UniFi Controller Sicherheits-Einrichtung so ausreichend?

[ludwi88gsta]

Hallöchen,

ich habe meine im Haus installierten vier Ubiquiti Accesspoints AC Lite nun erfolgreich über den UniFi Controller installiert und eingerichtet. Alle vier strahlen jetzt eine SSID aus, passt alles.

Ich hätte mal WPA3 eingestellt, doch da konnte ich mich bei meinem Win 10 Computer schon gar nicht verbinden. Ist WPA3 wirklcih schon so weit? Mein PC sagt wohl nein.

Was ich mich noch frage ist, welche grundlegenden Einstellungen sollten im Controller noch eingestellt werden? Der ist ja doch relativ umfangreich. Sollte ich bei der Firewall gewisse Einstellungen vornehmen, um die Sicherheit für meine Geräte zu erhöhen?

Ich habe zusätzlich noch ein Gast-WLAN eingerichtet, wo ich meine IoT-Geräte einwähle und eben auch den Gästen ermögliche. Die sind ja standardmäßig getrennt oder? Also Geräte ausm Gäste-WLAN können nicht mit meinem WLAN kommunizieren oder?

Andere Frage noch: wisst ihr in den WLAN-Einstellungen was der Controller unter

Enable Fast RoamingFaster roaming for modern devices with 802.11r compatibility. Older devices may experience connectivity issues

"older devices" definiert? Hätte die Funktion mal aktiviert oder schneide ich mir damit ins eigene Fleisch?


Genauso bei

High Performance DevicesConnect high performance clients to 5 GHz only

"high performance clients" sind was? Diese Funktion ist ja standardmäßig aktiviert.

Vielen Dank für alle Tipps und Anregungen von UniFi-Experten

Grüße

 

[WT1995]

Wird WPA3 von deinem Win10 Computer unterstützt?

"older devices" definiert? Hätte die Funktion mal aktiviert oder schneide ich mir damit ins eigene Fleisch?

Wie genau Ubiquiti "older devices" definert kann ich nicht sagen. Die meisten Geräte werden damit keine Problem haben, wenn diese Option aktiviert wird.

"high performance clients" sind was? Diese Funktion ist ja standardmäßig aktiviert.

Sind alle Geräte, welche 5GHz unterstützen. Wenn diese Option aktiviert ist, verbindet sich dieses Gerät nur mit dem 5GHz-Netz.

 

[Raijin]

Was ich mich noch frage ist, welche grundlegenden Einstellungen sollten im Controller noch eingestellt werden? Der ist ja doch relativ umfangreich. Sollte ich bei der Firewall gewisse Einstellungen vornehmen, um die Sicherheit für meine Geräte zu erhöhen?

Das Unifi-System umfasst neben Access Points auch Switches und Router. Letztere sind für das Routing und die Firewall zuständig. Ohne Unifi Router (USG / UDM) sind die Einstellungen in der Firewall hinfällig, weil es kein Gerät gibt, das die Einstellungen verwendet. Irgendwo wird da auch so ein Sternchen-Text stehen, dass dafür ein USG benötigt wird.

Andere Frage noch: wisst ihr in den WLAN-Einstellungen was der Controller unter
"older devices" definiert? Hätte die Funktion mal aktiviert oder schneide ich mir damit ins eigene Fleisch?

Steht doch da. Moderne Geräte unterstützen 802.11r. Das ist eine Funktion, bei der die Ab- und Anmeldung beim Roaming zwischen verschiedenen APs/Repeatern abgekürzt wird, um den Wechsel zu beschleunigen. Ohne 802.11r wird beim Roaming die Verbindung zum alten AP mehr oder weniger komplett abgebaut und mit dem neuen AP wieder aufgebaut, was länger dauert und zur Folge haben kann, dass bestehende Datenverbindungen wie zB Streams, o.ä. abgebrochen werden..
Older devices sind daher jene Geräte, die 802.11r nicht unterstützen. Ob deine Endgeräte es tun oder nicht, steht üblicherweise in den Datenblättern oder in der Bedienungsanleitung.

Genauso bei

"high performance clients" sind was? Diese Funktion ist ja standardmäßig aktiviert.

Auch da steht doch eigentlich was gemeint ist. 5 GHz ist prinzipiell schneller als 2,4 GHz. Datenhungrige Geräte wie Laptops, o.ä. sollten daher wenn möglich 5 GHz nutzen, weil man darüber beispielsweise vom NAS schneller Daten runter- und hochladen kann - ausreichende WLAN-Abdeckung vorausgesetzt. Hinter dieser Option verbirgt sich mutmaßlich Band Steering, mit dessen Hilfe Endgeräte explizit ins 5 GHz WLAN "gezwungen" werden, um von der höheren Geschwindigkeit zu profitieren.

Dementgegen stehen Geräte, die keine nennenswerte Bandbreite benötigen. Der smarte Kühlschrank, das WLAN-Radio und dergleichen. Diese Geräte haben oftmals nur 2,4 GHz WLAN, weil die Reichweite dabei in der Regel höher und die geringere Bandbreite immer noch mehr als genug ist. Ein WLAN-Radio braucht schließlich nur ein paar kbit/s für etwas Musik.

Man muss ausprobieren ob Band Steering mit den eigenen Endgeräten harmoniert oder nicht. Sture Geräte, die trotzdem lieber ins 2,4er WLAN wollen, weil die Signalstärke vom 5er zu niedrig ist, können schlimmstenfalls in einer Endlosschleife landen, weil sie sich auf 2,4 einloggen wollen und dies ständig geblockt wird. Also testen und bei Problemen den Haken notfalls rausnehmen.

 

[ludwi88gsta]

Hey vielen Dank für die zwei Antworten.

@Raijin ich wusste schon was 802.11.r ist, doch das "Older devices may experience connectivity issues" hat mich irritiert. Ich will ja mit meinem alten Tablet, welches 802.11.r noch nicht kann, keine "Issues" bekommen. Aber ja, dann teste ich es mal. Genauso mit der 5 GHz Bevorzugung oder sogar schon fast Zwang, wie du es schreibst.

Mir war auch klar, dass 5 GHz schneller ist (aber nicht so weit strahlt). Aber klar, dann werde ich es so mal testen.

Das mit der Firewall klingt logisch, war bloß verwundert, dass mir der Controller das so anzeigt (ohne ausgegraut/deaktiviert).

Top danke.


Bzgl Security im WLAN. Dort Kann man auch WPA-2/WPA-3 auswählen. Da WPA-3 bei meinen Clients wohl noch nicht allen unterstützt wird, wäre es käse nur auf WPA-3 zu gehen. Ob diese Auswahl "WPA-2/WPA-3" wohl bedeutet, dass er die Clients entscheiden lässt ob 2 oder 3?

 

[whispet]

Bzgl Security im WLAN. Dort Kann man auch WPA-2/WPA-3 auswählen. Da WPA-3 bei meinen Clients wohl noch nicht allen unterstützt wird, wäre es käse nur auf WPA-3 zu gehen. Ob diese Auswahl "WPA-2/WPA-3" wohl bedeutet, dass er die Clients entscheiden lässt ob 2 oder 3?

WPA2/WPA3 als Transition Mode bringt herzlich wenig, da kann man auch bei WPA2 bleiben.

Sicherer ist nur WPA3.

 

[ludwi88gsta]

Okay, danke.

Weiß jemand woran es liegen könnte, dass manche IoT-Geräte (Backofen z.B.) Probleme mit dem Standard-Gastwlan haben?

Aber auch mein Iphone hat nach dem Verbinden mit dem Gast WLAN nach 3-4 Sekunden gleich mal wieder einen Disconnect -> LTE und danach 1 Sekunde wieder im WLAN.

 

[whispet]

Aber auch mein Iphone hat nach dem Verbinden mit dem Gast WLAN nach 3-4 Sekunden gleich mal wieder einen Disconnect -> LTE und danach 1 Sekunde wieder im WLAN.

Ein Anzeichen von schlechtem Empfang, bzw. er sich nicht entscheiden kann auf welchen AP er gehen soll vermute ich.

 

[ludwi88gsta]

Schlechten Empfang kann ich eigentlich kicken, weil ich förmlich unterm AP sitze.

Und dass er sich nicht entscheiden kann.. hhmm beim "normalen" WLAN gehts ja auch, nur beim vorkonfigurierten Gast-WLAN des Controllers (Konfiguration siehe oben) gibts die Probleme

 

[XN04113]

Du kannst ohne Unifi Router kein Gast WLAN aufbauen!

 

[Raijin]

Jein, natürlich kann man ein Gast-WLAN ohne Unifi Router erstellen, aber eben nicht generell ohne Router, sei es ein Unifi Router oder ein sonstiger Router, der in irgendeiner Form eine Gastfunktion bietet.

Man kann beispielsweise im Falle einer Fritzbox LAN4 als Gastnetzwerk konfigurieren und über einen VLAN-fähigen Switch gemeinsam mit dem Hauptnetzwerk als VLAN zum AP bringen und dort eine SSID für das Haupt-WLAN und die andere für das Gast-WLAN erstellen. Die erweiterten Gast-Funktionen im Unifi-Controller im Sinne der Firewall, etc. sind ohne USG natürlich wie gehabt nicht aktiv.

Die Gast-Funktion ist daher grundsätzlich eine Funktion, die der Router bereitstellt und nicht die APs. Die APs sind sogesehen nur doofe kabellose Zugänge zum Netzwerk oder im Falle von mehreren SSIDs + VLANs eben zu mehreren Netzwerken mit jeweils eigener SSID.

