25
Aufbau eines Heimnetzwerks inkl. Smart-Home
Guten Tag in die Runde,
möchte vorab kurz erwähnt haben, dass ich nicht aus der IT Branche komme, sondern "ambitionierter" Enduser bin - ich hoffe ihr seid gnädig mit mir, was meine Fragen angeht =)
Zur Ausgangssituation:
Wir (meine Familie und ich) befinden uns aktuell in der Detailplanung für einen Neubau. Dieser wird mit einem kabelgebundenen Smart-Home System ausgestattet und soll generell zukunftsorientiert ausgestattet werden, was die Netzwerkinfrastruktur angeht.
Anforderungen:
Auf Grund der recht starken Dämpfung der Bauweise, ist pro Stockwerk ein AP geplant. Hier wäre mir eine "flüssige" Übergabe zwischen den APs wichtig. Pro Zimmer ist mind. eine Netzwerk-Doppeldose geplant.
Weiter soll ein Unraid-Server als NAS und VM-Host zum Einsatz kommen, sowie eine opnsense als Firewall/Router.
Eine Überwachungslösung mit Kameras wäre optional.
Weiter würde ich gerne auch die Festnetz-Telefonie möglichst zentral organisieren.
Daraus ergibt sich aktuell folgender Bedarf:
4x AP (Energieversorgung per PoE)
12x Netzwerk-Doppeldose (hervorgehend aus der Hausverteilung)
1x Smart-Home-Server
1x Audio-Server
1x Unraid-Server
1x Opnsense
?x Kameras (PoE)
1x Türsprechanlage (PoE)
Nach entsprechender Recherche ist eine Segmentierung des Netzwerks durch VLANs unumgänglich. Ich benötige allerdings eine Lösung, welche es mir erlaubt, auch geregelt zwischen den VLANs zu kommunizieren, da ich vom Handy oder Tablet auf die Visualisierung des Smart-Homes zugreifen können möchte und Airplay2 ebenfalls funktionieren soll.
Für die verschiedenen WLANs benötige ich eine DHCP-Lösung (da bin ich noch nicht so wirklich durchgestiegen) - möchte ja nicht jedem Gast manuell eine IP vergeben.
Wenn man anfängt zu suchen, stößt man relativ häufig auf Produkte der Unifi Linie von Ubiquiti. Allerdings gefällt mir die Firmenpolitik hinsichtlich eines Accountzwangs zum Einrichten bestimmter Hardware nicht und hier im Forum wird oft die SG-Serie von Cisco empfohlen. Allerdings muss ich gestehen, dass ich noch nicht durchgestiegen bin, ob und wenn ja welche Serie da genau meine Anforderungen erfüllen würde.
Auch stellt sich mir die Frage, ob es noch Sinn macht, auf 1GbE Hardware zu setzen, wo sich im Moment schon im Consumer-Bereich ein langsamer Wechsel zu 2,5GbE beobachten lässt.
Da auch generell die Frage, ob es nicht sinnvoll wäre, den Unraid-Server mit 10GbE an das Switch anzubinden, sodass hier kein Nadelöhr entsteht. Auch würde ich gerne von meinem Hauptrechner mit 10GbE in Richtung Switch/Server anbinden, da immer mal wieder große Dateien verschoben werden.
Ich freue mich auf die Diskussion und den Input.
Vielen Dank.
möchte vorab kurz erwähnt haben, dass ich nicht aus der IT Branche komme, sondern "ambitionierter" Enduser bin - ich hoffe ihr seid gnädig mit mir, was meine Fragen angeht =)
Zur Ausgangssituation:
Wir (meine Familie und ich) befinden uns aktuell in der Detailplanung für einen Neubau. Dieser wird mit einem kabelgebundenen Smart-Home System ausgestattet und soll generell zukunftsorientiert ausgestattet werden, was die Netzwerkinfrastruktur angeht.
Anforderungen:
Auf Grund der recht starken Dämpfung der Bauweise, ist pro Stockwerk ein AP geplant. Hier wäre mir eine "flüssige" Übergabe zwischen den APs wichtig. Pro Zimmer ist mind. eine Netzwerk-Doppeldose geplant.
Weiter soll ein Unraid-Server als NAS und VM-Host zum Einsatz kommen, sowie eine opnsense als Firewall/Router.
Eine Überwachungslösung mit Kameras wäre optional.
Weiter würde ich gerne auch die Festnetz-Telefonie möglichst zentral organisieren.
Daraus ergibt sich aktuell folgender Bedarf:
4x AP (Energieversorgung per PoE)
12x Netzwerk-Doppeldose (hervorgehend aus der Hausverteilung)
1x Smart-Home-Server
1x Audio-Server
1x Unraid-Server
1x Opnsense
?x Kameras (PoE)
1x Türsprechanlage (PoE)
Nach entsprechender Recherche ist eine Segmentierung des Netzwerks durch VLANs unumgänglich. Ich benötige allerdings eine Lösung, welche es mir erlaubt, auch geregelt zwischen den VLANs zu kommunizieren, da ich vom Handy oder Tablet auf die Visualisierung des Smart-Homes zugreifen können möchte und Airplay2 ebenfalls funktionieren soll.
Für die verschiedenen WLANs benötige ich eine DHCP-Lösung (da bin ich noch nicht so wirklich durchgestiegen) - möchte ja nicht jedem Gast manuell eine IP vergeben.
Wenn man anfängt zu suchen, stößt man relativ häufig auf Produkte der Unifi Linie von Ubiquiti. Allerdings gefällt mir die Firmenpolitik hinsichtlich eines Accountzwangs zum Einrichten bestimmter Hardware nicht und hier im Forum wird oft die SG-Serie von Cisco empfohlen. Allerdings muss ich gestehen, dass ich noch nicht durchgestiegen bin, ob und wenn ja welche Serie da genau meine Anforderungen erfüllen würde.
Auch stellt sich mir die Frage, ob es noch Sinn macht, auf 1GbE Hardware zu setzen, wo sich im Moment schon im Consumer-Bereich ein langsamer Wechsel zu 2,5GbE beobachten lässt.
