scw2wi
Goto Top

Empfehlung für Router und Switch für sicheres Smart Home

Ich plane ein Haus mit mehreren IoT Geräten (IP-Kamera, PV-Anlage, Heizung, ...)
und suche geeignete IT Geräte, um ein sicheres Netzwerk dafür einzurichten,
wo die IoT-Geräte nicht viel Schaden anrichten können.

Mein Wunsch-Router wäre die FritzBox gewesen, da sie Modem, Router, WLAN, DECT, SIP-Server, VPN-Zugang und noch viele weitere Funktionen um nur 200 € bietet.
Das einzige, was sie nicht kann, ist ein VLAN, von dem ich gehört habe, dass es zur Abschottung von potentiell unsicheren IoT-Geräten hilfreich ist.

Eine andere Empfehlung lautet UniFi Security Gateway + UniFi Cloud Key + UniFi Switch + UniFi AP ab ca. 500 € (je nach Switch & AP).
Diese Kombination bietet einfach zu konfigurierendes VLAN, aber für DECT + SIP wird noch eine FritzBox, Gigaset oder anderes Gerät benötigt.
VPN soll bei der FritzBox auch einfacher einzurichten sein als bei UniFi.

Eine Anleitung, wie man USG und Fritzbox kombiniert, ohne dass doppeltes NAT stattfindet, habe ich hier gefunden:
UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne „Doppeltes NAT“

Ist diese Kombination und Anleitung empfehlenswert, oder gibt es bessere Lösungen für meine Anforderung?

Ich muss noch dazusagen, dass ich keine Netzwerk Erfahrung habe, und daher Geräte suche, die auch ein Laie konfigurieren kann.
Also eine preiswerte Lösung mit Raspy + kostenloser SW wäre nicht meine erste Wahl.

Content-ID: 647113

Url: https://administrator.de/contentid/647113

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

mooo99
Lösung mooo99 03.02.2021 aktualisiert um 01:33:14 Uhr
Goto Top
Die UniFi Geräte sind sehr vielseitig einsetzbar, richten sich aber eher an sog. "Prosumer" (also semi professionelle Anwender) und va. kleine bis Mittelgroße Unternehmen. Soweit meine Erfahrung mit Netzwerkequipment geht sind die UniFi Geräte tatsächlich relativ einfach zu konfigurieren, aber dennoch wesentlich komplexer als die mehr oder weniger Plug'n'Play Lösung mit der FritzBox. Solltest du auf die UniFi Lösung setzen wollen, dann solltest du dich schon etwas mit der Materie auskennen beziehungsweise auseinandersetzen wollen.

Zum Telefonieren und DECT ließe sich die Fritz!Box theoretisch auch als IP-Client in deinem Netzwerk betreiben, würde die Internetverbindung also über deinen anderen Router aufbauen, damit vermeidest du doppeltes NAT (was aus diversen Gründen erstrebenswert ist). Dafür bräuchtest du allerdings noch ein Modem, dass mit deinem DSL Anschluss kompatibel ist (das hängt von deinem Anbieter und deiner Bandbreite ab). Eine relativ kostengünstige Lösung ist das Draytek Vigor 165, das mit VDSL, Supervectoring und ADSL funktioniert. Für die Einrichtung mit diversen Unifi Geräten gibt es viele Artikel im Internet. Dieses Setup läuft bei meiner Familie bereits seit einer weile Anstandslos an einem Telekom VDSL Anschluss.

Abhängig von der Größe deines geplanten Netzwerkes bietet sich unterschiedliche UniFi Hardware an. Eine preisgünstigere Lösung stellt eventuell die UniFi Dream Machine dar, diese kombiniert das Security Gateway, einen 4 Port Switch, einen AP und den Cloud Key (die Version ohne UniFi Protect, die Software für die IP Kamera). Auch für diese Lösung bräuchtest du aber weiterhin das Modem (oder hättest doppeltes NAT).

Das VPN der Fritz!Box ist relativ langsam, abhängig davon was du übertragen möchtest kann es sein, dass du damit schnell an deine Grenzen stößt. Ein VPN kostet Rechenleistung, davon hat weder die Fritzbox noch die Unifi Lösungen unendlich viel. Allgemein kannst du davon ausgehen, dass eine spezialisierte Lösung immer schneller ist als eine all in one Lösung.

Ingesamt bekommst du mit der UniFi Lösung definitiv ein flexibleres Netzwerk als mit der FritzBox, hast aber definitiv mehr Aufwand. Auch wenn es diverse blog Artikel wie auch YouTube Tutorials für die Einrichtung diverser Einsatzszenarien gibt solltest du zumindest die Grundlagen von dem verstehen, was du da konfigurierst. Falls dir das mal um die Ohren fliegt, schaust du sonst in die Röhre.

Wenn du keine Zeit oder keine Lust hast dich damit auseinander zu setzen empfehle ich dir lieber bei der FritzBox Lösung zu bleiben oder jemanden dafür zu bezahlen, der sich auskennt und darum kümmert.

Kurze Anmerkung noch

Unifi setzt zunehmend auf die Cloud, manche stört es nicht, anderen stößt das sauer auf. Du müsst für dich entscheiden ob das für dich taugt oder nicht, beide Seiten haben nachvollziehbare Argumente.

Edit:
Wichtige Anmerkung noch am Rande. Die Lösung über den von dir Verlinkten Artikel würde mit der config.gateway.json auf der Dream Machine nicht funktionieren, da die Dream Machine (Pro) auf einem anderen Betriebssystem basiert, das diese Konfigurationsdatei nicht unterstützt.
cykes
Lösung cykes 03.02.2021 aktualisiert um 06:30:49 Uhr
Goto Top
Moin,
Zitat von @scw2wi:

Ich plane ein Haus mit mehreren IoT Geräten (IP-Kamera, PV-Anlage, Heizung, ...)
und suche geeignete IT Geräte, um ein sicheres Netzwerk dafür einzurichten,
wo die IoT-Geräte nicht viel Schaden anrichten können.
Da bleibt zunächst mal die Frage, was Du Dir unter einem sicheren Netzwerk vorstellst, sowie welchen Schaden Du von den Geräten erwartest?

