Heimnetzwerk/Event-Halle mit UNIFI USG

[MaximilianTM]

Hallo Zusammen,

Meine Familie betreibt einen Landwirtschaftlichen Betrieb mit Event-Halle für Hochzeiten etc.

Die Event-Halle liegt etwa 100 Meter vom Wohnhaus entfernt, damit man von dort auf das Internet Zugreifen kann wurde ein LAN Kabel vom Wohnhaus in die Halle verlegt. (Zukünftig vlt. LWL)
Für die Gäste wird über einen Unifi AP ein Gastzugang generiert, dies funktioniert soweit auch einwandfrei.

Um das Heimnetzwerk zu schützen würde ich gerne das UniFi Security Gateway einsetzen. Dieses würde die bestehende Infrastruktur erweitern und mir die Möglichkeit bieten V-LANs für Kameras, Gäste, Privat... einzurichten und diese entsprechend zu schützen.

Aktueller ist der Aufbau sehr chaotisch, weshalb ich mich an das ComputerBase Forum wende um diesen zu optimieren

Spoiler: Aktueller Aufbau ohne USG :

Nun würde ich den Aufbau gerne überarbeiten, zum einem um die Verwaltung zu vereinfachen und alles etwas sinnvoller einzurichten.
Hierzu würde ich das Unifi Security Gateway verwenden, ist dieses für mein Vorhaben überhaupt geeignet ?


Vielen Dank für eure Hilfe
MaximilianTM

 

[Raijin]

Nun würde ich den Aufbau gerne überarbeiten, zum einem um die Verwaltung zu vereinfachen und alles etwas sinnvoller einzurichten.
Hierzu würde ich das Unifi Security Gateway verwenden, ist dieses für mein Vorhaben überhaupt geeignet ?

Und was genau erwartest du nun von uns? Dein "Vorhaben" beschreibst du sinngemäß mit der Anschaffung eines USG punkt

Wenn du letztendlich 7 VLANs einrichten willst, ist ein USG denkbar ungeeignet, weil dann fast alles über tagged VLANs geroutet werden muss. Sind es hingegen nur 2-3, sähe das schon anders aus.

Du solltest also zumindest ansatzweise erklären was genau du planst bevor man entsprechende Hinweise geben kann.

 

[deveth0]

Joah, kann man gut damit machen. Ich würde dann direkt die beiden Netgear Switche noch gegen Unifi tauschen, dann ist die VLAN Konfiguration denkbar einfach.

Ein VLAN für die Gäste und eins für euer Haus, fertig.

 

[bender_]

Die Event-Halle liegt etwa 100 Meter vom Wohnhaus entfernt

Wird die Halle auch elektrisch über das Haus versorgt oder hat sie eine eigene elektrische Versorgung? Im zweiten Fall bitte SOFORT auf LWL oder Richtfunk umsteigen.

 

[Novocain]

Richtig! Denk an den Potentialausgleich... wie von Bender_ angemerkt!

 

[bender_]

Denk an den Potentialausgleich...

Nein. Wenn, dann sollte man an die Potentialtrennung denken. Potentialausgleich bedarf der Genehmigung des EVU.

 

[MaximilianTM]

Danke für die schnellen Antworten,

War etwas doof formuliert, ist noch Montag

Ich würde gerne unsere Heimnetzwerk absichern, damit niemand vom Gäste Netzwerk auf dieses Zugreifen kann.
Sollte beispielsweise jemand das LAN Kabel vom AP abstecken und sich selbst am Switch anschließen o.ä

Zudem würde ich die Kameras gerne in ein eigenes VLAN packen um eben den Zugriff auf diese abzusichern.

Im Grunde währen es dann 3 VLANs

• Heimnetzwerk
• Kameras
• Gäste

Die USG würde mir dies ja ermöglichen ?, gibt es sonst noch sicherheitstechnische Bedenken denen ich entgegenwirken kann oder die ich einfach nicht bedacht habe ?

Muss ich noch ein Modem dazukaufen, oder wie schließe ich das USG an ?
Im Internet habe ich etwas von doppeltem NAT gelesen, dieses würde ich gerne umgehen.

Oder währe es sinnvoller mir das Geld zu sparren und das Netzwerk weiterhin wie oben abgebildet zu betreiben ?

---
Danke @bender_
Werde ich sofort abklären, denke aber das alles auf einer Leitung läuft.

Edit:

Halle und Haus teilen sich die selbe Stromversorgung.

 

[PHuV]

Wird die Halle auch elektrisch über das Haus versorgt oder hat sie eine eigene elektrische Versorgung? Im zweiten Fall bitte SOFORT auf LWL oder Richtfunk umsteigen.

Für mich als Laie, warum? Ist doch nur ein 100m LAN-Kabel.

 

[bender_]

Unterschiedliche Versorgung = unterschiedliche Potentiale, da eigene Haupterder.
LAN Kabel = potentielle galvanische Verbindung unterschiedlicher Potentiale.
Potentialausgleich erfolgt entweder unmittelbar über die Schirmung des LAN Kabels - dafür ist sie weder gedacht noch ausgelegt - oder kann im Fehlerfall auch über andere Wege eine galvanische Verbindung ermöglichen.

 

[rocketworm]

Für mich als Laie, warum?