Da auch generell die Frage, ob es nicht sinnvoll wäre, den Unraid-Server mit 10GbE an das Switch anzubinden, sodass hier kein Nadelöhr entsteht. Auch würde ich gerne von meinem Hauptrechner mit 10GbE in Richtung Switch/Server anbinden, da immer mal wieder große Dateien verschoben werden.
Ich freue mich auf die Diskussion und den Input.
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1994054461
Url: https://administrator.de/contentid/1994054461
Printed on: May 11, 2024 at 00:05 o'clock
25 Comments
Latest comment
Hi
also ganz pauschal:
Sinnvoll ist es die SmartHome- Geräte in einem separaten Netz einzubinden, damit ggf. Anfreifer nicht ins Hauptnetz zugreifen können.
Als Beispiel: Ich habe nicht die Gößenanforderungen wie du, aber meine IoT Geräte - Licht, Heizung - sind im Gastnetz meiner FritzBox.
Für dich und deinem wohl größeren Netz würde das eine VLAN - Konfiguration bedeuten - das kann die FB aber nicht selbst ..
da würdest du mit einer PFSense/OPNSense am besten fahren - kostet natürlich zusätzlich Strom und HW ...
.
also ganz pauschal:
Sinnvoll ist es die SmartHome- Geräte in einem separaten Netz einzubinden, damit ggf. Anfreifer nicht ins Hauptnetz zugreifen können.
Als Beispiel: Ich habe nicht die Gößenanforderungen wie du, aber meine IoT Geräte - Licht, Heizung - sind im Gastnetz meiner FritzBox.
Für dich und deinem wohl größeren Netz würde das eine VLAN - Konfiguration bedeuten - das kann die FB aber nicht selbst ..
da würdest du mit einer PFSense/OPNSense am besten fahren - kostet natürlich zusätzlich Strom und HW ...
.
Hallo Mirko,
danke für deine Einschätzung. Die Variante mit FritzBox (inkl. WLAN) und Gastnetzwerk für IoT fahre ich aktuell. Dazu werkelt bisher noch ein pi-hole mit unbound und in Kürze auch eine opnsense. Diese Lösung ist aktuell in unserer Wohnung auch absolut in Ordnung.
Fürs Haus wird, gerade mit in Bezug auf Sicherheit noch sensiblerer Ausstattung (Smart-Home), der Anspruch allerdings ein anderer.
Daher hoffe ich hier die ein oder andere Hardware-Empfehlung zu bekommen. Natürlich habe ich auch schon mal in Datenblättern einzelner Switches geschaut, aber als nicht IT-Profi übersieht man doch schnell mal was, das einen am Ende zu einer Fehlinvestition führt.
danke für deine Einschätzung. Die Variante mit FritzBox (inkl. WLAN) und Gastnetzwerk für IoT fahre ich aktuell. Dazu werkelt bisher noch ein pi-hole mit unbound und in Kürze auch eine opnsense. Diese Lösung ist aktuell in unserer Wohnung auch absolut in Ordnung.
Fürs Haus wird, gerade mit in Bezug auf Sicherheit noch sensiblerer Ausstattung (Smart-Home), der Anspruch allerdings ein anderer.
Daher hoffe ich hier die ein oder andere Hardware-Empfehlung zu bekommen. Natürlich habe ich auch schon mal in Datenblättern einzelner Switches geschaut, aber als nicht IT-Profi übersieht man doch schnell mal was, das einen am Ende zu einer Fehlinvestition führt.
Smart-Home immer getrennt.
Der Smart-Home-Server (du meinst da wohl sowas wie einen Hub oder Gateway wie z.B. von Homematic) richtet sich nach den dann verwendeten Smart-Geräten. Qivicon (Magenta) soll da gar nicht so schlecht sein. Kann Zigbee, Wlan und Homematic.
Türsprechanlagen und Kameras kannst du auch nach deinen Wünschen nehmen. Von billig bis schweineteuer. Idealerweise halt passend zu deinem Smarthome.
Mit Unraid kenn ich mich eher gar nicht aus, aber brauchts da einen extra Audio-Server noch dazu?
Detailplanung ist halt so eine Geschichte, wenn man noch nicht genau weiß, was man machen will.
Hauptsache mal überall Kabel verlegt. Und halt auch einen Raum, an dem du einen kleinen Serverschrank hinstellen kannst. Oder auch zwei.
Was du dann hinterher alles an das Netz ranhängst ist dann eher zweitrangig und du kannst da immer noch überlegen.
Mir kommen die 12 Doppeldosen etwas wenig vor. Sind dann ja nur 3 pro Stockwerk. Aber kann auch passen. Weiß ich nicht.
Bei PoE muss man halt auch wissen, was da alles mit betrieben werden soll. Der Strom muss ja auch reichen, sag ich mal, der da verteilt wird.
Telefonie kommt auch drauf an was und wieviel. Je nachdem reicht da auch eine Fritzbox, die das managed. Oder du holst dir da noch zusätzlich eine TK-Anlage. Agfeo oder dergleichen. Telefongeräte sollen dann halt auch idealerweise von der Anlage direkt unterstützt werden.
Da dann auch überlegen bei tragbaren Telefonen, wie es da mit der Netzqualität aussieht.
2,5 GBit ist schon interessant und wohl auch bezahlbar. 10 GBit ist nett, kann aber schnell sehr teuer werden. Weil das sollen ja auch managed swiches sein. Netgear finde ich persönlich nicht sehr prickelnd, auch wenn die oft günstiger sind.
Bei OPNSense...willst du da selberbauen oder solls ein APU werden? Oder hale eine Fertig-Appliance fürs Rack?
Zusammengefasst: entscheide dich erst für ein Smart-Home-System. Orientiert sich wohl an den vorhandenen Smart-Geräten oder eben den gewünschten Smart-Geräten. Da den Hub kaufen und dann den Rest der Serie (oder kompatible Dinger) dazu. Qivicon wär da wohl mein Favorit weil ziemlich kompatibel.