Anders ausgedrückt, Du kannst das Netzwerk mit allen möglichen Maßnahmen absichern, aber wenn bei den Steuerungen der IoT-Gerätschaften die Bequemlichkeit der einfachen Bedienung auch aus dem tiefsten afrikanischen Busch dazukommt, hebelt es sämtliche Bemühungen aus.
Die Geräte entfalten meist ihr vollen Potential nur mit einer Anbindung an die Hersteller-Cloud. Dringt dort jemand ein, kannst Du noch so tolles Netzwerk-Equipment kaufen, dann hat derjenige erstmal Zugriff.

Man kann bei den meisten Geräten/Steuerungen die Cloudanbindung auch abschalten, muss dann aber Kenntnisse und weitere Gerätschaften haben, wie man die Daten vom Gerät intern weiterverarbeitet.
Ich muss noch dazusagen, dass ich keine Netzwerk Erfahrung habe, und daher Geräte suche, die auch ein Laie konfigurieren kann.
Also eine preiswerte Lösung mit Raspy + kostenloser SW wäre nicht meine erste Wahl.
Dann wäre vielleicht professionelle Unterstützung die klügere Wahl. Du verlegst ja auch nicht selbst Gasrohre mithilfe eines Forums.
Bevor Du bei der Planung über die (End-)geräte nachdenkst, erstmal eine ordentliche Verkabelung planen mit genügend Luft für zukümftige Gerätschaften.

Gruß

cykes
aqui
Lösung aqui 03.02.2021 aktualisiert um 10:11:01 Uhr
Goto Top
Von Unify kann man wegen des Zwangscontrollers und Hersteller Zwangsbindung nur dringenst abraten wenn du nicht in einen Abhängikeit gezwungen werden willst. Von Performance und Verarbeitung erstmal nicht zu reden. Was erwartet man wenn sich ein WLAN Massenhersteller im Billigbereich Security Produkte vermarktet ? Wohl dasselbe wenn sich ein Tretroller Hersteller an Raketen versucht...
Mit einer kleinen Firewall wärst du vermutlich noch am besten bedient:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Allerdings stehen deine mangelhafte bis gar nicht vorhandene Fachkenntis dem Vorhaben diametral gegenüber. Das wirst du vermutlich auch selber wissen. Wirkliche Sicherheit ist mit Geräten auf FritzBox Klicki Bunti Niveau nicht zu haben, wie du dir auch als Laie sicher denken kannst. Da hilft auch ein noch so tolles Forum nicht, denn dein Problem ist nicht die Hardware oder Bedienbarkeit eines Gerätes an sich.
Der Rat mit der professionellen Hilfe ist sicher der Beste. Ein Formel 1 Rennen kannst du auch nie gewinnen nur weil du einen Ferrari kaufst !
Simple Binsenweisheit die auch ein Laie versteht... face-wink
Spirit-of-Eli
Lösung Spirit-of-Eli 03.02.2021 um 10:40:10 Uhr
Goto Top
Moin,

bezüglich der Anbindung an die Hersteller cloud gebe ich dir recht.
Nur wäre dies die einzige Möglichkeit, hätte ich mir so einen kram nicht ins Haus geholt. Mit etwas basteln lassen sich fast alle Vorhaben eines Smarthomes auch ohne so einen Cloud Blödsinn realisieren.

Stichworte sind da Tasmota sowie Valetudo. Man sollte sich nur über die entsprechende Plattform informieren. Bspw. Raspberry Pi oder ESP32.

Das nur kurz als Anriss. Ohne diese Optionen hätte ich mir derartiges nicht aufgebaut.

Gruß
Spirit
scw2wi
scw2wi 03.02.2021 um 18:18:27 Uhr
Goto Top
Vielen Dank für diese rasche Rückmeldung, ich bin beeindruckt.

Die UniFi Dream Machine habe ich mir angesehen, aber ich würde die Geräte lieber trennen.
Router + Switch im Keller und WLAN im EG+OG.
Das wäre dann auch ein weiterer Nachteil bei der Fritzbox.

Mein Wunsch ist es, keine IoT Geräte mit Cloud-Zwang zu kaufen
und alles über einen Heimserver (z.B. Edomi) laufen zu lassen.
Da es aber bei vielen IoT Geräten kaum Möglichkeit gibt, das nach-Hause-telefonieren sicher zu unterbinden,
wollte ich dem Rat nach einem VLAN für diese Geräte folgen.
Möglicherweise ist das aber auch eine Fehleinschätzung, daher auch meine Frage hier im Forum.

Tasmota steht ebenfalls noch auf meiner ToDo-Liste,
vor allem, wenn ich an Rasenmäh- oder Staubsaug-Roboter denke,
aber das sind dann weitere Schritte.

Es kristallisieren sich für mich aktuell folgende Varianten heraus,
wobei ich sie gleich in der Prio gereiht habe, wenn ich die Ratschläge hier richtig interpretiert habe.

1. Fritzbox als Modem & Router
VT: kann auch ohne Expertenwissen konfiguriert werden
NT: kein VLAN und eingeschränkte Performance

2. Vigor 165 als Modem | pfSence als FW | Fritzbox als IP-Client für SIP-TKS und DECT
VT: VLAN, hohe Performance
NT: HW + SW muss erst selbst zusammengebaut werden
Die Anleitung sieht für mich aber so übersichtlich und detailliert aus,
dass man das sicher auch als Laie einfach Schritt für Schritt nachvollziehen kann.

