Verbindung zwischen SFP+ (UDMP) und SFP (UniFi Switch) möchte ich verwenden, da ich bereits alle RJ45 Ports (sowohl an dem UDMP als auch dem UniFi Switch) verplant habe. Ich benötige diesen Port daher einfach nur um die beiden Geräte miteinander zu verbinden.

Hallo hommes,

das hört sich sehr gut an!

Welche Kabel/Adapter würdet ihr denn für die Verbindung zwischen UDMP und dem UniFi USW-24-POE (Gen2 - nur SFP) verwenden?

Was haltet ihr hiervon:

• Ubiquiti UFiber - UF-MM-1G - 2er Pack
• Ubiquiti UniFi ODN-Kabel 0,5 Meter - UOC-0.5

Mir würde auch folgende Variante per RJ45 über die SFP Adapter ausreichen, allerdings befürchte ich, dass diese Verbindung nicht funktionieren wird. Hat hier jemand Erfahrung?

• Ubiquiti UniFi Direct Attach Copper Cable - 1 Meter

Grüße

Hallo iTweek,

Danke für die Antwort. Von der Deutschen Glasfaser habe ich leider keine PPPoE Zugangsdaten, daher werde ich die UDMP per DHCP an den Nokia NT hängen. Kannst du mir ggf. ein Kabel/Adapter empfehlen, mit dem ich die UDMP (SFP+) mit dem UniFi USW-24-POE (Gen2 - nur SFP) verbinden kann (im Hinblick auf ein Heimnetzwerk)? Ich dachte ggf. an so einen Adapter: 10Gtek für Ubiquiti 1G SFP RJ45 Modul UF-RJ45-1G

Muss ich hier dann zwei Stück kaufen und kann die jeweils in der UDMP und dem Switch verwenden um diese mit einem RJ45 Kabel zu verbinden?

Anscheinend muss man hier genau aufpassen, welches Kabel/Adapter man nimmt. Da ich damit noch keine Erfahrung habe, schreibe ich vorsichtshalber nochmal hier. Ich hatte allerdings gelesen, dass man anscheinend den SFP+ Port an der UDMP manuell auf 1GB herunterstellen muss, weil es sonst nicht funktioniert. Die Berichte im Internet sind aber teilweise schon älter. Vielleicht funktioniert das ja bisher auch im Auto-Modus.

Eine Verbindung per RJ45 wird wahrscheinlich nicht möglich sein, da alle Ports nach aktueller Planung benötigt werden.

Grüße

Hallo zusammen,

ich plane aktuell eine UDM Pro anzuschaffen und diese in mein Netzwerk zu integrieren. Leider bin ich mir bei der geplanten Lösung unschlüssig ob das so funktioniert, wie ich es mir vorstelle. Mein Internetanschluss beziehe ich von der "Deutsche Glasfaser". Diese hat mit neben einem HÜP auch einen NT (Nokia G-010G-P) zur Verfügung gestellt. Bisher ist dort eine Fritzbox 7490 in dem Modus "„Anschluss an externes Modem oder Router" angeschlossen und die weitere Verteilung findet über einen D-Link Switch statt. Wenn ich nun die UDM Pro und einen Unifi Switch kaufe, stelle ich mir aktuell vor, dass die Verkablung wie folgt aussieht:

• NT (Nokia G-010G-P) -> UDM Pro -> (Verbindung über SFP) Switch -> Fritzbox (für DECT Funktionalität. Wobei ich diese auch an die UDM Pro anschließen könnte)

Ist diese Reihenfolge korrekt und kann die UDM Pro als Router direkt hinter dem NT genutzt werden oder muss ich weiterhin die Fritzbox dort verwenden? Hat es Nachteile, wenn weiterhin die Fritzbox direkt am NT hängt?

Grüße und Danke!