Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzsegmentierung in WG

Mitglied: Datenreise

Datenreise (Level 1) - Jetzt verbinden

11.10.2019, aktualisiert 17:09 Uhr, 1402 Aufrufe, 31 Kommentare, 3 Danke

Hallo Community,

eine befreundete WG mit fünf Personen möchte sich gerne einen Internetanschluss teilen, dabei soll aber trotzdem jede Person ihr eigenes, unabhängiges Netzwerk betreiben können.
Die Planung sieht jetzt ein zentrales Gateway vor, welches die Einwahl übernimmt und aus dem dann hinten mehrere VLANs herausfallen.

Auf Seiten der einzelnen Personen soll es Plasterouter geben (vermutlich FritzBoxen), der dann über das zentrale Gateway seine Internetverbindung erhält.
Dadurch entsteht natürlich ein doppeltes NAT, was nicht schön ist, sich aber vermutlich auch nicht vermeiden lässt (?).

Die "mitgelieferte" Telefonie des Internet-Anschlusses kann auf diesem Wege natürlich nicht genutzt werden, daher soll jeder Nutzer einen SIP-Account bei einem Drittanbieter erhalten.

Meine Frage nun: Mit welchen Einschränkungen muss bei diesem Szenario gerechnet werden?
Sehe ich es richtig, dass die VPN-Verbindung der FritzBoxen nur von einem der Teilnehmer genutzt werden kann, da ich die nötigen Portweiterleitungen im zentralen Gateway ja nur auf eine der nachgelagerten FritzBoxen schalten kann?

Danke für Input und Tipps!
31 Antworten
Der Kommentar von certifiedit.net wurde vom Moderator Frank am 14.10.19 ausgeblendet!
Der Kommentar von Datenreise wurde vom Moderator Frank am 14.10.19 ausgeblendet!
Mitglied: Spirit-of-Eli
11.10.2019 um 15:28 Uhr
Moin,

nimm einen vernünftigen Router/Firewall. Setzte dich mit VLans auseinander und die weiteren Router entfallen.

Dann noch ein Regelwerk das aus den Netzen nicht in die anderen gequatscht werden kann. Fertig ist die Geschichte.

Doppeltes NAT ist über haupt nicht erforderlich.

Gruß
Spirit
Bitte warten ..
Mitglied: Mikrofonpartner
11.10.2019 um 15:33 Uhr
Hallo

5 Leute in einer WG und 5 Netzwerke? Muss man nicht verstehen.

Kauf dir nen Router mit WLAN. Mach 5 Netze mit 5 SSIDs, die sich nicht sehen dürfen. Der Router macht für jedes Netz DHCP. Und dann eben irgendeinen Softphone-Client für das SIP-Gedöns.

VPN? Policy-Based-Routing.

https://www.lancom-systems.de/produkte/router-vpn-gateways/business-vpn- ...

Schönen Freitag noch

Gruß Mikro
Bitte warten ..
Der Kommentar von certifiedit.net wurde vom Moderator Frank am 14.10.19 ausgeblendet!
Mitglied: Datenreise
11.10.2019 um 15:40 Uhr
Ok, ich muss es vielleicht noch etwas genauer spezifizieren. Die einzelnen Nutzer wollen schon selbst gerne die Möglichkeit haben, Grundlegendes im eigenen Netz einzustellen (WLAN beispielsweise). Es soll an dieser Stelle eben so simpel wie möglich sein und möglichst selten Hilfe von außen benötigt werden, daher die Idee mit den Fritzboxen.

Ohne Router in der Unterverteilung brauche ich stattdessen für jeden Nutzer einen Switch plus AccessPoint und der Switch muss aus meiner Sicht VLAN-fähig sein.
Ich bin mir einfach gerade nicht sicher, wie "normal" sich alles für die Nutzer in Betrieb nehmen lässt ohne dass sie eine bekannte Umgebung mit einem Plasterouter vorfinden.
Bitte warten ..
Mitglied: erikro
11.10.2019 um 15:43 Uhr
Moin,

zu kompliziert. VLAN braucht man dann, wenn man über dem selben Draht verschiedene Netze betreiben will. Hier gehe ich aber mal davon aus, dass jeder Wohni sein eigenes Zimmer hat. Deshalb würde ich einfach einen Router kaufen, der fünf Netze plus WAN kann und gut ist. Dann gibt es kein doppeltes NAT und keinerlei Einschränkungen für die fünf in der Nutzung.

hth

Erik
Bitte warten ..
Mitglied: Datenreise
11.10.2019, aktualisiert um 15:56 Uhr
Danke schon mal an alle Poster mit sinnvollen und lösungsorientierten Beiträgen! (certified.net, dich habe ich mal gemeldet)
Schön, dass es hier so schnell zu zahlreichen Antworten kommt.

Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.

Einfach nur über einen WLAN-Router verschiedene WLANs für die einzelnen Nutzer aufzuspannen, fällt vollständig raus, denn zum einen wird die zentrale Netzwerk-Technik im Keller vorgehalten und ist damit strahlungstechnisch gut abgeschirmt. Zum anderen es in den Netzen der Nutzer natürlich möglich sein, auch kabelgebundene Geräte in Betrieb zu nehmen.
Zu den einzelnen Nutzern gibt es übrigens leider nur genau einen einzigen Patchport vom Keller aus, was das Ganze nicht einfacher macht...
Bitte warten ..
Mitglied: erikro
11.10.2019 um 15:54 Uhr
Moin,

Zitat von Datenreise:
Ok, ich muss es vielleicht noch etwas genauer spezifizieren. Die einzelnen Nutzer wollen schon selbst gerne die Möglichkeit haben, Grundlegendes im eigenen Netz einzustellen (WLAN beispielsweise).

Ja und? Wo ist das Problem, wenn sie einen Switch oder besser noch einfach eine Dose in der Wand haben, in die sie das Gerät einstecken können? Einfacher geht's nicht.

Es soll an dieser Stelle eben so simpel wie möglich sein und möglichst selten Hilfe von außen benötigt werden, daher die Idee mit den Fritzboxen.

Naja, die würde ich nicht unbedingt als für Laien einfach bezeichnen.

Ohne Router in der Unterverteilung brauche ich stattdessen für jeden Nutzer einen Switch plus AccessPoint und der Switch muss aus meiner Sicht VLAN-fähig sein.

Nein, muss er nicht. Kann der Router mehrere Netze auf verschiedenen Ports, dann muss dahinter kein VLAN sein. Die Zuordnung ist ja schon eindeutig auf Grund des Ports, in dem der Switch steckt. Außerdem brauchst Du den ja sowieso. Ob der nun in der Fritte steckt oder ein eigenes Gerät ist, ändert nichts daran. Das Gleiche gilt für den AP.

Ich bin mir einfach gerade nicht sicher, wie "normal" sich alles für die Nutzer in Betrieb nehmen lässt ohne dass sie eine bekannte Umgebung mit einem Plasterouter vorfinden.

Wie gesagt: Richtig gemacht ist die größte Schwierigkeit für den Endanwender die Eingabe des WLAN-Keys. Ansonsten reinstecken, geht.

hth

Erik
Bitte warten ..
Der Kommentar von certifiedit.net wurde vom Moderator Frank am 14.10.19 ausgeblendet!
Mitglied: Datenreise
11.10.2019 um 16:00 Uhr
Zitat von erikro:

Naja, die würde ich nicht unbedingt als für Laien einfach bezeichnen.

Naja, ich weiß zumindest, dass die Personen, die sie an dieser Stelle nutzen würden, damit grundlegend zurecht kommen.


Nein, muss er nicht. Kann der Router mehrere Netze auf verschiedenen Ports, dann muss dahinter kein VLAN sein. Die Zuordnung ist ja schon eindeutig auf Grund des Ports, in dem der Switch steckt. Außerdem brauchst Du den ja sowieso. Ob der nun in der Fritte steckt oder ein eigenes Gerät ist, ändert nichts daran. Das Gleiche gilt für den AP.

Da hast Du Recht, aber wenn das bislang angedachte Ubiquiti USG-Pro-4 zum Einsatz kommt, hat es leider nur zwei LAN-Ports - VLAN also nötig.
Bitte warten ..
Mitglied: erikro
11.10.2019 um 16:06 Uhr
Moin,

Zitat von Datenreise:
Was ich noch einmal betonen möchte: Die einzelnen Nutzer wollen volle Kontrolle über das Netzwerk in ihren jeweiligen Räumlichkeiten. Dass alles zentral konfiguriert wird, ist also ausgeschlossen.