3. Vigor 165 als Modem | UniFi Gerätezoo | Fritzbox als IP-Client für SIP-TKS und DECT
VT: HW + SW gibt es als funktionierendes Set
NT: Abhängigkeit vom Hersteller, zunehmend mehr Cloud-Zwang

4. Fritzbox als Modem & NAT | UniFi Gerätezoo (mit deaktiviertem NAT)
VT: keiner
NT: sämtliche Nachteile obiger Lösungen zusammen

Damit ist meine Idee bereits auf Rang 4 abgerutscht, und ich habe nach nur einem Tag bereits 3 bessere Vorschläge.
Ich hoffe, dass ich alle Antworten auch richtig interpretiert habe.

Ich kann natürlich nicht einschätzen, ob mir die VPN-Performance der Fritzbox ausreichen würde,
bin aber ziemlich sicher, dass meine Ansprüche nicht die höchsten sind.

Lösung 1 würde bedeuten, dass ich auf ein VLAN verzichte.
Stimmt es, dass ich dann möglicherweise die zu gesprächigen IoT Geräte nicht im Zaum halten kann?

Bei der Lösung 3 würde ich zu UniFi-Switches tendieren.
Gibt es für die Lösungen 2 und 1 ebenfalls einen Tipp,
welcher 24-Port Switch (mit bzw ohne PoE für 19" Rack) gut harmonieren würde.

Walter
aqui
Lösung aqui 03.02.2021 um 18:27:49 Uhr
Goto Top
Punkt 2.) NT: HW + SW muss erst selbst zusammengebaut werden
Nöö, kann man auch fix und fertig montiert kaufen mit APU und auch hier:
https://www.ipu-system.de
Aber mal ehrlich... Eine m.Sata Karte in einen Slot stecken und mit einem simplen Schraubendreher 4 Schrauben festziehen das bekommt auch ein Grobmotriker oder blutiger Laie hin. Wenn du an sowas schon scheiterst hast du aber ein ganz anderes Problem.
ob mir die VPN-Performance der Fritzbox ausreichen würde,
Wenn deine Ansprüche sich diesbezüglich auf niedrigem Niveau bewegen dann reicht sie dafür allemal aus.
würde ich zu UniFi-Switches tendieren.
Wenn es dir nichts ausmacht am Hersteller Fliegenfänger zu hängen und dich mit einem gruseligen Command Set rumschlagen zu müssen nur zu. Normal lässt man die Funger von solchem Geraffel geade wenn man damit in die Cloud gezwungen wir aber ganz besonders auch wegen der Sicherheit:
https://www.heise.de/news/Netzwerktechnik-Hersteller-Ubiquiti-gehackt-Je ...
Ein NoGo !
welcher 24-Port Switch
Cisco SG220 oder 220P
tech-flare
Lösung tech-flare 03.02.2021 um 21:48:57 Uhr
Goto Top
würde ich zu UniFi-Switches tendieren.
Wenn es dir nichts ausmacht am Hersteller Fliegenfänger zu hängen und dich mit einem gruseligen Command Set rumschlagen zu müssen nur zu. Normal lässt man die Funger von solchem Geraffel geade wenn man damit in die Cloud gezwungen wir aber ganz besonders auch wegen der Sicherheit:
https://www.heise.de/news/Netzwerktechnik-Hersteller-Ubiquiti-gehackt-Je ...
Ein NoGo !
Gefährliches Halbwissen, welches der bekennende UniFi Hater aqui wieder verbreitet.

1. UniFi hat keinen Cloud Zwang! Das ist völliger Käse. Alles kann ohne Cloud ablaufen. Auch der Cloudkey hat keinen Cloudzwang!
2. wurde nicht UniFi gehackt, sondern der Anbieter wo deren Cloud System drauf läuft, welches man aber freiwillig nutzen kann, aber man natürlich tut.
scw2wi
scw2wi 04.02.2021, aktualisiert am 05.02.2021 um 19:05:48 Uhr
Goto Top
Zuerst einmal, ich traue mir schon zu, einen PC zu bauen, hab ich auch schon gemacht.

Ich habe aktuell bis jetzt folgendes mitbekommen.

Keine der hier bisher genannten und von mir oben zusammengefassten Lösungen ist wirklich übel, weder Fritzbox noch UniFi noch sonst etwas.
Echten Cloud Zwang gibt es derzeit auch noch keinen.

Meine aktuell noch offenen Fragen.

1.) Habe ich das richtig verstanden, dass ich bei meinem Anwendungsfall auf VLANs verzichten kann?

Was mache ich dann mit IoT Geräten, die ich zwar über den eigenen Heimserver mit Edomi steuern will, deren Gesprächigkeit nach außen ich aber nicht kontrollieren kann:
a.) Firmware durch Tasmota ersetzen (das wäre ohnehin mein erster Versuch)
b.) Ein VLAN über einen managed Switch einrichten
c.) ???

2.) Worauf muss ich bei der Auswahl eines Switches achten?

Ich habe bisher folgende Geräte in die nähere Auswahl genommen.

Cisco SG220-50P-K9 - 48x PoE um 560 €
UniFiSwitch US-24 (ohne PoE) + UniFiSwitch US-24-250W (mit PoE+) in Summe um 560 €
MikroTik CSS326-24G-2S+RM (ohne PoE) + MikroTik CRS328-24P-4S+RM (mit PoE+) in Summe um 480 €
Netgear ProSAFE GS700 (GS752TP-200) - 48x PoE+ um 460 €
HP OfficeConnect 1820 48G (J9984A) - 48-Port, 24x PoE+ um 460 €
TP-Link TL-SG 1024DE (ohne PoE) + TL-SG 3424P (mit PoE+) in Summe um 380 €

Edit @ 2021-02-05: ZyXEL GS1920-48HPv2-EU0101F (mit PoE+) um 550 €

Vom Preis her geht der Range von 380 bis 560 €,
wobei mir die Lösungen mit 48-fach (davon mindestens die Hälfte mit PoE) irgendwie recht gut gefallen.

