20
Netzwerk Bauvorschlag für 2024
Hallo,
ich bin neu hier und finde die Seite super und frage mich warum mir diese bislang nie aufgefallen ist
Ich habe folgendes Tutorial von aqui gelesen und möchte das gerne nachbauen Tutorial.
Dabei habe ich zwei Fragen.
1. Was für ein Gerät von ubiquity soll ich mir für den Nachbau des einen Netzwerkteils (privates LAN) zurzeit kaufen?
2. Was für ein Gerät von ubiquity soll ich mir für den Nachbau des anderen Netzwerkteils (gast W-LAN) zurzeit kaufen?
Danke und frohe Weihnachten Dom
ich bin neu hier und finde die Seite super und frage mich warum mir diese bislang nie aufgefallen ist
Ich habe folgendes Tutorial von aqui gelesen und möchte das gerne nachbauen Tutorial.
Dabei habe ich zwei Fragen.
1. Was für ein Gerät von ubiquity soll ich mir für den Nachbau des einen Netzwerkteils (privates LAN) zurzeit kaufen?
2. Was für ein Gerät von ubiquity soll ich mir für den Nachbau des anderen Netzwerkteils (gast W-LAN) zurzeit kaufen?
Danke und frohe Weihnachten Dom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71888166106
Url: https://administrator.de/contentid/71888166106
Printed on: May 13, 2024 at 14:05 o'clock
20 Comments
Latest comment
Hallo,
meine Frage zu deinen Fragen währe: "Warum 2 Fragen bzw. Zwei Geräte"
Zudem kennen wir deine Anforderungen im Detail nicht somit wie sollen wir dir Helfen.
Du könntest genau so gut fragen welches Auto ihr mir empfehlen könnt, ein rotes oder grünes.
meine Frage zu deinen Fragen währe: "Warum 2 Fragen bzw. Zwei Geräte"
Zudem kennen wir deine Anforderungen im Detail nicht somit wie sollen wir dir Helfen.
Du könntest genau so gut fragen welches Auto ihr mir empfehlen könnt, ein rotes oder grünes.
Moinsen,
wie oben schon allgemein gefragt: Anspruch? Wunsch? Netzwerkgröße? usw...
Welche Geräteklasse suchst du denn? Switch? Router? Im verlinkten Artikel geht es ja eher um den Aufbau einer Firewall, unifi liefert da ja eher fertige Geräte...
Je genauer du die Fragen / das Problem / das Vorhaben hier schilderst, desto weniger doofe Nachfragen ;)
Soll es denn unbedingt unifi / ubitqiti sein? Kommt auch was anderes in Frage (opn/pfsense zB)?
Wenn du LAN und Gast-LAN willst: idR geht das über ein Gerät, bei WLAN dann eben schauen, ob hier zwei (mindestens) SSIDs bedient werden.
wie oben schon allgemein gefragt: Anspruch? Wunsch? Netzwerkgröße? usw...
Welche Geräteklasse suchst du denn? Switch? Router? Im verlinkten Artikel geht es ja eher um den Aufbau einer Firewall, unifi liefert da ja eher fertige Geräte...
Je genauer du die Fragen / das Problem / das Vorhaben hier schilderst, desto weniger doofe Nachfragen ;)
Soll es denn unbedingt unifi / ubitqiti sein? Kommt auch was anderes in Frage (opn/pfsense zB)?
Wenn du LAN und Gast-LAN willst: idR geht das über ein Gerät, bei WLAN dann eben schauen, ob hier zwei (mindestens) SSIDs bedient werden.
Ah ja ok, stimmt 😀
Zurzeit nutze ich eine pfsense mit dem 8 PoE (Gen1) von ubiquiti und zwei AP pro.
Das würde ich nun gerne auf aqui's Setup umbauen. Also ein Switch für privat und einen für WLAN. Wenn das noch zeitgemäß ist.
Der Grund der Anpassung ist das rund 6 zusätzliche Netzwerkkabel angeschlossen werden und der 2nd Layer Switch nicht mehr reicht. Also muss ein neues Setup her.
