Meine Netzwerkidee

[JamesSmith]

Moin,
wir bauen gerade eine Doppelhaushälfte und dürfen wohl bald einziehen. Es sind 3 Stockwerke + Keller, jeder Raum hat mindestens 1xLAN und in jedem Stockwerk ist in zentraler Position noch mal LAN für einen Access Point knapp unter der Decke (so im Nachhinein wäre in der Decke wohl schlauer gewesen).
Im Keller laufen alle LAN-Kabel zusammen und dort ist auch der Telefonanschluss. Auch ein 19"-Rack ist dort bereits installiert.

1 .Struktur
Nun habe ich mir mal Gedanken zur Netzwerk-Struktur gemacht und dabei ist folgendes bei raus gekommen (Teilweise sind die Geräte erst in der Zukunft relevant, z.B. Wallbox):

Passt das soweit? Änderungsideen?


2. Hardware

Hardwareseitig bin ich bei TP-Link Omada hängen geblieben:
Router: ER605
Switch: TL-SG2428LP (24x Ports, davon 16xPoE, ohne Lüfter)
Access-Point: EAP653 (erst mal an der Wand versuchen, wenn das zu schlecht ist kann ich immer noch mit kurzem Kabel an die Decke springen)
Controller: Virtuelle Maschine

Auch hier die Frage:

• Passt das so?
• Kann ich irgendwo eventuell auch noch etwas Geld sparen? Laut Datenblatt liest sich z.B. der EAP 653 und der 650 ziemlich gleich.
• Oder doch die Büchse der Pandora öffnen und fragen ob ich auf Unifi planen sollte? Sind mir gerade die Switche aber eigentlich zu teuer, wobei es die im Gegensatz zu Omada zu Hauf auf kleinanzeigen gibt.

Wäre toll ein wenig Input und Diskussion hier zu bekommen!

Vielen Dank schon mal
James

 

[SpiII]

• Kann ich irgendwo eventuell auch noch etwas Geld sparen? Laut Datenblatt liest sich z.B. der EAP 653 und der 650 ziemlich gleich.

EAP650 = mit Netzteil
EAP653 = EAP650 ohne Netzteil.

Ein EAP650-Wall oder Festa F65-Wall wären auch eine Idee, wenns an die Wand soll. Sind auch etwas günstiger.
EDIT: Festa ist nicht kompatibel mit Omada, danke @DJKno 👍

• Oder doch die Büchse der Pandora öffnen und fragen ob ich auf Unifi planen sollte? Sind mir gerade die Switche aber eigentlich zu teuer, wobei es die im Gegensatz zu Omada zu Hauf auf kleinanzeigen gibt.

Kommt drauf an, ob es dir die Features wert sind.
Ein Freund ist mit seinen 3x EAP653 und TP-Link Switch im Eigenheim sehr zufrieden, obwohl er so auf Ubiquiti abgefahren ist beim planen. War ihm aber doch zu teuer.

 

[drago1401]

warum NAT ? war nicht ein Router der alles kann oder ein Router und eine Firwall ?

 

[Karre]

Wenn du einmal vlan einrichtest, kann man alle IOT Geräte in ein eigenes VLAN stecken

 

[VDC]

1. Du brauchst ja nur ein extra VLAN, der ganze normale Kram kann auch im Default laufen, dadurch gewinnst halt nix.

Wenn man es richtig toll machen will:
IOT/Automatisierungs Kram separieren
Infrastruktur separieren
Geräte mit Schutzbedarf separieren



2. 650 mit NT

 

[JamesSmith]

EAP650 = mit Netzteil
EAP653 = EAP650 ohne Netzteil.

Ein EAP650-Wall oder Festa F65-Wall wären auch eine Idee, wenns an die Wand soll. Sind auch etwas günstiger.


Kommt drauf an, ob es dir die Features wert sind.
Ein Freund ist mit seinen 3x EAP653 und TP-Link Switch im Eigenheim sehr zufrieden, obwohl er so auf Ubiquiti abgefahren ist beim planen. War ihm aber doch zu teuer.

Danke. Das erklärt wieso ich keinen Unterschied gefunden habe.

warum NAT ? war nicht ein Router der alles kann oder ein Router und eine Firwall ?

Nach meinem Verständnis die einfachste (und einzige?) Möglich ein Telefon ganz normal zu nutzen?

Wenn du einmal vlan einrichtest, kann man alle IOT Geräte in ein eigenes VLAN stecken

Gute Idee, habe ich auch schon mal drüber nachgedacht. Aber mehr WLAN IoT Geräte habe ich aktuell nicht geplant. Ich versuche nach Möglichkeit Zigbee zu nutzen.
Geht aber ja jederzeit nachträglich auch noch.

 

[derchris]

Wenn man es richtig toll machen will:
IOT/Automatisierungs Kram separieren
Infrastruktur separieren
Geräte mit Schutzbedarf separieren

dem würde ich beipflichten.

Switche/APs ins Management/Infra VLAN und von Clients fern halten

 

[h00bi]

Oder doch die Büchse der Pandora öffnen und fragen ob ich auf Unifi planen sollte? Sind mir gerade die Switche aber eigentlich zu teuer

Ich verwende in keinem Unifi WLAN System Unifi Switche.
Das geht auch wunderbar mit dem genannten TPlink Switch, wenn man nicht ständig mit den VLANs rumspielt, sondern nur einrichtet und dann nutzt - und vielleicht mal noch erweitert.

 

[LieberNetterFlo]

Nach meinem Verständnis die einfachste (und einzige?) Möglich ein Telefon ganz normal zu nutzen?

Ne, du kannst Telefon auch "auslagern". Die Telekom gibt dir die SIP Daten und die richtest du in einem SIP Client ein. Wenn du ein SIP Client mit DECT wie die GO-Box 100 nimmst kannst du da ganz normal telefonieren.

Ich hab das auch so:

Hausanschluss -> (DSL Signal) -> DSL Modem ->(Ethernet)-> pfSense -> (Ethernet) -> Switch ->(Ethernet)-> GO-Box 100 ->(DECT)-> Telefon-Handset

(Hinweis: pfSense ist der Router)

 

[Phil_81]

VLAN 10 kannst dir sparen, das VLAN 50 musst halt am Router entsprechend separieren damit da kein Zugriff ins "normale" LAN stattfinden kann.

 

[KillerCow]

damit da kein Zugriff ins "normale" LAN stattfinden kann.

Das klingt irgendwie schräg 🤔 Alles, was in einem konkreten VLAN unterwegs ist, kommt prinzipbedingt in kein anderes VLAN, solange die Netzwerkhardware keinen Müll macht, aber dann hat man eh verloren ^^
Sobald man sich dann oberhalb von Layer 2 bewegt (also außerhalb von VLANs), muss natürlich dafür gesorgt werden, dass keine unerwünschte Kommunikation über IP-Netze hinweg stattfindet (Routing, Firewall, ACL, etc).

 

[Phil_81]

Das meinte ich ja... Nicht, dass VLAN50 zwar fürs WLAN genutzt wird, aber irgendwo dazwischen dann doch alles eins wird ;-)

 

[DJKno]

Habe bei mir ebenfalls alles über Omada eingerichtet. Deine Zusammenstellung passt doch gut.
Im Grunde reichen aber die EAP610 auch völlig aus.
Hast du einen Omada Controller eingeplant oder läuft der schon?


@SpiII Festa ist nicht Omada kompatibel

 

[JamesSmith]

Ne, du kannst Telefon auch "auslagern". Die Telekom gibt dir die SIP Daten und die richtest du in einem SIP Client ein. Wenn du ein SIP Client mit DECT wie die GO-Box 100 nimmst kannst du da ganz normal telefonieren.

Ich hab das auch so:

Hausanschluss -> (DSL Signal) -> DSL Modem ->(Ethernet)-> pfSense -> (Ethernet) -> Switch ->(Ethernet)-> GO-Box 100 ->(DECT)-> Telefon-Handset

(Hinweis: pfSense ist der Router)

Ja okay, verstehe ich. ABER mache ich da viel falsch wenn ich das erst Mal soo wie oben beschrieben mache? Wäre jetzt am Anfang auf jeden Fall die an schnellsten umzusetzende Lösung.

VLAN 10 kannst dir sparen, das VLAN 50 musst halt am Router entsprechend separieren damit da kein Zugriff ins "normale" LAN stattfinden kann.

Klar, ansonsten hätte ich mit Default quasi 3 VLANs.
Heißt aber wenn ich am Switch dann die Ports auch sauber ins VLAN10 stecke würde es auch gehen?

 

[LieberNetterFlo]

Ne, machst nix falsches. Ist halt doppeltes NAT, aber eigentlich stört das nicht so viel

 

[JamesSmith]

Erst mal noch vielen Dank für die schnellen und vielen Antworten


@DJKno: JA Controller ist als virtuelle Maschine geplant

1. Du brauchst ja nur ein extra VLAN, der ganze normale Kram kann auch im Default laufen, dadurch gewinnst halt nix.

Wenn man es richtig toll machen will:
IOT/Automatisierungs Kram separieren
Infrastruktur separieren
Geräte mit Schutzbedarf separieren
(...)

Bin jetzt doch am überlegen ob ich nicht direkt von Anfang an separiere.
Wären dann z.B.:
VLAN 10: Infrastruktur
VLAN 20: Heimnetzwerk
VLAN 30: IoT
VLAN 50: Gäste
Bleiben die Geräte dann IP-seitig alle 192.168.10.XXX oder mache ich für jedes VLAN ein neues Netz auf?

Aber vielleicht ist auch der Umzug dann genug Aufwand und ich bleibe anfangs erst mal bei 2 VLANs, Hauptsache es läuft?.... Mal sehen.

 

[Bodennebel]

Bleiben die Geräte dann IP-seitig alle 192.168.10.XXX oder mache ich für jedes VLAN ein neues Netz auf?

Jedes VLAN bekommt ein eigenes Netz. Hier noch was zu lesen zum Thema VLAN:
https://administrator.de/forum/verstaendnissproblem-routing-mit-sg300-28-328442.html#comment-1173859

 

[JamesSmith]

Danke für eure Hilfe!

Wir sind mittlerweile umgezogen!

Die Konstellation sieht nun so aus;

• Softwarecontroller auf Mini-PC
• Router: ER605
• Switch: SG2428LP (Lüfterlos, mein Nachbar ist ganz neidisch)
• 3x EAP 650 in den 3 Stockwerken
• 1x EAP 230 Wall für den Technikraum (das Balkonkraftwerk hat keinen LAN-Anschluss)

Einrichtung ging (mit ein bisschen Youtube) ziemlich einfach.
Ich bin aktuell bei zwei VLANs geblieben, Default und Gäste.
Der ER605 wählt sich über pppoe auf einem Speedport 4 bei der Telekom ein.
VPN über OpenVPN habe ich auch hinbekommen, wobei ich sagen muss, dass ich die Einrichtung ziemlich unintuitiv fand.
Die TP-Link Cloud funktioniert allerdings nicht. Ist dank VPN auch nicht so wichtig, wäre aber als Notlösung ohne VPN nice-to-have.

Im Nachhinein hätte ich die Abstrahlrichtung der APs bei der Position damals berücksichtigen sollen. Dann hätten 2 APs locker gereicht. Bei 2 APs war jetzt das Stockwerk dazwischen eckenweise ein wenig schwach abgedeckt. Aber damit kann ich leben.

 

[Bodennebel]

VPN über OpenVPN habe ich auch hinbekommen, wobei ich sagen muss, dass ich die Einrichtung ziemlich unintuitiv fand.

Kann der Speedport 4 nicht auch WireGuard? Das soll sich doch leichter einrichten lassen als OpenVPN, wenn ich hier im Forum so einige Kommentare richtig in Erinnerung habe.

 

[JamesSmith]

Der Speedport kann das bestimmt, aber ich nutze ihn ja nur als Modem. Der ER605 händelt alles. Ich wollte alle Netzwerkerstellungen in einer Software und nicht das Routing, VPN und Ports dann im Speedport.
Der ER605 kann auch Wireguard. Aber ich habe mich wohl zu doof für angestellt.