Gibt es in dieser Liste Geräte die besonders gut oder besonders schlecht geeignet wären, oder ist da nicht sehr viel Unterschied?
aqui
Lösung aqui 05.02.2021 um 11:10:50 Uhr
Goto Top
Zyxel fehlt noch in deiner Liste....
https://www.amazon.de/Smart-Managed-Gigabit-Combo-Ports-SFP-Ports-Cloud- ...
die besonders gut oder besonders schlecht geeignet wären
Ja, der UniFi weil du da immer einen Zwangscontroller installieren musst und damit immer am Fliegenfänger des Herstellers hängst. Immer ein NoGo.
Die restlichen Switches sind alles austauschbar und unterscheiden sich nur im GUI und einigen wenigen Features die für dich nicht relevant sind. Da kannst du nach Schönheit oder Geldbeutel entscheiden. face-wink
Spirit-of-Eli
Lösung Spirit-of-Eli 05.02.2021 aktualisiert um 11:24:11 Uhr
Goto Top
Zitat von @aqui:
Ja, der UniFi weil du da immer einen Zwangscontroller installieren musst und damit immer am Fliegenfänger des Herstellers hängst. Immer ein NoGo.

Ich bin auch kein fan von den Ubiquiti Geräten mehr aber ein Controller ist bei den APs nicht zwangsweise nötig wenn nur eine SSID ausgestrahlt werden muss. Dann lässt sich der AP auch schnell über die APP konfigurieren.
scw2wi
scw2wi 05.02.2021 aktualisiert um 19:25:23 Uhr
Goto Top
Also wenn es keine großen Unterschiede macht, dann würde ich Netgear bei den Switches wählen.
Der Anbieter hat ein riesiges Angebot und ich kann mit einem einzigen Einschub meine Wünsche erfüllen,
wo ich bei vielen anderen 2 Einschübe benötigen würde.
Den ZyXEL habe ich in meiner Liste oben noch hinzugefügt.

Ich hab dann noch nach einem AP gesucht, und auch da eine kleine Auswahl zusammengestellt.
Es sind alles moderne Geräte um < 200 €

Aruba Instant On AP22 (R4W02A)
Netgear WAX214-100EUS
Netgear WAX610-100EUS
TP-Link Omada EAP620 HD, AX1800
Ubiquiti UniFi 6 Lite (U6-Lite-EU)
ZyXEL NWA110AX-EU0102F

Hier sind mir folgende Besonderheiten aufgefallen.
Aruba und UniFi bieten Bluetooth, was hat es damit auf sich?

TP-Link und ZyXEL bieten beide VLAN, ist das was für mich?
Meine Frage nach VLANs ist noch offen, kann ich darauf jetzt beim Router verzichten,
oder bieten Switch und AP ebenfalls (möglicherweise eingeschränkte) VLAN Funktion?

ZyXEL hat als Besonderheit noch IPv6, oder hab ich da bei den anderen etwas übersehen?

Die Verlustleistung ist sicher auch noch ein Thema, sie liegt zwischen 10 / 12W (Aruba & TP-Link) und 17-18W (ZyXEL & Netgear),
beim UniFi konnte ich keine Angabe dazu finden.

Gibt es hier bestimmte Empfehlungen, oder kann ich wieder nach Schönheit entscheiden?
aqui
Lösung aqui 06.02.2021 aktualisiert um 09:54:32 Uhr
Goto Top
Ich hab dann noch nach einem AP gesucht,
Deine AP Liste ist massiv unvollständig es fehlen mindestens 2 weitere große Hersteller:
Bluetooth, was hat es damit auf sich?
Die supporten mit kostenpflichtigen Lizenzen auch BT Beaconing und z.B. einige rudimentäre IoT Funktionen.
Mehr oder minder uninteressant wenn man nur WLAN Funktionen will.
hat als Besonderheit noch IPv6
Können alle anderen auch. Zudem arbeitet ein WLAN AP in der regel immer als simple Layer 2 Bridge auf Mac Adress Basis und damit ist es dann vollkommen Wumpe ob v4 und/oder v6.
Der v6 Punkt bei Zyxel bezieht sich rein nur auf den Management Zugang zur Konfiguration. Für alle anderen ist das heutzutage selbstverständlich das sie es nicht extra aufführen.
beim UniFi konnte ich keine Angabe dazu finden.
Ein Schelm wer Böses dabei denkt.

Als AP Alternative gäbe es zum Beispiel auch eine Premium Profi Lösung für kleines Geld: face-wink
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
tech-flare
Lösung tech-flare 06.02.2021 aktualisiert um 14:53:48 Uhr
Goto Top
Die supporten mit kostenpflichtigen Lizenzen auch BT Beaconing und z.B. einige rudimentäre IoT Funktionen.
Mehr oder minder uninteressant wenn man nur WLAN Funktionen will.
falsch....mit Bluetooth kannst du z.B. bei Unifi einen AP standalone per App ohne alles einrichten...z.B. diesen an einen Kabelrouter hängen, welcher gern bei VF usw. verteilt wird.

Ein Schelm wer Böses dabei denkt.
Wieder eine unnütze Aussage....der Ersteller hat einfach nicht richtiges geschaut. Diese Angaben findet man ebenfalls in den Datenblättern.

scw2wi
scw2wi 07.02.2021 um 12:16:25 Uhr
Goto Top
Nachdem ich sowohl Switch als auch AP nach dem Aussehen auswählen kann, da die Funktionen bei verschiedenen Modellen sehr ähnlich sind, habe ich das Aussehen der Bedienungsanleitungen verglichen.