Ich Zitiere mal von:
http://www.xn--gebude-vernetzen-xnb.de

Sobald 2 Gebäude mit jeweils eigenständiger Energieversorgung durch ein Netzwerkkabel miteinander elektrisch verbunden werden fließt ein unvermeidlicher Ausgleichstrom der von der 400V Spannungsversorgung der Gebäde gespeist wird. Die Folgen des Ausgleichstromes werden mit hoher Wahrscheinlichleit folgende Phänomene hervorrufen:

• Brummschleifen die Telefon, Netzwerkverbindungen, und den TV-Empfang stören - in Einzelfällen sogar zerstören

Bei besonders ungünstigen Konstellationen d.h. hohen Ausgleichsströmen, können sogar

• Menschen und Tiere durch Stromschläge gefährdet werden
• Brände entstehen (der Stromfluss kann eine übermässige Leitungserwärmung hervorrufen)

Also warum das ganze? Damit es keine Störungen gibt, keine technischen defekte bekommt und vorallem damit man nicht tot daneben liegt oder die Bude abfackelt!

 

[aranax]

Ich interpretiere mal: Landwirtschaftlicher Betrieb = Bauernhof. Halle = alte Scheune. Mit hoher Wahrscheinlichkeit hängt das alles am selben Stromanschluss.
Aber richtig, man sollte darauf achten und wenn man sich nicht sicher ist, jemanden Fragen, der sich auskennt. (Und ungeschirmte Kabel haben auch Vorteile!)

Davon abgesehen, solltest du mal einen Plan amchen, was du dir von dem USG versprichst. Wenn man z.B. die Kameras in einem eigenen VLAN isoliert, kommt man halt auch selber nicht mehr einfach drauf.

Ich würde Folgendes tun:
VLAN1 (untagged): privates + Kameras + priv. WLAN
VLAN2 (tagged): GästeWLAN

Dafür bräuchtest du dann einen VLAN fähigen Switch hinter der FB. (ab 30€).

 

[bender_]

ungeschirmte Kabel haben auch Vorteile!

Um das sofort klarzustellen. Ein ungeschirmtes Kabel ist ebenfalls eine galvanische Verbindung. Die Verwendung wäre ebenfalls unzulässig!

 

[Raijin]

Ich würde gerne unsere Heimnetzwerk absichern, damit niemand vom Gäste Netzwerk auf dieses Zugreifen kann.
Sollte beispielsweise jemand das LAN Kabel vom AP abstecken und sich selbst am Switch anschließen o.ä

Die Gastfunktion der Fritzbox tut genau das. Vom Gastnetzwerk kommt man nicht ins Hauptnetzwerk. Wäre das anders, könnte man die Fritzbox ruhigen Gewissens in den Mähdrescher werfen. Deiner Skizze zufolge hängt der AP in der Halle derzeit am als Gast konfigurierten LAN4 der Fritzbox und hat somit keinerlei Verbindung zum Hauptnetzwerk.

Gegen physischen Zugriff helfen aber auch VLANs nichts. Sobald jemand Zugang zu einem Switch oder einer Dose hat, an deren Ende das Hauptnetzwerk sitzt, ist es vollkommen latte ob das nu ein physisches oder ein virtuelles LAN ist. Momentan scheint das aber eh nicht der Fall zu sein, weil das Kabel zur Scheune ausschließlich am Gastport hängt. Ein USG würde diesbezüglich also keinerlei Vorteile bieten.

Was die Kameras in einem eigenen Netzwerk betrifft sieht es schon anders aus. Das wäre mit dem aktuellen Setup nicht möglich, da die Fritzbox keine VLANs unterstützt. Um nun also Gast- und Kameranetzwerk über das eine Kabel laufen zu lassen, braucht man dann aber eben doch VLANs und somit einen VLAN-fähigen Router vor dem Kabel und VLAN-fähige Switches und APs hinter dem Kabel - zumindest da wo man nebeneinander beide VLANs abgreifen will wie zB bei einem Unifi-AP, der je VLAN eine eigene SSID erstellt.

Je nachdem was du mit dem Kameranetzwerk anstellen willst, könnte es jedoch auch reichen, dort einfach einen 08/15 Router vorzuklemmen, der via WAN am Gastnetzwerk hängt und am LAN für die Kameras ein eigenes Netzwerk erstellt. Zugriff auf die Kameras wäre dann durch die Firewall dieses Routers blockiert.

Im Internet habe ich etwas von doppeltem NAT gelesen, dieses würde ich gerne umgehen.

Wie ich schon angedeutet habe: Es kommt darauf an was du mit dem Kameranetzwerk vorhast bzw wie du es nutzen willst. Wenn die Kameras zB nur auf den PC daneben speichern, brauchen sie weder eine Verbindung ins Hauptnetzwerk noch müssen sie via Portweiterleitungen erreichbar sein (was u.a. die Crux bei Doppel-NAT ist). Nur weil du gelesen hast, dass man Doppel-NAT meiden sollte, heißt das nicht, dass das auch zwangsläufig für deinen Anwendungsfall gilt.
Da sich beim USG meines Wissens nach immer noch nicht das NAT über die GUI abschalten lässt und man etwas tricksen muss, würde ich dann eher zu einem EdgeRouter-X greifen. Der kann zwar kein Unifi, ist aber vollumfänglich konfigurierbar, inkl. rein gerouteten (V)LANs ohne NAT.