Was heißt volle Kontrolle? Das, was zentral konfiguriert werden muss, ist bei allen Lösungen mehr oder weniger gleich: Ein zentraler Router mit integriertem Modem, der auf die verschiedenen Netze verteilt. Ob der nun an seinen fünf Ports fünf Fritten hängern hat, die dann jeweils per NAT ein eigenes Netz aufspannen oder ob er selbst diese fünf Netze bedient, ist m. E. dabei, was die Kontrolle der Netze angeht, ziemlich egal.

Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.

Warum scheint das weniger gut?

Zu den einzelnen Nutzern gibt es übrigens leider nur genau einen einzigen Patchport vom Keller aus, was das Ganze nicht einfacher macht...

Das ist doch vollkommen egal, ob die Switches im Keller oder auf der Bude der Wohnis montiert werden. Die Fehlersuche wird eher einfacher, wenn ich ein Netz durch Ziehen eines Steckers abkoppeln kann.

Übrigens spricht noch etwas gegen die sechs Router (zentraler plus fünf Fritten). Das sind dann sechs potentielle Fehlerquellen. Hast Du nur einen zentralen, dann ist das auch nur eine Fehlerquelle. Und wenn Du auch noch fünf Wohnis hast, die die Hoheit über ihre jeweilige Fritte haben, dann hast Du auch gleich fünf Möglichkeiten, dass einer das ganze Netz kaputtspielt, weil er mal was an der Fritte ausprobieren wollte.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: erikro
11.10.2019 um 16:15 Uhr
Zitat von Datenreise:
Da hast Du Recht, aber wenn das bislang angedachte Ubiquiti USG-Pro-4 zum Einsatz kommt, hat es leider nur zwei LAN-Ports - VLAN also nötig.

Es gibt doch von Ubiquiti auch Router mit mehr als zwei LAN-Ports, die jeweils ein eigenes Netz bedienen können? Oder irre ich mich da?
Bitte warten ..
Mitglied: Datenreise
11.10.2019 um 17:09 Uhr
Ja, Du hast Recht, aus der "Edge"-Serie gibt es da etwas, danke!
Bei Unifi gibt's da leider nichts. Ich habe keine Erfahrung mit den Edge-Geräten, aber das werde ich mir dann nochmal genauer ansehen.
Bitte warten ..
Mitglied: Visucius
11.10.2019, aktualisiert um 17:32 Uhr
Das USG ist mMn. dafür nicht das richtige.

a) Ist das (nur) ein security-gateway - der übliche Switch hängt da eigentlich erst dahinter (und davor das Modem)
b) macht das nur Sinn, wenn Du mehrere Netzwerkkomponenten von UBNT gemeinsam verwalten willst. Aber hier ist hinter dem Router ja eh alles "in Eigenverantwortung" der WGs
c) wegen b) benötigst Du einen extra Controller - alleine für einen USG.

Du benötigst doch "nur" einen Router mit getrennten IP-Bereichen für jeden der 4 Ports?! VLan ist da ja schon "Hifi"
Ich würde da - je nachdem, was die dahinterklemmen - vermutlich sogar die Firewall im Gerät deaktivieren, sonst melden die sich bei Dir, wenn irgendwas ihrer HW/SW nicht durch den Router geht. Weil kein Verkehr zwischen den Ports verläuft, ist das leistungsmäßig doch wenig herausfordernd?! Deine Idee mit den Fritzen in den Zimmern ist doch nicht übel?! Mich würde eher der 4 fache "Wlan-Smog" auf so engem Raum nerven.

Wenn Du bei dem Hersteller bleiben willst würde ich mir die Edge-Router ansehen. Microtik wird hier auch immer mal gerne empfohlen.

VG
Bitte warten ..
Mitglied: Visucius
11.10.2019, aktualisiert um 17:56 Uhr
Die Unifi-Elemente sind für sich genommen "doof". Die Steuerung erfolgt über einen Controller (ca. 80 EUR extra), der die Komponenten und deren Konfiguration über eine gemeinsame Website zusammenführt. Das kann charmant sein, heißt aber auch, dass die Verknüpfung selbst nach jedem Update noch sauber funktionieren muss. Und speziell in Deinem Fall machst Du aus 1 (+Modem) notwendigen Komponente > 2 (+Modem), die nach allen Updates noch zusammenarbeiten müssen ... und für die Du einen Netzwerkport und Strom benötigst

