Unifi Netzwerke

[CoregaTab]

Hi, vermutlich ist mein Verständnis zum Netzwerk katastrophal, also bitte korrigiert mich wenn mein Gedanke absoluter Schwachsinn ist.

Ich habe ein Cloud Gateway Ultra. An dem hängen über LAN Switch 2 PC, 1 NAS, 2 Accesspoint und 1 PC als Server mit Proxmox für Home Assistant, Jellyfin und Adguard.

Alles an IP Adressen habe ich fest verteilt. So sind zB im Bereich 192.168.1.150 bis 192.168.1.200 alles vergeben was mit dem Smart Home zu tun hat. Dann noch paar Handy, Tablet, TV Stream usw.

Jetzt kommt ein Gedanke in den Kopf der vermutlich nicht meiner Vorstellung entspricht.

In den Optionen des Gateway Ultra kann ich unter Netzwerk weitere Netzwerke erstellen.

Besteht die Möglichkeit das ich da weitere Netzwerke erstelle mit weiteren IP Adressen?
Mein gedanke wäre zB.
192.168.1.1 bis 192.168.1.254 ist alles was an PC, Stream, Handy usw vertreten ist

192.168.2.1 bis 192.168.2.254 wäre der Bereich alles mit Smart Home wie Home Assistant, alles an Shelly Teilen usw.

192.168.3.1 bis... wäre ggf irgend wann mal der IP Bereich für unsere Gästewohnung.

So in etwas wäre meine Vorstellung die ich mir erhoffe und optimal wäre das der IP Bereich 192.168.1.1 - xxx und 192.168.2.1 - xxx zusammen arbeiten aber der IP Bereich 192.168.3.1 - xxx nicht zu den anderen Zugriff hat.

Wäre sowas möglich oder ist da meine Fantasie und Realität weit entfernt?

Danke

 

[TWIN013]

Nennt sich VLAN und ja, genau dafür nutzt man Unifi - sonst kann man eigentlich auch ganz locker bei einer FritzBox bleiben.

 

[redjack1000]

So in etwas wäre meine Vorstellung die ich mir erhoffe und optimal wäre das der IP Bereich 192.168.1.1 - xxx und 192.168.2.1 - xxx zusammen arbeiten aber der IP Bereich 192.168.3.1 - xxx nicht zu den anderen Zugriff hat.

Das geht so wie du dir das vorstellst.

Richte die Netzwerke wie gewünscht ein und konfiguriere die Firewall entsprechend.

CU
redjack

 

[valgart]

Ja geht. Mit Firewall regeln kannst dann bestimmen was von wo nach wo darf.

 

[flo222]

Wie von @TWIN013 geschrieben geht genau sowas mit UniFi sehr bequem. Kann man nach verschiedensten (sinnvollen) Kriterien trennen.



Man muss nur beachten, dass man dann die Netze in der Firewall auch trennt, von Haus aus ist im UniFi Netz untereinander alles erreichbar. Ich hab wie man im Screenshot sieht beispielsweise mein Homeoffice VLAN mit einer anderen IP-Logik als meine eigenen Netze belegt, da der 10.x.x.x Bereich den ich vorher hatte immer mit dem Firmennetzwerk kollidiert ist. Wenn Du noch UniFi APs verwendest, kannst Du die VLANs auch auf SSIDs matchen.

 

[CoregaTab]

Super, vielen dank schon mal.
Ist es da egal ob ich im Bereich 192.168.x.x bleibe (192.168.2.x, 3, 4, 5 usw. oder warum habt ihr @flo222 und @valgart den Bereich 10.xxx.xxx.xxx gewählt bzw. xxx.xxx.10.x 20, 30, 40 usw. anstelle von xxx.xxx.1.x, 2, 3 usw.

