27
Netzwerk Erweiterung und Überarbeitung
Netzwerk-Upgrade: Tipps und Optimierungen gesucht
Hallo zusammen,
mein Heimnetzwerk wächst stetig, und die Ports an meinen aktuellen Cisco SG350 und SG300 reichen nicht mehr aus. Daher habe ich mir einen weiteren gebrauchten SG350 zugelegt und möchte die Gelegenheit nutzen, mein Netzwerk zu optimieren. Der kleine SG350-10MP und der SG300-20 sollen entfallen und nur noch der größere Cisco SG350-28MP soll verwendet werden.
Aktuelle Konfiguration (siehe Bild im Anhang):
Internet: FritzBox mit zwei Verbindungen zum SG350 (Router):
Vlan1 (Home)
Vlan5 (Guest)
Switch: Der Cisco SG350 verwaltet die Vlans 2–5 und fungiert als DHCP-Server.
DNS: Alle DNS-Anfragen außer für das Guest-Vlan laufen über ein Pi-hole.
ACLs: Derzeit sind keine Regeln eingerichtet.
Geplante Funktionen / Überlegungen:
Zugriff vom Vlan1 (Home) auf das AppleTV und Cloud Vlan4 (Multicast-TV?).
Voller Zugriff für OpenHAB auf alle Vlans.
Einrichtung eines RADIUS-Servers zur dynamischen Vlan-Port-Zuweisung (statt statischer Konfiguration).
Sinnvolle ACL-Regeln für mehr Sicherheit.
Vlan1 (Home) ggf. von der FritzBox trennen – macht das in meinem Fall Sinn?
Weitere Überlegungen:
Soll ich ein separates Vlan für die Kinder einrichten?
Macht es Sinn, Drucker in ein eigenes Vlan zu packen, das für alle zugänglich ist?
Welche Vorschläge habt ihr für neue Access Points? Meine Cisco Aironet stoßen langsam an ihre Grenzen (max. 200 Mbps).
Ich bin offen für Vorschläge, wie ich mein Netzwerk sicherer und effizienter gestalten kann. Über eine Diskussion und eure Unterstützung bei der Umsetzung würde ich mich sehr freuen!
Vielen Dank und viele Grüße
Julian
Hallo zusammen,
mein Heimnetzwerk wächst stetig, und die Ports an meinen aktuellen Cisco SG350 und SG300 reichen nicht mehr aus. Daher habe ich mir einen weiteren gebrauchten SG350 zugelegt und möchte die Gelegenheit nutzen, mein Netzwerk zu optimieren. Der kleine SG350-10MP und der SG300-20 sollen entfallen und nur noch der größere Cisco SG350-28MP soll verwendet werden.
Aktuelle Konfiguration (siehe Bild im Anhang):
Internet: FritzBox mit zwei Verbindungen zum SG350 (Router):
Vlan1 (Home)
Vlan5 (Guest)
Switch: Der Cisco SG350 verwaltet die Vlans 2–5 und fungiert als DHCP-Server.
DNS: Alle DNS-Anfragen außer für das Guest-Vlan laufen über ein Pi-hole.
ACLs: Derzeit sind keine Regeln eingerichtet.
Geplante Funktionen / Überlegungen:
Zugriff vom Vlan1 (Home) auf das AppleTV und Cloud Vlan4 (Multicast-TV?).
Voller Zugriff für OpenHAB auf alle Vlans.
Einrichtung eines RADIUS-Servers zur dynamischen Vlan-Port-Zuweisung (statt statischer Konfiguration).
Sinnvolle ACL-Regeln für mehr Sicherheit.
Vlan1 (Home) ggf. von der FritzBox trennen – macht das in meinem Fall Sinn?
Weitere Überlegungen:
Soll ich ein separates Vlan für die Kinder einrichten?
Macht es Sinn, Drucker in ein eigenes Vlan zu packen, das für alle zugänglich ist?
Welche Vorschläge habt ihr für neue Access Points? Meine Cisco Aironet stoßen langsam an ihre Grenzen (max. 200 Mbps).
Ich bin offen für Vorschläge, wie ich mein Netzwerk sicherer und effizienter gestalten kann. Über eine Diskussion und eure Unterstützung bei der Umsetzung würde ich mich sehr freuen!