 

[hanse987]

Es gibt bei Unifi noch eine so halbe Gast WLAN Funktion. Man kann im Controller eine eigene SSID Vergeben und Gastnetz einstellen. Die Geräte die sich mit der Gast SSID verbinden bekommen zwar IP Adressen aus dem normalen Pool, aber die Geräte haben keinen Zugriff aufs normale Netzwerk. Ich hab es bei mir so laufen und mir reicht aktuell so.

Ich will es schon lange so machen wie von Raijin erklärt machen, aber irgendwie kommt immer was anderes dazwischen.

 

[Raijin]

Geht das über die Guest Policies oder wie hast du das gemacht? Ich hab das nie ausprobiert, weil ich eh VLANs habe und das Gastnetzwerk dementsprechend über meine Firewall trenne.

 

[hanse987]

Ich hab in den Einstellungen der jeweiligen SSiD den Haken bei "Gastrichtlinie anwenden" gemacht.

 

[ludwi88gsta]

Danke für eure Antworten.

@hanse987 hattest du schon Probleme mit dem Gast WLAN? Mit Geräten die nicht reinkommen oder so?

Geht die Aufteilung mit VLAN auch ohne FRITZ!Box? Mit dem magenta Router zb?

Wobei ich eh vor einem anderen Problem stehe: Internetradio sollte eigtl ins Gast WLAN. Doch wenn ich über Airplay was vom Handy spielen will, muss mein Handy ja auch ins Gast WLAN, weil AirPlay ja über das gemeinsame WLAN geht oder?

 

[Raijin]

Geht die Aufteilung mit VLAN auch ohne FRITZ!Box? Mit dem magenta Router zb?

Eine Fritzbox selbst kann kein richtiges VLAN, aber sie kann ihr Gastnetzwerk an LAN4 auausgeben. Dadurch kann man einen VLAN-Switch mit 2 Kabeln anschließen, eines für das Haupt- und das andere für das Gastnetzwerk. Der Switch gibt beide dann gemeinsam an den AP und der macht daraus 2 WLANs.

Diese Methode funktioniert mit allen Routern, die das Gastnetzwerk über einen LAN-Port ausgeben können. Die Router der Telekom können das in der Regel nicht.

 

[ludwi88gsta]

Also wäre die einzige Alternative wirklich, den gemieteten Speedport zurück zu geben und ne eigene Fritzbox als Router zu kaufen?

Dann könnte ich wie du gesagt hast, bei der Fritzbox ein Gäste-WLAN über einen Port ausgeben, an den Netgear Switch ran und dort ein VLAN für diesen Port machen. Ist das relevant ob tagged oder portbasiertes VLAN?

 

[Raijin]

Wobei ich eh vor einem anderen Problem stehe: Internetradio sollte eigtl ins Gast WLAN. Doch wenn ich über Airplay was vom Handy spielen will, muss mein Handy ja auch ins Gast WLAN, weil AirPlay ja über das gemeinsame WLAN geht oder?

Das ist die Crux bei IoT im weitesten Sinne. Solche Anwendungen arbeiten in der Regel mit Broadcasts, die in dieser Form lediglich im selben Netzwerk funktionieren, weil sie nicht geroutet werden. Deswegen lassen sich smart devices, die man zB via Smartphone steuern will, nicht so ohne weiteres in einem separaten Netzwerk unterbringen, weil dann keine Verbindung über die Broadcasts zustande kommt. Dazu müsste man dann einige Klimmzüge machen, die allerdings fortschrittliches Equipment benötigen.

Es gilt daher die ungeschriebene Regel, dass man ein Netzwerk mit smarten Geräten nicht unnötig aufteilen sollte, wenn man nicht weiß wie.

Also wäre die einzige Alternative wirklich, den gemieteten Speedport zurück zu geben und ne eigene Fritzbox als Router zu kaufen?

Jein. Theoretisch könnte man auch einen zusätzlichen Router von MikroTik, einen EdgeRouter oder einen Router mit OpenWRT zur Abtrennung weiterer Netzwerke wie zB das Gastnetzwerk nutzen. Das erfordert aber ein gewisses KnowHow oder den Willen und die Ausdauer, sich intensiv mit der Thematik auseinanderzusetzen.

Dann könnte ich wie du gesagt hast, bei der Fritzbox ein Gäste-WLAN über einen Port ausgeben, an den Netgear Switch ran und dort ein VLAN für diesen Port machen. Ist das relevant ob tagged oder portbasiertes VLAN?

Man muss das Rad ja nicht immer neu erfinden und alles selbst erklären. Daher verweise ich an dieser Stelle mal an die sehr verständlich formulierten VLAN-Grundlagen bei thomas-krenn.com

 

[XN04113]

da Du einen Speedport Router hast könne man den in den Modem Modus setzen und dann einen Unifi Router dahinter