OPNsense macht Sinn wegen VLAN. Machst du irgendwie TK, Smart-Home, privates Netz und Gast-Netz.
Unterm Strich entscheidet dann dein Geldbeutel, was für Netzwerkdinger da überall hinsollen.
Der Smart-Home-Server (du meinst da wohl sowas wie einen Hub oder Gateway wie z.B. von Homematic) richtet sich nach den dann verwendeten Smart-Geräten. Qivicon (Magenta) soll da gar nicht so schlecht sein. Kann Zigbee, Wlan und Homematic.
Türsprechanlagen und Kameras kannst du auch nach deinen Wünschen nehmen. Von billig bis schweineteuer. Idealerweise halt passend zu deinem Smarthome.
Mit Unraid kenn ich mich eher gar nicht aus, aber brauchts da einen extra Audio-Server noch dazu?
Detailplanung ist halt so eine Geschichte, wenn man noch nicht genau weiß, was man machen will.
Hauptsache mal überall Kabel verlegt. Und halt auch einen Raum, an dem du einen kleinen Serverschrank hinstellen kannst. Oder auch zwei.
Was du dann hinterher alles an das Netz ranhängst ist dann eher zweitrangig und du kannst da immer noch überlegen.
Mir kommen die 12 Doppeldosen etwas wenig vor. Sind dann ja nur 3 pro Stockwerk. Aber kann auch passen. Weiß ich nicht.
Bei PoE muss man halt auch wissen, was da alles mit betrieben werden soll. Der Strom muss ja auch reichen, sag ich mal, der da verteilt wird.
Telefonie kommt auch drauf an was und wieviel. Je nachdem reicht da auch eine Fritzbox, die das managed. Oder du holst dir da noch zusätzlich eine TK-Anlage. Agfeo oder dergleichen. Telefongeräte sollen dann halt auch idealerweise von der Anlage direkt unterstützt werden.
Da dann auch überlegen bei tragbaren Telefonen, wie es da mit der Netzqualität aussieht.
2,5 GBit ist schon interessant und wohl auch bezahlbar. 10 GBit ist nett, kann aber schnell sehr teuer werden. Weil das sollen ja auch managed swiches sein. Netgear finde ich persönlich nicht sehr prickelnd, auch wenn die oft günstiger sind.
Bei OPNSense...willst du da selberbauen oder solls ein APU werden? Oder hale eine Fertig-Appliance fürs Rack?
Zusammengefasst: entscheide dich erst für ein Smart-Home-System. Orientiert sich wohl an den vorhandenen Smart-Geräten oder eben den gewünschten Smart-Geräten. Da den Hub kaufen und dann den Rest der Serie (oder kompatible Dinger) dazu. Qivicon wär da wohl mein Favorit weil ziemlich kompatibel.
OPNsense macht Sinn wegen VLAN. Machst du irgendwie TK, Smart-Home, privates Netz und Gast-Netz.
Unterm Strich entscheidet dann dein Geldbeutel, was für Netzwerkdinger da überall hinsollen.
Auch hier danke für die schnelle Rückmeldung.
Aus den bisherigen Antworten, lese ich allerdings heraus, dass ich nicht spezifisch genug war. Daher hier nochmal ein wenig mehr Infos von meiner Seite:
Es handelt sich um "richtiges" Smart-Home der Firma Loxone. Dieses hat einen im Lan hängenden Mini-Server als Hauptzentrale und einen Audio-Server für Musicstreaming, Türklingel, Alarme usw.. Weiter noch eine Gegensprechanlage, sowie iPads als Visualisierungsplattform - all diese kommen in ein VLAN.
Daher ist folgender VLAN-Aufbau gedacht:
VLAN 1 - MGMT
VLAN 10 - Eltern
VLAN 20 - Kinder
VLAN 30 - Gäste
VLAN 40 - IoT
VLAN 50 - Smart-Home
VLAN 60 - TK
Die VLANs Eltern, Kinder, Gäste sollen sich über LAN und WLAN erstrecken.
Der Einwand mit 12 Doppeldosen ist wahrscheinlich berechtigt. Ist halt ein wenig die Frage, was am Ende mehr Sinn macht: mehr Dosen und alles am Knotenpunkt zusammenführen oder an bestimmten Stellen unterzuverteilen. Denke da gerade das TV-Möbel. Da sind es dann schon: 1x TV, 1x AV-Receiver, 1x Spielekonsole, 1x Blu-Ray-Player ... sind wir schon bei 4 benötigten Anschlüssen. Da die Zahl der Geräte aber auch Steckdosen für die Stromversorgung benötigt, stößt man irgendwann auf Grenzen was Optik und Sinnhaftigkeit angeht.
Meine Fragen beziehen sich auf die Hardware:
Reicht zum Beispiel ein Cisco SG250X-48P für mein Vorhaben aus - laut Datenblatt hat diese 48x 1GbE und 4x10GbE? Muss die opnsense sich dann in allen 3 VLANs befinden, welche einen DHCP Server haben sollen?
Oder macht es eventuell Sinn auf ein SG350X-48P Switch zu gehen mit eingebautem DHCP Server?
Macht es Sinn, hier generell noch auf normales 1GbE Netzwerk zu setzen? Eigentlich dürfte es für nahezu alle aktuellen Szenarien reichen - aber was könnte da noch kommen?
Beim suchen nach Cisco und Airplay steige ich noch nicht ganz durch. Wenn ich es richtig verstehe, ist der Knackpunkt, dass Apples Bonjour Protokoll nicht zwischen zwei VLANs funktioniert - gibt das inzwischen bei Cisco eine Lösung oder landet man dann wieder hier: Airplay und VLAN
Aus den bisherigen Antworten, lese ich allerdings heraus, dass ich nicht spezifisch genug war. Daher hier nochmal ein wenig mehr Infos von meiner Seite:
Es handelt sich um "richtiges" Smart-Home der Firma Loxone. Dieses hat einen im Lan hängenden Mini-Server als Hauptzentrale und einen Audio-Server für Musicstreaming, Türklingel, Alarme usw.. Weiter noch eine Gegensprechanlage, sowie iPads als Visualisierungsplattform - all diese kommen in ein VLAN.