ZyXEL hat sowohl beim Switch, als auch beim AP eine umfangreiche Anleitung mit vielen Screenshots, sie sieht sehr übersichtlich aus.
TP-Link hat ebenso wie ZyXEL in beiden Fällen sehr gut aussehende Anleitungen.
Bei Aruba hat mir die Anleitung zum AP ebenfalls gut gefallen, bei Netgear und Cisco bereits weniger.
Beim Switch hingegen finde ich die Cisco-Anleitung informativ, wenn auch nicht so verständlich wie bei meinen beiden Favoriten, dafür aber als einzige deutschsprachig.

Bei Cisco ist es teilweise nicht so einfach, zwischen den Lightweight Access Points (LWAP) die mit einem Wireless LAN Controller (WLC) konfiguriert werden, und den Configurable Modellen zu unterscheiden. Da es viele Berichte gibt, dass sogar bei korrekter Bestellung das falsche Gerät geliefert wurde, sind wohl auch die Händler verwirrt. Zum Glück kann man die Geräte umflaschen.

Bei den ZyXEL APs ist die Unterscheidung deutlich einfacher.
NAP-Serie: Cloud controlled
NWA-Serie: Standalone oder Cloud controlled
WAX-Serie: Controller-managed

Gibt es so eine Unterscheidung in Standalone vs. Controller-managed auch bei den Switches, oder können die immer beide Arten der Konfiguration?
Bei UniFi habe ich verstanden, dass es die Standalone Konfiguration gar nicht gibt, und alles nur über den CloudKey läuft.

Bei Netgear habe ich einen Hinweis gefunden, dass die Standalone-Konfigurierung vom Switch erst nach Online-Registrierung freigeschaltet wird. Gibt es so eine Falle auch bei anderen Herstellern?

Um beim gleichen Hersteller zu bleiben, tendiere ich derzeit für beide Geräte zu ZyXEL oder TP-Link.

ZyXEL GS1920-48HPv2-EU0101F (48x PoE+) + ZyXEL NWA110AX-EU0102F um 740 €
TP-Link TL-SG 1024DE (ohne PoE) + TL-SG 3424P (24x PoE+) + TP-Link Omada EAP620 HD, AX1800 in Summe um 550 €

Wenn ich wirklich VLANs für meine IoT-Geräte einrichten möchte, dann benötige ich entweder einen VLAN fähigen Router (also z.B. pfSence) oder einen Layer-3 Switch (hier wird oft der Cisco SG300 genannt). Ich bin aber nach der Diskussion hier etwas unsicher geworden, ob ich VLAN wirklich benötige.

Walter
aqui
Lösung aqui 07.02.2021 aktualisiert um 12:26:55 Uhr
Goto Top
zwischen den Lightweight Access Points (LWAP) die mit einem Wireless LAN Controller (WLC) konfiguriert werden
Siehe dazu:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Einfacher gehts doch nun wirklich nicht !
hier wird oft der Cisco SG300 genannt
Der ist lange End of Sale und solltest du nicht mehr nehmen es sei denn du bekommst ihn zu einem billigen Ausverkaufspreis.
Aktuell fangen die L3 Switches beim SG250 Modell an.
ob ich VLAN wirklich benötige
Die simple Antwort darauf ist recht einfach:
  • Wenn du segmentieren, sprich also deine Netze trennen willst = JA !
  • Wenn du nicht segmentieren willst und alles zusammen in einem dummen, flachen Layer 2 Netz betreiben willst = NEIN !
Das beantwortet die Frage nach VLANs kurz, knackig und präzise und auch das geht nicht einfacher... face-wink
scw2wi
scw2wi 09.02.2021 um 23:32:28 Uhr
Goto Top
Die Frage für mich lautet nicht: Will ich VLAN?
Die Frage lautet eher: Ist VLAN die beste Lösung, um potentiell unsichere IoT Geräte unter Kontrolle zu halten?

Manche der Geräte will man bewusst ins Internet lassen, manche nicht.
Manche der Geräte will man bewusst miteinander reden lassen, manche nicht.
Keines der Geräte will man unkontrolliert im gesamten Netzwerk frei herumlaufen lassen.

Als Laie würde ich jetzt sagen, dass mir VLAN die beste Möglichkeit bietet, hier die benötigten Riegel vorzuschieben.
Eine Router-Kaskade mit DMZ mag einfacher einzurichten sein, hat dann aber auch weniger Möglichkeiten.
Das Gastnetz der Fritzbox bietet vermutlich den geringsten Schutz, aber immer noch besser als gar keine Maßnahme.

Hab' ich bis hier mal alles richtig verstanden?

Ich hab jetzt bereits viele Hinweise bekommen, welche Geräte welche Vor- oder Nachteile haben.
Nur das mit dem Controller verstehe ich noch nicht so ganz.

Bei UniFi ist der Controller (egal ob jetzt als HW oder nur als SW) zuerst einmal für die Einrichtung zuständig.
Und auch im laufenden Betrieb übernimmt er dann bestimmte Aufgaben, wenn man das benötigt bzw. möchte.

  • Anwesenheitserkennung angemeldeter WLAN-Clients
  • Statistiken
  • Gäste WLAN mit Portal zur Anmeldung
  • Radius Anmeldung
  • weitere ?

Punkt 1 und 2 sieht für mich interessant aus.

Bei TP-Link gibt es auch so einen Controller (OC200 und OC300), nur der "Zwang", ihn einzusetzen, dürfte geringer sein als bei UniFi.
Sind die Möglichkeiten hier vergleichbar, oder ist das eine andere Liga?

Bei Cisco, HP, MikroTik, ZyXEL und den restlichen konnte ich (zumindest für den Heimbereich) keine solchen Controller finden.
Falls es auch hier Anwesenheitserkennung, Statistiken usw. gibt, muss ich dann dafür jeden AP einzeln abfragen, da ich ja keinen zentralen Ansprechpartner habe?