Vielen Dank und viele Grüße
Julian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670038
Url: https://administrator.de/forum/netzwerk-erweiterung-und-ueberarbeitung-670038.html
Ausgedruckt am: 21.01.2025 um 04:01 Uhr
27 Kommentare
Neuester Kommentar
Soll ich ein separates Vlan für die Kinder einrichten? Macht es Sinn, Drucker in ein eigenes Vlan zu packen, das für alle zugänglich ist?
Wie soll das jemand externes beurteilen? Was bezweckst Du damit?Welche Vorschläge habt ihr für neue Access Points? Meine Cisco Aironet stoßen langsam an ihre Grenzen (max. 200 Mbps).
Wasn das für ne Aussage? 200 Mbit am Client? Im Garten? Neben dem AP? Und wofür willst Du wie viel mehr?! Oder gehts nur um große Zahlen? Imho machen Updates aktuell doch max. bzgl Latenzen Sinn – und das muss sich im Setup vor Ort auch erst erweisen.Ich halte diese übermäßige Aufteilung von Netzwerken (iot, Strom, Solar, TV …) im Homebereich ja sowieso für „Gschaftlhuberei“, Fluchtreflex oder Großmachtphantasie einiger Familienväter 😏
Auf Grund von WAF, haste vermutlich global die mdns-Reflektoren aktiviert?
Mir erschließt sich halt der Mehrwert so gar nicht, wenn ich davor ne Fritze sehe, die mir diese vLANs nicht mal theoretisch mit dedizierten Firewalls absichern könnte!? Macht das bei Dir der Switch? Oder wie muss ich mir das vorstellen?
Moin,
das ist immer eine Frage die andere Dir nicht beantworten können. Da Du bist der Admin und Du bestimmst die Regeln.
Wie @Visucius geschrieben hat würde ich würde ich den ganzen Smarthome und Media Kram in ein VLAN packen.
Du hast doch den PiHole damit kannst DU doch die Rechner von Deinen Kinder gut einrichten was Sie dürfen und was nicht.
Hier könntest Du ja auch noch die Zugriff verfeinern.
Gibt doch ein tollen Spruch:
so viel wie möglich so wenig wie nötig
Den solltest Du Dir immer vor den Augen halten.
Gruß
das ist immer eine Frage die andere Dir nicht beantworten können. Da Du bist der Admin und Du bestimmst die Regeln.
Wie @Visucius geschrieben hat würde ich würde ich den ganzen Smarthome und Media Kram in ein VLAN packen.
Soll ich ein separates Vlan für die Kinder einrichten?
Du hast doch den PiHole damit kannst DU doch die Rechner von Deinen Kinder gut einrichten was Sie dürfen und was nicht.
Sinnvolle ACL-Regeln für mehr Sicherheit.
Hier könntest Du ja auch noch die Zugriff verfeinern.
Gibt doch ein tollen Spruch:
so viel wie möglich so wenig wie nötig
Den solltest Du Dir immer vor den Augen halten.
Gruß
die mir diese vLANs nicht mal theoretisch mit dedizierten Firewalls absichern könnte!?
Das erledigt ja sein neuer Cisco350er mit Accesslisten! 
In Summe ein klassisches VLAN Konzept an dem es nichts auszusetzen gibt. Den geplanten Radius Server kann man problemlos mit auf den PiHole / Adguard legen.
Wieviel Segmentierung letztlich möglich und nötig ist muss der TO anhand seiner eigenen Security Policy entscheiden.
Das erledigt ja sein neuer Cisco350er mit Accesslisten! face-wink
Apropos:ACLs: Derzeit sind keine Regeln eingerichtet.
😉
PS: Aber Weihnachten steht ja an. Da hat man mehrere Tage Zeit um den Haussegen nachhaltig zu prüfen 😏
Hallo, vielen Dank für eure Antworten.
Klar ist es schon ein bisschen übertrieben. Jedoch möchte ich es als Übungsobjekt für mich sehen und hierdurch mein Wissen erweitern.
@Headcrach: Gibt es eine Anleitung unter PiHole wie ich gewisse Clints stärker einschränken kann. Dachte deshalb an ein eigenes Vlan um hier das ganze VLan zu reglementieren. Bietet ja auch ein bisschen Virensicherheit, oder?
@aqui: Was hälst du vom Radius den der Cisco zu Verfügung stellt? Welche ACLs sind deiner Meinung nach Elementar, grundlegen Wichtig, nice to have ....