Die Edge-Geräte sind eher wie bei anderen Herstellern. Jedes für sich, sozusagen.
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
Bitte warten ..
Mitglied: Visucius
11.10.2019 um 18:26 Uhr
da irrst Du

Das Unifi-Netzwerk besteht aus Modem - USG - Switch - Controller

Die Routerfunktionalität teilt sich USG und Switch - den Controller benötigst Du um das anzusteuern.
Bitte warten ..
Mitglied: Datenreise
11.10.2019 um 18:32 Uhr
Äh - ja, danke für die Infos, ich bin allerdings mit Unifi durchaus sehr vertraut, benutze es privat und habe es auch schon für verschiedene Kunden in kleineren und etwas größeren Netzwerken im Einsatz.
Dass der Unterschied zu "EDGE" die fehlende zentrale Verwaltung ist, ist mir ebenfalls klar.

Es würde mich freuen, wenn noch jemand eine Einschätzung zu meiner eigentlichen Fragen geben würde, nämlich was durch ein doppeltes NAT hindurch alles nicht läuft. VoIP-Telefonie klappt, das habe ich schon selbst testen können.
Bitte warten ..
Mitglied: Datenreise
11.10.2019 um 18:41 Uhr
Zitat von erikro:
Zitat von Datenreise:
Aus genau diesem Grund sieht die bisherige Planung ein doppeltes NAT durch separate "Unter-"Router vor, wobei ich nicht behaupte, dass diese Lösung optimal ist, nur schien alles andere bislang noch etwas weniger gut.

Warum scheint das weniger gut?

In dem Moment, in dem jeder Nutzer seine eigene FritzBox hat, kann er so Dinge wie Telefonie/Anrufbeantworter, WLAN oder Heimautomatisierung (SmartHome) relativ simpel selbst managen. Sogar das integrierte NAS lässt sich nutzen, wenn einem der geringe Durchsatz denn reicht.

Die einzigen echten Nachteile dieser Lösung sind doch das doppelte NAT sowie die etwas höhere Komplexität, wobei ich zweiteres als vernachlässigbar betrachte. Ob ich nun für jeden Nutzer eine FritzBox oder einen Switch plus WLAN-AP betreibe, gibt sich ja nicht so viel.

Da ich das Ganze als Freundschaftsdienst erledigen werde, sehe ich den Vorteil, dass die (halbwegs Technik-affinen) Nutzer mich hinterher so gut wie nicht mehr brauchen.
Bitte warten ..
Mitglied: ChriBo
11.10.2019 um 21:00 Uhr
Hi,
sollte "relativ" einfach und preiswert einzurichten sein:
1. Nimm einen 6-port (oder mehr) Router, z.B. Mikrotik RB2011xx oder RB3011.
2. Der Router wird dann das Perimeter Gateway bzw. Router.
3. weise z.B. Port 0 = WAN, Port 1 bis 5 = Lan1-5 zu, hier mußt du entscheiden wo du Gigabit Ethernet und/oder Fast Ethernet benötigst.
4. Jetzt mache z.B. folgende IP Zuweisungen.
- Port 1 = LAN 1 = 10.1.0.1/24
- Port 2 = LAN 2 = 10.2.0.1/24
...
- Port 10 = Management = 10.0.0.1/24
5. Richte DHCP für LAN1 bis LAN5 + Management ein.
6. Jetzt kommen ACLs / Firewallregeln (von oben nach unten, first rule matches)
- Erlaube TCP/80, TCP/443, TCP/22, 53/UDP, 123/UDP, ICMP von Management Net auf den Router (10.0.0.1).
- Erlaube 53/UDP, 123/UDP, ICMP von LAN1 Net auf 10.1.0.1, von LAN2 Net auf 10.2.0.1 etc. (ggf. werden auch die DHCP Ports benötigt, ausprobieren)
- Verbiete Alles nach 10.0.0.0/24
- Erlaube Alles nach 0.0.0.0/0
7A. Damit kann jede Person etliche Geräte direkt in ihrem Netz anschließen, ein eigener Router / Firewall wird nicht benötigt,
Zugang ins Internet ist vorhanden, Zugang zu den anderen Netzen und auf das Router Management ist nicht möglich.
Der Nachteil ist: der ausgehende Traffic kann nicht gefiltert werden, bzw. die Person kann es nicht selber einrichten ohne kompletten Zugang zum Router zu haben.
-
7B. Jeder Mitbewohner kann natürlich auch einen (NAT)Router bzw. Firewall anschließen und dann dahinter seine Geräte anschließen.
Dann gibt es doppeltes NAT, macht aber wahrscheinlich nichts.
-
7C. Es läßt sich aber auch "echtes Routing" zu einem Router pro Mitbewohner einrichten:
8. Erstelle Routen, jeder Mitbewohner soll ein /22 Netz (= z.B. 4x /24 Netze) erhalten.
Der Router / Firewall jedes Mitbewohners sei .254 z.B. 10.1.0.254 für LAN1
Route z.B. :
10.10.0.0/22 -> 10.1.0.254 (LAN1)
10.20.0.0/22 -> 10.2.0.254 (LAN2)
etc.
9. Erweitere die Firewall Regeln um die gerouteten Netze
wenn benötigt kannst du auch eingehendes OpenVPN auf jeden Router der einzelnen Mitbewohner einrichten:
auf der WAN Seite:
Port forward
- UDP+TCP/1195 -> 10.1.0.254 UDP+TCP/1194
- UDP+TCP/1196 -> 10.2.0.254 UDP+TCP/1194
- UDP+TCP/1197 -> 10.3.0.254 UDP+TCP/1194
etc.