Daher ist folgender VLAN-Aufbau gedacht:
VLAN 1 - MGMT
VLAN 10 - Eltern
VLAN 20 - Kinder
VLAN 30 - Gäste
VLAN 40 - IoT
VLAN 50 - Smart-Home
VLAN 60 - TK
Die VLANs Eltern, Kinder, Gäste sollen sich über LAN und WLAN erstrecken.
Der Einwand mit 12 Doppeldosen ist wahrscheinlich berechtigt. Ist halt ein wenig die Frage, was am Ende mehr Sinn macht: mehr Dosen und alles am Knotenpunkt zusammenführen oder an bestimmten Stellen unterzuverteilen. Denke da gerade das TV-Möbel. Da sind es dann schon: 1x TV, 1x AV-Receiver, 1x Spielekonsole, 1x Blu-Ray-Player ... sind wir schon bei 4 benötigten Anschlüssen. Da die Zahl der Geräte aber auch Steckdosen für die Stromversorgung benötigt, stößt man irgendwann auf Grenzen was Optik und Sinnhaftigkeit angeht.
Meine Fragen beziehen sich auf die Hardware:
Reicht zum Beispiel ein Cisco SG250X-48P für mein Vorhaben aus - laut Datenblatt hat diese 48x 1GbE und 4x10GbE? Muss die opnsense sich dann in allen 3 VLANs befinden, welche einen DHCP Server haben sollen?
Oder macht es eventuell Sinn auf ein SG350X-48P Switch zu gehen mit eingebautem DHCP Server?
Macht es Sinn, hier generell noch auf normales 1GbE Netzwerk zu setzen? Eigentlich dürfte es für nahezu alle aktuellen Szenarien reichen - aber was könnte da noch kommen?
Beim suchen nach Cisco und Airplay steige ich noch nicht ganz durch. Wenn ich es richtig verstehe, ist der Knackpunkt, dass Apples Bonjour Protokoll nicht zwischen zwei VLANs funktioniert - gibt das inzwischen bei Cisco eine Lösung oder landet man dann wieder hier: Airplay und VLAN
Naja...dann ist das mit Smarthome ja komplett geklärt, wenn du dich schon auf ein System festgelegt hast. Hat halt Vorteile, weil die ganzen Geräte alle aufeinander abgestimmt sind.
Loxone unterstütz, was ich kurz gelesen habe, von sich aus aber nur Loxone-Geräte. Das ist der Nachteil. Man ist eben festgelegt. Zwar kann es z.B. auch ZigBee, aber nicht offiziell sondern nur so, wie es aus der Community kommt. Muss man vorher wissen.
Bei den Dosen...die sind immer zu wenig. Von daher musst du sowieso immer mit kleinen Zusatzswitchen in den Zimmern rechnen. Wenn man's weiß auch kein Problem.
Der SG250X wird ausreichen. Kann irgendwo 500 VLANs. Der P kommt mit 382 Watt daher. Bräuchtest du mehr über PoE müsstest du nachbessern. Ansonsten reicht der völligst aus.
DHCP macht OPNsense. Mehr als ein DHCP nur wenn die alle richtig konfiguriert sind.
Für die Airplay-Bonjour-Geschichte sagt ja der von dir gefundene Thread was zu tun ist. OPNsense ists halt mdsn-repeater und nicht avahi. UNd dann eben noch den UDP durch die Firewall durchlassen.
Ob dir 1GB reicht oder nicht kannst nur du sagen. Generell: je mehr, desto mehr. Bandbreite und auch Geld.
Loxone unterstütz, was ich kurz gelesen habe, von sich aus aber nur Loxone-Geräte. Das ist der Nachteil. Man ist eben festgelegt. Zwar kann es z.B. auch ZigBee, aber nicht offiziell sondern nur so, wie es aus der Community kommt. Muss man vorher wissen.
Bei den Dosen...die sind immer zu wenig. Von daher musst du sowieso immer mit kleinen Zusatzswitchen in den Zimmern rechnen. Wenn man's weiß auch kein Problem.
Der SG250X wird ausreichen. Kann irgendwo 500 VLANs. Der P kommt mit 382 Watt daher. Bräuchtest du mehr über PoE müsstest du nachbessern. Ansonsten reicht der völligst aus.
DHCP macht OPNsense. Mehr als ein DHCP nur wenn die alle richtig konfiguriert sind.
Für die Airplay-Bonjour-Geschichte sagt ja der von dir gefundene Thread was zu tun ist. OPNsense ists halt mdsn-repeater und nicht avahi. UNd dann eben noch den UDP durch die Firewall durchlassen.
Ob dir 1GB reicht oder nicht kannst nur du sagen. Generell: je mehr, desto mehr. Bandbreite und auch Geld.
auch geregelt zwischen den VLANs zu kommunizieren,
Das kann generell jede Lösung. Egal ob du ein Layer 3 VLAN Konzept umsetzt bei deiner Segmentierung.Cisco SG Serie bzw. deren Nachfolger die CBS Serie erfüllt die Anforderungen. SG220 ist ein reiner L2 VLAN Switch und erfordert dann einen externen Router/Firewall für die Inter VLAN Kommunikation. SG250 oder auch SG350 sind auch L3 fähig, routen also selber.
Ob man für ein einfaches Heimnetz 2,5G und höher wirklich braucht ist wohl eher eine philosophische Frage.
Wie auch immer deine Netzwerkstruktur aussehen wird: IoT Geräte sind leider (fast) immer ein Sicherheitsrisiko!
Deshalb sollten derlei Geräte prinzipiell in einem Netz integriert werden, welches "weitest möglich" vom Nutz-Netzwerk entfernt ist !!
...
.