Es ist auch noch ein kleiner Mikrotik hEX PoE vorhanden. Den könnte ich auch nutzen für gewissen Konfigurationen.
Zentral auf dem Cisco wäre mir natürlich am liebsten.
@Visucius: Lieber im Büro als auf dem Sofa. Meine Familie ist hier schon einiges gewohnt.
Bezüglich Wlan APs. Die über 15 Jahre alten Aironet Geräte lassen sich leider nicht über eine WEB GUI Parametrieren. Daher suche ich nach adäquaten Ersatzgeräte die ich einfache einstellen kann. Am liebsten natürlich von Cisco. Wifi 6 usw. sind ja auch immer wieder Schlagworte, die man so hört.
Gruß Julian
Klar ist es schon ein bisschen übertrieben. Jedoch möchte ich es als Übungsobjekt für mich sehen und hierdurch mein Wissen erweitern.
@Headcrach: Gibt es eine Anleitung unter PiHole wie ich gewisse Clints stärker einschränken kann. Dachte deshalb an ein eigenes Vlan um hier das ganze VLan zu reglementieren. Bietet ja auch ein bisschen Virensicherheit, oder?
@aqui: Was hälst du vom Radius den der Cisco zu Verfügung stellt? Welche ACLs sind deiner Meinung nach Elementar, grundlegen Wichtig, nice to have ....
Es ist auch noch ein kleiner Mikrotik hEX PoE vorhanden. Den könnte ich auch nutzen für gewissen Konfigurationen.
Zentral auf dem Cisco wäre mir natürlich am liebsten.
@Visucius: Lieber im Büro als auf dem Sofa. Meine Familie ist hier schon einiges gewohnt.
Bezüglich Wlan APs. Die über 15 Jahre alten Aironet Geräte lassen sich leider nicht über eine WEB GUI Parametrieren. Daher suche ich nach adäquaten Ersatzgeräte die ich einfache einstellen kann. Am liebsten natürlich von Cisco.
Wifi 6 usw. sind ja auch immer wieder Schlagworte, die man so hört.Gruß Julian
ACLs: Derzeit sind keine Regeln eingerichtet.
Was nicht ist kann ja beim TO noch werden...! 😉wie ich gewisse Cli(e)nts stärker einschränken kann.
Das machst du ganz einfach über deine geplante Segmentierung und indem du die Accesslisten am L3 Switch in Bezug auf DNS für diese Clients customized.Idealer wäre der Adguard Home, der das zusätzlich über sein GUI kann. Zusätzlich hat er eine deutlich bessere Blocking Option in seinem GUI für Schnüffelapps wie Facebook & Co. On Top bietet er verschlüsseltes DNS mit DoT oder DoH für seine Uplink DNS was der PiHole gar nicht kann. Es lohnt also der Blick über den Tellerrand!
Der DNS Filter darf dazu natürlich keinen Trunk nutzen sondern sollte im Uplink Netz zur Fritte liegen. Dort kommt ja sämtlicher Traffic von allen VLANs "vorbei" bei einem klassischen L3 Konzept wie du es planst.
vom Radius den der Cisco zu Verfügung stellt?
Wäre dann ideal, denn der erspart dir ein dann überflüssiges zusätzliches Gerät. lassen sich leider nicht über eine WEB GUI Parametrieren.
Das ist so nicht richtig. Es macht ggf. aber dennoch Sinn, wenn du eh umstrukturierst, diese auch gleich durch 2 mal Cisco 3702l zu ersetzen, die einigermaßen aktuelle Standards supporten und auch ein WebGUI haben. Es gibt sie für kleines Geld auf den einschlägigen Plattformen. Du bleibst bei Cisco und ein hiesiges Tutorial erklärt dir haarklein wie man sie im Heimnetz handhabt. 😉Eine bessere Alternative wäre ggf. HIER Da müsstest du aber auf Cisco verzichten, gewinnst aber ein zentralisiertes WLAN Management. 😉
@aqui
Das L3 Konzept ist super erklärt vielen Dank. Wie sähe hier die integration des AdGuard aus. Dieser müsste ja dann in das .99 Koppelnetzwerk.
Falls der Weihnachtsmann ein bisschen mehr Geld vorbeibringt, was wäre die nächstmoderne alternative zu den 3702i.