Eingehendes (Initiator) IPsec VPN kann nur für einen Router (Perimeter Gateway oder 1xMitbewohner) eingerichtet werden.

Alles kein Zauberwerk

CH
Bitte warten ..
Mitglied: Angryjoshi
11.10.2019 um 22:48 Uhr
Hi erstmal.

Ich würde dir vorschlagen, hol einen Intel NuC oder ähnliches und installier da PfSense drauf. Dann legst du über Vlan 5 weitere (virtuelle) Netzwerkadapter fest. In einem Vlan-fähigen (bsp tp-link für 38€) dann die vlans 2-6 (für die weiteren Netze mit den FritzBoxen, in denen die Einstellung "im Netzwerk vorhandene Verbindung mitbenutzen" eingestellt ist.) Und Vlan 1 (meist als untagged bezeichnet) als Hauptverbindung ins Internet. DHCP übernimmt dann PfSense, den Rest wie VoIP, WLan machen die FritzBoxen. Damn stellst du beim PfSense noch ein, dass die Netze nicht miteinander quatschen dürfen und setzt noch ne NAT route nach draußen in das große weite Internet und fertig.
Bitte warten ..
Mitglied: wiggumm
12.10.2019, aktualisiert um 11:23 Uhr
Ein Anbieter mit einem kleinem öffentlichen /29 Subnet würde das Ganze sehr elegant lösen. Teilnehmer #1 hat die IP des PPPoE die vier Weiteren jeweils eine IP aus dem Subnet.

Man könnte mit fünf Fritzbox arbeiten, wobei die "Erste" eine Internationale dein sollte, wegen dem Subnet. FBxen gibt es ab 20 Euro.

Mikrotik oder Ubiquiti EdgeMax wäre ebenfalls denkbar. Günstig und funktionsreich.

Somit wäre Doppel-NAT und Portforwarding entschärft und kein Thema. VoIP ohne Gefrickel für jeden und Haftung sauber geklärt

Ich betreibe so ähnlich, diverse Projekte im Ferienwohnungsanlagen im Harz.
Bitte warten ..
Mitglied: Phil2Sat
12.10.2019, aktualisiert um 11:22 Uhr
Hol dir einen wrt fähigen router ob nun openwrt oder ddwrt gargoyle sei dir überlassen. Ich hab einen Archer-c7 der kost keine 40€. Hat aber nur 4 eth ports also Achtung

Spann damit 5 WLANS auf 5 VLANS und fertig

Das mit den 5 Fritten ist humbug, was willste da denn einstellen mit doppeltem NAT. WLAN Name und passwort?

Ergo 1 Gerät wo bei fehler der stecker gezogen werden muss wenn mal was nicht geht, über portfreigabe muss man halt reden aber eine zusätzliche Fritte machts kein deut besser.

Und wer Geld zuviel hat kann dahinter immer noch ne Fritte mit eigenem WLAN betreiben. Wegen der Illusion von Sicherheit vesteht sich.