Deshalb sollten derlei Geräte prinzipiell in einem Netz integriert werden, welches "weitest möglich" vom Nutz-Netzwerk entfernt ist !!
...
.
...oder besser gesagt "isoliert" ist !
Zitat von @aqui:
Das kann generell jede Lösung. Egal ob du ein Layer 3 VLAN Konzept umsetzt bei deiner Segmentierung.
Die zwei Tutorials sind mir bei meiner Suche schon über den Weg gelaufen. Was ich da allerdings noch nicht ganz herauslesen kann, sind die Vor- bzw. Nachteile der jeweiligen Variante. Wenn du da vielleicht noch einen Link zum Einlesen parat hast oder eine Erklärung.Das kann generell jede Lösung. Egal ob du ein Layer 3 VLAN Konzept umsetzt bei deiner Segmentierung.
Für mich stellt es sich im Grunde so dar:
[Layer 3 VLAN Konzept]
Cisco SG (wobei da scheinbar auf Grund des EoL die Preise nach oben gehen) bw. CBS. Dieser übernimmt das Routing zwischen den VLANs. Die opnsense kümmert sich nur um das Routing ins Internet.
Vorteile:
- geringere Latenzen ?
- geringere Hardwareanforderung opnsense
Nachteile:
- höhere Anschaffungskosten des Switches
[Layer 2 VLAN Konzept]
Beim SG220 müsste ich generell auf 10GbE Ports verzichten, welche ich für den Unraid-Server und meinen Hauptrechner gerne hätte.
Also wäre ich wieder bei den Cisco CBS Switches. Alternativ habe ich noch das Mikrotik CRS354-48P-4S+2Q+RM gefunden, was im Layer 2 Betrieb wohl sehr gut abschneidet. Wie ist da die Expertenmeinung zum Mikrotik?
Damit würde die dann die opnsense das VLAN Routing übernehmen, richtig? Welche Bandbreite benötigt dann die opnsense <-> Switch Verbindung? Welche Anforderungen an die Hardware werden gestellt, wenn die opnsense das Routing übernimmt?
Da dann auch mal ne DAU-Frage: Wie läuft das ganze schematisch ab?
Ist es in etwa so?:
Client 1 im VLAN 1 möchte eine Verbindung zu Client 2 in VLAN 2. Client 1 schickt seine Anfrage an das Switch. Das Switch sagt, Client 2 kenne ich nicht (da nicht im selben VLAN) und schickt die Anfrage an den Router weiter. Dieser erklärt dem Switch dann, dass Client 2 nicht in VLAN 1 zu finden ist, sondern in VLAN 2.
Das ist jetzt meine sehr vereinfachte Vorstellung. Erfolgt dann die Übertragung nach Herstellung der Verbindung direkt über das Switch oder muss dies alles auch über den Router laufen? So wie ich es grob verstanden habe, bekommt die opnsense nur die Vermittlungsanfragen, oder?
Dank schon im Voraus.
sind die Vor- bzw. Nachteile der jeweiligen Variante.
Das sind in der Hauptsache 2 Punkte:- Eine Firewall oder Router/Firewall ist in der Regel immer stateful bei der Kontrolle der Inter VLAN Kommunikation. ACLs auf einem Switch sind nicht stateful
- Bei einer Trunk Anbindung eines L2 Switches an einen VLAN Router muss Inter VLAN Traffic immer 2mal über den Trunk. Hin- und Rücktraffic. Existieren hohe Inter VLAN Traffic Volumina muss man das berücksichtigen und ggf. ist dann ein L3 Design immer performanter !
Beim SG220 müsste ich generell auf 10GbE Ports verzichten
Ist natürlich Quatsch und zeigt leider das du die Datenblätter nicht gelesen hast ! 
https://www.cisco.com/c/en/us/products/switches/business-220-series-smar ...
Es gibt dort auch 10G Modelle !!
Wie ist da die Expertenmeinung zum Mikrotik?
Sinnfreie Frage. Sieh dir die Performance Werte an dann kennst du die Antwort. Die zahllosen Tutorials hier im Forum sprechen ja auch für sich. Preis Leistungs seitig gibt es derzeit nichts Besseres wenn du ein schmales Budget hast.Wie läuft das ganze schematisch ab?
schickt seine Anfrage an das Switch
Der Switch ist weder im Englischen noch im Deutschen ein Neutrum sondern immer ein Mann !! https://de.wiktionary.org/wiki/Switchschickt seine Anfrage an das Switch
Wenn du das hiesige Routing Tutorial einmal aufmerksam liest findest du dort eine sehr exakte Beschreibung wie eine geroutete Client Kommunikation abläuft ! (Kapitel: "Der Weg eines LAN Paketes durch ein geroutetes Netzwerk")
Grob ist deine Vorstellung dazu aber genau richtig.
Erfolgt dann die Übertragung nach Herstellung der Verbindung direkt über das Switch oder muss dies alles auch über den Router laufen?
Story oben lesen, das beantwortet die Frage umfassend. 
Zitat von @aqui:
Bei einer Trunk Anbindung eines L2 Switches an einen VLAN Router muss In ter VLAN Traffic immer 2mal über den Trunk. Hin- und Rücktraffic. Existieren hohe Inter VLAN Traffic Volumina muss man das berücksichtigen und ggf. ist dann ein L3 Design immer performanter !
Das heisst, dass wenn ich mit 10GbE zwischen zwei VLANs Daten verschieben würde, benötige ich die doppelte Bandbreite zwischen Switch und Router?Bei einer Trunk Anbindung eines L2 Switches an einen VLAN Router muss In ter VLAN Traffic immer 2mal über den Trunk. Hin- und Rücktraffic. Existieren hohe Inter VLAN Traffic Volumina muss man das berücksichtigen und ggf. ist dann ein L3 Design immer performanter !
Beim SG220 müsste ich generell auf 10GbE Ports verzichten
Ist natürlich Quatsch und zeigt leider das du die Datenblätter nicht gelesen hast ! https://www.cisco.com/c/en/us/products/switches/business-220-series-smar ...
