Firewall, Switch + Wifi für Umbau

[Hypoferalcus]

Ein Subnetz ist ein Subnetz und es ist nicht wirklich vorgesehen, dass man darin verschiedene Berechtigungsebenen einführt.

Ok - da hatte ich dann tatsächlich eine falsche Vorstellung.
Da es in der Zyxel-Oberfläche die Möglichkeit gibt, ganz konkrete Adress-Ranges (unabhängig von VLAN/subnets) mit Regeln zu begrenzen wollte ich diese Möglichkeit auch nutzen (z.B. um eben die "WLAN-Waage" davon abzuhalten, auf meinen Server zuzugreifen)
Dass dies besser über VLANs zu regeln wäre, klingt natürlich logisch - ich habe mich davor aber immer etwas gescheut

Verschiedene Stufen der Zugriffsmöglichkeiten realisiert man daher eben gerade mit verschiedenen VLANs, wobei aber jedes VLAN eine eigene Berechtigungsstufe darstellt, mit weitestgehend allen Teilnehmern in diesem VLAN. So baut man beispielsweise ein VLAN für ein Büro, ein Gästezimmer, eine Werkstatt und so weiter und definiert innerhalb der Firewall Regeln welches Netz wie und wo auf welches Netz zugreifen darf, aber nicht innerhalb des jeweiligen VLANs.

Ich hatte bisher immer Schwierigkeiten, Subnets und VLANs untereinander erreichbar zu machen - aber vermutlich ist es keine Hexerei mehr, wenn man einmal weiß wie es geht.

VLAN für die Werkstatt anlegen, über den Trunk-Port zum Switch schicken (optional über einen zweiten Uplink), am Switch einem Port dieses VLAN als untagged zuweisen, Kabel in die Werkstatt einstöpseln, Firewall konfigurieren und Zugriffe von Werkstatt-VLAN ins Haupt-VLAN und umgekehrt reglementieren.

Meinst du in diesem Fall wirklich "über den Trunk-Port zum Switch schicken"? Oder müsste das Firewall heißen? Wenn ich es richtig verstehe, dann konfiguriere ich am Switch die verschiedenen VLANs auf Ebene der einzelnen Anschlüsse - richtig?
Also der Anschluss für die Werkstatt bekommt VLAN "A", die drei Anschlüsse für Außenkameras VLAN "B" jeweils als "untagged" - und das "Gäste-WLAN" würde dann als "tagged" VLAN über die Ports der APs in den Switch kommen - stimmt das soweit?
Und dann müsste doch der Switch jede Anfrage, die von einem VLAN in ein anderes geht grundsätzlich zur Firewall schicken, die dann über ihre Regeln entscheidet, welche Zugriffe erlaubt sind.
Habe ich das richtig verstanden?

Ich weiß nicht wie deine Kenntnisse sind, aber das musst du dir auf jeden Fall gut überlegen. Tutorials enthalten oftmals auch Fehler bzw. sind unvollständig oder für das falsche Szenario.

Meine Kenntnisse sind hauptsächlich selbst angelernt - ich beschäftige mich zwar schon seit sicher 20 Jahren mit Netzwerken und IT im allgemeinen - aber natürlich immer als "Halb-Laie" - mir fehlt oft das "große Bild", also die Zusammenhänge zwischen den verschiedenen Themen.
Hast du da irgend einen Tipp für eine gute Übersicht über das Thema, die möglichst nicht falsch oder lückenhaft ist?

Ist das vielleicht der Grund warum es eine Firewall für 1000€ werden soll? Weil die mehr Ports hat, die du so konfigurieren kannst?

Es ist nicht der Grund, warum ich eine Zyxel VPN will (wie erwähnt habe ich da schon ein paar und möchte nicht noch ein System). Aber es ist schon ein wenig der Grund, warum ich nicht nur die zB VPN 100 nehme, ja

Warum müssen die drei Computer dann im gleichen Subnetz liegen?