Für Telefonie kann man ja eine extra Fritte aufstellen da dann die Mediamarkt billig Gigasets per DECT dran, jedem ne eigene Nummer zuweisen und fertig.
Bitte warten ..
Mitglied: aqui
12.10.2019, aktualisiert um 11:38 Uhr
Das Thema Segmentierung ist in den hiesigen Tutorials eigentlich en detail geklärt:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Wie immer: Lesen und Verstehen !!!
Besonders auch die weiterführenden Links am Ende !
Bitte warten ..
Mitglied: Datenreise
17.10.2019 um 17:44 Uhr
Ich möchte nochmal allen danken, die hier sinnvolle Tipps gegeben haben.
Ich werde nun so verfahren, dass sich die einzelnen Nutzer aussuchen können, ob sie einen Plasterouter einsetzen und die Unwägbarkeiten des doppelten NAT in Kauf nehmen, oder sich bei der Konfiguration des eigenen Netzes lieber etwas beschränken wollen.

FritzBoxen z.B. lassen sich ja auch im Client-Modus betreiben, damit können dann wohl auch trotzdem alle wesentlichen Funktionen dargestellt werden, die man neben PPPoE und Routing sonst von so einem Gerät erwartet.

Was mir noch nicht ganz klar ist und wo ich noch einmal um Eure Einschätzung bitten möchte ist die Frage, wie es sich mit IPv6 verhält. Wenn ich im Unifi Controller verschiedene Netze anlege, setze ich IPv6 ja auf Prefix Delegation, damit die Geräte der einzelnen Nutzer in den verschiedenen Netzen im Internet nutzbare v6-Adressen erhalten.
Ist ein Security Gateway direkt von sich aus so "schlau" und verhindert der Zugriff der Netze untereinander über v6, oder muss ich das gezielt blockieren / grundsätzlich anders konfigurieren?

Danke noch einmal für Eure Antworten!
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 18:00 Uhr
FritzBoxen z.B. lassen sich ja auch im Client-Modus betreiben
Fragt sich WAS genau du mit dem Begriff Client Modus in Bezug auf einen Router wirklich meinst. Technisch ist das unverständlich, da es das in dem Umfeld gar nicht gibt. Es gibt mehrere Interpretations Ansätze:
  • Kein Router Mode sondern nur einfacher, dummer WLAN Access Point wie hier beschrieben. Wobei man in diesem Design mit einem simplen 25_Euro_WLAN_AP dann sicherlich besser fährt statt einen (teuren) Router als dummen AP zu vergewaltigen.
  • xDSL Modem Bypass das man den WAN/Internet Port auf ein LAN Port im DHCP Client Mode durchschleift.
  • Router als transparentes PPPoE Modem
  • usw. usw.
Da kann man jetzt frei raten was mit Client gemeint ist
wie es sich mit IPv6 verhält
Durch die Bank können heute alle aktuellen Geräte auch IPv6.
Wenn ich im Unifi Controller verschiedene Netze anlege
Besser sich niemals in die Abhängigkeit eines externen Controllers begeben. Sowas ist immer kontraproduktiv. Besser sind APs die eine Controllerfunktion schon gleich mit an Bord haben wie z.B. der oben genannte Mikrotik AP.
Ist ein Security Gateway direkt von sich aus so "schlau" und verhindert der Zugriff der Netze untereinander über v6,
Nein, natürlich nicht. Das sagt einem ja auch schon der gesunde Menschenverstand. Denk bitte mal selber etwas nach...!
Prefix Delegation ist wie der Name schon selber sagt, rein eine Funktion zur v6 Adressverteilung. Hast du da irgendwas gelesen das es gleichzeitig auch eine Firewall Funktion hat oder eingebaute v6 Access Listen ?? Sicher nicht. Frage beantwortet...?!!
Eine Firewall oder Firewall Router ist also Pflicht hier bei v6. Auch das kann übrigens ein zentraler Mikrotik Router über seine Capsman Funktion alles in einem, OHNE separate Controller Hardware !

Wenn's das denn war bitte dann auch
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Datenreise
17.10.2019 um 18:16 Uhr
Ähm, nun ja...

"Client-Modus" bzw. "IP-Client" ist das Wording von AVM nicht meines. So nennt es sich, wenn eine FritzBox eben nicht als Router fungiert, sondern "nur" die ihr sonst möglichen Funktionen erfüllt (Telefonanlage, WLAN, NAS, Heimautomatisierung etc.).