Am liebsten würde ich alle physikalisch angebunden Kabel auf einem Switch betreiben und die zwei AP mit WLAN auf einem seperaten Switch.
In der Tat stellt sich nämlich die Frage ob ein Layer2 Switch und ein Layer3 Switch lohnt, oder ein Layer3 Switch der beides kann.
Das Netzwerk soll natürlich sicher sein und verschiedene Bereiche haben. Ob diese nun physikalisch (Subnetting und Layer2) oder virtuell (Vlan und Layer3) betrieben werden, ist richtigerweise die Frage.
Ich hoffe mich etwas spezifischer ausgedrückt zu haben 😉
Grüße Dominik
Ps: das rote Auto 😄
Zurzeit nutze ich eine pfsense mit dem 8 PoE (Gen1) von ubiquiti und zwei AP pro.
Das würde ich nun gerne auf aqui's Setup umbauen. Also ein Switch für privat und einen für WLAN. Wenn das noch zeitgemäß ist.
Der Grund der Anpassung ist das rund 6 zusätzliche Netzwerkkabel angeschlossen werden und der 2nd Layer Switch nicht mehr reicht. Also muss ein neues Setup her.
Am liebsten würde ich alle physikalisch angebunden Kabel auf einem Switch betreiben und die zwei AP mit WLAN auf einem seperaten Switch.
In der Tat stellt sich nämlich die Frage ob ein Layer2 Switch und ein Layer3 Switch lohnt, oder ein Layer3 Switch der beides kann.
Das Netzwerk soll natürlich sicher sein und verschiedene Bereiche haben. Ob diese nun physikalisch (Subnetting und Layer2) oder virtuell (Vlan und Layer3) betrieben werden, ist richtigerweise die Frage.
Ich hoffe mich etwas spezifischer ausgedrückt zu haben 😉
Grüße Dominik
Ps: das rote Auto 😄
Mahlzeit.
Wie sieht denn deine Hardware für die PFSense aus? Hat das Gerät mehrere Netzwerkanschlüsse? Wie "stark" sidn CPU und RAM ausgestattet?
Ein Layer3 Switch kann das Routing übernehmen, jedoch sind zumeist die ACL, also die Firewall Regeln, nicht so granular und detailliert einstellbar, wie in einer Firewall.
Aufgrund der zu erwartenden Größe des Netzwerkes, würde ich mir das Layer3 Konzept klemmen und ein normales, vlan-fähiges Switch anschaffen. Dort die VLANs auf den entsprechenden Ports konfigurieren und auf die Firewall auflegen.
Dann hast du einen zentralen Router, und einen zentralen Switch.
Gruß
Marc
Wie sieht denn deine Hardware für die PFSense aus? Hat das Gerät mehrere Netzwerkanschlüsse? Wie "stark" sidn CPU und RAM ausgestattet?
Ein Layer3 Switch kann das Routing übernehmen, jedoch sind zumeist die ACL, also die Firewall Regeln, nicht so granular und detailliert einstellbar, wie in einer Firewall.
Aufgrund der zu erwartenden Größe des Netzwerkes, würde ich mir das Layer3 Konzept klemmen und ein normales, vlan-fähiges Switch anschaffen. Dort die VLANs auf den entsprechenden Ports konfigurieren und auf die Firewall auflegen.
Dann hast du einen zentralen Router, und einen zentralen Switch.
Gruß
Marc
Moinsen,
ich kann nur für den rein privaten Bereich sprechen. Hier habe ich das mit VLANs realisiert.
Auf der pfsense (nach Studieren von @aquis super Tutorial) die benötigten VLANs angelegt auf dem Parentinterface LAN1, dann ebenso auf den switches. Ein Kabel zwischen pfsense und switch, von dort ein weiteres zum nächsten switch (Trunk, für alle VLANs).
Die Netzsegmentierung ist so sicher, wie du sie eben auch einrichtest. Mit VLANs nach IEEE 801.2q ist auch in kommerziellen Umgebungen keine Seltenheit, sollte für den Heimgebrauch also ausreichend sein.
