- Registriert
- Aug. 2019
- Beiträge
- 14
das rechtliche habe ich geprüft. Ich werde nicht zum ISP weil dafür mehrere Merkmale nicht zutreffen.
Heimnetzwerk Glasfaser zwischen mehreren Häusern
- Ersteller Sinister_Grynn
- Erstellt am
redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 16.666
Kannst Du so umsetzen, ich würde durchgehend Unifi Hardware einsetzen.Sinister_Grynn schrieb:
Cu
redjack
- Registriert
- Aug. 2019
- Beiträge
- 14
Nein, die wollten mir teuere Firewalllizenzen mit jährlichen Gebühren anderen die das ganze Projekt unrentabel gemacht hätten.BlubbsDE schrieb:
Danke.Hat jemand zur Hardware noch Anmerkungen?
| Komponente | Modell | Menge | Preis (ca.) | Bemerkung |
|---|---|---|---|---|
| Router / Firewall | Ubiquiti Dream Machine Pro SE | 1 | ~480 € | VLANs, VPN, Firewall, Controller integriert |
| Core-Switch (SG1) | Ubiquiti USW-Pro-24 (oder MikroTik CRS326-24S+2Q+RM) | 1 | ~450–600 € | SFP+ Uplinks für Glasfaser |
| Edge-Switch (WS, SG5) | Ubiquiti USW-Enterprise-8-PoE | 2 | ~370 € je | SFP+ Uplink, PoE für APs |
| SFP+ Module (1G/10G) | Ubiquiti UF-SM-10G oder MikroTik S+31DLC10D | 6 | ~45 € je | je nach Faser (Singlemode OS2) |
| Glasfaser-Patchkabel | LC/LC OS2 Duplex (je nach Länge) | 3 | ~30–50 € je | Verbindung zwischen Gebäuden |
| Cat6a Patchpanel + Dosen | Digitus / Telegärtner | je nach WH | ~20 € pro Dose | für Ethernet in Wohnungen |
| USV | APC SmartUPS 1000VA | 1–2 | ~300 € | Schutz Router/Switch |
| Access Points (optional) | Ubiquiti U6-Lite | je nach Bedarf | ~110 € | WLAN in Gemeinschaftsräumen o. ä. |
razzy
Lt. Commander
- Registriert
- Sep. 2009
- Beiträge
- 1.029
es wird dir nicht ohne grund keiner bauen 
Du kannst es so machen, wie du geschrieben hast. Aber ob du es darfst oder nicht... sei mal dahingestellt.
Würde es sogar noch anders machen, aber ist nur meine Meinung.
Aufgrund von L2 / L3 Trennungen - Zentrale Firewall, mit Transfernetzen pro Gebäude.
Jedes Gebäude einen L3 Switch + Routing zur FIrewall / Core-Switch
Hat den Vorteil, dass du keine Spanning-Tree Thematiken über alle Gebäude hast (L2) sondern es innerhalb des Gebäudes bleibt.
Man könnte auch pro Gebäude eine dezentrale Firewall setzen, welche eine default-route zum hauptgebäude haben....
Redundante Leitungswege fehlen mir bei sowas ebenfalls in der Gleichung
Viele Wege führen nach Rom.
Eine Bastellösung bei sowas ... auf keinen Fall.
Systemhaus + Service.
Wenn dir das keiner machen möchte, wird es bestimmt Gründe haben
Du kannst es so machen, wie du geschrieben hast. Aber ob du es darfst oder nicht... sei mal dahingestellt.
Würde es sogar noch anders machen, aber ist nur meine Meinung.
Aufgrund von L2 / L3 Trennungen - Zentrale Firewall, mit Transfernetzen pro Gebäude.
Jedes Gebäude einen L3 Switch + Routing zur FIrewall / Core-Switch
Hat den Vorteil, dass du keine Spanning-Tree Thematiken über alle Gebäude hast (L2) sondern es innerhalb des Gebäudes bleibt.
Man könnte auch pro Gebäude eine dezentrale Firewall setzen, welche eine default-route zum hauptgebäude haben....
Redundante Leitungswege fehlen mir bei sowas ebenfalls in der Gleichung
Viele Wege führen nach Rom.
Eine Bastellösung bei sowas ... auf keinen Fall.