Weil ich mich bisher davor gescheut habe, verschiedene Subnetze anzulegen, da ich dann immer Schwierigkeiten hatte, den Zugriff zu Gewährleisten.
Laienhaft ausgedrückt: Solange alle Geräte im Bereich 192.168.100.X waren und in der Firewall in der gleichen Gruppe waren, war der Zugriff ok. Sobald ich zB den Fileserver dann ins "Ethernet 2" umgesteckt habe und zB auf 192.168.101.X war hatte ich keine Chance mehr, drauf zuzugreifen. Da fehlte mir bisher offenbar das Wissen dazu

Sorry, wenn das für euch vermutlich alles klingt, wie ein Affe, der Motorradfahren lernen will - aber es fasziniert mich extrem und ich glaube ich bin schon sehr weit gekommen und bin gerne bereit, mir weiteres Wissen anzueignen.

 

[0-8-15 User]

Und dann müsste doch der Switch jede Anfrage, die von einem VLAN in ein anderes geht grundsätzlich zur Firewall schicken, die dann über ihre Regeln entscheidet, welche Zugriffe erlaubt sind.

Korrekt, sofern es kein Layer-3-Switch mit aktiviertem Inter-VLAN Routing ist.

hatte ich keine Chance mehr, drauf zuzugreifen

Standardmäßig erst mal alles zu Blockieren ist ja durchaus der Sinn einer Firewall.

Da fehlte mir bisher offenbar das Wissen dazu

Dann fehlt aber absolut grundlegendes Wissen.

 

[Raijin]

Ich hatte bisher immer Schwierigkeiten, Subnets und VLANs untereinander erreichbar zu machen - aber vermutlich ist es keine Hexerei mehr, wenn man einmal weiß wie es geht.

Das ist eine Frage des Routing. Prinzipiell routet jeder Router, der dazu in der Lage ist, mehrere Netzwerke/Subnetze/VLANs zu verwalten, ab Werk auch alles überall hin. Dafür ist die Routing-Tabelle im Router entscheidend. Jedes Gerät im Netzwerk hat so eine Tabelle, auch der PC. Unter Windows abzurufen mit "route print". Sobald ein Router oder eben eine HW-Firewall (ist so gesehen dasselbe) an zB 3 Schnittstellen jeweils eine IP aus dem dortigen Subnetz hat, wird geroutet. Erst dann, wenn in den Firewall-Regeln definiert ist, dass Subnetz x nicht mit Subnetz y reden darf, wird etwas blockiert. Das kann auch durchaus standardmäßig so blockiert sein.

Aber: Das ist nur die halbe Miete. Eine Netzwerkverbindung wird ja nicht durch den Router/Firewall allein definiert. Einerseits muss die Verbindung beim Sender in dessen systemeigener Firewall bei den ausgehenden Regeln erlaubt sein und andererseits muss die Verbindung beim Empfänger in dessen systemeigener Firewall bei den eingehenden Regeln ebenfalls zugelassen werden. Windows blockt beispielsweise standardmäßig in den eingehenden Regeln ALLES ab, was von einer unbekannten IP-Adresse kommt, also aus dem WWW oder einem Subnetz, das sich irgendwo hinter dem Router befindet. Wenn du Verbindungsprobleme hattest, kann das durchaus die Ursache gewesen sein, weil man sowas in der Windows-Firewall des Ziels erst freischalten müsste.

Meinst du in diesem Fall wirklich "über den Trunk-Port zum Switch schicken"? Oder müsste das Firewall heißen? Wenn ich es richtig verstehe, dann konfiguriere ich am Switch die verschiedenen VLANs auf Ebene der einzelnen Anschlüsse - richtig?

Nein. Es gibt zwei Formen von VLANs:

portbasiert --> Der Switch wird virtuell in mehrere Teile geteilt, aus einem 24er Switch werden zB 3x 8er Switches
802.3Q --> Hier wird mit VLAN-Tags gearbeitet. Dadurch kann man mehrere VLANs innerhalb eines Ports bzw Kabels weiterschicken

Ein Trunk-Port enthält in der Regel alle VLAN-Tags. Das muss auf beiden Seiten der Verbindung konfiguriert werden, am Port an der Firewall und am Port des Switches.