Hier zum Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Warum ein L3 switch, wenn doch die pfsense alles routet (nehme ich mal an)?
Mit der pfsense, den managed switches, den APs...da kannst du dann doch einfach zB 4 VLANs aufmachen, diese dann via switch an die APs durchreichen, welche wiederum ja ootb 4 SSIDs anbieten können. Diese dann den 4 VLANs (zB Gast, IoT, Privat, Kamera) zuteilen, fertig.
edit: und da ja alles von unifi sonst, sogar eine Zentrale zum Routing und eine für switch UND APs (wenn cloudkey controller online)
ich kann nur für den rein privaten Bereich sprechen. Hier habe ich das mit VLANs realisiert.
Auf der pfsense (nach Studieren von @aquis super Tutorial) die benötigten VLANs angelegt auf dem Parentinterface LAN1, dann ebenso auf den switches. Ein Kabel zwischen pfsense und switch, von dort ein weiteres zum nächsten switch (Trunk, für alle VLANs).
Die Netzsegmentierung ist so sicher, wie du sie eben auch einrichtest. Mit VLANs nach IEEE 801.2q ist auch in kommerziellen Umgebungen keine Seltenheit, sollte für den Heimgebrauch also ausreichend sein.
Hier zum Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Warum ein L3 switch, wenn doch die pfsense alles routet (nehme ich mal an)?
Mit der pfsense, den managed switches, den APs...da kannst du dann doch einfach zB 4 VLANs aufmachen, diese dann via switch an die APs durchreichen, welche wiederum ja ootb 4 SSIDs anbieten können. Diese dann den 4 VLANs (zB Gast, IoT, Privat, Kamera) zuteilen, fertig.
edit: und da ja alles von unifi sonst, sogar eine Zentrale zum Routing und eine für switch UND APs (wenn cloudkey controller online)
Hallo und danke an beide Kommentatoren 😉
Zu Marc: Vlan fähig also Layer3 Switch, richtig? Welchen von ubiquiti? Sind ja höchstens 4 Ports, bzw. 9 weitere.
Zu th30ther: Also einen Layer2 Switch, richtig?
Welchen von ubiquiti? Wäre ca. 13 Ports.
Der Rechner für die pfsense hat 4 Netzwerkport, einen N100 und 16GB RAM, sollte reichen...
Und die zwei Vorschläge sind genau die zwei Ideen die mir auch vorschweben. Nur welche sollte ich nun umsetzen?
Grüße Dominik
Zu Marc: Vlan fähig also Layer3 Switch, richtig? Welchen von ubiquiti? Sind ja höchstens 4 Ports, bzw. 9 weitere.
Zu th30ther: Also einen Layer2 Switch, richtig?
Welchen von ubiquiti? Wäre ca. 13 Ports.
Der Rechner für die pfsense hat 4 Netzwerkport, einen N100 und 16GB RAM, sollte reichen...
Und die zwei Vorschläge sind genau die zwei Ideen die mir auch vorschweben. Nur welche sollte ich nun umsetzen?
Grüße Dominik
Zitat von @dominik124:
Zu Marc: Vlan fähig also Layer3 Switch, richtig? Welchen von ubiquiti? Sind ja höchstens 4 Ports, bzw. 9 weitere.
Zu Marc: Vlan fähig also Layer3 Switch, richtig? Welchen von ubiquiti? Sind ja höchstens 4 Ports, bzw. 9 weitere.
VLANs sind ein Layer 2 Thema.
Es würde der Ubiquiti Switch 16 Lite womöglich reichen:
https://eu.store.ui.com/eu/en/pro/category/all-switching/products/usw-li ...
Wenn du mehr Ports und erweiterte Funktionen benötigst, dann lieber einer der 24er Switches kaufen.
Der Rechner für die pfsense hat 4 Netzwerkport, einen N100 und 16GB RAM, sollte reichen.
Absolut.
Und die zwei Vorschläge sind genau die zwei Ideen die mir auch vorschweben. Nur welche sollte ich nun umsetzen?