Es gibt dort auch 10G Modelle !!
Wenn du das Routing Tutorial einmal aufmerksam liest findest du dort eine sehr exakte Beschreibung wie eine geroutete Client Kommunikation abläuft ! (Kapitel: "Der Weg eines LAN Paketes durch ein geroutetes Netzwerk")
Grob ist deine Vorstellung dazu aber genau richtig.
Danke für den Link, werde mir das nochmal genau durchlesen.Grob ist deine Vorstellung dazu aber genau richtig.
Zitat von @aqui:
Ob man für ein einfaches Heimnetz 2,5G und höher wirklich braucht ist wohl eher eine philosophische Frage.
Nja ich sage es mal so für wen ein NAS vorhanden ist welches auch 10GB kann sind mit Hdd's erstaunliche werte zu erreichen.Ob man für ein einfaches Heimnetz 2,5G und höher wirklich braucht ist wohl eher eine philosophische Frage.
Zitat von @torkett:
Wenn man anfängt zu suchen, stößt man relativ häufig auf Produkte der Unifi Linie von Ubiquiti. Allerdings gefällt mir die Firmenpolitik hinsichtlich eines Accountzwangs zum Einrichten bestimmter Hardware nicht und hier im Forum wird oft die SG-Serie von Cisco empfohlen. Allerdings muss ich gestehen, dass ich noch nicht durchgestiegen bin, ob und wenn ja welche Serie da genau meine Anforderungen erfüllen würde.
Ich weiss jetzt nicht wann dort eine ACC erforderlich sein sollte?
Ich habe mein Komplettes Netzwerk mit Unifi ausgerüstet ohne den ACC je benutzten zu müssen. Der Controller ist nur Lokal zu erreichen, und läuft auf einem Intel NUC.
Der Vorteil als Anfänger ist das alles aus einem Guss kommt und einigermassen schnell um zu setzten ist,
durch den Controller. Wie dies mit den Cisco Produkten funktioniert weiss ich nicht, bevor ich zu Unifi gewechselt habe, hatte ich Cisco ( Small Business 24Port) jedoch habe ich es da nicht einmal hinbekommen eine Firmware zu aktualisieren da es schlicht und einfach zu kompliziert war.
es da nicht einmal hinbekommen eine Firmware zu aktualisieren
Da hast du dann sicher aber ein ganz anderes Problem.- Ins Update Menü gehen und Upload klicken
- Firmware Datei raussuchen und Go klicken
- Switch Rebooten
Unify ist billiger OEM Kram der nichtmal von denen selber entwickelt wird. Erklärt auch deren miese Performance und rumpeliges Featureset. Von einem Guß kann man da also wahrlich nicht reden.
Zitat von @148523:
Nein dies ging bei dem Besagten switch nicht, update war so weit ich mich erinnern mag nur via SSH möglich.es da nicht einmal hinbekommen eine Firmware zu aktualisieren
Da hast du dann sicher aber ein ganz anderes Problem.- Ins Update Menü gehen und Upload klicken
- Firmware Datei raussuchen und Go klicken
- Switch Rebooten
Aber dies sollte ja hier auch nicht das Thema sein.
Unify ist billiger OEM Kram der nichtmal von denen selber entwickelt wird. Erklärt auch deren miese Performance und rumpeliges Featureset.
Nja so ###e ist es nun auch wieder nicht, das du kein Fan davon bisst wissen wir jetzt 😁.update war so weit ich mich erinnern mag nur via SSH möglich.
Typisches PEBKAC Problem ! 🤣Zitat von @148523:
Typisches PEBKAC Problem ! 🤣
🤦♂️🤦♂️Typisches PEBKAC Problem ! 🤣
Habe mich gerade hinsichtlich der VLAN-Architektur versucht noch ein wenig einzulesen. Und je mehr ich mich versucht habe einzulesen, umso mehr Fragen sind dann doch aufgetreten.
Grundsätzlich finde ich die Router-on-a-stick Layer 2 Variante durchaus reizvoll, da - sofern richtig verstanden - mehr Schutz, da die Firewall im Gegensatz zum Layer 3 Switch stateful arbeitet (wie aqui angemerkt hat).
Da sich mein Rechner und der Unraid-Server im selben VLAN befinden würden (mit 10GbE angebunden), hält sich der inter-VLAN traffic wahrscheinlich auch in Grenzen. Lediglich zwischen dem Kinder-VLAN und der NAS würde ggf. etwas mehr traffic anfallen.
Wo ich allerdings nicht wirklich durchblicke, ist die Hardware-Anforderung der opnsense. Viele setzen da ja auf Lüfterlose Mini-PCs wie die NRG IPU, PC Engines APU, Protectli/Yanling usw.
Diese sind im Normalfall mit 1GbE NICs ausgestattet. Wie verhält es sich dann, wenn z.B. die Kids eine Datensicherung auf dem NAS machen? Wird dieser inter-VLAN Datenverkehr dann zum Flaschenhals an der opnsense?
Wie verhält es sich mit der Leistung bei Nutzung von IDS/IPS in opnsense? Macht dies zu Nutzen Sinn (ich fürchte, dies könnte eine Grundsatzdiskussion auslösen) und wieviel Rechenleistung wird dafür tatsächlich benötigt?
Meine Fragen mögen dem ein oder anderen Experten lächerlich vorkommen, jedoch möchte ich einfach vermeiden, dass der Haussegen schief hängt, weil die Datensicherung inter-VLAN dann das Telefon beeinträchtigt oder das Video-on-demand.
PS: Ich könnte als opnsense-Hardware auch günstig einen Dell R230 bekommen. Sicher im Vergleich zu IPU, APU und Co nicht unbedingt die stromsparendste Variante, oder? Hier wäre allerdings auch der Verbau einer 10GbE Karte möglich, sofern das der Flaschenhals-Thematik dienlich wäre.
Grundsätzlich finde ich die Router-on-a-stick Layer 2 Variante durchaus reizvoll, da - sofern richtig verstanden - mehr Schutz, da die Firewall im Gegensatz zum Layer 3 Switch stateful arbeitet (wie aqui angemerkt hat).
