ComputerBase Menü
Aktuelles

Würde gerne das Heimnetzerk mit VLANs trennen - Bräuchte Beratung

svr2009

svr2009

Ensign
Registriert
März 2015
Beiträge
165
Guten Morgen zusammen. Aktuell ist das Heimnetz über eine Fritzbox realisiert, an der auch das Telefon hängt. Somit hängt alles in einem Netz + das Gästenetz.
Die Fritzbox sollte als Internet-Eintrittspunkt bleiben, da die Telefonie auch benötigt wird.
Ich habe mir Überlegungen gemacht und würde gerne mehrere Netze+WLAN Netze haben. Die Netze sollen sich nicht sehen und nicht miteinander kommunizieren. Ausnahme ist ein kleines Netz, wo der WLAN-Drucker drin ist. Hier würde ich über Regeln die Kommunikation zwischen dem Drucker und bestimmten Hosts in den anderen VLANs erlauben. Zum Beispiel:

  • Heimnetz + WLAN
  • Gästenetz + WLAN
  • IoT/SmartTVs + WLAN
  • Homeoffice + WLAN
  • LAB + WLAN
  • Drucker WLAN
...

Die Fritzbox kann so etwas nicht realisieren. Somit habe ich recherchiert und bin dann auf die Ubiquiti Geräte gestoßen.
Kaufen müsste ich dann ja das Gateway Ultra, ein POE Switch, ein-zwei ACs APs.
Ich fand es gut, dass man die Cloudfunkton nicht nutzen muss und die Verwaltung nur lokal betreiben kann. Auch die Verwaltung sieht gut aus und dass man es hinter einer Fritzbox betreiben kann.
Nur hat mich dann das Thema Datenschutz getroffen. Obwohl man die Option der Datenteilung deaktiviert, scheint das UCG trotzdem nach Hause zu funken. Dies verunsichert mich jetzt:

https://www.reddit.com/r/Ubiquiti/comments/1e62jpo/questions_about_privacy_with_ubiquitiunifi/

Und das ist nicht der einzige Post über das Thema.

Dann habe ich die TP-Link Omada Produkte gefunden. Kann man hier das gleiche erreichen wie mit den Ubiquiti Geräten? Also auch von der Verwaltbarkeit und die Nutzung hinter der Fritzbox her? Welche Geräte bräuchte ich? Und wie ist es hier mit dem Thema Datenschutz?

Und dann wäre da die Option mit OpenWRT, OPNSense etc. ? Wie sieht hier die Umsetzung aus und was müsste ich besorgen?


Lieben Gruß,

SvR2009
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Falex163
Ich habe das genau so mit Omada im Einsatz. Ein TP Link E605, Switch und mehrere APs.
Den Controller kann man lokal betreiben als Container oder in einer VM, alternativ gibt es noch einen Hardwarecontroller.
Funktioniert tadellos.
 
Top Anfrage, da würde ich mich interessiert anschließen! Setup auch FRITZ!Box und keine Netztrennung /-isolation. Die würde ich mir aber auch wünschen. Telefonie sollte auch weiter funktionieren, also muss die FRITZ!Box ja drin bleiben im Setup.
 
Ich habe so ein Setup mit einem OpenWrt-Router umgesetzt. Du brauchst einen Managed Switch (PoE optional) und WLAN-AP(s). Bei mir steht ein 24-Port Switch, in dem die VLANs implementiert sind. AP und Router sind bei mir getrennt, es ließe sich aber auch in einem Gerät umsetzen. In der FB ist bei mir das WLAN aus. Für die Lösung mit OpenWrt würde ich einen Router/AP mit MediaTek Filogic Chip empfehlen. Der hätte gute Performance bei Routing und WLAN. Kompatible Geräte finden sich in der HW-Liste von OpenWrt (persönlich nehme ich gerne Cudy, die sind recht offen was OpenWrt angeht).
Konkret müsste man sich entscheiden, auf welcher Seite der FB sich die Netze befinden sollen. Im Heimnetz lassen sich statische Routen definieren, was bspw. für den Drucker und evtl das Lab relevant wäre. Alle Netze die nur Internet-Zugriff benötigen, sollten auf der Gast-Seite verortet werden. Dort lassen sich keine statischen Routen konfigurieren, daher müssten die Netze im Router geNATtet werden. Die Firewall vom OpenWrt hilft einem mit dem Zonen-Konzept (was auch Unifi inzwischen so oder so ähnlich umsetzt).
 
sagen wir so je weniger vlans desto leichter tut man sich bei der fehlersuche.