Ggf. mit integriertem Wlan Controller.
Sehe schon ich darf mich hier ein bisschen einlesen und die ein oder andere Frage wird bestimmt noch auftauchen. Aber es macht ja sehr viel Spaß.
Das L3 Konzept ist super erklärt vielen Dank. Wie sähe hier die integration des AdGuard aus. Dieser müsste ja dann in das .99 Koppelnetzwerk.
Falls der Weihnachtsmann ein bisschen mehr Geld vorbeibringt, was wäre die nächstmoderne alternative zu den 3702i.
Ggf. mit integriertem Wlan Controller.
Sehe schon ich darf mich hier ein bisschen einlesen
und die ein oder andere Frage wird bestimmt noch auftauchen. Aber es macht ja sehr viel Spaß.
Naja, trenne doch erstmal die Netze? Nen halbes Dutzend vLANs alleine sind ja (üblicher Weise) kein Selbstzweck! Der Trick von sowas ist ja, dass Du einzelne Geräte oder einzelne Gruppen von Geräten entweder voneinander trennst und/oder ihnen den Zugang zum pösen Internet verbieten willst. Erst dann wird ja erst irgendwas "sicherer" – Dein erklärtes Ziel. Mit allen Konsequenzen für Bequemlichkeit und Haussegen.
Ohne ACLs (bzw. Firewall) kann doch jedes Gerät jedes andere Gerät in allen vLANs über IP ansprechen und jedes Gerät ungeprüft nach Hause telefonieren?! Und auch mit dem Adguard/Pihole kannste max. die DNS-Abfragen blocken.
Oder habe ich da jetzt was übersehen? Und vermutlich wirst Du dann erstmal umgruppieren, weil der Verwaltungsaufwand sonst übermäßig ansteigt.
Ich würde mir übrigens nicht die Cisco sondern eher die Ruckus z.B. R350 ansehen. Wifi können die bestimmt nicht schlechter als die Cisco aber vor allem ist das Webinterface und die integrierte Controllerfunktion in so nem 2er Setup ein Träumchen. Der Vorgänger baut auch extremst kompakt und gefällig – was im heimischen Umfeld bestimmt kein Nachteil ist. Den kannste Dir aktuell übrigens immer mal wieder recht günstig organisieren um das auszuprobieren (50 bis 70 EUR/Stck):
Ruckus R320 aktuell günstig
Ohne ACLs (bzw. Firewall) kann doch jedes Gerät jedes andere Gerät in allen vLANs über IP ansprechen und jedes Gerät ungeprüft nach Hause telefonieren?! Und auch mit dem Adguard/Pihole kannste max. die DNS-Abfragen blocken.
Oder habe ich da jetzt was übersehen? Und vermutlich wirst Du dann erstmal umgruppieren, weil der Verwaltungsaufwand sonst übermäßig ansteigt.
Ich würde mir übrigens nicht die Cisco sondern eher die Ruckus z.B. R350 ansehen. Wifi können die bestimmt nicht schlechter als die Cisco aber vor allem ist das Webinterface und die integrierte Controllerfunktion in so nem 2er Setup ein Träumchen. Der Vorgänger baut auch extremst kompakt und gefällig – was im heimischen Umfeld bestimmt kein Nachteil ist. Den kannste Dir aktuell übrigens immer mal wieder recht günstig organisieren um das auszuprobieren (50 bis 70 EUR/Stck):
Ruckus R320 aktuell günstig
1Dieser müsste ja dann in das .99 Koppelnetzwerk.
Das wäre am intelligentesten wenn du zig Accesslisten im L3 Switch vermeiden willst.Zum Thema WLAN hat Kollege @Visucius ja schon alles gesagt.
https://www.youtube.com/watch?v=kqYLWkwrCUQ
Morgen, hab mir nun zwei Ruckus R310 organisiert die in den kommenden Tagen eintreffen sollten.
Lohnt es sich ggf. Noch ein bisschen mehr Geld in die Hand zu nehmen für die R320. Hab hier nen preis von knapp 190€ pro Stück.
Gruß Julian
Lohnt es sich ggf. Noch ein bisschen mehr Geld in die Hand zu nehmen für die R320. Hab hier nen preis von knapp 190€ pro Stück.