Die Variante, welche dein Vorhaben am besten abbildet.
Ich würde, wie auch @th30ther schrieb, das Layer 3 Routing die PFSense erledigen lassen und auf den Switches entsprechend mit VLANs arbeiten.
Du könntest drei der vier NICs als LAGG konfigurieren und somit die Last etwas zu verteilen und dann über das LAGG alle VLANs spannen.
Oder je einzelner Schnittstelle mehrere VLANs.
Gruß
Marc
Hi und danke,
Ja der Switch macht mit seiner Größe und den Ports Sinn.
Bliebe die Frage ob ich den Homeserver, einen Proxmox auf einem N4100, über den Switch laufen lasse oder lieber an einen der Ports der pfsense hänge?
Grüße Dominik
Ja der Switch macht mit seiner Größe und den Ports Sinn.
Bliebe die Frage ob ich den Homeserver, einen Proxmox auf einem N4100, über den Switch laufen lasse oder lieber an einen der Ports der pfsense hänge?
Grüße Dominik
Wenn Client und Server in unterschiedlichen vLANs sind, wird das doch eh immer über die pf laufen (müssen)!?
Lässt Du sie im gleichen vLAN, wird die Latenz innerhalb des Switsches wohl flotter sein.
Lässt Du sie im gleichen vLAN, wird die Latenz innerhalb des Switsches wohl flotter sein.
Hmm ja Latenz könnte ein Thema sein...
Wie sieht es denn mit Sicherheit aus?
Achja und der ubiquiti Controller stünde dann von außen für die ubiquiti Geräte zur Verfügung.
Grüße Dominik
Wie sieht es denn mit Sicherheit aus?
Achja und der ubiquiti Controller stünde dann von außen für die ubiquiti Geräte zur Verfügung.
Grüße Dominik
Regelwerke auf der PFSense entsprechend straff gestalten. MAC Filter auf dem Switch konfigurieren.
Eventuell beschäftigst du dich noch mit dem Freeradius Paket für die PFSense.
Achja und der ubiquiti Controller stünde dann von außen für die ubiquiti Geräte zur Verfügung.
Am besten alle Unifi Geräte in ein eigenes VLAN verfrachten und ausschließlich dem Controller Internet erlauben für Updates.
Gruß
Marc
Das wird eh noch spannend, wenn @aqui aus der Weihnachtspause zurückkommt und lesen muss, dass seine tollen Setup-Anleitungen ausgerechnet mit Unifi umgesetzt werden „wollen“ 😂
Das ist technisch bestimmt noch umsetzbar, stammt aber aus einer Zeit als vLANs noch nicht im KMU/Heimsetup angekommen sind. Und mit denen kommst Du deutlich flexibler ans Ziel. Und auch der Absatz zu OPNsense ist – gelinde gesagt – etwas überholt 🤭
b) Wenn ich recht entsinne sind die Ubis keine Layer3-Switche sonder L2, die mit (von der PF/USG gelieferten) vLANs umgehen können.
Achja und der ubiquiti Controller stünde dann von außen für die ubiquiti Geräte zur Verfügung.
Ist das ne Feststellung, ein Wunsch oder eine Erwartung? Eigentlich steht da „von außen“ gar nichts zur Verfügung! Dafür gäbs die Option Cloud oder VPN.folgendes Tutorial von aqui gelesen und möchte das gerne nachbauen
Mein Gott, das Tut. feiert bald 25-jähriges 😂Das ist technisch bestimmt noch umsetzbar, stammt aber aus einer Zeit als vLANs noch nicht im KMU/Heimsetup angekommen sind. Und mit denen kommst Du deutlich flexibler ans Ziel. Und auch der Absatz zu OPNsense ist – gelinde gesagt – etwas überholt 🤭
Vlan fähig also Layer3 Switch, richtig? Welchen von ubiquiti?
a) Du benötigst keinen Layer3 Switch, weil das Routing (inkl. Dual-DHCP) ja Deine pf übernimmt.b) Wenn ich recht entsinne sind die Ubis keine Layer3-Switche sonder L2, die mit (von der PF/USG gelieferten) vLANs umgehen können.