So VLan geschichten löse ich gern mit Lancom Routern und WLan-AP
 
wern001 schrieb:
sagen wir so je weniger vlans desto leichter tut man sich bei der fehlersuche
Zum Vergrößern anklicken....
Und ist unsicherer unterwegs, ich gehe mittlerweile zu Makro-Segmentierung und ZTNA (Zero Trust Network Access) über.
 
  • Gefällt mir
Reaktionen: derchris und svr2009
Ich bin gerade diese Woche ebenfalls dabei den Schwenk von der Fritzbox zu Ubiquiti zu machen. Das Cloud Gateway Fiber habe ich gerade erst gestern eingerichtet. Du kannst da mal bei Alternate schauen, die Gateways sind heute im Angebot ( außer das Fiber). Ubiquiti hat aktuell auch einen Black Friday Sale mit älteren Geräten.

Wenn du die Fritz Box behalten willst, dann muss diese den Modem Modus (Bridge Modus) unterstützen, dass ist nicht bei allen Geräten der Fall (meine 7590 konnte es nicht). Ansonsten brauchst du ein separates Modem wie Vigor 167 ( für VDSL)
 
  • Gefällt mir
Reaktionen: AAS
Danke schonmal für die rege Beteiligung. @DJKno Setup mit TP-Link klingt ganz gut. Auch, dass alles zentral managebar ist, passt.

Jedoch, je mehr ich gerade über TP-Link lese: Sicherheitslücken, China, evtl. Verkaufsverbot in den USA (k.A. ob begründet oder Propaganda, Firmwareupdates etc... Da hört sich Unifi besser an.

Ich will jetzt nicht paranoid klingen oder übertreiben. Nach Hause Funken ja genug Geräte und wer Android nutzt^^ Aber bei solchen wichtigen Komponenten wollte ich schon etwas aufpassen. Oder übertreibe ich da?
 
svr2009 schrieb:
Fritzbox sollte als Internet-Eintrittspunkt bleiben, da die Telefonie auch benötigt wird
Zum Vergrößern anklicken....
@Falex163 Telefonie muss nicht am Internet-Eintrittspunkt gemacht werden. Wenn Du z. B. die FRITZ!Box als IP-Client plus Portweiterleitung des Internet-Routers für Telefonie aktiv halten konfigurierst, kannst Du die FRITZ!Box irgendwo in Dein Heimnetz setzen. Fehlt nun das DSL-Modem, dann bitte hier entlang … solche Teile bekommt man ab und zu geschenkt, also nur abholen oder Versandkosten.
svr2009 schrieb:
Datenschutz
Zum Vergrößern anklicken....
In der neusten Version bietet UniFi die Möglichkeit auch die anonyme Erhebung abzuschalten …
svr2009 schrieb:
Dann habe ich […]
Zum Vergrößern anklicken....
Gibt noch viele Weitere …
svr2009 schrieb:
6 Netz-Segmente
Zum Vergrößern anklicken....
Manche WLAN-Punkte bieten nur vier SSIDs, pro Funkmodul, also pro Frequenzband. Auch nicht alle Router bieten so viele Netz-Segmente. Du könntest auf PPSK bzw. dynamisches VLAN umschwenken, aber das kann im Prosumer-Bereich außer UniFi niemand wirklich richtig.
svr2009 schrieb:
Wie sieht hier die Umsetzung aus und was müsste ich besorgen?
Zum Vergrößern anklicken....
Erstmal: Anders herum denken! Welches Gerät muss ausschließlich ins Internet, (A) wird über das Internet oder (B) über das Heimnetz oder (C) lokal am Gerät verwaltet. Geräte in Gruppe A und C können in ein Netz-Segment in denen alle Mitglieder voneinander isolierst werden, also typischerweise das Gast-Netz. Bereits das ist überhaupt nicht so einfach: Client-Isolation.
svr2009 schrieb:
zwei ACs
Zum Vergrößern anklicken....
Nur zur Information: WLAN-Access-Points kürzt man nicht mit „ACs“ sondern mit „APs“ ab.
svr2009 schrieb:
Wie sieht hier die Umsetzung aus und was müsste ich besorgen?
Zum Vergrößern anklicken....
Problem ist eher, welche Geschwindigkeit Du hin zum Internet und im Heimnetz haben willst. Problem ist eher, wieviele Ports der Switch haben muss bzw. soll. Willst Du hier Fabelwerte hast Du schnell ein Problem, weil die Hardware-Beschleunigungen nutzen musst. Daher mal ganz anders herum:
svr2009 schrieb:
ein POE Switch, ein-zwei APs
Zum Vergrößern anklicken....
Mein Tipp: Bei zwei WLAN-Access-Points mit PoE-Injektoren oder Schalt-Netzteil anfangen, ansonsten wird der Switch nur wahnsinnig teuer (Anschaffungskosten, aber auch laufende Kosten wegen vielleicht aktiver Kühlung = lauter Lüfter die ganze Zeit) oder Du musst auf zwei Switche umschwenken. Wieviele Ports brauchst Du denn?
 