 

[redjack1000]

So lange du dich an die Regeln für private Netzwerke hältst, kannst du den Bereich frei wählen

CU
redjack

 

[Katao]

Du brauchst allerdings auch die entsprechende Hardware um diese Netzwerke dann auf die Ports zu legen soll heißen mit einem 08 15 Switch kannst du da nicht viel anfangen. Du kannst dann bei deinem Gateway die vier Ports konfigurieren aber wenn dahinter ein dummer Switch hängt, kannst du da nichts konfigurieren

 

[valgart]

Super, vielen dank schon mal.
Ist es da egal ob ich im Bereich 192.168.x.x bleibe (192.168.2.x, 3, 4, 5 usw. oder warum habt ihr @flo222 und @valgart den Bereich 10.xxx.xxx.xxx gewählt bzw. xxx.xxx.10.x 20, 30, 40 usw. anstelle von xxx.xxx.1.x, 2, 3 usw.

Ist egal was du nimmst solange es der private Adressbereich ist. 10….172.16….192.168…
Viele sagen das die Anfänger bei 192… bleiben und Profis 10…. Nehmen. Aus persönlicher Erfahrung haben manche (iot) Geräte Probleme mit 10…. Adressen. Das eine 10… Netzwerk bei mir ist noch ein Überbleibsel zu Test Zwecken.

Dran denken das die Switche dahinter auch (bevorzugt) von UniFi sein sollten. Geht auch mit anderen managbaren switchen ist aber dann ein sch… zum konfigurieren teilweise. Zu gewissem grad sind auch „dumme“ switche ensetzbar

 

[CoregaTab]

Switch ist auch von Unifi. Habe ich damals beim Umbau nach Glasfaser alles umgestellt auf Unifi, auch die Accesspoint.

 

[valgart]

Dann sollte es keine große Sache sein. Netzwerke erstellen, Port am Switch konfigurieren und fertig. Wenn hinter den Unifi Switch einen "dummen" switch hängst, ist alles was da dran angeschlossen ist auch in demselben VLAN unterwegs.
Firewall regeln nicht vergessen anzulegen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

als Einstiegshilfe

 

[norKoeri]

weitere Netzwerke

Du hattest schon einen Thread zu VLANs … hast dort leider abgebrochen oder nicht mehr geantwortet. Dieser Thread hier geht in die gleiche Richtung, eine Netz-Segmentierung des Heimnetzes. Mehrere Netzsegmente und dann VLANs sind Werkzeuge dazu, wie Hammer und Schraubenzieher. Kannst Du versuchen von den Werkzeugen weg Dein Anliegen zu beschreiben, also was das Ziel/Vorteil/Nachteil-von-jetzt ist?

Gästewohnung

Das wäre so ein Beispiel für ein Anliegen. Ein Gast erfordert ein isoliertes Netz, also dass der Gast nur in seinem Netz beliebt. Werkzeuge, also welche Haken wo zu setzen sind, findest Du für dieses Beispiel in einem Best Practice. Wobei das auf eher temporäre Gäste abzielt. Dauerhafte Gäste wollen dauerhaft komplett ein eigenes Netz-Segment.

Switch ist auch von UniFi

Welche(s) Modell(e) genau?

 

[iamahumanbeing]

Wenn du eine Gästewohnung hast solltest du schauen, das die Gäste nicht physisch an einen Lanport kommen, oder entsprechend absichern.

Nur noch so als Tipp: verwende nicht das Netz 19.168.2.0/24, es eventuell Probleme mit Teleport (dem „Zero-Config“ vpn über die WiFiman-App) geben könnte.

 

[CoregaTab]

Sorry für die späte Antwort.
Ich werde mich die Tage mal mit allen Infos beschäftigen und sehen ob ich es umgesetzt bekomme.

@norKoeri das ist richtig. Das Thema hatte sich dann ja mehr oder weniger geklärt oder erledigt da ich da nur auf die Sicherheit ausging. Jetzt geht's mir eher um einen neuen Weg und der Aufteilung plus Erhöhung der IP Adressen Nutzung für meine Übersicht.

Dazu ist dann eben das Gäste Netzwerk und jetzt zusätzlich das Kinder

 

[norKoeri]

eher um einen neuen Weg und der Aufteilung plus Erhöhung der IP Adressen Nutzung für meine Übersicht

Mhm. Das sind die Maßnahmen, aber nicht Gründe, also warum willst Du mehr aufteilen, für was brauchst Du mehr Übersicht?