Gruß Julian
Um Gottes Willen, 190 EUR für nen bald 10 Jahre alten Wifi-Standard? Für das gleiche Geld bekommste nen niegelnagelneuen Unifi 7Pro – auch wenn einige hier bei dem Vergleich Pusteln kriegen 😏
Also deutlicher als in den beiden Beiträgen kann ich es nun wirklich nicht schreiben: 50 bis 70 EUR Stück für den r320. Ja, es gibt auch Mondpreise – muss man halt mal etwas warten. Wie gesagt auch in den Kleinanzeigen. Man kann auch informiert werden, wenn etwas angeboten wird. Ist alles kein Hexenwerk. Vielleicht ist Vorweihnachten da auch nicht optimal.
R320 unterstützt ac Wave2:
https://www.notebookcheck.com/WLAN-So-profitieren-sie-von-schnellem-802- ...
Ich kann bei sowas warten. Aber Du kannst ja schon mal sehen ob Du mit der Konfiguration zurecht kommst.
Also deutlicher als in den beiden Beiträgen kann ich es nun wirklich nicht schreiben: 50 bis 70 EUR Stück für den r320. Ja, es gibt auch Mondpreise – muss man halt mal etwas warten. Wie gesagt auch in den Kleinanzeigen. Man kann auch informiert werden, wenn etwas angeboten wird. Ist alles kein Hexenwerk. Vielleicht ist Vorweihnachten da auch nicht optimal.
R320 unterstützt ac Wave2:
https://www.notebookcheck.com/WLAN-So-profitieren-sie-von-schnellem-802- ...
Ich kann bei sowas warten. Aber Du kannst ja schon mal sehen ob Du mit der Konfiguration zurecht kommst.
Perfekt.
Danke.
Das hilft weiter. Dann versuche ich mich bei den erworbenen R310 mit der Konfiguration und dem Handling und dann halte ich die Augen offen für die R320.
Danke
Danke.
Das hilft weiter. Dann versuche ich mich bei den erworbenen R310 mit der Konfiguration und dem Handling und dann halte ich die Augen offen für die R320.
Danke
1Dann versuche ich mich bei den erworbenen R310 mit der Konfiguration und dem Handling
Das ist ein Kinderspiel. Beachte das deine R310 mit der Unleashed Firmware geflasht sind bevor du sie konfigurierst.Bei Unleashed kaspern die APs automatisch einen aus der die zentrale Controller Funktion im WLAN übernimmt und dann dein WLAN zentral managed. In der Regel ist das der erste AP den du fertig konfiguriert ins Netz bringst. Den anderen steckst du dann einfach dazu und der holt sich dann automatisch seine Konfig vom Controller AP und fertig ist der Lack.
Die aktuellste Unleashed Firmware (200.7.10.202.145) für den R310 bekommst du mit einem Gastaccount im Ruckus Support Portal. Update Anleitungen gibt es zuhauf im Internet wie z.,B. hier. Sollte Unleashed schon drauf sein machst du lediglich ein Update über das GUI.
Das WLAN richtest du dann über das Unleashed GUI mit ein paar Mausklicks ein:
Ansonsten einfach hier fragen.
Guten Abend,
hab mich nun ein bisschen eingelesen. Leider hat die Post mein Paket mit dem R350 und R550 ein bisschen verbummelt und nun kommt es erst nach Weihnachten.
Der Haussegen bleibt somit länger bestehen.
Nun noch ne andere Frage:
Welche Switch würdet ihr bevorzugen?
Ruckus ICX 7150-P24
vs.
Cisco SG350-28MP-K9
Gruß und schöne Weihnachten
hab mich nun ein bisschen eingelesen. Leider hat die Post mein Paket mit dem R350 und R550 ein bisschen verbummelt und nun kommt es erst nach Weihnachten.
Der Haussegen bleibt somit länger bestehen.
Nun noch ne andere Frage:
Welche Switch würdet ihr bevorzugen?
Ruckus ICX 7150-P24
vs.
Cisco SG350-28MP-K9
Gruß und schöne Weihnachten
Welche Switch würdet ihr bevorzugen?
Wenn du frei wählen kannst und Budget keine Rolle spielt den ICX, denn der kann deutlich mehr.
Auch wenn dieser in der Buch bereits 5 Jahre alt ist?