Zuletzt bearbeitet: (Hohlstecker-Netzteil gegen das Wort Schalt-Netzteil getauscht, weil manche ja auch schon USB-C bieten)
  • Gefällt mir
Reaktionen: svr2009
@norKoeri
Danke für die Ausführlichen Infos. Dass die "die anonyme Erhebung" nun abschaltbar ist, klingt sehr gut. Das war ja ein Kritikpunkt der letzten Jahre (siehe meine Reddit Verlinkung). Wann kam dieses Update denn raus?

Obwohl, die komische Datenschutzvereinbarung hat sich nicht verändert:
https://www.ui.com/legal/privacypolicy/

Stimmt, heißt APs, wie komme ich das auf Ac.... Ja, das mit den vier WLAN Netzen muss ich beachten. Es gehen ja auch 8, wenn man Mesh deaktiviert. Ich denke ein AP sollte auch erstmal reichen.

Welche Open Source FW ist denn am benutzerfreundlichsten sowie kann mit den gewünschten Punkte gut umgehen? Im Hinterkopf schwirrt noch eine Info, dass eine nicht gut mit WLAN umgehe kann?
 
Mhh die fritzbox kann kein vlan. Solange du diese box als Internetanschluss nutzt hast du nur die Möglichkeit die Gäste-lan/wlan Funktion der Fritz zu brauchen um wenigstens die Trennung Netzwerk zu abgeschirmtem vlan zu machen. Dabei wird aber die Telefonie auch getrennt.
Kauf dir lieber einen Router (internetzugangspunkt) der vlan fähig ist und nutz die fritzbox als dectstation
 
Das ist ja nichts neues, wurde ja auch oft erwähnt. Und ich habe das Gast-Wlan aktiv. Die Telefonie funktioniert ganz normal, da ist nichts getrennt bei mir. Oder wie meinst du das bzw. wie macht sich diese getrennte Telefonie bemerkbar?
 
svr2009 schrieb:
Wann kam dieses Update denn raus?
Zum Vergrößern anklicken....
Steht in meinem verlinkten Posts, also die Version. Wenn Du das genaue Datum brauchst, ist das mit UniFi so eine Sache, weil Du Early-Access (EA) hast, also manche Nutzer haben früher Zugriff darauf. Das verschleiert dann das genaue Datum, ab dem das anders wurde. Aber in meinem Post findest Du auch zwei Diskussionen, die sich rund um die neue, aktuelle Situation drehen.
svr2009 schrieb:
Welche Open Source FW ist denn am benutzerfreundlichsten sowie kann mit den gewünschten Punkte gut umgehen? Im Hinterkopf schwirrt noch eine Info, dass eine nicht gut mit WLAN umgehe kann?
Zum Vergrößern anklicken....
Bei OPNsense mischst Du, also OPNsense für den Router und dann OpenWrt für den AP. Auf dem Switch „musst“ Du noch Closed-Source nehmen. OpenWrt dringt zwar langsam auch auf Switche, aber deren Umsetzung … puh. Aber beide Systeme laufen auch auf x64, Du kannst die also erstmal virtualisieren oder noch besser auf einem kleinen Desktop-Computer für 80 € ausprobieren. Auf MyDealz.de hat jemand ein Artikel-Template, dass er bei jedem Schnäppchen des Lenovo ThinkCentre M720q Tiny postet …
cbtaste420 schrieb:
OpenWrt kann das. ;)
Zum Vergrößern anklicken....
Können und richtig machen … Müsste mir die aktuelle Situation in OpenWrt nochmal anschauen, aber soweit ich das verstand, hängt die richtige Funktion rund um VLAN-Multicast vom WLAN-Treiber ab, also von der gewählten Hardware. Oder hast Du dafür einen HowTo, Thread, etc.?
svr2009 schrieb:
ein AP sollte auch erstmal reichen
Zum Vergrößern anklicken....
Dann wirklich PoE-Injektor oder sogar Schalt-Netzteil. Kommt der Rest der Geräte per LAN? Wenn ja, wieviele etwa? Dann könnte man einen Tipp für den Switch geben.