Ich hab bis jetzt für mich noch keinen der Anbieter ausgeschlossen, bei jedem kann ich Vor- und Nachteile erkennen.
Da die HW-Funktionen aller Anbieter oft weit über meinen Anforderungen liegt, tendiere ich dazu, alles aus einer Hand zu nehmen, da mir so die Konfiguration leichter erscheint.
aqui
aqui 10.02.2021 aktualisiert um 08:43:21 Uhr
Goto Top
Bei Cisco, HP, MikroTik, ZyXEL und den restlichen konnte ich (zumindest für den Heimbereich) keine solchen Controller finden.
Sind bei denen in der Firmware selber enthalten (Mikrotik CapsMan, Ruckus Unleashed usw.). Externe Controller sind heutzutage Steinzeit Technik im Midrange Bereich. Siehe z.B.:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
tech-flare
tech-flare 10.02.2021 aktualisiert um 12:46:51 Uhr
Goto Top
Zitat von @aqui:

Bei Cisco, HP, MikroTik, ZyXEL und den restlichen konnte ich (zumindest für den Heimbereich) keine solchen Controller finden.
Sind bei denen in der Firmware selber enthalten (Mikrotik CapsMan, Ruckus Unleashed usw.). Externe Controller sind heutzutage Steinzeit
Du holst immer wieder die alte Leier von Steinzeit raus.....Was ist mit Cisco Meraki? Aruba? Ist das auch Steinzeit? Nein !

Der TO hat keine Netzwerkerfahrung und will es einfach halten und du empfiehlst ihn Mikrotik....
Lochkartenstanzer
Lochkartenstanzer 10.02.2021 aktualisiert um 12:49:52 Uhr
Goto Top
Zitat von @tech-flare:

Der TO hat keine Netzwerkerfahrung und will es einfach halten und du empfiehlst ihn Mikrotik....

Naja, eine Fritzbox, die seine Anforderungen erfüllt, gibt es nicht, zumindest nicht ohne größere Patchorgien. face-smile

lks
scw2wi
scw2wi 11.02.2021 um 18:55:55 Uhr
Goto Top
Also dass die Fritzbox meine Wünsche nicht erfüllen kann, das hab ich längst verstanden.
Derzeit sehe ich für mich 2 Möglichkeiten.

1. Fritzbox kaufen, anstecken, alles wird funktionieren. Und dann einfach hoffen, dass meine IoT Geräte die nächsten zig Jahre regelmäßige Patches erhalten, um keine Schwachstellen zu offenbaren. Das wäre die Vogel-Strauß Methode.

2. Entsprechende Bücher lesen und Experten im Forum nerven, um eine bessere Lösung zu finden. Da bin ich gerade dran. Das Problem ist halt, dass ich sehr viel Aufholbedarf habe, und das Wissen, dass sich Informatik-Studenten über viele Jahre aneignen, ich nicht in wenigen Wochen einfach mal so reinsaugen kann.

Ich hab übrigens (wie ich oben schon geschrieben habe) nichts dagegen, alles von einem Hersteller zu kaufen, wenn es dafür übersichtlicher für mich bleibt. Ich habe dann in allen Menüs dieselben Begriffe und muss nicht laufen umdenken. Wenn es dadurch 100 € mehr kostet, ich aber viel Zeit spare, ist es auch ein Gewinn.

MikroTik ist also für Experten super, weil es einfach alles kann. Für mich aber vielleicht nicht die beste Wahl.
pfSence ist möglicherweise sogar noch besser, kostet auch nur die HW, der Rest gilt dann wie oben.
Cisco ist ebenfalls mehr am oberen Ende angesiedelt, und für mich dann vielleicht auch ein paar Nummern zu groß.

ZyXEL und HP werden oft positiv erwähnt, möglicherweise wären diese Geräte für mich geeignet.
Hier dürfte der Controller wie bei MikroTik ebenfalls integriert sein.

TP-Link hat den Controller bisher ebenfalls integriert, steigt aber jetzt offensichtlich auf die "steinzeitliche" externe Lösung um.
Vermutlich, um dann seine Cloud-Funktionen besser vermarkten zu können.

UniFi geht diesen Weg wohl schon länger und wird von einigen voll gelobt, von anderen voll gehasst, dazwischen gibt es nichts.
Einerseits ist die Konfiguration eher einfach gehalten, andererseits stehen nicht alle Möglichkeiten zu Verfügung.
Ich benötige aber auch sicher nicht alle Möglichkeiten. Wenn die Geräte das können, was ich brauche, dann reicht mir das.

Sehr wichtig ist mir noch eine große Community, wo ich Fragen zu den Geräten klären kann.
Bei UniFi ist das gegeben, bei TP-Link und manchen anderen nicht in diesem Ausmaß.

Die restlichen Funktionen der Fritzbox (also DECT) kann ich mit einer Gigaset sicher vollständig ersetzen,
bis auf die wenigen Smart-Home Funktionen, die ich ohnehin nicht benötige.

Ich habe also jetzt mal ein recht gutes Bild bekommen, wie es weitergehen könnte, und muss einfach für mich eine Entscheidung treffen.
Beim Auto würde ich jetzt einfach Probefahrten machen, das ist hier aber etwas schwieriger.
Daher bin ich so dankbar für jeden Tipp, den ich bis jetzt bekommen habe und vielleicht noch bekommen werde.
sk
Lösung sk 13.02.2021 aktualisiert um 23:01:16 Uhr
Goto Top
Hallo scw2wi,

mangels Zeit nur ein paar kurzte Thesen von mir:

1) die ständig gleiche Leier von Aqui bezüglich Controller=Steinzeittechnik, Vendorlock usw. einfach gedanklich durch "BlaBlaBla" ersetzen. Das ist es, was aufgrund der Unreflektiertheit dieser Aussagen davon zu halten ist.