Gibt ja noch aktuellen Support und Firmware mit dem aktuellen 8er, 9er und 10er Release Train.
https://support.ruckuswireless.com/software
Der Cisco ist ein einfacher Switch aus deren abgekündigter SG SoHo Serie, der ICX aber ein full featured Premium Switch. Der Vergleich hinkt also so oder so schon. Äpfel und Birnen...
Wenn, dann müsstest du den ICX mit einem Cisco Catalyst 3xxx vergleichen denn der ICX ist ein Enterprise L3 Campus Switch.
Auch ein älterer, Scheckheft gewarteter AMG Mercedes ist technisch besser als ein Dacia Jahreswagen.
https://support.ruckuswireless.com/software
Der Cisco ist ein einfacher Switch aus deren abgekündigter SG SoHo Serie, der ICX aber ein full featured Premium Switch. Der Vergleich hinkt also so oder so schon. Äpfel und Birnen...
Wenn, dann müsstest du den ICX mit einem Cisco Catalyst 3xxx vergleichen denn der ICX ist ein Enterprise L3 Campus Switch.
Auch ein älterer, Scheckheft gewarteter AMG Mercedes ist technisch besser als ein Dacia Jahreswagen.
Danke für den Treffenden Vergleich.
Somit steht wohl die nächste Investition in mein Hobby an.
Vielen Dank für die klasse Tipps, auch für einen Hobby ITler.
Vielen dank und schöne Weihnachten.
Somit steht wohl die nächste Investition in mein Hobby an.
Vielen Dank für die klasse Tipps, auch für einen Hobby ITler.
Vielen dank und schöne Weihnachten.
Wenn dies denn nun die Lösung war bitte dann nicht vergessen deinen Thread hier auf erledigt zu setzen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Guten Abend,
dank der Hilfe von Aqui habe ich nun mein System vereinfacht und mit dem Ruckes ICX7150 zum laufen gebracht. Da ich aktuell weniger Zeit habe würde ich das thema mal shcließen.
Jedoch werden noch die ein oder anderen Fragen kommen.
z.B. Wie ich nun mein "Limit" Vlan so per ACL beschränke, dass die Geräte zwar noch ins Internet kommen aber nicht mehr die anderen Vlans ereeichen und ggf. auch untereinander nicht mehr kommunizieren können.
Ob ich es richtig gemacht habe, dass "Gast" Vlan noch auf dem GastPort der Fritte zu betreiben oder wie man dies korrekt anstellt.
Und weshalb der ICX zwar vom R550 erkannt wird aber als nicht verbunden markiert ist.
Soweit mal vielen Dank an alle die hier aktiv sind.
Grüße
dank der Hilfe von Aqui habe ich nun mein System vereinfacht und mit dem Ruckes ICX7150 zum laufen gebracht. Da ich aktuell weniger Zeit habe würde ich das thema mal shcließen.
Jedoch werden noch die ein oder anderen Fragen kommen.
z.B. Wie ich nun mein "Limit" Vlan so per ACL beschränke, dass die Geräte zwar noch ins Internet kommen aber nicht mehr die anderen Vlans ereeichen und ggf. auch untereinander nicht mehr kommunizieren können.
Ob ich es richtig gemacht habe, dass "Gast" Vlan noch auf dem GastPort der Fritte zu betreiben oder wie man dies korrekt anstellt.
Und weshalb der ICX zwar vom R550 erkannt wird aber als nicht verbunden markiert ist.
Soweit mal vielen Dank an alle die hier aktiv sind.
Grüße
Ob ich es richtig gemacht habe, dass "Gast" Vlan noch auf dem GastPort der Fritte zu betreiben oder wie man dies korrekt anstellt.
Wie man das korrekt anstellt kannst du u.a. HIER genau nachlesen. Und weshalb der ICX zwar vom R550 erkannt wird aber als nicht verbunden markiert ist.
Du redest hier vermutlich nicht vom eigentlichen Switch CLI oder lokalem GUI sondern vom KlickiBunti Interface des Unleashed GUIs auf dem AP was auch die Switches mit verwaltet, oder?? 🤔Hier gibt es ein paar Dinge zu beachten:
- Wenn du den Switch im Unleashed GUI hinzufügst musst du einen Admin Namen und Passwort definieren der mit dem von dir gesetzten auf dem Switch übereinstimmt. Das ist der den du mit username ... im Switch definierst!
aaa authentication web-server default local
aaa authentication login default local
username admin password Geheim123! <=== - Es ist sehr sinnvoll dem Unleashed Management eine virtuelle, feste IP zu geben. Die Member APs im Unleashed ziehen sich ja eine DHCP IP die dynmaisch ist und wechseln kann. Deshalb ist es sinnvoll immer eine feste, virtuelle IP im Management Netz zu definieren unter dem das Unleashed WLAN Management zu erreichen ist, egal welche dynamischen DHCP IPs die APs haben! ⚠️ 👉🏽 Diese IP darf nicht im Bereich eines DHCP Pools liegen!!!