Mir ist es letztendlich ja auch total egal, was die jeweiligen Nutzer in ihren Netzen dann für Hardware betreiben, darum geht es hier gar nicht.

Zum Unifi Controller: Kennst Du das System überhaupt? Irgendwie ergibt das, was Du dazu schreibst, nicht so viel Sinn. Um APs geht es ja auch gar nicht.

Auch was Du zu IPv6 in diesem Zusammenhang schreibst, wirkt irgendwie, als hättest Du meine Frage nicht verstanden bzw. kennst Ubiquiti Unifi überhaupt nicht (sorry).
Ist nicht böse gemeint, vielleicht habe ich mich ja auch nur nicht verständlich genug ausgedrückt.
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 18:23 Uhr
Zum Unifi Controller: Kennst Du das System überhaupt?
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas bei kleinen oder mittleren WLAN Installationen. Jedenfalls wenn man über Netze mit nicht mehr als 20-30 APs redet. Das bei größeren WLANs mit AP Zahlen >30 ein Controller von Nöten ist steht außer Frage.
vielleicht habe ich mich ja auch nur nicht verständlich genug ausgedrückt.
Ja, das ist vermutlich der Fall. War dann eher missverständlich, sorry für die dann vermutlich überflüssigen Antworten.
Dennoch hat v6 Prefix Delegation nichts mit Netzwerk Security zu tun.
Bitte warten ..
Mitglied: Datenreise
17.10.2019, aktualisiert um 18:26 Uhr
Zitat von aqui:
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.

Falsch. Es ist ein System, in dem sich Netzwerke, VPN, Firewall-Regeln, WLANs und vieles mehr für *alle* Gerätetypen der Unifi-Serie einstellen lassen.
So ein Controller kann dedizierte Hardware sein (Cloud Key) oder auf nahezu beliebigen Geräten als Software installiert werden. Außerdem muss der Controller auch gar nicht dauerhaft laufen, wenn man auf Statistiken und WLAN-Gastportal verzichten kann. Man braucht ihn grundlegend nur zur Ersteinrichtung.

Das war dann wohl ein Versuch von "sicheres Auftreten bei totaler Ahnungslosigkeit"?
Bitte warten ..
Mitglied: Spirit-of-Eli
17.10.2019 um 18:32 Uhr
Zitat von Datenreise:

Zitat von aqui:
Ja, ein überflüssiger, externer WLAN AP Controller. Ist heutzutage überholte Technik sowas.

Falsch. Es ist ein System, in dem sich Netzwerke, VPN, Firewall-Regeln, WLANs und vieles mehr für *alle* Gerätetypen der Unifi-Serie einstellen lassen.
So ein Controller kann dedizierte Hardware sein (Cloud Key) oder auf nahezu beliebigen Geräten als Software installiert werden. Außerdem muss der Controller auch gar nicht dauerhaft laufen, wenn man auf Statistiken und WLAN-Gastportal verzichten kann. Man braucht ihn grundlegend nur zur Ersteinrichtung.

Das war dann wohl ein Versuch von "sicheres Auftreten bei totaler Ahnungslosigkeit"?

Das System ist dennoch vollkommen überholt.
Kein vernünftiger Hersteller im Business Umfeld nutzt für kleine Installationen eine dedizierte Kontroll-Instanz. Daher ist aquis Ausage schon gerechtfertigt.

Einzig der Preis macht die Lösung noch irgend wo annehmbar.
Bitte warten ..
Mitglied: Datenreise
17.10.2019 um 19:05 Uhr
Ja gut, ich bin da anderer Meinung und sehe jetzt auch nicht wirklich die Nachteile einer kostenlosen dedizierten Kontroll-Instanz.
Mag schon sein, dass dieses Forum Mikrotik bevorzugt, es hat ja eigentlich schon immer alles seine Vor- und Nachteile gehabt. Ubiquiti Hardware läuft meiner Erfahrung nach stabil, ist günstig und hat brauchbare Features.
Und wenn ich selbst gute Erfahrungen mit etwas machen konnte und mich zusätzlich noch einigermaßen mit dessen Einrichtung und Management auskenne, liegt glaube ich auf der Hand, dass ich es auch anderen empfehlen werde.