Freeradius Paket für die PFSense.
Da müsstest Du ggf. prüfen ob das die Ubis portbasiert durchreichen können (verm. ja).
Super danke für die Infos.
Da ich sowieso einiges neu kaufe kann es auch eine Alternative zu ubiquiti sein, falls ich aber die APs übernehmen möchte muss es ubiquiti sein.
PS: ich meine die ubiquiti Hardware nicht vom Netzzugriff ausschließen zu können ohne das auch sonst keine Daten ankommen.... Muss ich Mal testen 😄
Da ich sowieso einiges neu kaufe kann es auch eine Alternative zu ubiquiti sein, falls ich aber die APs übernehmen möchte muss es ubiquiti sein.
PS: ich meine die ubiquiti Hardware nicht vom Netzzugriff ausschließen zu können ohne das auch sonst keine Daten ankommen.... Muss ich Mal testen 😄
Prinzipiell spricht ja auch nix gegen die Ubis. Laufen im Rest der Welt ja auch in Heim- und KMU-Setups. Bei den Switchen musste halt herstellerunabhängig prüfen ob sie mit vLANs zurechtkommen und ob sie ggf. das richtige PoE zur Verfügung stellen.
PS: ich meine die ubiquiti Hardware nicht vom Netzzugriff ausschließen zu können ohne das auch sonst keine Daten ankommen.... Muss ich Mal testen
Warum soll die ubi-hw keinen I-Netzzugriff haben? Entscheidend dürfte da doch eh nur der Controller sein?Zitat von @Visucius:
PS: ich meine die ubiquiti Hardware nicht vom Netzzugriff ausschließen zu können ohne das auch sonst keine Daten ankommen.... Muss ich Mal testen
Warum soll die ubi-hw keinen I-Netzzugriff haben? Entscheidend dürfte da doch eh nur der Controller sein?
PS: ich meine die ubiquiti Hardware nicht vom Netzzugriff ausschließen zu können ohne das auch sonst keine Daten ankommen.... Muss ich Mal testen
Warum soll die ubi-hw keinen I-Netzzugriff haben? Entscheidend dürfte da doch eh nur der Controller sein?
Angelehnt an den Zero Trust Ansatz. Alles was kein Internet (und weitreichenden Netzwerkzugriff) braucht, bekommt auch keinen Zugriff darauf.
Bis dato konnte ich nicht feststellen, dass die Hardware "nach Hause funkt". Aber bei diversen IoT Geräten und Videokameras, käme mir privat und professionell immer ein Riegel vor.
Gruß
Marc
Vielen Dank für die vielen Anregungen.
Da fällt mir doch gar noch ein Szenario ein, indem die alte pfsense Hardware, als kaskadierende2. Firewall genutzt werden könnte.
Oder ist das zuviel des "Guten"?
Grüße Dom
Da fällt mir doch gar noch ein Szenario ein, indem die alte pfsense Hardware, als kaskadierende2. Firewall genutzt werden könnte.
Oder ist das zuviel des "Guten"?
Grüße Dom
Gerne.
Da fällt mir doch gar noch ein Szenario ein, indem die alte pfsense Hardware, als kaskadierende2. Firewall genutzt werden könnte.
Oder ist das zuviel des "Guten"?
Oder ist das zuviel des "Guten"?
Gut ist daran wenig, wenn du keine besonderen DMZ Anforderungen hast. Eine Kaskade und damit doppeltes NAT macht für viele Dinge einfach keinen Spaß und verkompliziert nur alles.
Gruß
Marc
Brauchst denn eine DMZ?
🤔
🤔
Falls du etwas besonders Schützenswertes in deinem Netzwerk hast.
Aber das kommt in Privathaushalten kaum vor und auch hier verkompliziert das Setup alles unnötig.
Das Netzwerk sollte aussehen wie folgt:
Modem > Firewall mit Einwahl oder statischer IP Konfiguration > Switch (mit VLANs) > Endgeräte
Gruß
Marc
Perfekt danke.