Gegen-Beispiel: Wenn Du jetzt weitere IP-Adressen brauchst, solltest Du nicht mehr Netze anlegen sondern den einen Adress-Bereich vergrößern. Willst Du nicht in allen bestehenden Geräten alles gleichzeitig ändern, könntest Du auch im 192er bleiben und nur die Subnetz-Maske vergrößern. Oder Du wechselst komplett in eines der 172.16-Netze. Du kannst Dir dann innerhalb des großen Netzes einen Plan erstellen.

Aber auch das ist nur die Maßnahme, die Umsetzung. Weiterhin stellt sich die Frage, wozu „feste“ IP-Adressen überhaupt? Der Controller in UniFi kann von sich aus Geräten immer die selbe IP-Adresse zuordnen. Auch siehst Du dort die Geräte direkt ohne überhaupt über IP-Adressen nachdenken zu müssen.

192.168.3.1 bis... wäre ggf irgend wann mal der IP Bereich für unsere Gästewohnung.

Du kannst auch mischen. Weil jenes Netz dann komplett isoliert wäre, kannst Du dort ein komplett anderes Adress-Schema wählen, aber ja theoretisch sogar den selben Adress-Bereich verwenden – wobei Letzteres bei manchen Routern nicht geht, daher nur theoretisch. Also Du kannst z. B. 192.168.56.x/255.255.255.0 nehmen bzw. 172.16.14/255.255.0.0.

Irgendwie vermute ich, dass hier noch ein Missverständnis umherschwirrt, daher bitte versuchen zu erklären, was Du damit bezwecken willst, was Du Dir dadurch erhoffst. Hilft vielleicht schon der Wikipedia-Eintrag über private IPv4-Adressen?

 

[CoregaTab]

@norKoeri nennen wir es Spinnerei, Ordnungswahn oder wie auch immer.
Im Moment ist es so das alles was mit PC, Stream und Smarthome zu tun hat im Bereich 192.168.1.xxx liegt.
192.168.1.5 bis 10 sind z.B. Accesspoint
192.168.1.11 bis 20 sind Server oder Zentralen wie Proxmox, Ring Basis, Rauchmelder Basis usw.
192.168.1.50 bis 70 sind Handy, Tablet, PC, Drucker usw.
192.168.1.100 bis 150 sind aufgeteilt in Smart Home Gräte

usw. so geht das durch mit Stream Geräten usw.

Ich will das alles trennen. Ich will der der Bereich 192.168.1.xxx alles an Zentralen ist und PC, Handy usw.
192.168.2.xxx sollte in Zukunft alles sein was mit Stream zu tun hat.
192.168.3.xxx alles mit Smart Home usw.
jedes Gerät bekommt eine eigene IP Adresse so das ich in meiner Liste genau sehe das der IP Adressen Bereich alles ist was ein Handy ist oder eine Steuerung für den Rolladen. Ob es sinnvoll ist oder unnötige Arbeit ist da egal. Das ist einfach mein Macken den ich habe.

 

[norKoeri]

Ist legitim und kann man machen, aber der Begriff „trennen“ verwirrt dann Andere. Mit Deinem Ziel bitte die Subnetz-Maske aufziehen, also wenn Du rund um 192.168.178.1 bleiben wolltest, verwendest Du statt 255.255.225.0 eine andere Subnetz-Maske, z. B. 192.168.176.1/255.255.248.0. Du hast dann .176. bis .183. zur Verfügung. Oder Du wechselst direkt in eines der 172.16er-Netze wie zum Beispiel 172.16.21.1/255.255.0.0. Zusätzlich ein Netz für Gäste.

 

[CoregaTab]

Endlich habe ich es geschafft mein Netzwerk so aufzubauen wie ich es gerne hätte.
Jetzt gehts ans fine tuning.

Im Moment habe ich 3 SSID laufen. Normal, Smart und Stream.
Normal ist alles an Handy, Laptop usw drin und im IP Bereich 192.168.1.x

Die SSID Smart ist alles vertreten was mit Smart Home, Home Assistant zu tun hat. Dazu habe ich ein VLAN erstellt mit dem Bereich 192.168.20.x und der SSID Smart diesem vlan zugeordnet.

Gleiches spiel mit Stream mit einem anderen vlan.

Jetzt gehts ans fine tuning. Ich würde gerne alle Geräten meines Kindes in das vlan Kind bringen. Dem habe ich die IP 192.168.40.x gegeben. Da sein PC über LAN verbunden ist war das einfach da ich den Port einfach zuordnen musste.

Wie kann ich das jetzt aber mit dem Tablet usw machen das über WLAN verbunden ist?

Kann ich den Clients in der Cloud Gateway Ultra sagen das Client xyz ein anders vlan zu nutzen hat oder müsste ich da extra ein neues ssid erstellen für Kind dem ich demnächst das vlan zuordne so wie bei smart und stream?

Wenn das möglich wäre ohne zusätzliche SSID wäre das natürlich top.

Beim suchen bin ich auf die Info Raduis gestoßen. Wenn ich das richtig verstanden habe kann ich mein Vorhaben Kind auf jeden Fall mit der Radius Funktion bewerkstelligen. Dann wäre der Standard ssid mit 192.168.1.x ein wpa2 Enterprise und das sollten ja zumindest alle Laptop, Tablets und Handy können.

Da eigentlich alle smart home und stream Geräte eher kein Enterprise können muß ich vermutlich so oder so die anderen beiden ssid behalten.

 

[norKoeri]

3 SSID laufen

Macht eigentlich keinen Sinn, denn je mehr SSIDs Du hast/machst, um so langsamer wird Dein WLAN, weil laufend die Kennungen mit niedrigster Geschwindigkeit übertragen werden müssen. Mehrere SSIDs wirklich nur dann, wenn die WLANs auch andere Eigenschaften haben (müssen).

müsste ich da extra ein neues ssid erstellen

Das. WLAN selbst überträgt/kennt keine VLANs, das geht „nur“ über die SSID. „Zuordnen“ über die MAC geht auch nicht, denn dann ist das Gerät schon in einem VLAN.

Raduis gestoßen. Wenn ich das richtig verstanden habe kann ich mein Vorhaben Kind auf jeden Fall mit der Radius Funktion bewerkstelligen. Dann wäre der Standard ssid mit 192.168.1.x ein wpa2 Enterprise und das sollten ja zumindest alle Laptop, Tablets und Handy können.

Ja, über WPA-Enterprise kannst Du bei der Authentifizierung dynamisch ein VLAN zuordnen. Das ist der Weg in Enterprise-Netzen die Anzahl der SSIDs niedrig zu halten. Hatten wir in diesem Thread … mache ich hier auch so. Aber in einem Heimnetz arbeitet man heutzutage eigentlich mit PPSK …

VLAN

Du brauchst für Dein Ziel überhaupt keine VLANs. Folglich brauchst Du weder Multiple-SSID weder dynamische VLAN-Zuteilung über Radius noch PPSK.

Problem ist nämlich auch, dass dieser ganze „Kram“ in Prosumer-WLANs normal nicht wirklich tut, wenn Du Protokolle nutzt, die auf Multicast basieren, wie allein schon IPv6. Alles falsch implementiert, was dann bis hin zu gestörten Internet-Zugang führt – nicht dauerhaft sondern ab und zu Fehler, also sporadische Software-Bugs. Super für Laien zum Software-Debuggen.

UniFi ist einer der wenigen (der einzige?) in dem Bereich Prosumer, der das richtig hat. Bedeutet im Umkehrschluss – wenn Du jetzt auch noch mit Dingen wie PPSK oder dynamische VLAN-Zuteilung anfängst –, dass Du für lange Zeit in UniFi gefangen bist. Daher bleibe bitte bei einer SSID und ziehe die Subnetz-Maske auf.