2) Richtig ist, dass man im Privatumfeld - allein schon mit Blick auf den Stromverbrauch - sicherlich insgesamt möglichst wenig physische Geräte permanent laufen haben möchte. Das kann gegen einen dedizierten (WLAN-)Controller sprechen. Deshalb muss dieser aber noch lange nicht in einen Accesspoint integriert sein, sondern könnte beispielsweise auch im Firewall-Router stecken oder auf einer VM auf dem meist ohnehin vorhandenen NAS laufen.

3) Hauptfunktion eines WLAN-Controllers ist die zentrale Administration. Aber benötigt man das bei einem Eigenheim wirklich? Wie viele Accesspoints möchtest bzw. musst Du denn einsetzen? Im meinem EFH genügen mir ganze zwei Accesspoints, um alles super auszuleuchten - einschließlich der Terasse und einem Großteil des Gartens. Die Konfig für diese 2 APs bekomme ich auch ohne WLAN-Controller hin (und das, obwohl jeder AP drei WLANs ausstrahlt). Auch bei 3 APs scheint mir der Punkt noch nicht erreicht, an dem der Wunsch nach zentraler Administrierbarkeit Überhand gewinnt. Vielleicht ab 4 Accesspoints oder bei sehr häufigen Konfigurationsänderungen...

4) Neben zentraler Administration können WLAN-Controller auch weitere nützliche Funktionen bieten. Beispielsweise zentrales Logging, Roamingunterstützung, Benutzeridentifizierung usw. Aber nochmal: Was davon brauchst Du in Deinem EFH wirklich? Und was davon kann man auch auf andere Weise ohne WLAN-Controller lösen?
Wenn Du wirklich ganz bestimmte erweiterte Funktionen benötigst, die anders nicht darstellbar sind, dann müsstest Du Dir den Controller vor dem Kauf ohnehin sehr genau anschauen, denn nicht jedes System bieten die gleichen Funktionen und schon gar nicht jeweils mit den exakt gleichen "Tiefe".

5) Dein Ansinnen, alles möglichst vom gleichen Hersteller zu beziehen, ist nachvollziehbar. In größeren Umgebungen ist dies auch verbreitet, bspw. um einen einheitlichen Supportweg zu haben, um Inkompatibilitäten auszuschließen bzw. um bei Problemen dem Hersteller die Möglichkeit zu nehmen, mit dem Finger auf einen anderen beteiligten Hersteller zu zeigen oder um alle Geräte in einem übergreifenden herstellerspezifischen Adminstrationswerkzeug verwalten zu können. Aber wie wichtig ist das für Deine wenigen privat eingesetzten Geräte?
Dein Wunsch nach Einheitlichkeit der Adminstrationsoberfläche und der Begrifflichkeiten zwischen Switch und Accesspoints dürfte bei den meisten Herstellern ohnehin unerfüllt bleiben. Das sind zumeist völlig getrennte Entwicklungen. Die Einheitlichkeit der Administration wird idR erst über eine gemeinsame Administrationssoftware (on prem oder in der Cloud) hergestellt. Bei Ubiquiti kann das wohl die kostenlose Software. Bei den meisten anderen Herstellern kostet es Geld bzw. die kostenlosen Werkzeuge sind sehr rudimentär und lediglich auf die Erstinbetriebnahme ausgelegt (z.B. ZyXELs "ZON") oder derart funktionseingeschränkt, dass Du irgendwann "freiwillig" Geld nachschiebst (z.B. die Management-Clouds der Hersteller, welche idR ein kostenloses Basisfeatureset und ein kostenpflichtiges "Premiumangebot" beihalten).
Ich meine, für Deine Kleinstumgebung kannst Du Switch und Accesspoints durchaus auch von verschiedenen Herstellern nehmen. Richte Dein Augenmerk da lieber auf Funktion, Bedienbarkeit und Preis/Leistungsverhältnis.

6) Beim Preis/Leistungs-Verhältnis solltest Du berücksichtigen, dass Hersteller, die sich seit Jahren im Business-Segment bewegen, in aller Regel für die Bereitstellung von Firmwareupdates und Supportleistungen (Hotline, Ticketsystem) den Abschluss eines Support-Vertrages voraussetzen, wodurch weitere und ggf. wiederkehrende Kosten entstehen. Wenn Dir das nicht recht ist, bist Du bei Herstellern, die eher im Privatkunden- und/oder Small-Business-Segment agieren, besser aufgehoben.

7) Die Annahme, dass bei Zyxel eine WLAN-Controllerfunktion in den Accesspoints stecken würde, ist nicht (mehr) korrekt. Das gab es mal, aber davon ist Zyxel seit einer gefühlten Ewigkeit wieder weg.
Auch Deine Kategorisierung der Verwaltbarkeit der AP-Serien von Zyxel stimmt so (vereinfacht) nicht. Ich will an dieser Stelle aber gar nicht näher drauf eingehen. Wenn Du konkrete Fragen dazu hast, kannst Du mich gerne per PN kontaktieren. Ich mach zwar seit Jahren kaum noch was mit Zyxel, aber kenne mich - denke ich - noch immer ganz gut damit aus.

8) Ich persönlich bin begeistert von der Funktionsvielfalt und Flexibilität von Mikrotik Router-OS. Zu diesem Preis gibt es m.E. nichts vergleichbares. Die Lernkurve ist hier allerdings sehr steil. Wer etwas sucht, was leicht verständlich und intuitiv bedienbar ist, ist bei MT leider falsch. Auch gibt es bei MT derzeit leider keine Accesspoints mit "ax", sondern nur maximal "ac" (und selbst da nur wave1).