@Falex163 Du merkst vielleicht, geht ganz schnell Richtung Hardware und damit den eigenen Gegebenheiten. Also vielleicht doch besser einen eigenen Thread.
 
Ah, jetzt habe ich nochmal richtig hingeschaut und du hast den Post im Oktober aktualisiert. Sehr gut.
Das bringt Unifi wieder ins Rennen.

An das Gateway würden erstmal die Fritzbox, AP und der Switch kommen.
An den größeren Switch kommen dann zwei PCs, Playstation, Arbeitslappi, und vielleicht irgendwann noch ein AP.

Habe jetzt das hier rausgesucht zum Beispiel:
https://www.alternate.de/Ubiquiti/Unifi-Cloud-Gateway-Ultra/html/product/100046357
https://www.alternate.de/Ubiquiti/USW-Lite-8-POE-Switch/html/product/1718568 (Lite gewählt, da der mehr Funktionen hat als der der Pro)
https://www.alternate.de/Ubiquiti/Unifi-U7-LITE-WiFi-7-Access-Point/html/product/100119540

Oder macht für den Switch und den AP etwas anderes als Unifi sinn? Auch wenn man die zentrale Verwaltung verliert.
 
Zuletzt bearbeitet:
Passt. Wobei ich die „Wunschliste“ in der Preissuch-Maschine Geizhals nutzen würde, also hier klicken und dann oben das Icon Wunschliste für jeden Artikel. In der Wunschliste kannst Du dann den günstigsten Händler für alle drei Produkte inklusive Versand ermitteln lassen, bei mir kommt Tages-aktuell Cyberport.de bzw. deren Schwester-Marke computeruniverse.net raus.
 
Wenn man basteln will und OpenSource möchte, kann man auch ne alte Sophos UTM aus der SG Serie gebraucht kaufen und da PFSense drauf spielen. Damit kann man alles machen.
 
Hier auch noch mal die patchnotes vom Juli 2025
- Added the ability to completely turn off data sharing.
Zum Vergrößern anklicken....

Zu deiner Zusammenstellung. Um da sicherzugehen, dass dir das bewusst ist.
  • Gateway und AP können 2.5Gbit/s, dein ausgewählter Switch unterstützt jedoch nur 1Gbit/s
  • Wenn ich das richtig sehe, dann hat das Gateway Ultra kein POE ( Nur das Fiber hat POE). Du bräuchtest dann noch einen POE Injector, wenn du den AP da dran haben willst.
svr2009 schrieb:
An das Gateway würden erstmal die Fritzbox, AP und der Switch kommen.
An den größeren Switch kommen dann zwei PCs, Playstation, Arbeitslappi, und vielleicht irgendwann noch ein AP.

Habe jetzt das hier rausgesucht zum Beispiel:
https://www.alternate.de/Ubiquiti/Unifi-Cloud-Gateway-Ultra/html/product/100046357
https://www.alternate.de/Ubiquiti/USW-Lite-8-POE-Switch/html/product/1718568 (Lite gewählt, da der mehr Funktionen hat als der der Pro)
https://www.alternate.de/Ubiquiti/Unifi-U7-LITE-WiFi-7-Access-Point/html/product/100119540

Oder macht für den Switch und den AP etwas anderes als Unifi sinn? Auch wenn man die zentrale Verwaltung verliert.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz