31
Netzsegmentierung in WG
Hallo Community,
eine befreundete WG mit fünf Personen möchte sich gerne einen Internetanschluss teilen, dabei soll aber trotzdem jede Person ihr eigenes, unabhängiges Netzwerk betreiben können.
Die Planung sieht jetzt ein zentrales Gateway vor, welches die Einwahl übernimmt und aus dem dann hinten mehrere VLANs herausfallen.
Auf Seiten der einzelnen Personen soll es Plasterouter geben (vermutlich FritzBoxen), der dann über das zentrale Gateway seine Internetverbindung erhält.
Dadurch entsteht natürlich ein doppeltes NAT, was nicht schön ist, sich aber vermutlich auch nicht vermeiden lässt (?).
Die "mitgelieferte" Telefonie des Internet-Anschlusses kann auf diesem Wege natürlich nicht genutzt werden, daher soll jeder Nutzer einen SIP-Account bei einem Drittanbieter erhalten.
Meine Frage nun: Mit welchen Einschränkungen muss bei diesem Szenario gerechnet werden?
Sehe ich es richtig, dass die VPN-Verbindung der FritzBoxen nur von einem der Teilnehmer genutzt werden kann, da ich die nötigen Portweiterleitungen im zentralen Gateway ja nur auf eine der nachgelagerten FritzBoxen schalten kann?
Danke für Input und Tipps!
eine befreundete WG mit fünf Personen möchte sich gerne einen Internetanschluss teilen, dabei soll aber trotzdem jede Person ihr eigenes, unabhängiges Netzwerk betreiben können.
Die Planung sieht jetzt ein zentrales Gateway vor, welches die Einwahl übernimmt und aus dem dann hinten mehrere VLANs herausfallen.
Auf Seiten der einzelnen Personen soll es Plasterouter geben (vermutlich FritzBoxen), der dann über das zentrale Gateway seine Internetverbindung erhält.
Dadurch entsteht natürlich ein doppeltes NAT, was nicht schön ist, sich aber vermutlich auch nicht vermeiden lässt (?).
Die "mitgelieferte" Telefonie des Internet-Anschlusses kann auf diesem Wege natürlich nicht genutzt werden, daher soll jeder Nutzer einen SIP-Account bei einem Drittanbieter erhalten.
Meine Frage nun: Mit welchen Einschränkungen muss bei diesem Szenario gerechnet werden?
Sehe ich es richtig, dass die VPN-Verbindung der FritzBoxen nur von einem der Teilnehmer genutzt werden kann, da ich die nötigen Portweiterleitungen im zentralen Gateway ja nur auf eine der nachgelagerten FritzBoxen schalten kann?
Danke für Input und Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 503476
Url: https://administrator.de/contentid/503476
Printed on: April 18, 2024 at 01:04 o'clock
31 Comments
Latest comment
Moin,
nimm einen vernünftigen Router/Firewall. Setzte dich mit VLans auseinander und die weiteren Router entfallen.
Dann noch ein Regelwerk das aus den Netzen nicht in die anderen gequatscht werden kann. Fertig ist die Geschichte.
Doppeltes NAT ist über haupt nicht erforderlich.
Gruß
Spirit
nimm einen vernünftigen Router/Firewall. Setzte dich mit VLans auseinander und die weiteren Router entfallen.
Dann noch ein Regelwerk das aus den Netzen nicht in die anderen gequatscht werden kann. Fertig ist die Geschichte.
Doppeltes NAT ist über haupt nicht erforderlich.
Gruß
Spirit
Hallo
5 Leute in einer WG und 5 Netzwerke? Muss man nicht verstehen.
Kauf dir nen Router mit WLAN. Mach 5 Netze mit 5 SSIDs, die sich nicht sehen dürfen. Der Router macht für jedes Netz DHCP. Und dann eben irgendeinen Softphone-Client für das SIP-Gedöns.
VPN? Policy-Based-Routing.
https://www.lancom-systems.de/produkte/router-vpn-gateways/business-vpn- ...
Schönen Freitag noch
Gruß Mikro
5 Leute in einer WG und 5 Netzwerke? Muss man nicht verstehen.
Kauf dir nen Router mit WLAN. Mach 5 Netze mit 5 SSIDs, die sich nicht sehen dürfen. Der Router macht für jedes Netz DHCP. Und dann eben irgendeinen Softphone-Client für das SIP-Gedöns.
VPN? Policy-Based-Routing.
https://www.lancom-systems.de/produkte/router-vpn-gateways/business-vpn- ...
Schönen Freitag noch
Gruß Mikro
Ok, ich muss es vielleicht noch etwas genauer spezifizieren. Die einzelnen Nutzer wollen schon selbst gerne die Möglichkeit haben, Grundlegendes im eigenen Netz einzustellen (WLAN beispielsweise). Es soll an dieser Stelle eben so simpel wie möglich sein und möglichst selten Hilfe von außen benötigt werden, daher die Idee mit den Fritzboxen.
Ohne Router in der Unterverteilung brauche ich stattdessen für jeden Nutzer einen Switch plus AccessPoint und der Switch muss aus meiner Sicht VLAN-fähig sein.
Ich bin mir einfach gerade nicht sicher, wie "normal" sich alles für die Nutzer in Betrieb nehmen lässt ohne dass sie eine bekannte Umgebung mit einem Plasterouter vorfinden.
Ohne Router in der Unterverteilung brauche ich stattdessen für jeden Nutzer einen Switch plus AccessPoint und der Switch muss aus meiner Sicht VLAN-fähig sein.
Ich bin mir einfach gerade nicht sicher, wie "normal" sich alles für die Nutzer in Betrieb nehmen lässt ohne dass sie eine bekannte Umgebung mit einem Plasterouter vorfinden.
Moin,
zu kompliziert. VLAN braucht man dann, wenn man über dem selben Draht verschiedene Netze betreiben will. Hier gehe ich aber mal davon aus, dass jeder Wohni sein eigenes Zimmer hat. Deshalb würde ich einfach einen Router kaufen, der fünf Netze plus WAN kann und gut ist. Dann gibt es kein doppeltes NAT und keinerlei Einschränkungen für die fünf in der Nutzung.
hth
Erik
zu kompliziert. VLAN braucht man dann, wenn man über dem selben Draht verschiedene Netze betreiben will. Hier gehe ich aber mal davon aus, dass jeder Wohni sein eigenes Zimmer hat. Deshalb würde ich einfach einen Router kaufen, der fünf Netze plus WAN kann und gut ist. Dann gibt es kein doppeltes NAT und keinerlei Einschränkungen für die fünf in der Nutzung.
hth
Erik
Danke schon mal an alle Poster mit sinnvollen und lösungsorientierten Beiträgen! (certified.net, dich habe ich mal gemeldet)
Schön, dass es hier so schnell zu zahlreichen Antworten kommt.
Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.
Einfach nur über einen WLAN-Router verschiedene WLANs für die einzelnen Nutzer aufzuspannen, fällt vollständig raus, denn zum einen wird die zentrale Netzwerk-Technik im Keller vorgehalten und ist damit strahlungstechnisch gut abgeschirmt. Zum anderen es in den Netzen der Nutzer natürlich möglich sein, auch kabelgebundene Geräte in Betrieb zu nehmen.
Zu den einzelnen Nutzern gibt es übrigens leider nur genau einen einzigen Patchport vom Keller aus, was das Ganze nicht einfacher macht...
Schön, dass es hier so schnell zu zahlreichen Antworten kommt.
Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.
Einfach nur über einen WLAN-Router verschiedene WLANs für die einzelnen Nutzer aufzuspannen, fällt vollständig raus, denn zum einen wird die zentrale Netzwerk-Technik im Keller vorgehalten und ist damit strahlungstechnisch gut abgeschirmt. Zum anderen es in den Netzen der Nutzer natürlich möglich sein, auch kabelgebundene Geräte in Betrieb zu nehmen.
Zu den einzelnen Nutzern gibt es übrigens leider nur genau einen einzigen Patchport vom Keller aus, was das Ganze nicht einfacher macht...
Moin,
Ja und? Wo ist das Problem, wenn sie einen Switch oder besser noch einfach eine Dose in der Wand haben, in die sie das Gerät einstecken können? Einfacher geht's nicht.
Naja, die würde ich nicht unbedingt als für Laien einfach bezeichnen.
Nein, muss er nicht. Kann der Router mehrere Netze auf verschiedenen Ports, dann muss dahinter kein VLAN sein. Die Zuordnung ist ja schon eindeutig auf Grund des Ports, in dem der Switch steckt. Außerdem brauchst Du den ja sowieso. Ob der nun in der Fritte steckt oder ein eigenes Gerät ist, ändert nichts daran. Das Gleiche gilt für den AP.
Wie gesagt: Richtig gemacht ist die größte Schwierigkeit für den Endanwender die Eingabe des WLAN-Keys. Ansonsten reinstecken, geht.
hth
Erik
Zitat von @Datenreise:
Ok, ich muss es vielleicht noch etwas genauer spezifizieren. Die einzelnen Nutzer wollen schon selbst gerne die Möglichkeit haben, Grundlegendes im eigenen Netz einzustellen (WLAN beispielsweise).
Ok, ich muss es vielleicht noch etwas genauer spezifizieren. Die einzelnen Nutzer wollen schon selbst gerne die Möglichkeit haben, Grundlegendes im eigenen Netz einzustellen (WLAN beispielsweise).
Ja und? Wo ist das Problem, wenn sie einen Switch oder besser noch einfach eine Dose in der Wand haben, in die sie das Gerät einstecken können? Einfacher geht's nicht.
Es soll an dieser Stelle eben so simpel wie möglich sein und möglichst selten Hilfe von außen benötigt werden, daher die Idee mit den Fritzboxen.
Naja, die würde ich nicht unbedingt als für Laien einfach bezeichnen.
Ohne Router in der Unterverteilung brauche ich stattdessen für jeden Nutzer einen Switch plus AccessPoint und der Switch muss aus meiner Sicht VLAN-fähig sein.
Nein, muss er nicht. Kann der Router mehrere Netze auf verschiedenen Ports, dann muss dahinter kein VLAN sein. Die Zuordnung ist ja schon eindeutig auf Grund des Ports, in dem der Switch steckt. Außerdem brauchst Du den ja sowieso. Ob der nun in der Fritte steckt oder ein eigenes Gerät ist, ändert nichts daran. Das Gleiche gilt für den AP.
Ich bin mir einfach gerade nicht sicher, wie "normal" sich alles für die Nutzer in Betrieb nehmen lässt ohne dass sie eine bekannte Umgebung mit einem Plasterouter vorfinden.
Wie gesagt: Richtig gemacht ist die größte Schwierigkeit für den Endanwender die Eingabe des WLAN-Keys.
Ansonsten reinstecken, geht.hth
Erik
Naja, ich weiß zumindest, dass die Personen, die sie an dieser Stelle nutzen würden, damit grundlegend zurecht kommen.
Nein, muss er nicht. Kann der Router mehrere Netze auf verschiedenen Ports, dann muss dahinter kein VLAN sein. Die Zuordnung ist ja schon eindeutig auf Grund des Ports, in dem der Switch steckt. Außerdem brauchst Du den ja sowieso. Ob der nun in der Fritte steckt oder ein eigenes Gerät ist, ändert nichts daran. Das Gleiche gilt für den AP.
Da hast Du Recht, aber wenn das bislang angedachte Ubiquiti USG-Pro-4 zum Einsatz kommt, hat es leider nur zwei LAN-Ports - VLAN also nötig.
Moin,
Was heißt volle Kontrolle? Das, was zentral konfiguriert werden muss, ist bei allen Lösungen mehr oder weniger gleich: Ein zentraler Router mit integriertem Modem, der auf die verschiedenen Netze verteilt. Ob der nun an seinen fünf Ports fünf Fritten hängern hat, die dann jeweils per NAT ein eigenes Netz aufspannen oder ob er selbst diese fünf Netze bedient, ist m. E. dabei, was die Kontrolle der Netze angeht, ziemlich egal.
Warum scheint das weniger gut?
Das ist doch vollkommen egal, ob die Switches im Keller oder auf der Bude der Wohnis montiert werden. Die Fehlersuche wird eher einfacher, wenn ich ein Netz durch Ziehen eines Steckers abkoppeln kann.
Übrigens spricht noch etwas gegen die sechs Router (zentraler plus fünf Fritten). Das sind dann sechs potentielle Fehlerquellen. Hast Du nur einen zentralen, dann ist das auch nur eine Fehlerquelle. Und wenn Du auch noch fünf Wohnis hast, die die Hoheit über ihre jeweilige Fritte haben, dann hast Du auch gleich fünf Möglichkeiten, dass einer das ganze Netz kaputtspielt, weil er mal was an der Fritte ausprobieren wollte.
Liebe Grüße
Erik
Zitat von @Datenreise:
Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.
Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.
Was heißt volle Kontrolle? Das, was zentral konfiguriert werden muss, ist bei allen Lösungen mehr oder weniger gleich: Ein zentraler Router mit integriertem Modem, der auf die verschiedenen Netze verteilt. Ob der nun an seinen fünf Ports fünf Fritten hängern hat, die dann jeweils per NAT ein eigenes Netz aufspannen oder ob er selbst diese fünf Netze bedient, ist m. E. dabei, was die Kontrolle der Netze angeht, ziemlich egal.
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.
Warum scheint das weniger gut?
Zu den einzelnen Nutzern gibt es übrigens leider nur genau einen einzigen Patchport vom Keller aus, was das Ganze nicht einfacher macht...
Das ist doch vollkommen egal, ob die Switches im Keller oder auf der Bude der Wohnis montiert werden. Die Fehlersuche wird eher einfacher, wenn ich ein Netz durch Ziehen eines Steckers abkoppeln kann.
Übrigens spricht noch etwas gegen die sechs Router (zentraler plus fünf Fritten). Das sind dann sechs potentielle Fehlerquellen. Hast Du nur einen zentralen, dann ist das auch nur eine Fehlerquelle. Und wenn Du auch noch fünf Wohnis hast, die die Hoheit über ihre jeweilige Fritte haben, dann hast Du auch gleich fünf Möglichkeiten, dass einer das ganze Netz kaputtspielt, weil er mal was an der Fritte ausprobieren wollte.
Liebe Grüße
Erik
Zitat von @Datenreise:
Da hast Du Recht, aber wenn das bislang angedachte Ubiquiti USG-Pro-4 zum Einsatz kommt, hat es leider nur zwei LAN-Ports - VLAN also nötig.
Da hast Du Recht, aber wenn das bislang angedachte Ubiquiti USG-Pro-4 zum Einsatz kommt, hat es leider nur zwei LAN-Ports - VLAN also nötig.
Es gibt doch von Ubiquiti auch Router mit mehr als zwei LAN-Ports, die jeweils ein eigenes Netz bedienen können? Oder irre ich mich da?
Ja, Du hast Recht, aus der "Edge"-Serie gibt es da etwas, danke!
Bei Unifi gibt's da leider nichts. Ich habe keine Erfahrung mit den Edge-Geräten, aber das werde ich mir dann nochmal genauer ansehen.
Bei Unifi gibt's da leider nichts. Ich habe keine Erfahrung mit den Edge-Geräten, aber das werde ich mir dann nochmal genauer ansehen.
Das USG ist mMn. dafür nicht das richtige.
a) Ist das (nur) ein security-gateway - der übliche Switch hängt da eigentlich erst dahinter (und davor das Modem)
b) macht das nur Sinn, wenn Du mehrere Netzwerkkomponenten von UBNT gemeinsam verwalten willst. Aber hier ist hinter dem Router ja eh alles "in Eigenverantwortung" der WGs
c) wegen b) benötigst Du einen extra Controller - alleine für einen USG.
Du benötigst doch "nur" einen Router mit getrennten IP-Bereichen für jeden der 4 Ports?! VLan ist da ja schon "Hifi"
Ich würde da - je nachdem, was die dahinterklemmen - vermutlich sogar die Firewall im Gerät deaktivieren, sonst melden die sich bei Dir, wenn irgendwas ihrer HW/SW nicht durch den Router geht. Weil kein Verkehr zwischen den Ports verläuft, ist das leistungsmäßig doch wenig herausfordernd?! Deine Idee mit den Fritzen in den Zimmern ist doch nicht übel?! Mich würde eher der 4 fache "Wlan-Smog" auf so engem Raum nerven.
Wenn Du bei dem Hersteller bleiben willst würde ich mir die Edge-Router ansehen. Microtik wird hier auch immer mal gerne empfohlen.
VG
a) Ist das (nur) ein security-gateway - der übliche Switch hängt da eigentlich erst dahinter (und davor das Modem)
b) macht das nur Sinn, wenn Du mehrere Netzwerkkomponenten von UBNT gemeinsam verwalten willst. Aber hier ist hinter dem Router ja eh alles "in Eigenverantwortung" der WGs
c) wegen b) benötigst Du einen extra Controller - alleine für einen USG.
Du benötigst doch "nur" einen Router mit getrennten IP-Bereichen für jeden der 4 Ports?! VLan ist da ja schon "Hifi"
Ich würde da - je nachdem, was die dahinterklemmen - vermutlich sogar die Firewall im Gerät deaktivieren, sonst melden die sich bei Dir, wenn irgendwas ihrer HW/SW nicht durch den Router geht. Weil kein Verkehr zwischen den Ports verläuft, ist das leistungsmäßig doch wenig herausfordernd?! Deine Idee mit den Fritzen in den Zimmern ist doch nicht übel?! Mich würde eher der 4 fache "Wlan-Smog" auf so engem Raum nerven.
Wenn Du bei dem Hersteller bleiben willst würde ich mir die Edge-Router ansehen. Microtik wird hier auch immer mal gerne empfohlen.
VG
Die Unifi-Elemente sind für sich genommen "doof". Die Steuerung erfolgt über einen Controller (ca. 80 EUR extra), der die Komponenten und deren Konfiguration über eine gemeinsame Website zusammenführt. Das kann charmant sein, heißt aber auch, dass die Verknüpfung selbst nach jedem Update noch sauber funktionieren muss. Und speziell in Deinem Fall machst Du aus 1 (+Modem) notwendigen Komponente > 2 (+Modem), die nach allen Updates noch zusammenarbeiten müssen ... und für die Du einen Netzwerkport und Strom benötigst
Die Edge-Geräte sind eher wie bei anderen Herstellern. Jedes für sich, sozusagen.
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
Die Edge-Geräte sind eher wie bei anderen Herstellern. Jedes für sich, sozusagen.
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
da irrst Du
Das Unifi-Netzwerk besteht aus Modem - USG - Switch - Controller
Die Routerfunktionalität teilt sich USG und Switch - den Controller benötigst Du um das anzusteuern.
Das Unifi-Netzwerk besteht aus Modem - USG - Switch - Controller
Die Routerfunktionalität teilt sich USG und Switch - den Controller benötigst Du um das anzusteuern.
Äh - ja, danke für die Infos, ich bin allerdings mit Unifi durchaus sehr vertraut, benutze es privat und habe es auch schon für verschiedene Kunden in kleineren und etwas größeren Netzwerken im Einsatz.
Dass der Unterschied zu "EDGE" die fehlende zentrale Verwaltung ist, ist mir ebenfalls klar.
Es würde mich freuen, wenn noch jemand eine Einschätzung zu meiner eigentlichen Fragen geben würde, nämlich was durch ein doppeltes NAT hindurch alles nicht läuft. VoIP-Telefonie klappt, das habe ich schon selbst testen können.
Dass der Unterschied zu "EDGE" die fehlende zentrale Verwaltung ist, ist mir ebenfalls klar.
Es würde mich freuen, wenn noch jemand eine Einschätzung zu meiner eigentlichen Fragen geben würde, nämlich was durch ein doppeltes NAT hindurch alles nicht läuft. VoIP-Telefonie klappt, das habe ich schon selbst testen können.
Zitat von @erikro:
Warum scheint das weniger gut?
Zitat von @Datenreise:
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.
Warum scheint das weniger gut?
In dem Moment, in dem jeder Nutzer seine eigene FritzBox hat, kann er so Dinge wie Telefonie/Anrufbeantworter, WLAN oder Heimautomatisierung (SmartHome) relativ simpel selbst managen. Sogar das integrierte NAS lässt sich nutzen, wenn einem der geringe Durchsatz denn reicht.
Die einzigen echten Nachteile dieser Lösung sind doch das doppelte NAT sowie die etwas höhere Komplexität, wobei ich zweiteres als vernachlässigbar betrachte. Ob ich nun für jeden Nutzer eine FritzBox oder einen Switch plus WLAN-AP betreibe, gibt sich ja nicht so viel.
Da ich das Ganze als Freundschaftsdienst erledigen werde, sehe ich den Vorteil, dass die (halbwegs Technik-affinen) Nutzer mich hinterher so gut wie nicht mehr brauchen.
Hi,
sollte "relativ" einfach und preiswert einzurichten sein:
1. Nimm einen 6-port (oder mehr) Router, z.B. Mikrotik RB2011xx oder RB3011.
2. Der Router wird dann das Perimeter Gateway bzw. Router.
3. weise z.B. Port 0 = WAN, Port 1 bis 5 = Lan1-5 zu, hier mußt du entscheiden wo du Gigabit Ethernet und/oder Fast Ethernet benötigst.
4. Jetzt mache z.B. folgende IP Zuweisungen.
- Port 1 = LAN 1 = 10.1.0.1/24
- Port 2 = LAN 2 = 10.2.0.1/24
...
- Port 10 = Management = 10.0.0.1/24
5. Richte DHCP für LAN1 bis LAN5 + Management ein.
6. Jetzt kommen ACLs / Firewallregeln (von oben nach unten, first rule matches)
- Erlaube TCP/80, TCP/443, TCP/22, 53/UDP, 123/UDP, ICMP von Management Net auf den Router (10.0.0.1).
- Erlaube 53/UDP, 123/UDP, ICMP von LAN1 Net auf 10.1.0.1, von LAN2 Net auf 10.2.0.1 etc. (ggf. werden auch die DHCP Ports benötigt, ausprobieren)
- Verbiete Alles nach 10.0.0.0/24
- Erlaube Alles nach 0.0.0.0/0
7A. Damit kann jede Person etliche Geräte direkt in ihrem Netz anschließen, ein eigener Router / Firewall wird nicht benötigt,
Zugang ins Internet ist vorhanden, Zugang zu den anderen Netzen und auf das Router Management ist nicht möglich.
Der Nachteil ist: der ausgehende Traffic kann nicht gefiltert werden, bzw. die Person kann es nicht selber einrichten ohne kompletten Zugang zum Router zu haben.
-
7B. Jeder Mitbewohner kann natürlich auch einen (NAT)Router bzw. Firewall anschließen und dann dahinter seine Geräte anschließen.
Dann gibt es doppeltes NAT, macht aber wahrscheinlich nichts.
-
7C. Es läßt sich aber auch "echtes Routing" zu einem Router pro Mitbewohner einrichten:
8. Erstelle Routen, jeder Mitbewohner soll ein /22 Netz (= z.B. 4x /24 Netze) erhalten.
Der Router / Firewall jedes Mitbewohners sei .254 z.B. 10.1.0.254 für LAN1
Route z.B. :
10.10.0.0/22 -> 10.1.0.254 (LAN1)
10.20.0.0/22 -> 10.2.0.254 (LAN2)
etc.
9. Erweitere die Firewall Regeln um die gerouteten Netze
wenn benötigt kannst du auch eingehendes OpenVPN auf jeden Router der einzelnen Mitbewohner einrichten:
auf der WAN Seite:
Port forward
- UDP+TCP/1195 -> 10.1.0.254 UDP+TCP/1194
- UDP+TCP/1196 -> 10.2.0.254 UDP+TCP/1194
- UDP+TCP/1197 -> 10.3.0.254 UDP+TCP/1194
etc.
Eingehendes (Initiator) IPsec VPN kann nur für einen Router (Perimeter Gateway oder 1xMitbewohner) eingerichtet werden.
Alles kein Zauberwerk
CH
sollte "relativ" einfach und preiswert einzurichten sein:
1. Nimm einen 6-port (oder mehr) Router, z.B. Mikrotik RB2011xx oder RB3011.
2. Der Router wird dann das Perimeter Gateway bzw. Router.
3. weise z.B. Port 0 = WAN, Port 1 bis 5 = Lan1-5 zu, hier mußt du entscheiden wo du Gigabit Ethernet und/oder Fast Ethernet benötigst.
4. Jetzt mache z.B. folgende IP Zuweisungen.
- Port 1 = LAN 1 = 10.1.0.1/24
- Port 2 = LAN 2 = 10.2.0.1/24
...
- Port 10 = Management = 10.0.0.1/24
5. Richte DHCP für LAN1 bis LAN5 + Management ein.
6. Jetzt kommen ACLs / Firewallregeln (von oben nach unten, first rule matches)
- Erlaube TCP/80, TCP/443, TCP/22, 53/UDP, 123/UDP, ICMP von Management Net auf den Router (10.0.0.1).
- Erlaube 53/UDP, 123/UDP, ICMP von LAN1 Net auf 10.1.0.1, von LAN2 Net auf 10.2.0.1 etc. (ggf. werden auch die DHCP Ports benötigt, ausprobieren)
- Verbiete Alles nach 10.0.0.0/24
- Erlaube Alles nach 0.0.0.0/0
7A. Damit kann jede Person etliche Geräte direkt in ihrem Netz anschließen, ein eigener Router / Firewall wird nicht benötigt,
Zugang ins Internet ist vorhanden, Zugang zu den anderen Netzen und auf das Router Management ist nicht möglich.
Der Nachteil ist: der ausgehende Traffic kann nicht gefiltert werden, bzw. die Person kann es nicht selber einrichten ohne kompletten Zugang zum Router zu haben.
-
7B. Jeder Mitbewohner kann natürlich auch einen (NAT)Router bzw. Firewall anschließen und dann dahinter seine Geräte anschließen.
Dann gibt es doppeltes NAT, macht aber wahrscheinlich nichts.
-
7C. Es läßt sich aber auch "echtes Routing" zu einem Router pro Mitbewohner einrichten:
8. Erstelle Routen, jeder Mitbewohner soll ein /22 Netz (= z.B. 4x /24 Netze) erhalten.
Der Router / Firewall jedes Mitbewohners sei .254 z.B. 10.1.0.254 für LAN1
Route z.B. :
10.10.0.0/22 -> 10.1.0.254 (LAN1)
10.20.0.0/22 -> 10.2.0.254 (LAN2)
etc.
9. Erweitere die Firewall Regeln um die gerouteten Netze
wenn benötigt kannst du auch eingehendes OpenVPN auf jeden Router der einzelnen Mitbewohner einrichten:
auf der WAN Seite:
Port forward
- UDP+TCP/1195 -> 10.1.0.254 UDP+TCP/1194
- UDP+TCP/1196 -> 10.2.0.254 UDP+TCP/1194
- UDP+TCP/1197 -> 10.3.0.254 UDP+TCP/1194
etc.
Eingehendes (Initiator) IPsec VPN kann nur für einen Router (Perimeter Gateway oder 1xMitbewohner) eingerichtet werden.
Alles kein Zauberwerk
CH
Hi erstmal.
Ich würde dir vorschlagen, hol einen Intel NuC oder ähnliches und installier da PfSense drauf. Dann legst du über Vlan 5 weitere (virtuelle) Netzwerkadapter fest. In einem Vlan-fähigen (bsp tp-link für 38€) dann die vlans 2-6 (für die weiteren Netze mit den FritzBoxen, in denen die Einstellung "im Netzwerk vorhandene Verbindung mitbenutzen" eingestellt ist.) Und Vlan 1 (meist als untagged bezeichnet) als Hauptverbindung ins Internet. DHCP übernimmt dann PfSense, den Rest wie VoIP, WLan machen die FritzBoxen. Damn stellst du beim PfSense noch ein, dass die Netze nicht miteinander quatschen dürfen und setzt noch ne NAT route nach draußen in das große weite Internet und fertig.
Ich würde dir vorschlagen, hol einen Intel NuC oder ähnliches und installier da PfSense drauf. Dann legst du über Vlan 5 weitere (virtuelle) Netzwerkadapter fest. In einem Vlan-fähigen (bsp tp-link für 38€) dann die vlans 2-6 (für die weiteren Netze mit den FritzBoxen, in denen die Einstellung "im Netzwerk vorhandene Verbindung mitbenutzen" eingestellt ist.) Und Vlan 1 (meist als untagged bezeichnet) als Hauptverbindung ins Internet. DHCP übernimmt dann PfSense, den Rest wie VoIP, WLan machen die FritzBoxen. Damn stellst du beim PfSense noch ein, dass die Netze nicht miteinander quatschen dürfen und setzt noch ne NAT route nach draußen in das große weite Internet und fertig.
Ein Anbieter mit einem kleinem öffentlichen /29 Subnet würde das Ganze sehr elegant lösen. Teilnehmer #1 hat die IP des PPPoE die vier Weiteren jeweils eine IP aus dem Subnet.
Man könnte mit fünf Fritzbox arbeiten, wobei die "Erste" eine Internationale dein sollte, wegen dem Subnet. FBxen gibt es ab 20 Euro.
Mikrotik oder Ubiquiti EdgeMax wäre ebenfalls denkbar. Günstig und funktionsreich.
Somit wäre Doppel-NAT und Portforwarding entschärft und kein Thema. VoIP ohne Gefrickel für jeden und Haftung sauber geklärt
Ich betreibe so ähnlich, diverse Projekte im Ferienwohnungsanlagen im Harz.
Man könnte mit fünf Fritzbox arbeiten, wobei die "Erste" eine Internationale dein sollte, wegen dem Subnet. FBxen gibt es ab 20 Euro.
Mikrotik oder Ubiquiti EdgeMax wäre ebenfalls denkbar. Günstig und funktionsreich.
Somit wäre Doppel-NAT und Portforwarding entschärft und kein Thema. VoIP ohne Gefrickel für jeden und Haftung sauber geklärt
Ich betreibe so ähnlich, diverse Projekte im Ferienwohnungsanlagen im Harz.
Hol dir einen wrt fähigen router ob nun openwrt oder ddwrt gargoyle sei dir überlassen. Ich hab einen Archer-c7 der kost keine 40€. Hat aber nur 4 eth ports also Achtung
Spann damit 5 WLANS auf 5 VLANS und fertig
Das mit den 5 Fritten ist humbug, was willste da denn einstellen mit doppeltem NAT. WLAN Name und passwort?
Ergo 1 Gerät wo bei fehler der stecker gezogen werden muss wenn mal was nicht geht, über portfreigabe muss man halt reden aber eine zusätzliche Fritte machts kein deut besser.
Und wer Geld zuviel hat kann dahinter immer noch ne Fritte mit eigenem WLAN betreiben. Wegen der Illusion von Sicherheit vesteht sich.
Für Telefonie kann man ja eine extra Fritte aufstellen da dann die Mediamarkt billig Gigasets per DECT dran, jedem ne eigene Nummer zuweisen und fertig.
Spann damit 5 WLANS auf 5 VLANS und fertig
Das mit den 5 Fritten ist humbug, was willste da denn einstellen mit doppeltem NAT. WLAN Name und passwort?
Ergo 1 Gerät wo bei fehler der stecker gezogen werden muss wenn mal was nicht geht, über portfreigabe muss man halt reden aber eine zusätzliche Fritte machts kein deut besser.
Und wer Geld zuviel hat kann dahinter immer noch ne Fritte mit eigenem WLAN betreiben. Wegen der Illusion von Sicherheit vesteht sich.
Für Telefonie kann man ja eine extra Fritte aufstellen da dann die Mediamarkt billig Gigasets per DECT dran, jedem ne eigene Nummer zuweisen und fertig.
Das Thema Segmentierung ist in den hiesigen Tutorials eigentlich en detail geklärt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie immer: Lesen und Verstehen !!!
Besonders auch die weiterführenden Links am Ende !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie immer: Lesen und Verstehen !!!
Besonders auch die weiterführenden Links am Ende !
1
Ich möchte nochmal allen danken, die hier sinnvolle Tipps gegeben haben.
Ich werde nun so verfahren, dass sich die einzelnen Nutzer aussuchen können, ob sie einen Plasterouter einsetzen und die Unwägbarkeiten des doppelten NAT in Kauf nehmen, oder sich bei der Konfiguration des eigenen Netzes lieber etwas beschränken wollen.
FritzBoxen z.B. lassen sich ja auch im Client-Modus betreiben, damit können dann wohl auch trotzdem alle wesentlichen Funktionen dargestellt werden, die man neben PPPoE und Routing sonst von so einem Gerät erwartet.
Was mir noch nicht ganz klar ist und wo ich noch einmal um Eure Einschätzung bitten möchte ist die Frage, wie es sich mit IPv6 verhält. Wenn ich im Unifi Controller verschiedene Netze anlege, setze ich IPv6 ja auf Prefix Delegation, damit die Geräte der einzelnen Nutzer in den verschiedenen Netzen im Internet nutzbare v6-Adressen erhalten.
Ist ein Security Gateway direkt von sich aus so "schlau" und verhindert der Zugriff der Netze untereinander über v6, oder muss ich das gezielt blockieren / grundsätzlich anders konfigurieren?
Danke noch einmal für Eure Antworten!
Ich werde nun so verfahren, dass sich die einzelnen Nutzer aussuchen können, ob sie einen Plasterouter einsetzen und die Unwägbarkeiten des doppelten NAT in Kauf nehmen, oder sich bei der Konfiguration des eigenen Netzes lieber etwas beschränken wollen.
FritzBoxen z.B. lassen sich ja auch im Client-Modus betreiben, damit können dann wohl auch trotzdem alle wesentlichen Funktionen dargestellt werden, die man neben PPPoE und Routing sonst von so einem Gerät erwartet.
Was mir noch nicht ganz klar ist und wo ich noch einmal um Eure Einschätzung bitten möchte ist die Frage, wie es sich mit IPv6 verhält. Wenn ich im Unifi Controller verschiedene Netze anlege, setze ich IPv6 ja auf Prefix Delegation, damit die Geräte der einzelnen Nutzer in den verschiedenen Netzen im Internet nutzbare v6-Adressen erhalten.
Ist ein Security Gateway direkt von sich aus so "schlau" und verhindert der Zugriff der Netze untereinander über v6, oder muss ich das gezielt blockieren / grundsätzlich anders konfigurieren?
Danke noch einmal für Eure Antworten!
FritzBoxen z.B. lassen sich ja auch im Client-Modus betreiben
Fragt sich WAS genau du mit dem Begriff Client Modus in Bezug auf einen Router wirklich meinst. Technisch ist das unverständlich, da es das in dem Umfeld gar nicht gibt. Es gibt mehrere Interpretations Ansätze:- Kein Router Mode sondern nur einfacher, dummer WLAN Access Point wie dann sicherlich besser fährt statt einen (teuren) Router als dummen AP zu vergewaltigen.
- xDSL Modem Bypass das man den WAN/Internet Port auf ein LAN Port im DHCP Client Mode durchschleift.
- Router als transparentes PPPoE Modem
- usw. usw.
wie es sich mit IPv6 verhält
Durch die Bank können heute alle aktuellen Geräte auch IPv6.Wenn ich im Unifi Controller verschiedene Netze anlege
Besser sich niemals in die Abhängigkeit eines externen Controllers begeben. Sowas ist immer kontraproduktiv. Besser sind APs die eine Controllerfunktion schon gleich mit an Bord haben wie z.B. der oben genannte Mikrotik AP.Ist ein Security Gateway direkt von sich aus so "schlau" und verhindert der Zugriff der Netze untereinander über v6,
Nein, natürlich nicht. Das sagt einem ja auch schon der gesunde Menschenverstand. Denk bitte mal selber etwas nach...!Prefix Delegation ist wie der Name schon selber sagt, rein eine Funktion zur v6 Adressverteilung. Hast du da irgendwas gelesen das es gleichzeitig auch eine Firewall Funktion hat oder eingebaute v6 Access Listen ?? Sicher nicht. Frage beantwortet...?!!
Eine Firewall oder Firewall Router ist also Pflicht hier bei v6. Auch das kann übrigens ein zentraler Mikrotik Router über seine Capsman Funktion alles in einem, OHNE separate Controller Hardware !
Wenn's das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen.
Ähm, nun ja...
"Client-Modus" bzw. "IP-Client" ist das Wording von AVM nicht meines. So nennt es sich, wenn eine FritzBox eben nicht als Router fungiert, sondern "nur" die ihr sonst möglichen Funktionen erfüllt (Telefonanlage, WLAN, NAS, Heimautomatisierung etc.).
Mir ist es letztendlich ja auch total egal, was die jeweiligen Nutzer in ihren Netzen dann für Hardware betreiben, darum geht es hier gar nicht.
Zum Unifi Controller: Kennst Du das System überhaupt? Irgendwie ergibt das, was Du dazu schreibst, nicht so viel Sinn. Um APs geht es ja auch gar nicht.
Auch was Du zu IPv6 in diesem Zusammenhang schreibst, wirkt irgendwie, als hättest Du meine Frage nicht verstanden bzw. kennst Ubiquiti Unifi überhaupt nicht (sorry).
Ist nicht böse gemeint, vielleicht habe ich mich ja auch nur nicht verständlich genug ausgedrückt.
"Client-Modus" bzw. "IP-Client" ist das Wording von AVM nicht meines. So nennt es sich, wenn eine FritzBox eben nicht als Router fungiert, sondern "nur" die ihr sonst möglichen Funktionen erfüllt (Telefonanlage, WLAN, NAS, Heimautomatisierung etc.).
Mir ist es letztendlich ja auch total egal, was die jeweiligen Nutzer in ihren Netzen dann für Hardware betreiben, darum geht es hier gar nicht.
Zum Unifi Controller: Kennst Du das System überhaupt? Irgendwie ergibt das, was Du dazu schreibst, nicht so viel Sinn. Um APs geht es ja auch gar nicht.
Auch was Du zu IPv6 in diesem Zusammenhang schreibst, wirkt irgendwie, als hättest Du meine Frage nicht verstanden bzw. kennst Ubiquiti Unifi überhaupt nicht (sorry).
Ist nicht böse gemeint, vielleicht habe ich mich ja auch nur nicht verständlich genug ausgedrückt.
Zum Unifi Controller: Kennst Du das System überhaupt?
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas bei kleinen oder mittleren WLAN Installationen. Jedenfalls wenn man über Netze mit nicht mehr als 20-30 APs redet. Das bei größeren WLANs mit AP Zahlen >30 ein Controller von Nöten ist steht außer Frage.vielleicht habe ich mich ja auch nur nicht verständlich genug ausgedrückt.
Ja, das ist vermutlich der Fall. War dann eher missverständlich, sorry für die dann vermutlich überflüssigen Antworten.Dennoch hat v6 Prefix Delegation nichts mit Netzwerk Security zu tun.
Zitat von @aqui:
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.
Falsch. Es ist ein System, in dem sich Netzwerke, VPN, Firewall-Regeln, WLANs und vieles mehr für *alle* Gerätetypen der Unifi-Serie einstellen lassen.
So ein Controller kann dedizierte Hardware sein (Cloud Key) oder auf nahezu beliebigen Geräten als Software installiert werden. Außerdem muss der Controller auch gar nicht dauerhaft laufen, wenn man auf Statistiken und WLAN-Gastportal verzichten kann. Man braucht ihn grundlegend nur zur Ersteinrichtung.
Das war dann wohl ein Versuch von "sicheres Auftreten bei totaler Ahnungslosigkeit"?
Zitat von @Datenreise:
Falsch. Es ist ein System, in dem sich Netzwerke, VPN, Firewall-Regeln, WLANs und vieles mehr für *alle* Gerätetypen der Unifi-Serie einstellen lassen.
So ein Controller kann dedizierte Hardware sein (Cloud Key) oder auf nahezu beliebigen Geräten als Software installiert werden. Außerdem muss der Controller auch gar nicht dauerhaft laufen, wenn man auf Statistiken und WLAN-Gastportal verzichten kann. Man braucht ihn grundlegend nur zur Ersteinrichtung.
Das war dann wohl ein Versuch von "sicheres Auftreten bei totaler Ahnungslosigkeit"?
Zitat von @aqui:
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.
Falsch. Es ist ein System, in dem sich Netzwerke, VPN, Firewall-Regeln, WLANs und vieles mehr für *alle* Gerätetypen der Unifi-Serie einstellen lassen.
So ein Controller kann dedizierte Hardware sein (Cloud Key) oder auf nahezu beliebigen Geräten als Software installiert werden. Außerdem muss der Controller auch gar nicht dauerhaft laufen, wenn man auf Statistiken und WLAN-Gastportal verzichten kann. Man braucht ihn grundlegend nur zur Ersteinrichtung.
Das war dann wohl ein Versuch von "sicheres Auftreten bei totaler Ahnungslosigkeit"?
Das System ist dennoch vollkommen überholt.
Kein vernünftiger Hersteller im Business Umfeld nutzt für kleine Installationen eine dedizierte Kontroll-Instanz. Daher ist aquis Ausage schon gerechtfertigt.
Einzig der Preis macht die Lösung noch irgend wo annehmbar.
Ja gut, ich bin da anderer Meinung und sehe jetzt auch nicht wirklich die Nachteile einer kostenlosen dedizierten Kontroll-Instanz.
Mag schon sein, dass dieses Forum Mikrotik bevorzugt, es hat ja eigentlich schon immer alles seine Vor- und Nachteile gehabt. Ubiquiti Hardware läuft meiner Erfahrung nach stabil, ist günstig und hat brauchbare Features.
Und wenn ich selbst gute Erfahrungen mit etwas machen konnte und mich zusätzlich noch einigermaßen mit dessen Einrichtung und Management auskenne, liegt glaube ich auf der Hand, dass ich es auch anderen empfehlen werde.
Ein back to topic wäre ganz schön, aber vermutlich muss ich meine abschließende Frage auch einfach mal bei Ubiquiti selbst stellen.
Mag schon sein, dass dieses Forum Mikrotik bevorzugt, es hat ja eigentlich schon immer alles seine Vor- und Nachteile gehabt. Ubiquiti Hardware läuft meiner Erfahrung nach stabil, ist günstig und hat brauchbare Features.
Und wenn ich selbst gute Erfahrungen mit etwas machen konnte und mich zusätzlich noch einigermaßen mit dessen Einrichtung und Management auskenne, liegt glaube ich auf der Hand, dass ich es auch anderen empfehlen werde.
Ein back to topic wäre ganz schön, aber vermutlich muss ich meine abschließende Frage auch einfach mal bei Ubiquiti selbst stellen.
Nun, als AP zuhause nutze ich auch einen AP-AC-Pro mit Kontroller usw.
Funktionieren tut das. Nur das Ding ist einfach klicki-bunti und an Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.
Funktionieren tut das. Nur das Ding ist einfach klicki-bunti und an Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.
Zitat von @Spirit-of-Eli:
[...]n Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.
[...]n Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.
Das verstehe ich gut. Ich bin allerdings selber nur in Netzwerken mit bis zu 100 Geräten unterwegs, daher kenne ich gar keine Enterprise-Features und vermisse sie auch nicht.
Man kann andersherum sagen, dass selbst das, was Unifi bietet, für viele kleine Firmen schon fast overkill ist.
Aber genau das ist ja auch Basisaufgabe einer guten Beratung, dass man der Situation (Anforderungen, Budget, Kompatibilität) angemessene Geräte und Lösungen findet.
Hat alles - wie schon erwähnt - Vor- und Nachteile.
Hatte mich jetzt mit Mikrotik ein wenig eingelesen, weil ich das bei mir zu Hause mal ausprobieren wollte. Und da stolpert man - im Vergleich zur Unifi - schnell über "poor Wifi-Perfomance", bzw. Reichweite, die die Nutzer bemängeln.
Aber als Router/Switch werde ich mir das System auf jeden Fall mal ins Netzwerk hängen.
Hatte mich jetzt mit Mikrotik ein wenig eingelesen, weil ich das bei mir zu Hause mal ausprobieren wollte. Und da stolpert man - im Vergleich zur Unifi - schnell über "poor Wifi-Perfomance", bzw. Reichweite, die die Nutzer bemängeln.
Aber als Router/Switch werde ich mir das System auf jeden Fall mal ins Netzwerk hängen.