9) Ob man virtuelle LANs zur Implementierung einer Separierung der IoT-Geräte benötigt oder nicht, hängt von der physischen und (gewollten) logischen Struktur Deines Netzes ab. Wenn alle IoT-Geräte ohnehin zentral in einem Raum per Kabel an das Netzwerk angeschlossen werden, dann könnten diese ja beispielsweise auch auf einem dedizierten unmanaged Switch angeschlossen werden, welcher in einer eigenen Sicherheitszone auf dem Firewallrouter platziert ist. Sobald Du allerdings mehrere logische Netze über die gleiche physische Infrastruktur abbilden musst, kommst Du um eine Virtualisierung nicht mehr herum.
Letztlich wissen wir nach wie vor zu wenig über Deine Umgebung und die konkreten Anforderungen. Deshalb muss auch ich mich - wie meine Vorredner - leider auf allgemeine Erläuterungen beschränken.

Gruß
sk
scw2wi
scw2wi 14.02.2021 aktualisiert um 22:33:55 Uhr
Goto Top
Hallo sk,

deine "paar kurzen Thesen" waren sehr umfangreich und auch hilfreich für mich.
Du hast völlig Recht, ich muss zuerst einmal meine Anforderungen kennen lernen, erst dann kann ich weiter machen.

Ich komme mir gerade so vor wie ein Kunde, der ins Autohaus kommt und sagt: "Ich hätte gern so ein Elektroauto".
Und der Verkäufer antwortet: "Wir hätten da viele Modelle, wollen Sie ein HEV, PHEV, mHEV, sHEV, BEV, FCEV?"

Ich fürchte nur, ich werde ein mHEV kaufen, nur um dann draufzukommen, dass ich doch besser einen sHEV genommen hätte.
Oder, um wieder zurückzukommen, mir ist jetzt klar, warum die meisten einfach eine Fritzbox nehmen. Anstecken und funktioniert.

Noch ein paar Details:

Mehr als 3 APs werde ich nicht benötigen.
Die IoT-Geräte hängen auch im WLAN, Multi-SSID werde ich also benötigen.
Benutzeridentifizierung werde ich benötigen, da die Haussteuerung wissen sollte, wie viele Bewohner anwesend sind, davon können sich dann wieder weitere Regeln ableiten.

Stück für Stück erarbeite ich mir die einzelnen Anforderungen, die ich glaube zu haben.
Eine Checkliste a la Entscheidungsbaum wäre super, gibt's aber natürlich nicht.

Walter
sk
sk 14.02.2021 um 23:54:03 Uhr
Goto Top
Hallo Walter,


Zitat von @scw2wi:
Mehr als 3 APs werde ich nicht benötigen.

dann wäre eine zentrale Administration "nice to have" aber m.E. kein Muss


Zitat von @scw2wi:
Benutzeridentifizierung werde ich benötigen, da die Haussteuerung wissen sollte, wie viele Bewohner anwesend sind, davon können sich dann wieder weitere Regeln ableiten.

Beschreibe mal genauer, was Du Dir funktional darunter vorstellst.


Gruß
Steffen
scw2wi
scw2wi 15.02.2021 aktualisiert um 21:00:19 Uhr
Goto Top
Die APs sollen melden, wenn sich ein Handy ins WLAN einlogged oder auslogged.
Daraus kann dann die Haussteuerung Regeln ableiten, je nachdem, ob 0, 1 oder mehr Bewohner anwesend sind.
Ich habe davon schon öfters unter dem Stichwort "Anwesenheitserkennung" gelesen.

Wenn so eine Funktion mit einer zentralen Administration leichter umsetzbar ist, dann wäre das ein Argument dafür,
wenn nicht, dann hat diese Entscheidung darauf keinen Einfluss.
tech-flare
tech-flare 17.02.2021 um 00:53:50 Uhr
Goto Top
Zitat von @scw2wi:

Die APs sollen melden, wenn sich ein Handy ins WLAN einlogged oder auslogged.
Daraus kann dann die Haussteuerung Regeln ableiten, je nachdem, ob 0, 1 oder mehr Bewohner anwesend sind.
Ich habe davon schon öfters unter dem Stichwort "Anwesenheitserkennung" gelesen.

Sowas habe ich bei mir privat mit iobroker und UniFi umgesetzt

Wenn so eine Funktion mit einer zentralen Administration leichter umsetzbar ist, dann wäre das ein Argument dafür,
wenn nicht, dann hat diese Entscheidung darauf keinen Einfluss.

Der Controller muss dafür eine Schnittstelle haben, welche von deiner Hausautomation oder einer Middleware angesprochen werden kann
scw2wi
scw2wi 18.02.2021 um 18:36:33 Uhr
Goto Top
Bei UniFi hat man natürlich auch immer einen Controller.
Die Frage ist aber, ob man diese Funktion auch bei anderen Herstellern einfach realisieren kann, wo es keinen Controller gibt.
Möglicherweise muss da dann iobroker einfach jeden einzelnen AP extra abfragen, aber möglich sollte es zumindest sein.
aqui
Lösung aqui 18.02.2021 um 20:06:12 Uhr
Goto Top
auch bei anderen Herstellern einfach realisieren kann, wo es keinen Controller gibt.
Mikrotik, Ruckus, Cisco usw. können sowas natürlich auch. Es gibt ja da auch immer einen Comntroller nur das der eben durch einen AP mit realisiert wird wie der CapsMan bei Mikrotik oder Unleashed bei Ruckus usw. Mikrotik per einfachem Scripting und beim Rest müsste man das über einen Syslog Trigger machen.
scw2wi
scw2wi 21.02.2021 um 18:52:01 Uhr
Goto Top
Entweder ist der getrennte Controller einfach nur eine unterschiedliche Lösung für ein und dasselbe,
oder es ist einfach so ein Mittelding zwischen integriertem Controller und teurem professionellen Controller.

Für meine Anforderungen scheint es gleichwertig zu sein, und kein Argument strikt dafür oder dagegen zu sprechen.