Sorry, wenn das für euch vermutlich alles klingt, wie ein Affe, der Motorradfahren lernen will - aber es fasziniert mich extrem und ich glaube ich bin schon sehr weit gekommen und bin gerne bereit, mir weiteres Wissen anzueignen.

Hm.. Ohne dir auf den Schlips treten zu wollen: Das klingt eher so als wenn der Affe die Motorradfabrik bauen möchte.

Das Themenfeld "Netzwerk" ist derart groß, dass das was man von Fritzbox und Co kennt, nicht mal 5% abdeckt. Es reicht einfach nicht aus, einfach eine teure HW-Firewall auf den Anwendungsfall zu werfen, wenn man sie nicht konfigurieren kann und auch das Hintergrundwissen dazu fehlt. Man kann vieles lernen, ja, aber ein IT-Admin, der sich mit sowas beschäftigt, hat nicht ohne Grund eine Ausbildung oder gar ein Studium hinter sich. Es reicht eben nicht, einfach nur ein Tutorial nachzuklicken, weil man auch wissen muss warum man dies und das nu anklickt und was dabei passiert. Weiß man das nicht, sind Fehlkonfigurationen vorprogrammiert und das kann bei einem Gerät, das explizit für die Sicherheit verantwortlich ist, entsprechend fatal sein!

Fehlt dir dieses KnowHow, ist dein Vorhaben um ehrlich zu sein fast schon zum Scheitern verurteilt. Du wirst die Funktionen der Zywall nicht nutzen können, weil du gar nicht weißt was wieso und warum und am Ende hast du 1000€ für einen VPN-Server ausgegeben, weil das Ding sonst in 08/15 Konfiguration läuft.

Versteh mich bitte nicht falsch, aber ich versuche nur, dir klarzumachen, dass da eben deutlich mehr dahintersteckt. Anleitungen, Tutorials oder auch ein fachkundiges Forum können kein KnowHow ersetzen, sondern nur Hilfestellung leisten.

*edit
Warum schafft @0-8-15 User es eigentlich immer, mir ein schlechtes Gewissen zu verpassen, weil er meinen Roman immer in 3 Zeilen zusammenfasst... Ich erkläre einfach immer zu viel

 

[Hypoferalcus]

Fehlt dir dieses KnowHow, ist dein Vorhaben um ehrlich zu sein fast schon zum Scheitern verurteilt. Du wirst die Funktionen der Zywall nicht nutzen können, weil du gar nicht weißt was wieso und warum und am Ende hast du 1000€ für einen VPN-Server ausgegeben, weil das Ding sonst in 08/15 Konfiguration läuft.

Aber was wäre denn dann die Alternative? 5 offene Scheunentore am Grundstück, weil jeder, der die Kamera in der Garage abstöpselt und einen Laptop anschließt sofort im dann völlig "unmanaged" einzigen LAN ist und dann Zugriff auf alle Geräte incl. Server und Alarmanlage hat?

 

[Raijin]

Das kann man schon machen, aber dafür brauchst du eben keine 1000€ auszugeben. Klar, ist deine Kohle, aber das ist wie mit einer Haubitze auf Mücken zu schießen. Sowas lässt sich ganz banal mit einem 50€ EdgeRouter-X erledigen - oder eben mit einer der kleineren Zywalls.

Die Zywall an sich ist natürlich trotzdem durchaus legitim, weil du ja argumentiert hast, dass auf der Gegenseite des VPNs ebenfalls Zywalls laufen und du dich damit zumindest mit der VPN-Funktion auskennst. Ich würde dann aber tatsächlich das kleinste Modell wählen, das den Job erledigen kann. Genau genommen ist es aber sogar so, dass Zywall, Sophos, pfSense und auch Cisco, FortiNet und wie sie alle heißen, unter der Haube nichts anderes machen als einen OpenVPN-, Wireguard- oder IPsec-Tunnel aufzubauen, den man mit den korrekten Einstellungen auch mit anderen Clients verbinden kann. Wäre ja auch ziemlich blöd, wenn sie alle das Rad neu erfinden und ihr eigenes VPN-Protokoll entwickeln

Ich will dich daher nicht auf Teufel komm raus von der Zywall abbringen, aber ich halte die Haubitze einfach für maßlos übertrieben. Das Ding ist immerhin für 300 - in Worten Dreihundert - VPN-Clients ausgelegt, damit kannst du eine mittelständisches Unternehmen mit HomeOffice versorgen.