- Stelle sicher das du vom Switch diese Unleashed IP pingen kannst und vice versa! Auf dem Switch sind zusätzlich folgende Konfigs zu machen wenn nicht schon geschehen:
logging host 192.168.1.222 udp-port 6514
manager registrar
manager port-list 987 Siehe zudem immer mit sh logg ins Switch Log!! Dort steht in der Regel sehr genau warum der Unleashed daran scheitert den Switch zu kontaktieren!
Dort sollte, wenn du alles richtig gemacht hast sollte sowas wie:
Jan 15 16:53:04:N:SSH Server session 1 received key-exchange
Abend aqui,
kaum folgt meine deinen Anleitungen Anweisungen funktioniert auch das ClickBunti.
Echt Spitze.
PS: Ein Neustart war notwendig
Bezgl. GastNetzwerk: Würdets du dies auch so machen, also den Port von der Fritte nehmen oder würdest du dies über eine VLAN machen das eine IP auf dem Router hat und dann aber diese VLAN über ACL Regeln beschränken?
Wenn über ACL wie würden diese aussehen?
Grüße
kaum folgt meine deinen Anleitungen Anweisungen funktioniert auch das ClickBunti.
Echt Spitze.
PS: Ein Neustart war notwendig
Bezgl. GastNetzwerk: Würdets du dies auch so machen, also den Port von der Fritte nehmen oder würdest du dies über eine VLAN machen das eine IP auf dem Router hat und dann aber diese VLAN über ACL Regeln beschränken?
Wenn über ACL wie würden diese aussehen?
ip access-list extended VLAN30_TO_INTERNET
permit ip 192.168.30.0 0.0.0.255 host 192.168.99.1
deny ip 192.168.30.0 0.0.0.255 any
ip access-list extended VLAN30_ISOLATION
deny ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255
permit ip 192.168.30.0 0.0.0.255 any
ip access-list extended BLOCK_OTHER_TO_VLAN30
deny ip any 192.168.30.0 0.0.0.255
permit ip any any
interface vlan 30
ip access-group VLAN30_TO_INTERNET in
ip access-group VLAN30_ISOLATION in
!
interface vlan <other_vlan_id>
ip access-group BLOCK_OTHER_TO_VLAN30 in
!Grüße
Bezgl. GastNetzwerk:
Ideal wäre eine Kombination aus beidem. - Das Gastnetzwerk von LAN 4 in das Gast VLAN legen wie HIER beschrieben.
- ⚠️ Dieses Gast-WLAN VLAN darf keine VLAN IP Adresse auf dem Switch haben so das das Gast VLAN physisch vollkommen getrennt bleibt.
- Captive Portal Funktion auf dem Unleashed für diese Gast SSID aktivien und das Gastnetz unverschlüsselt lassen.
- Gastnetz ist sowohl vom VLAN als auch routerseitig physisch vollkommen getrennt von deinem privaten Netz.
- Du musst über Einmalvoucher nicht jedem Gast ein überflüssiges Passwort mitteilen, was so oder so eine Passwort Nutzung ad absurdum führt. Alternativ kannst du "Dynamic Preshared Keys" (DPSK) nutzen im Gast WLAN wo du jedem Nutzer einen individuellen Key zuteilst.
- Du hast über die Gäste Voucher Funktion oder DPSKs deutlich feinere Möglichkeiten die Gastnutzung zu customizen.
Hi aqui,
Dann habe ich das mit dem Gastnetz intuitiv richtig gemacht. PUH.
Dann habe ich das mit dem Gastnetz intuitiv richtig gemacht. PUH.
So, die ACL Frage noch fast unterschlagen...