Systemhaus + Service.
Wenn dir das keiner machen möchte, wird es bestimmt Gründe haben
Wie stellst du sicher, dass die Geräte einer Mieteinheit nicht die Geräte einer anderen Mieteinheit ansprechen können? Es nützt nichts, wenn die alle ein eigenes VLAN und Subnetz haben, aber dein Router da fleißig die Pakete vermittelt. Eine Firewall vom WAN zum LAN kann das nicht ersetzen.Sinister_Grynn schrieb:
Es war nicht die Frage, ob da mehrere Nutzer erlaubt sind. Mehrere Nutzer sind immer erlaubt. Wenn zwischen dir und den Wohneinheiten Geld für die Dienstleistung fliesst, sind es nicht mehr nur "Nutzer".
Sollte Geld zwischen dir und den WE für diese Dienstleistung fliessen: ich habe mal bei allen großen Provider ngegooglt, ob da eine Unter-/Weitervermietung bei Geschäftsanschlüssen gestattet ist und die Antwort war immer "nein". Was angesichts der rechtlichen Implikationen und Verpflichtungen auch logisch ist. Prüfe mal, ob der Kundendienst dich evtl insofern missverstanden hat, dass es dir nur um mehrere Nutzer ginge. Du brauchst eine Zusicherung, dass es auch erlaubt ist, wenn Geld zwischen dir und den Mietparteien für den WE-Anschluss fließt und/oder die Nutzer nicht zu deinem Haushalt gehören und auch keine Geschäftsangehörigen sind.
redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 16.666
Wenn das deinen Anforderungen genügt, kannst du die Hardware, nach deinen Anforderungen einrichten und wie vorgeschlagen einkaufen.Sinister_Grynn schrieb:
Cu
redjack
Prüfe unbedingt noch ob dein GF Provider kompatibel ist mit Unifi. Da gibts durchaus hin und wieder Probleme trotz Einsatz der korrekten SFPs, sollte die GF direkt in die Dreammaschine wandern.
Ansonsten, ich würde da dann nicht mit Mikrotik oder sonstwas mischen, sondern konzequent beim Unifi Ökosystem bleiben. Allein schon aus Konfigurationssicht macht eine Mischung kaum Sinn.
Denk dran den Leuten in den WE klar mitzugeben was an Routern hinter ihrer Dose betrieben werden kann. FBs z.B. können keine VLANs, der ein oder andere wird aber sicher sein eigenes "WLAN" bzw. internes LAN wollen und dann einen Router zwischen schalten wollen.
Die andere Thematik die komplett fehlt: Wie ist es mit Festnetztelefonie oder wird diese grundsätzlich abgelehnt? Soweit ich weis hat ein Mieter darauf ggf. Anspruch.
Ansonsten, ich würde da dann nicht mit Mikrotik oder sonstwas mischen, sondern konzequent beim Unifi Ökosystem bleiben. Allein schon aus Konfigurationssicht macht eine Mischung kaum Sinn.
Denk dran den Leuten in den WE klar mitzugeben was an Routern hinter ihrer Dose betrieben werden kann. FBs z.B. können keine VLANs, der ein oder andere wird aber sicher sein eigenes "WLAN" bzw. internes LAN wollen und dann einen Router zwischen schalten wollen.
Die andere Thematik die komplett fehlt: Wie ist es mit Festnetztelefonie oder wird diese grundsätzlich abgelehnt? Soweit ich weis hat ein Mieter darauf ggf. Anspruch.
VLANs sind aber die einfachere Alternative um die Netze sauber zu trennen. Da wird der Port am Switch entsprechend als untagged konfiguriert und gut.Der_Dicke82 schrieb:
Was da dann dahinter hängt ist mir als Betreiber doch egal. Mein zentraler Router vergibt einfach pro VLAN eine einzelne IP via DHCP -> die für den Router in den Wohneinheiten. Wenn nun jemand sein Endgerät direkt anschließen will ist das doch auch ok.
MAC Adressen würde ich nicht whitelisten -> Aufwand für den Admin und kein wirklicher Gewinn.
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 24.013
Wenn das Mietwohnungen statt Ferienwohnungen sind, dann stell entweder in jede Wohneinheit einen Router, der das Netz abtrennt oder der Mieter soll selbst einen eigenen Router anschließen.