Da sich mein Rechner und der Unraid-Server im selben VLAN befinden würden (mit 10GbE angebunden), hält sich der inter-VLAN traffic wahrscheinlich auch in Grenzen. Lediglich zwischen dem Kinder-VLAN und der NAS würde ggf. etwas mehr traffic anfallen.
Wo ich allerdings nicht wirklich durchblicke, ist die Hardware-Anforderung der opnsense. Viele setzen da ja auf Lüfterlose Mini-PCs wie die NRG IPU, PC Engines APU, Protectli/Yanling usw.
Diese sind im Normalfall mit 1GbE NICs ausgestattet. Wie verhält es sich dann, wenn z.B. die Kids eine Datensicherung auf dem NAS machen? Wird dieser inter-VLAN Datenverkehr dann zum Flaschenhals an der opnsense?
Wie verhält es sich mit der Leistung bei Nutzung von IDS/IPS in opnsense? Macht dies zu Nutzen Sinn (ich fürchte, dies könnte eine Grundsatzdiskussion auslösen) und wieviel Rechenleistung wird dafür tatsächlich benötigt?
Meine Fragen mögen dem ein oder anderen Experten lächerlich vorkommen, jedoch möchte ich einfach vermeiden, dass der Haussegen schief hängt, weil die Datensicherung inter-VLAN dann das Telefon beeinträchtigt oder das Video-on-demand.
PS: Ich könnte als opnsense-Hardware auch günstig einen Dell R230 bekommen. Sicher im Vergleich zu IPU, APU und Co nicht unbedingt die stromsparendste Variante, oder? Hier wäre allerdings auch der Verbau einer 10GbE Karte möglich, sofern das der Flaschenhals-Thematik dienlich wäre.
Diese sind im Normalfall mit 1GbE NICs ausgestattet.
Das ist richtig !Wird dieser inter-VLAN Datenverkehr dann zum Flaschenhals an der opnsense?
Diese Frage ist eigentlich sinnfrei weil sie immer vom aktuellen tatsächlichen Traffic abhängt.Wenn du 10 Kids hast und die machen 24x7 alle 5 Minuten eine 500 Gig Datensicherung und parallel streamen 5 Kids noch 4k HD Filme könnte es vielleicht etwas eng werden. Aber nur vielleicht...
Bei 2 Kids die einmal in der Woche einen Datensicherung machen und 2 mal pro Woche die Sendung mit der Maus streamen sieht die Sache ganz anders aus.
Du verstehst vermutlich das dir auf diese Art Frage niemand eine verlässliche Antwort geben kann da du keinerlei konkrete Angaben zu irgendwelchen Voluminas machst.
Du hast vermutlich auch noch nie mit einem SNMP Tool (z.B, STG usw.) einmal auf deinen Switch selber nachgesehen um mal ein grobes Gefühl zu bekommen was trafficmäßig so los ist in deinem Netz.
Warum denkst du also wir könnten das ohne Kristallkugel ??
Hardwaretechnisch macht eine FW auf APU2, APU3, APU4 oder NRG Hardware oder auch Intel basierte Chinesen Appliances bei Amazon L3 Forwarding in Wirespeed. Flaschenhals ist also dein physisches 1G Netzwerk an sich was du so oder so hast auch ganz ohne Router oder L3 Switch.
Wie verhält es sich mit der Leistung bei Nutzung von IDS/IPS in opnsense?
Das ist natürlich dann ein klein wenig anders. Da sieht sich die FW live IP Flows an, was dann über die CPU geht. Das erfordert dann etwas mehr Qualm auf der CPU und 2 oder mehr Kerne wären da hilfreich. Ist aber, du ahnst es schon, auch wieder Volumina abhängig...logisch.Es ist etwas anderes ob die CPU sich 10 Pakete pro Sekunde ansehen muss oder 1000. Sagt einem auch der gesunde IT Verstand !
Mit sowas solltest du auf APU4 oder NRG bzw. Intel Systeme gehen sofern du sowas ausreizen willst.
Wenn du nur mit einem bisschen Monitoring mal nachsehen willst was so los ist in deinem Netz sieht das wieder anders aus. Da tuts dann auch ein APU2 oder 3.
Ist so wenn du entscheiden musst mit einem Golf GTI oder Porsche auf den Nürburgring zu gehen. Solange du nicht weisst was für eine Art Fahrer da drin sitzt ist es schwer eine zielführende Antwort zu finden. Weisst du ja alles auch selber.
Lächerlich sind die Fragen keinesfalls (dafür ist ein Forum ja auch da) nur eben halt zu oberflächlich. Keiner wird da etwas Konkretes zu sagen können weil es ohne Fakten ja Raterei ist.
Du siehst also das du auch mit einem APU2 schon einen Opel GTI hast. Ob es dann ein Golf GTI oder ein AMG Mercedes ist ist eigentlich völlig Wumpe.
Nur um dir mal vor Augen zu führen das es hier nicht um Raspberry Pi Modell A und AMG Ryzen geht im Vergleich.
Du vergleichst Elstar mit Holsteiner Cox und machst dir Sorgen ob der eine 3 Tropfen mehr Most bringt als der andere beim Pressen. Beide schaffen aber ohne Probleme ein Trinkglas voll.
Mit dem Dell und einer 10G Karte kannst du ganz sicher sein das dann der Haussegen deutlich schiefer hängt. Zumindestens dann wenn deine Trautholdeste den Brief mit der Stromrechnung aufmacht !
Sowas ist für ein Heimnetz natürlich sinnfreier Overkill.
Zitat von @aqui:
Du hast vermutlich auch noch nie mit einem SNMP Tool (z.B, [ STG] usw.) einmal auf deinen Switch selber nachgesehen um mal ein grobes Gefühl zu bekommen was trafficmäßig so los ist in deinem Netz.
Warum denkst du also wir könnten das ohne Kristallkugel ??
Nein, das habe ich in der Tat nicht. Zum einen, da in unserer Wohnung aktuell kein solcher vorhanden ist und zum anderen, es sich ja um ein zukünftiges Projekt handelt, da eben auch der Bedarf steigen wird.Du hast vermutlich auch noch nie mit einem SNMP Tool (z.B, [ STG] usw.) einmal auf deinen Switch selber nachgesehen um mal ein grobes Gefühl zu bekommen was trafficmäßig so los ist in deinem Netz.
Warum denkst du also wir könnten das ohne Kristallkugel ??
Ist so wenn du entscheiden musst mit einem Golf GTI oder Porsche auf den Nürburgring zu gehen. Solange du nicht weisst was für eine Art Fahrer da drin sitzt ist es schwer eine zielführende Antwort zu finden. Weisst du ja alles auch selber.
Lächerlich sind die Fragen keinesfalls (dafür ist ein Forum ja auch da) nur eben halt zu oberflächlich. Keiner wird da etwas Konkretes zu sagen können weil es ohne Fakten ja Raterei ist.
Vollkommen Recht hast du natürlich, dass man hier keine konkrete Aussage treffen kann, ohne die genauen Fakten zu kennen. Dennoch gibt es vielleicht Erfahrungswerte und Tipps bzw. Infos, welche ich noch liefern könnte, um den tatsächlichen Bedarf näher zu definieren.Lächerlich sind die Fragen keinesfalls (dafür ist ein Forum ja auch da) nur eben halt zu oberflächlich. Keiner wird da etwas Konkretes zu sagen können weil es ohne Fakten ja Raterei ist.
Grundsätzlich dürfte der inter-VLAN traffic weitestgehend auf folgenden Dingen/Vorgängen beruhen:
- 2 Kids mit Zugriff aufs NAS (hauptsächlich Time Machine Datensicherungen)
- plex streaming (max 4-5 streams gleichzeitig, falls jeder was anderes schauen würde)
- Airplay für Musik
- Überwachungskameras auf den Server bzw. ggf. mit dem Smart-Home (ist es zu Empfehlen, die Kameras in ein eigenes VLAN zu hängen um damit den Zugriff noch genauer steuern zu können?)
Mit dem Dell und einer 10G Karte kannst du ganz sicher sein das dann der Haussegen deutlich schiefer hängt. Zumindestens dann wenn deine Trautholdeste den Brief mit der Stromrechnung aufmacht !
Sowas ist für ein Heimnetz natürlich sinnfreier Overkill.
Das ist zumindest eine Aussage, mit der ich was anfangen kann =)Sowas ist für ein Heimnetz natürlich sinnfreier Overkill.
Sorry, STG Link vergessen:
RX Dropped Pkts Problem
bzw.
http://leonidvm.chat.ru
Alles was APU2 und höher ist reicht für dein Vorhaben völlig.
RX Dropped Pkts Problem
bzw.
http://leonidvm.chat.ru
Alles was APU2 und höher ist reicht für dein Vorhaben völlig.
Danke, werde ich mich mit beschäftigen
Bei der Suche nach Infos zu den APU-Boards bin ich allerdings auch auf einige kritische Stimmen gestoßen, welche in Kombination mit opnsense berichten, dass die Bandbreite der Internet-Verbindung nicht ausgenutzt werden kann. In Aussicht steht uns ein 1Gbit-Anschluss - schafft das die APU4 in Verbindung mit inter-VLAN Routing?
Oder bin ich hier auf dem falschen Dampfer?
Alles was APU2 und höher ist reicht für dein Vorhaben völlig.
Du wirst da sicher einige Erfahrungswerte haben und der Preis der APUs sowie Stromverbrauch ist natürlich nicht zu verachten.Bei der Suche nach Infos zu den APU-Boards bin ich allerdings auch auf einige kritische Stimmen gestoßen, welche in Kombination mit opnsense berichten, dass die Bandbreite der Internet-Verbindung nicht ausgenutzt werden kann. In Aussicht steht uns ein 1Gbit-Anschluss - schafft das die APU4 in Verbindung mit inter-VLAN Routing?
Oder bin ich hier auf dem falschen Dampfer?
Kommt ja immer drauf an WER das sagt. Falsche Experten gibt es im Internet zuhauf.
Mit dem APU4 als leistungsfähigstes aller APU Boards machst du nichts falsch !
Mit dem APU4 als leistungsfähigstes aller APU Boards machst du nichts falsch !
Du hast absolut Recht, dass man (vor allem ich) die Fachkompetenz der Urheber solcher Beiträge nicht wirklich beurteilen kann. Daher auch meine erneute Nachfrage.
Da du von der Leistungsfähigkeit der APU Boards überzeugt bist und diese sich in einem preislichen Rahmen bewegen, dass man sogar über den Kauf eines zweiten Boards nachdenken kann im Zuge der Ausfallsicherheit/Redundanz (sei es als Ersatzteil oder in einem HA-Betrieb, wie ich in der Zwischenzeit gelernt habe), werde ich wohl schon mal eins bestellen und mich in der noch vorherrschenden Wohnsituation - quasi im Kleinen - einzuarbeiten.
Da du von der Leistungsfähigkeit der APU Boards überzeugt bist und diese sich in einem preislichen Rahmen bewegen, dass man sogar über den Kauf eines zweiten Boards nachdenken kann im Zuge der Ausfallsicherheit/Redundanz (sei es als Ersatzteil oder in einem HA-Betrieb, wie ich in der Zwischenzeit gelernt habe), werde ich wohl schon mal eins bestellen und mich in der noch vorherrschenden Wohnsituation - quasi im Kleinen - einzuarbeiten.
Da du von der Leistungsfähigkeit der APU Boards überzeugt bist
Das sind auch eine Menge Anderer !!! Zitat von @148523:
Da du von der Leistungsfähigkeit der APU Boards überzeugt bist
Das sind auch eine Menge Anderer !!! Es soll sich natürlich keine(r) ausgeschlossen fühlen
