Beiträge von Goetz

Hallo Anton,

manchmal kommt man nicht auf die einfachsten Ansätze. Die Kameras in Default zu lassen und den Rest umzuhängen. Dies werde ich so machen. Danke.

Feststellung am Rande: Das separate IoT-Netz werde ich aus Sicherheitsgründen sicherlich beibehalten und dies auch mit einem gleichnamigen VLAN verknüpfen. Ich musste allerdings feststellen, dass hier Sicherheit und Bequemlichkeit konkurrieren: Die Steuerung meiner IoT-Geräte erfolgt - sofern ich nicht die KNX-Controller einsetzen kann - meistens über das Handy. Hierfür muss ich dann immer wieder zwischen den verschiedenen Funknetzen umschalten. Oder kriege ich dies über die VLANs und passende Firewall-Regeln anders gelöst?

VG,

Götz

Hallo,

gleich eine 2. Frage in die Runde, getrennt von der ersten, da ein anderes Thema betreffend.

Nach der Inbetriebnahme meine Netzes (USM-SE, Switch USW-Pro-24, 2 Access Points U6 LR+, 5 Kameras (3 G5 Bullet, 1 G5 Flex, 1 G5 Pro), 1 Rasberry Pi 4 mit p-hole, 1 Timberwolf Smarthome-Server, verschiedenste Clients) hatte ich eine Zeitlang mit den Early-Access-Versionen von Ubiquiti gearbeitet. Dies schien erst ganz gut zu funktionieren, bis ich nach Investition von mehreren Arbeitstagen erkennen musste, das VPN-Zugriff auf mein Netz ausschließlich wegen einer Fehlfunktion der Unifi-Network-Anwendung nicht funktionierte. Aus Sicherheitsgründen habe ich dann das Netzwerk auf Basis des offiziellen Entwiclungszweiges komplett neu aufgesetzt. Dabei wollte ich dann mein Netzwerk - wie schon länger geplant - in verschiedene VLANs aufsplittern (Default, Gast, IoT, Kamera). Allerdings ist dabei irgend etwas tüchtig schief gegangen, so dass alle Kameras Offline gegangen sind. Weitere Details sind nicht so spannend, irgendwie habe ich dies wieder zum Laufen gebracht. Hilfreich war, das ich über ein Baugerüst gut an meine Kameras herangekommen bin und dort mehrere Resets durchführen konnte.

Diese Baugerüst wir (hoffentlich) in Kürze abgebaut, so dass ich vorher noch einen Versuch unternehmen möchte, mein Netzwerk zu konfigurieren. (Sonst komme ich nur noch schwer an die Kameras unter dem Dachüberstand für einen erneuten Reset heran.) Hierfür will ich erneut von 192-Adressbereich auf den 172er wechseln und die 4 VLANs einrichten. Ubiquiti hatte mir u.a. während der Lösungssuche zurückgeschrieben:

- In order for the cameras to reconnect to the UDM-SE, they need to be wired to the same VLAN as the console. Once they are online again, you can move them to another VLAN.

- If the VLAN is not tagged on the switch port during the VLAN assignment of the camera, then it is possible that the cameras would go offline or the cameras were offline when the VLAN assignment was done, you may face this issue.
- Also, regarding your query on assigning cameras to separate VLANs and then securing them via appropriate firewall rules, please ensure that the cameras and the consoles are on the same network

Leider bin ich mir nicht sicher, ob ich diese Hinweise richtig verstehe. Wie gehe ich in welcher Reihenfolge meine Umstellung an? Ich habe 4 Netzwerke (Default, GastNet, IoT und Kamera), an Default hängen 16 Clients, in IoT ebenfalls 16. Die Kameras (alle PoE direkt an die UDM-SE angeschlossen), sind noch im Default-Netzwerk. Ich könnte jetzt z.B. die Adressbereiche umstellen (die meisten der Clients sollten dies ja eine Neukonfugration mitmachen). Dies sollte keine Probleme versuchen. Aber wie brige ich zuverlässig die Kameras dann in Ihr (neu anzulegendes VLAN), ohne dass ich erneut diese ganzen Probleme bekomme.

Vielen Dank im Voraus,

Götz

Hallo,

in meinem Hausneubau habe ich mir einen 250er-DSL Anschluss bei 1&1 gegönnt, die mir auch eine echte IPV4-Adresse zur Verfügung stellen. Das Netz ist stabil und liefert auch nahezu die vereinbarte Bandbreite. Der Anschluss meiner UDM-SE erfolgt über ein Draytek Vigor 167. Eine ältere Firtzbox 7530 hängt hinter der UDM-SE und übernimmt nur noch die IP-Telefonie. Dies funktioniert inzwischen alles einwandfrei, ohne doppeltes NAT,etc. Insbesondere funktioniert auch die VPN-Einwahl in mein lokales Netz über Wireguard der UDM-SE und DynDNS-Service von IPV64.net.

Im Sinne von "Never touch a running system" sollte ich dies unverändert lassen. Allerdings bietet die Deutsche Telekom nun in meinem Wohngebiet Glasfaser an und obwohl ich derzeit nicht mehr Bandbreite brauche, wäre es ein Fehler einen Hausneubau wie den meinen nicht mit Glasfaser auszustatten (Zukunftssicherheit). Ich keine Anschlusskosten tragen, dafür allerdings für 2 Jahre einen Vertrag abschließen. Um eine echte IPV4-Adresse zu erhalten (keine feste) muss ich einen Geschäftskundentarif abschließen, mithin würde dies "Company Start" werden. Über die 2 Jahre Vertragsbindung entstehen dadurch verglichen mit meinem derzeitigen DSL-Anschluss natürlich Mehrkosten, aber nur wenige Hundert Euro. Dafür habe ich dann aber Glasfaser und könnte nach 2 Jahren auch ggf. wieder zurück wechseln, sollte ich mich dafür entscheiden.

Ich würde dies also machen, WENN ich trotz Glasfaser weiterhin meinen VPN-Zugriff auf mein Netz ohne Doppeltes-NAT, etc. behalte.

Daher die Frage in die Runde: Wie erreiche ich dies? Kann ich tatsächlich auf die Anschaffung eine separaten Glasfaser-Modems verzichten und mich über den Port 10, d.h. SFP 1 der UDM-SE direkt mit dem Glasfaser-Netz verbinden?

1) Wenn Ja: Was muss ich dabei beachten / wie gehe ich vor?

2) Wenn Nein: Was sind für dieses Szenario Eure Empfehlungen?

Götz