Oder halte einfach 1-2 vorkonfigurierte FB7520 bereit, die du vermieten kannst, bis die Leute den eigenen Router angeschlossen haben.
Dein Management-LAN kannst du natürlich per VLAN abtrennen.
Aber mit einem VLAN schützt du deine Mieter nicht vor dir selbst. ICH würde da meinen eigenen Router mit eigener NAT Firewall haben wollen.
Und sobald da ein Router steht, werden die VLANs für die Mieter unnötig.
Wenn es Mieter von Ferienwohnungen sind, dann arbeite einfach mit Client Isolation ohne Captive Portal.
Wer eine (W)LAN-Verbindung seiner Geräte untereinander braucht, hat auch einen eigenen Reise-WLAN-Router dabei.
Für was brauchst du dann noch mehr sündhaft teuren Glasfaserkram in deiner Auflistung?Sinister_Grynn schrieb:
Entweder 4 Medienconverter oder 2 Medienconverter und 2 SFP+ Module.
Da selbst die Rack Dream Machine nur einen SFP+ für LAN hat, würde ich auf der Seite auf Medienkonverter setzen und den Core Switch komplett einsparen.
Zuletzt bearbeitet:
Irgendwie häuft sich diese Idee in letzter Zeit, bitte sehe Dir folgende Threads an: 1, 2, 3, 4, 5, 6, 7. Und wenn Du im Forum nach „30811406“ suchst, findest Du viele weitere solcher Threads.Sinister_Grynn schrieb:
Irgendwie verstehe ich Alternative B nicht. Der letzte Absatz, ist das Alternative C oder gehört der eigentlich als letzter Unterpunkt zu Alternative B?Sinister_Grynn schrieb:
Du meinst eine FRITZ!Box Fiber? Wäre mir neu, dass die Bridgen kann. Aber egal, macht man so nicht. Stattdessen holst Du Dir einen ONT = Modem. Und dahinter dann die FRITZ!Box = Router.Sinister_Grynn schrieb:
So einfach ist das nicht, weil Du so IPv6 verlierst, was bei vielen Internet-Anbietern aber angenommen wird, also dass der Internet-Anschluss quasi vollständig über IPv6 genutzt wird, nur in Ausnahmefällen dann noch IPv4 zum Einsatz kommt. Ohne IPv6 kannst Du Umsetzer beim Internet-Anbieter überlasten. Das kannst Du retten … aber dann brauchen alle Deine Wohneinheiten ebenfalls eine FRITZ!Box. Problem ist dann, dass nur eine Wohneinheit der „Exposed-Host“ sein kann – Du hast gedanklich da was verdreht. Was Du vermutlich als Fachwort wolltest: Router-Kaskade.Sinister_Grynn schrieb:
Daher wenn überhaupt, bitte Alternative A:
Muss kein Core-Switch sein. Der Switch muss lediglichSinister_Grynn schrieb:
- VLANs weiterleiten können
- Port-Isolation bieten
Was Du vorhast, ist Thema für ein ITK-Systemhaus mit Schwerpunkt auf Gastgewerbe (Hotel, Boarding-Haus, Ferienhaus, …). Der hilft Dir dann auch QoS, also das kein Mieter sich das ganze Internet schnappen kann, siehe @IBISXI.Sinister_Grynn schrieb:
Ansonsten weiß ich nicht genau, was Deine Frage ist. Möchtest Du eine Kaufberatung? Oder (dann) Hilfe bei der Konfiguration? Oder ob das überhaupt (so) machbar ist?
Als Gast-WLAN oder dass jeder Nutzer in sein VLAN kommt? Klingt nämlich so, als wolltest Du VLAN über RADIUS.Sinister_Grynn schrieb:
Mhm. Nur dann, wenn der Thread-Ersteller sicher gehen könnte, dass der Router vor Ort nie entfernt wird. So einen Fall hatten wir letzt …h00bi schrieb:
Das meint vermutlich Internet-Anbieter mit DS-Lite-Tunnel, die auch auf Nachfrage nicht auf Dual-Stack schalten, siehe diesen Post … (und verlinkte).Mojo1987 schrieb:
Ähnliche Themen