Was die Konfiguration angeht, solltest du zumindest vorerst kleine Brötchen backen bis du ein Gefühl dafür entwickelt hast und eben auch das eine oder andere dazugelernt hast
Heißt: Erstmal ohne VLANs, etc. alles so einrichten wie es sein soll, dann zB die Kamera in ein eigenes VLAN packen, Zugriffsbeschränkungen konfigurieren und wenn das dann erstmal ne Weile läuft, kannst du dich an ein zusätzliches Gastnetzwerk machen. Versuch einfach, nicht alles auf einmal zu machen, weil dann hast du ein Dutzend offene Baustellen und am Ende funktioniert gar nichts mehr...

 

[Hypoferalcus]

Was die Konfiguration angeht, solltest du zumindest vorerst kleine Brötchen backen bis du ein Gefühl dafür entwickelt hast und eben auch das eine oder andere dazugelernt hast
Heißt: Erstmal ohne VLANs, etc. alles so einrichten wie es sein soll, dann zB die Kamera in ein eigenes VLAN packen, Zugriffsbeschränkungen konfigurieren und wenn das dann erstmal ne Weile läuft, kannst du dich an ein zusätzliches Gastnetzwerk machen. Versuch einfach, nicht alles auf einmal zu machen, weil dann hast du ein Dutzend offene Baustellen und am Ende funktioniert gar nichts mehr...

Danke - diesen Rat werde ich gerne beherzigen - vllt. lernt der Affe ja doch noch, eine Fabrik zu bauen - oder zumindest zu fahren ;-)

D.h. mit einer evtl. kleineren VPN-Firewall und den genannten Zyxel-APs bin ich dann schon soweit gut aufgestellt?
Mir ging es ja vor allem auch um ein möglichst gut integriertes Wifi System - da wird wohl das "hauseigene" sinnvoll sein?

Danke jedenfalls für eure Geduld und Hilfe!

 

[Raijin]

Mir ging es ja vor allem auch um ein möglichst gut integriertes Wifi System - da wird wohl das "hauseigene" sinnvoll sein?

Das ist jetzt eine Frage der Definition. Was ist für dich denn "möglichst gut integriert"?

Alle WLAN-Systeme bzw. APs, die mit VLANs umgehen können, sind auch für jedes x-beliebige VLAN-fähige Netzwerk geeignet. Es spielt keine Rolle ob der Router von Zyxel ist, der VLAN-fähige Switch von Netgear und die APs von MikroTik. VLAN ist VLAN und die GUI zum Konfigurieren sieht maximal etwas anders aus, aber VLANs sind standardisiert (802.3Q) und herstellerübergreifend kompatibel.

Klar, es gibt allumfassende Systeme wie Unifi von Ubiquiti, bei denen alle Komponenten der Serie in ein und derselben Software zentral konfiguriert werden. Das kommt aber erst dann wirklich zum Tragen, wenn man wirklich viele dieser Geräte hat, weil sowas extrem gut skaliert. VLANs einmal konfigurieren und dann bei 100 APs mit wenigen Klicks einfach nur noch aktivieren anstatt sich auf 100 APs einzeln einzuloggen. Und ich übertreibe nicht, wenn ich von 100 APs spreche. Bei 2-3 APs im privaten Umfeld ist das vorsichtig ausgedrückt Jacke wie Hose, nice to have, aber die Ersparnis bewegt sich vielleicht im Bereich von 30 Minuten bei der Ersteinrichtung.

Ich kenne die Zyxel-APs nicht und weiß auch nicht wie deren Konfiguration vonstatten geht. Deswegen kann und will ich auch weder etwas positives noch etwas negatives dazu sagen. Auch weiß ich nicht ob es in der Zywall dazu einen zentralen Controller gibt, der diese dann steuert )*. Wenn dem so sein sollte, bieten sich die APs sicherlich an, wenn der Preis denn im Rahmen bleibt. Alternativen wären das schon erwähnte Unifi, auch wenn Ubiquiti aktuell wegen eines Sicherheitslecks und einiger fragwürdiger Updates negative Schlagzeilen macht, aber auch Omada von TP-Link, die ein ähnliches System wie Unifi anbieten (aktuell noch ohne Datenskandal).

Egal wofür du dich am Ende entscheidest, die Technologie der VLANs ist standardisiert und solange man das Prinzip, das dahinter steckt, verstanden hat, kann man auch jeden Router, jeden Switch und jeden AP entsprechend konfigurieren, zur Not eben mit etwas Hilfestellung.


)* Der Produktseite und einem kurzen Blick in das Handbuch nach zu urteilen, scheint das der Fall zu sein. In den technischen Daten steht bei der Zywall VPN300 etwas von max 264 managed APs. Das zeigt einmal mehr die Zielgruppe für dieses Gerät. Bei der VPN50 sind es immer noch max 40, also mehr als genug für einen Privathaushalt.


(Jetzt kommt gleich wieder @0-8-15 User , schreibt "Ja, nein, genau, so und so" und trifft den Nagel auf den Kopf, ich sehe es schon kommen...)

 

[0-8-15 User]

Also in meinen Augen spricht nichts dagegen, ein paar (Hundert) Euro mehr auszugeben, wenn man sich dadurch ersparen kann, ein komplett neues System erlernen zu müssen.

Die Preisdifferenz zwischen der Zywall VPN50 und der Zywall VPN100 ist meiner Meinung nach klein genug, um bedenkenlos zum größeren Modell greifen zu können. Insbesondere im Hinblick darauf, dass die Einschränkungen der VPN50 (max. 150 MBit/s VPN Durchsatz; max. 8 VLANs; ...) für den geplanten Einsatzzweck durchaus zu einem Hinderniss werden könnten.

Was den (Smart) Managed Switch angeht, würde ich mir an deiner Stelle mal den ZyXEL GS1900 Rackmount Gigabit Smart Switch, 48x RJ-45, 2x SFP, PoE+, V2 ansehen.

Mit den geplanten ZyXEL NWA210AX APs machst du vermutlich nichts falsch.

 

[Hypoferalcus]

Was ist für dich denn "möglichst gut integriert"?

Dass di Systeme quasi gut zusammenspielen und ich möglichst wenig "mehrfach" einstellen muss - also das, was du eh schon auch angedeutet hast:

Auch weiß ich nicht ob es in der Zywall dazu einen zentralen Controller gibt, der diese dann steuert )*

Genau das finde ich sehr interessant, dass ich eben einmal Zentral auf der Firewall etwas konfiguriere und alle APs gleich richtig mitspielen - ist ein "Luxusproblem", aber gewonnene Zeit ist auch Luxus ;-)

Die Preisdifferenz zwischen der Zywall VPN50 und der Zywall VPN100 ist meiner Meinung nach klein genug, um bedenkenlos zum größeren Modell greifen zu können. Insbesondere im Hinblick darauf, dass die Einschränkungen der VPN50 (max. 150 MBit/s VPN Durchsatz; max. 8 VLANs; ...) für den geplanten Einsatzzweck durchaus zu einem Hinderniss werden könnten.

Ja, ich denke, ich werde dann auch zur VPN 100 greifen - wenn die physischen Ports nicht so relevant sind, wie ich es ursprünglich annahm, dann wäre die sicher optimal - die 50er wäre mir auch zu schwach (

Was den (Smart) Managed Switch angeht, würde ich mir an deiner Stelle mal den ZyXEL GS1900 Rackmount Gigabit Smart Switch, 48x RJ-45, 2x SFP, PoE+, V2 ansehen.

Den habe ich gefunden, aber da ist die Watt-Zahl für POE auf 170W begrenzt - beim GS1920 mehr als das doppelte

komme ich mit 170W aus bei sagen wir 6 APs und vllt 2-3 Kameras? (Die APs haben lt. Datenblatt ca. 20W - also schon bis zu 120 W durch die APs - das wird knapp, oder?)

Und wäre es nicht sinnvoll, irgendwo auch einen 2,5Gbit-Switch einzubauen, da ja die APs und auch zwei PCs und voraussichtlich der Server alle 2,5Gbit-fähig sind - da limitiere ich mich doch?

 

[0-8-15 User]

komme ich mit 170W aus bei sagen wir 6 APs und vllt 2-3 Kameras?

Auf jeden Fall.

wäre es nicht sinnvoll, irgendwo auch einen 2,5Gbit-Switch einzubauen, da ja die APs und auch zwei PCs und voraussichtlich der Server alle 2,5Gbit-fähig sind - da limitiere ich mich doch?

Musst du selber entscheiden, ob dir das einen Arsch voll Kohle wert ist.

 

[Autokiller677]

Und wäre es nicht sinnvoll, irgendwo auch einen 2,5Gbit-Switch einzubauen, da ja die APs und auch zwei PCs und voraussichtlich der Server alle 2,5Gbit-fähig sind - da limitiere ich mich doch?

Das musst du selber wissen.

Wenn öfter eine 1-to-1 Verbindung bei dir vorkommt, die deutlich von > 1Gbit profitiert kann man es direkt machen.

Wenn es nur drum geht, dass der Server mehrere (LAN)-Clients gleichzeitig mit hohem Speed beliefern kann - Link Aggregation am Server & fertig.

Wenn es eh erstmal kein konkreten Anwendungsfall gibt - lassen. Die Switche werden mit der Zeit nur billiger, da kann man sonst auch in ein paar Jahren einfach den Switch tauschen und den alten verkaufen.

 

[Raijin]

6 APs? Wie groß ist denn das Haus, wenn man fragen darf? Normalerweise plant man 1 AP pro Stockwerk, ggfs etwas versetzt zu einander, um die Ausleuchtung jeweils zu ergänzen. Falls nötig noch einen AP für den Garten.

Wie dem auch sei, in der Regel gibt das Datenblatt nur den theoretischen Maximalverbrauch an. Entscheidend ist jedoch die PoE-Klasse, mit der sich das Gerät beim PoE-Switch anmeldet. Die PoE-Klasse gibt an in welchem Bereich sich der Energieverbrauch bewegt, zB Klasse 4 = 13-25 Watt. Selbst wenn ein Verbraucher die Klasse in der Praxis nicht voll ausschöpft, kann es aber sein, dass der Switch pauschal den Maximalverbrauch der jeweiligen Klasse als Reserve einplant und vom verfügbaren PoE-Budget abzieht.

Bei 6 APs, die mit 802.3at (=Klasse 4) gelistet sind, können das dann eben durchaus 6x25 Watt sein. Schlimmstenfalls sind durch 6 dieser APs also sogar bereits 150 Watt reserviert. Klar, das ist der worst case, aber es ist nun mal eine Frage wie gutmütig oder penibel die Elektronik bzw. die Firmware des Switches das PoE-Budget verwaltet. Das kann man dem Switch von außen nicht ansehen und die Infos der Hersteller geben das auch nicht her.

Ob da noch 2-3 Kameras reinpassen, hängt von den Modellen ab. Bewegliche Kameras (zB Dome), benötigen natürlich mehr Energie als eine starre Kamera. Etwaige LEDs (Stichwort: Nachtsicht) verbrauchen natürlich auch etwas mehr.

Grundsätzlich würde ich behaupten, dass 170 Watt PoE für den Heimgebrauch vollkommen ausreichend sind, weil 6 APs wie schon angedeutet eher ungewöhnlich sind, vor allem mit so hohem Verbrauch. Viele APs laufen nur mit 802.3af, also max Klasse 3 mit ca. 13 Watt. Da sieht der Schnack dann schon anders aus und man kann die APs im Dutzend verbauen.

Und wäre es nicht sinnvoll, irgendwo auch einen 2,5Gbit-Switch einzubauen, da ja die APs und auch zwei PCs und voraussichtlich der Server alle 2,5Gbit-fähig sind - da limitiere ich mich doch?