Die Frage ist WAS genau du für jedes VLAN erreichen willst? Das solltest du dir ggf. VORHER notieren und dann die ACL danach logisch erstellen
Wie gesagt: Notieren WAS erreicht werden soll und dann die ACL sinnvoll erstellen. Denke dabei an die 2 grundlegenden Filterregeln:
Die Frage ist WAS genau du für jedes VLAN erreichen willst? Das solltest du dir ggf. VORHER notieren und dann die ACL danach logisch erstellen
- Die erste ACL "VLAN30_TO_INTERNET" bzw deren Regelwerk ist wie alle ACL selbsterklärend:
- Clients im .30.0er Subnetz können einzig und allein den Zielhost .99.1 erreichen.
- Sämtlicher anderer Traffic der .30.0er Clients (außer natürlich im .30er VLAN untereinander) ist verboten.
- Die zweite ACL "VLAN30_ISOLATION" ist sinnfrei!
- Lokaler Layer 2 Traffic innerhalb eines VLANs wird hier an einem Routing Interface nie erfasst, weil der logischerweise gar nicht über ein Routing Interface geht weil er nirgendwo hin geroutet werden muss! Wie auch wenn er nur innerhalb des eigenen Netzes bleibt. Vergiss diese unsinnige ACL also, denn die greift nie weil dieser Traffic dort nie auftaucht.
- Die dritte ACL "BLOCK_OTHER_TO_VLAN30" ist ebenso Unsinn.
- Da du diese ACL Inbound (ip access-group BLOCK_OTHER_TO_VLAN30 in) definiert hast "sieht" sie logischerweise nur Traffic der VOM Netzwerkdraht IN das Routing Interface reinläuft. Ein Ruleset deny ip "any" 192.168.30.0 0.0.0.255 ist dann völlig sinnfrei, denn woher soll ein "any" kommen wenn dort ausschliesslich nur .30.x Traffic inbound eingehen kann?! Mit anderen Worten: Diese Regel greift nie und ist damit dann auch sinnfrei und überflüssig.
- 2 konsekutive ACLs auf einem Interface ist ebenso wenig sinnvoll, denn das Regelwerk kann man immer intelligent in einer ACL kumulieren.
Wie gesagt: Notieren WAS erreicht werden soll und dann die ACL sinnvoll erstellen. Denke dabei an die 2 grundlegenden Filterregeln:
- ACL am besten immer nur Inbound. Outboud ACLs sind weniger sicher weil dieser Traffic dann schon im Switch "drin" ist. Dazu kommt das Outbound ACLs in Switches immer Process Switched sind also über die Switch CPU gehen und diese belasten. Gilt auch wenn man die ACL mit einem Logging verknüpft um Missbrauch mitzuloggen.
- Es gilt: "First match wins"! Sprich bei einem ersten positiven Hit innerhalb des Regelwerkes wird der Rest nicht mehr weiter ausgeführt! Reihenfolge zählt also innerhalb einer ACL!
Hallo Aqui,
auf deinen Rat hin habe ich die nicht sinnvollen RULES gelöscht.
Leider hab ich noch nicht herausgefunden wie ich bei ICX 10.0.10 die RULE auf das ve30 anwenden kann.
Sprich wir hier im speziellen der cli Befehl lautet.
@Visucius
Inzwischen bin ich aber eurem RAT gefolgt und hab das PiHole durch AdGuard ersetzt. Gibt es hier eine Empfehlung welche Listen etc. ich nutzen sollte und was ggf. noch einzustellen ist.
Diese habe ich aktiv "HaGeZi's Ultimate Blocklist".
Was ich schon sehe, ist das der ICX sehr viele Anfragen feuert. Dies sieht dann so aus.
Gruß und gute Nacht Julian
auf deinen Rat hin habe ich die nicht sinnvollen RULES gelöscht.
Leider hab ich noch nicht herausgefunden wie ich bei ICX 10.0.10 die RULE auf das ve30 anwenden kann.
Sprich wir hier im speziellen der cli Befehl lautet.
@Visucius
Inzwischen bin ich aber eurem RAT gefolgt und hab das PiHole durch AdGuard ersetzt. Gibt es hier eine Empfehlung welche Listen etc. ich nutzen sollte und was ggf. noch einzustellen ist.
Diese habe ich aktiv "HaGeZi's Ultimate Blocklist".
Was ich schon sehe, ist das der ICX sehr viele Anfragen feuert. Dies sieht dann so aus.
Gruß und gute Nacht Julian