Ein back to topic wäre ganz schön, aber vermutlich muss ich meine abschließende Frage auch einfach mal bei Ubiquiti selbst stellen.
Bitte warten ..
Mitglied: Spirit-of-Eli
17.10.2019 um 19:10 Uhr
Nun, als AP zuhause nutze ich auch einen AP-AC-Pro mit Kontroller usw.
Funktionieren tut das. Nur das Ding ist einfach klicki-bunti und an Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.
Bitte warten ..
Mitglied: Datenreise
17.10.2019 um 19:36 Uhr
Zitat von Spirit-of-Eli:
[...]n Enterprise Features gewöhnt man sich bekanntlich schnell. Die vermisse ich oder sind homeopatisch eingebaut.

Das verstehe ich gut. Ich bin allerdings selber nur in Netzwerken mit bis zu 100 Geräten unterwegs, daher kenne ich gar keine Enterprise-Features und vermisse sie auch nicht.
Man kann andersherum sagen, dass selbst das, was Unifi bietet, für viele kleine Firmen schon fast overkill ist.

Aber genau das ist ja auch Basisaufgabe einer guten Beratung, dass man der Situation (Anforderungen, Budget, Kompatibilität) angemessene Geräte und Lösungen findet.
Bitte warten ..
Mitglied: Visucius
18.10.2019 um 09:03 Uhr
Hat alles - wie schon erwähnt - Vor- und Nachteile.

Hatte mich jetzt mit Mikrotik ein wenig eingelesen, weil ich das bei mir zu Hause mal ausprobieren wollte. Und da stolpert man - im Vergleich zur Unifi - schnell über "poor Wifi-Perfomance", bzw. Reichweite, die die Nutzer bemängeln.

Aber als Router/Switch werde ich mir das System auf jeden Fall mal ins Netzwerk hängen.
Bitte warten ..
Ähnliche Inhalte
Backup

BackupExec Job schlägt wg. Credentials fehl

Frage von smartinoBackup13 Kommentare

Hallo zusammen, ich habe hier eine ziemlich alte BackupExec 2010 R3 Installation, die ich übernommen habe. Bedauerlicher Weise sind ...

Cloud-Dienste

Benötige Azure Promocode wg neuem Job

gelöst Frage von haifisch1896Cloud-Dienste9 Kommentare

Hi zusammen, ich würde mich gerne für einen neuen Job weiterbilden, bei welchem intensiv Azure genutzt wird, welches ich ...

Hyper-V

Umstellung "direct disk" auf "virtuell" wg. Backup

Frage von mabiesHyper-V4 Kommentare

Hallo, habe an unserer Fileserver-VM (alles SRV16) bei der Einrichtung ein Päarchen im RAID1-Verbund laufende HD als 'direct attached' ...

Windows 10

Windows 10-Aktivierung futsch wg. Boardtausch - was tun?

gelöst Frage von departure69Windows 109 Kommentare

Hallo. Ein externer Dienstleister hat bei uns einen Intel NUC getauscht, weil der vorhandene defekt war (Audiochip funktionierte nicht). ...

Neue Wissensbeiträge
Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 6 StundenGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 7 StundenDatenschutz8 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Entwicklung

Neu im TickX - Das neue Zusatzmodul Resourcen Syncronization

Tipp von TickXmedia-service vor 10 StundenEntwicklung1 Kommentar

Mit der aktuellen TickX Version 3.2 haben wir wieder zahlreiche Verbesserungen und Anpassungen im TickX vorgenommen. Das neue TickX-Modul ...

MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aqui vor 4 TagenMikroTik RouterOS2 Kommentare

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Heiß diskutierte Inhalte
Ubuntu
Linux Ubuntu VNC IP
Frage von 141835Ubuntu61 Kommentare

Wie finde ich bei Linux Ubuntu die IP-Adresse vom VNC Server heraus???

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Hyper-V
Hyper-V-Host rebootet - einige wenige Gäste haben danach Ping-Zeiten von über 400ms!
Frage von DerWoWussteHyper-V20 Kommentare

Moin an alle Hyper-V Admins! Hat jemand außer mir schon einmal Folgendes erlebt? Hyper-V auf Server 2019. Server startet ...

Windows Installation
Netzwerkregistrierung mit regsvr32 über UNC Netzwerkpfad ohne Fehlermeldung gescheitert
Frage von RycoDePsycoWindows Installation18 Kommentare

Hallo, ich habe ein Problem und weiß nicht genau woran dies liegen kann. Es gibt ein Server (DomänenController) und ...