nominis

Heimnetzwerk - Aufteilung aktualisieren

Hallo, ich möchte mein Heimnetz mal neu konfigurieren / optimieren.
Ich habe dazu eine Fragen / Ideen-Suche:

Wie würdet Ihr folgendes Heimnetzwerk (hinsichtlich der Port-Aufteilung an der pfSense / virtuelle Ports / VLAN- Nutzung und am HP-Switch (VLAN, tagged/untagged) am sinnvollsten aufteilen?

Hardware:
pfSense APU4D4 (1xWAN,3xLAN)
(WAN: DSL über Draytek Vigor167)
HP Switch ProCurve 1800-24G
sowie für W-Lan:
TP-Link PoE-Switch TL-SG105PE (5 Ports)
Unifi Cloud Key gen2
3 x Unifi AP pro

benötigte Netzwerke:
2 x Ethernet Netzwerk (Heimnetz, IoT) jeweils inkl. eigenem DHCP-Server (pfSense)
(Die Ethernet-Endgeräte sind nicht VLAN-fähig)

3 x W-LAN (Heimnetz, IoT, Gäste) jeweils inkl. eigenem DHSP-Server (von pfSense) W-Lan's in dem Cloud Key konfiguriert

Natürlich muss am Ende alles noch in der pfSense mit den entsprechenden Regeln konfiguriert werden damit die einzelnen Netze zum Teil auch miteinander kommunizieren können.
Darum geht es aber nicht bei meiner Frage.
Es geht um die Aufteilung, welches Netz (wie) über welchen Port der Firewall geht und wie alles in dem Switch verteilt wird.

Vielen Dank schon mal vorab.
Ich bin gespannt 😊
Jörg
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672567

Url: https://administrator.de/forum/heimnetzwerk-aufteilung-aktualisieren-672567.html

Ausgedruckt am: 12.05.2025 um 14:05 Uhr

michi1983
michi1983 21.04.2025 um 20:42:05 Uhr
Goto Top
Hallo,

3 VLANs auf der Pfsense. Ein Port an den HP Curve tagged mit allen VLANs.
Ebenso tagged muss der Port sein welcher zum TP Link geht und von dort ebenso zu allen APs.

Auf dem HP die PVID korrekt auf den Ports einstellen wo die LAN Endgeräte dran kommen.

Fürs WLAN mSSIDs einrichten in unterschiedlichen VLANs.

Das sollte es grob gewesen sein.

Natürlich gibt es zu dem 0815 Szenario hier im Forum zwanzigquadrillionen Anleitungen dazu, einfach die Suche bedienen.

Gruß
Nominis
Nominis 21.04.2025 um 20:53:21 Uhr
Goto Top
Vielen Dank für den ersten Vorschlag.

Eine Idee von mir ist z.B., den TP-Link-Switch für W-Lan direkt an einen Port der Firewall anschließen, den Firewall-Port für/mit 3 VLANs konfigurieren. Diese VLANs weden dann für die 3 Wlans genutzt.
Die beiden anderen Lan-Ports der Firewall für jeweils ein Ethernet-Netze nutzen.
Per PVID die HP-Ports dem jeweiligen Port (per VLAN) zuweisen.
Jorg
Visucius
Visucius 22.04.2025 um 11:28:50 Uhr
Goto Top
Eine Idee von mir ist z.B., den TP-Link-Switch für W-Lan direkt an einen Port der Firewall anschließen

Das hat @michi1983 doch genau so beschrieben?

Ebenso tagged muss der Port sein welcher zum TP Link geht und von dort ebenso zu allen APs.
Nominis
Nominis 22.04.2025 aktualisiert um 11:38:15 Uhr
Goto Top
Wenn das komplette W-Lan direkt über einen Port der pfSense (mit 3 VLANs) ab geht, gebe ich dann um es einfach zu gestalten dem TP-Link-Switch sowie dem Cloud Key auch IP-Adressen aus einem der 3 Bereiche?
Visucius
Visucius 22.04.2025 um 12:18:07 Uhr
Goto Top
Deine Netzwerkgeräte (Switche, APs und Cloud-Key) "selber" erhalten eigentlich IP-Adressen aus Deinem Mgmt-vLAN.
radiogugu
radiogugu 22.04.2025 um 12:23:19 Uhr
Goto Top
Mahlzeit.

Das Switch sollte in einem Management IP Bereich beheimatet sein, wo sich sonst nichts tummelt außer vielleicht Server oder ähnliche Gerätschaften.

Auf dem Switch und respektive den Switchports kannst du dann die VLANs definieren, welche über einen Uplink an die PFSense weitergehen sollen. Ähnlich, wie auf dem nachstehenden Schema:

20250422_001

Gruß
Marc
Nominis
Nominis 22.04.2025 um 12:36:22 Uhr
Goto Top
Hallo Marc, vielen Dank für die Grafik.
Verstehe ich es richtig? Von der FW gehen 2 Patch-Kabel zum TP-Link-Switch (Port2 und Port3)?
(auf der TP-Link-Seite heißen beide Kabel dann Port 1)
1 x für VLAN 101 und 102 (Tagged) sowie 1 x für VLAN 21-23 (Tagged)?
Port 3-5 ist dann für die 3 APs.
Gern hätte ich aber noch per PoE den Cloud Key mit am Switch.
Also alle 4 PoE-Geräte am TP-Link-Switch.
Dann hätte ich nur noch einen Port für die Verbindung zur FW.
Port 4 der FW wäre dann für die 2 Netze (+ Management-Netz) zum HP-Switch?

Gruß Jörg
aqui
aqui 22.04.2025 aktualisiert um 14:14:51 Uhr
Goto Top
welches Netz (wie) über welchen Port der Firewall geht und wie alles in dem Switch verteilt wird.
Das macht man immer über Trunk Links wie es HIER im Detail beschrieben ist.

Idealerweise natürlich immer mit einem LACP LAG um zum Switch entsprechend Bandbreite und auch Redundanz zu haben. Simple Standardkonfig also...
Link Aggregation (LAG) im Netzwerk

Von einem Design wie dem obigen ist in Bezug auf die feste Verteilung der IP Netze eher abzuraten. Stirbt einer der Links stirbt damit auch vollständig die Connectivity zu diesen IP Netzen. Man verliert also die wichtige Redundanz bei der Anbindung. Mit einem LACP LAG wäre das nicht der Fall.
Nominis
Lösung Nominis 22.04.2025 aktualisiert um 14:22:23 Uhr
Goto Top
Danke für die ausführlichen Hinweise.
Das wird langsam doch komplex für mein Heimnetz - eigentlich wollte ich es nur "einfacher und übersichtlicher machen". Meine/unsere IT-Probleme sitzen auch meist davor face-wink

Als Alternative schwebt mir ein Unifi Cloud Gateway ultra vor - ersetzt pfSense und Cloud Key sowie ein einfaches 24er Unifi PoE-Switch.
Weniger Möglichkeiten vermutlich - aber alles in einer Oberfläche.

Gruß Jörg
Visucius
Visucius 22.04.2025 aktualisiert um 14:39:56 Uhr
Goto Top
Weniger Möglichkeiten vermutlich - aber alles in einer Oberfläche.
Richtig. Und übersichtlicher.
aqui
aqui 22.04.2025 aktualisiert um 14:50:55 Uhr
Goto Top
Das wird langsam doch komplex für mein Heimnetz
Auch für einen Netzwerk Anfänger und insbesondere Administrator ist das wie Wischwasser nachfüllen am Auto. Was daran "komplex" sein soll ist völlig unverständlich?! Ganz besonders wenn man es auch als Administrator bebildert und Schritt für Schritt in einem Tutorial auf dem Silbertablett serviert bekommt, aber nundenn. Deine Entscheidung!

Du musst ja auch keinen LAG nehmen obwohl das sehr sinnvoll wäre.
Nimm einfach eine einfache Patch Strippe für einen Firewall Port, richte da die VLANs ein, verbinde damit Switch und Firewall und gut iss. Eine Strippe in zwei RJ45 Stecker stecken schaffst du ganz sicher...
Ist dann zwar ohne Redundnaz aber für ein Heimnetz ist auch das völlig ausreichend.
Unify mit seinem Vendor Lock und Controller Zwang (Clud Key etc.) installiert man nicht wenn man ein freies Setup will. Dann lässt man die Finger von solchen Gruselherstellern. Besonders zumal du ja schon gute und für alles erforderliche Firewall und Switchhardware rumliegen hast und dir damit alle (freien) Türen offenstehen. Unnötiges wie einen Cloud Key benötigt niemand. Deine etwas schräge Denke mit noch komplizierterer und doppelter HW Neuanschaffung etwas zu verschlimmbessern ist in einem Adminstratorforum schon etwas schwer nachzuvollziehen... 🤔
Visucius
Visucius 22.04.2025 aktualisiert um 14:54:15 Uhr
Goto Top
Deine etwas schräge Denke mit noch komplizierterer HW Neuanschaffung etwas zu verschlimmbessern ist in einem Adminstratorforum schon etwas schwer nachzuvollziehen...

Na, na, na. Nicht gleich Pusteln bekommen, nur weil der Name "Unifi" fällt face-wink

Und es ist auch nichts kompliziertes daran ein Unifi-Setup anzuschaffen (und in Betrieb zu nehmen). Aber es wäre von der technischen Flexibilität eher ein Rückschritt. Der Punkt ist allerdings, ob der TE diese Flexibilität überhaupt benötigt und das muss ja er entscheiden.
radiogugu
radiogugu 22.04.2025 um 15:10:07 Uhr
Goto Top
Zitat von @Nominis:

Hallo Marc, vielen Dank für die Grafik.
Verstehe ich es richtig? Von der FW gehen 2 Patch-Kabel zum TP-Link-Switch (Port2 und Port3)?
(auf der TP-Link-Seite heißen beide Kabel dann Port 1)
1 x für VLAN 101 und 102 (Tagged) sowie 1 x für VLAN 21-23 (Tagged)?
Port 3-5 ist dann für die 3 APs.
Gern hätte ich aber noch per PoE den Cloud Key mit am Switch.
Also alle 4 PoE-Geräte am TP-Link-Switch.
Dann hätte ich nur noch einen Port für die Verbindung zur FW.
Port 4 der FW wäre dann für die 2 Netze (+ Management-Netz) zum HP-Switch?

Gruß Jörg

Das war leider Quatsch meinerseits.

In meinem Beispiel sind es zwei Kabel von der Firewall zum TP-Link, an unterschiedliche Poets natürlich.

Sonst klappt das nicht so recht face-cool

Es ist besser nicht alles über eine Schnittstelle zu schaufeln, da dann ein künstlicher Flaschenhals entstehen kann.

Du wirst jetzt keine größeren Datenraten benötigen und diese auch ständig.

Dennoch besser gleich von Anfang an etwas mehr planen und richtig aufstellen das Ganze.

Gruß
Marc