Ob das sinnvoll ist oder nicht, musst du selbst entscheiden. Ich weiß ja nicht wieviele ExoByte an Daten du durch dein Netzwerk prügelst, aber ich persönlich habe kein Problem, auch mal ein paar Minuten zu warten bis ich ein paar Filme, o.ä. von A nach B kopiere. Rechne doch mal nach: 1 Gbit/s sind netto ca. 120 MByte/s also schlanke 7,2 GByte pro Minute. Wenn dir das nicht ausreicht und es dir das Geld wert ist - hast ja immerhin knapp 400€ bei der Zywall 100 gespart - dann ist es für dich sinnvoll, wenn nicht, dann nicht. Du bist der einzige, der diese Anforderungen definieren und sie mit dem Preis abwägen kann.

Ergänzung (16. April 2021)

Laut Handbuch und FAQ haben die Zyxel-Switches scheinbar einen "Classification" und einen "Consumption" Modus für PoE. Ersterer reserviert wie beschrieben das Maximum der Klasse unabhängig vom realen Verbrauch des Endgeräts, während letzterer mit einer aktuellen Verbrauchsmessung arbeitet.

Im Classification Mode würde der besagte AP also mit 25 Watt einkalkuliert werden. 6 Stück davon ergeben 150 Watt und dann wird es eng für die Kameras.

Im Consumption Mode kalkuliert der Switch die APs mit max 19 Watt ein (real wird es weniger sein, weil das der Maximalverbrauch unter Last ist), x6 = 114 Watt. Da ist mehr als genug übrig für die Kameras.

 

[Hypoferalcus]

6 APs? Wie groß ist denn das Haus, wenn man fragen darf? Normalerweise plant man 1 AP pro Stockwerk, ggfs etwas versetzt zu einander, um die Ausleuchtung jeweils zu ergänzen. Falls nötig noch einen AP für den Garten.

6 ist sicher das Maximum - es sind 320 m2 auf 2 Etagen und ca. 1.000 m2 Grundstück - gedacht waren (maximal!) 2 APs pro Stockwerk und 1 AP im Garten hinterm Haus und 1 AP in der Garage vor dem Haus

"Classification" und einen "Consumption" Modus

Danke für die Recherche - das werde ich mir dann noch überlegen

auf den 2,5 Gbit Switch werde ich dann wohl eher verzichten, es war nur der Gedanke, wenn ich schon PCs mit modernen Boards habe, die 2,5Gbit unterstützen wäre es zumindest eine Frage - aber ich denke, dafür habe ich kaum einen Anwendungsfall

Was ich mich gerade noch Frage (angeschubst durch den Hinweis mit link Aggregation) - Ist es dann sinnvoll, wenn zwischen Switch und Firewall 2 Parallele Patch-Kabel laufen? Um hier kein "Bottleneck" bei Zugriffen zwischen verschiedenen VLANS zu haben?

Inzwisch nochmals ganz lieben Dank für eure Hilfe - ich nehme hier wirklich sehr viel mit!

 

[Raijin]

Ist es dann sinnvoll, wenn zwischen Switch und Firewall 2 Parallele Patch-Kabel laufen? Um hier kein "Bottleneck" bei Zugriffen zwischen verschiedenen VLANS zu haben?

Kann man machen. Was man bei LAG wissen muss ist, dass es einfach nur mehrere 1 Gbit/s Uplinks sind, und eben nicht zB 2x 1 Gbit/s = 2 Gbit/s. Jedes Gerät kann nach wie vor max 1 Gbit/s auslasten, aber dann eben zwei Geräte parallel.

Auch hier ist die Frage nach dem Sinn wieder deine Entscheidung. Wenn du viel Traffic zwischen den VLANs erwartest, kann das durchaus sinnvoll sein. Wenn allerdings weitest gehend nur VLAN-intern Traffic entsteht und maximal die Internetverbindung ausgelastet wird, bringt LAG nichts.

Andererseits: LAG kostet dich ja nur ein zweites Kabel und etwas Konfiguration. Einen Versuch ist es also wert und schaden wird es nicht.