Netzwerk Planung Feedback

Danke für deinen Input.
Es handelt sich um Genossenschafts-Wohungen zur Miete. Wir haben zum Start eine symmetrische 500Mbit Internetanbindung, welche wir aber bei Bedarf problemlos auf symmetrische 10Gbit upgraden können. (Kein überbuchtes Home Produkt sondern dezidierte Bandbreite nur für uns)
Es geht mir hier nur um die technische Umsetzbarkeit, die rechtlichen Aspekte sind bereits geklärt bzw sind nicht meine Verantwortung (Betreiber ist die Genossenschaft)..
Und es sind 48 Wohnungen by the way 🤪

Das ist ein guter Punkt wie sich mehrere Netflix Accounts unter einer IP machen - quasi dar Gegenentwurf zum Account sharing 😅

Die Restlichen Punkte verstehe ich nicht ganz. genattet wird doch immer sobald man eine Public IPv4 hat und ein internes LAN, und warum Portforwarding nicht möglich sein soll sehe ich auch nicht. Aber klar, nicht jeder Bewohner wird einen Root Zugriff auf die Firewall haben; wenn jemand Portforwarding braucht muss es zentral eingestellt werden. Und was meinst du mit Filterung von Traffic?

Im Prinzip hat jedes Top sein VLAN und geht direkt über ein einfaches NAT bei der Firewall raus.

Ja stimmt der Uplink Switch zu den Tops ist ein Single Point of Failure, aber zu den Tops gibt es jeweils nur 2 Glasfaser Leitungen (Up&Down), wüsste nicht wie ich das anders machen kann und auch noch bezahlbar bleibt. 😀

Habe mir überlegt hier 2 Mikrotik Switches mit ebenfalls Mikrotik mini Switch auf der Gegenseite zu installieren und dann die Access Points. Was würdet ihr für Switches nehmen? Von Edgecore gibts da leider nichts mit OpenNetworking..

es sind 48 Appartements und es werden vermutlich nicht alle mit einem Access Point versorgt. Es sollte also ein 48 Port oder 2x 24Port SFP Switches reichen

@aqui: ist edgecore annehmbar für den Core und Gewerbe? 🤔

Es sind nur noch 2-3 Wohnungen frei, die Mieter wissen dass es ein gemeinsames Hausnetzwerk+Internet zur Miete dazugibt. Theoretisch kann sich aber jeder Mieter einen eigenen Anschluss dazubuchen.

Das reicht theoretisch erstmal, das jede Wohnung gleichzeitig einen Full HD Stream schauen kann, was aber sicher nie vorkommt und mit QoS sollte man steuernd eingreifen können, dass nicht einer die ganze Bandbreite für sich beasprucht. Aber ich werde selber dort einziehen und habe mittelfristig nichts dagegen wenn wir auf 10Gbit upgraden 😉


Wie gesagt die Mieter wissen das und können optional einen eigenen Anschluss machen (eigene Anschlüsse dafür gehen in jede Wohnung)


Spricht ja nichts dagegen einen VPN Server zu installieren, der mit Zertifikat / Bentzerkennung auch jeweils in sein VLAN geroutet wird..


ja das könnte noch ein Thema werden..


Das Service ist in der Miete drinnen, aber ob das organisatorisch anstrengend wird steht auf einem anderen Blatt.. Die anstrengenden User werden freundlich gebeten sich einen eigenen Anschluss zu organisieren ☺️

Gar nicht. Es gibt einen zentralen VPN Server auf der Firewall, welcher anhand der Radius Benutzer Authentifizierung die Leute direkt in ihr VLAN routet. Habe ich zwar so noch nie gemacht, sollte aber laut Anleitungen zumindest mit OpenVPN möglich sein. bezüglich Wireguard müsste ich noch etwas recherchieren.
Also meine Idee ist 1 VPN Server, 1 Port, 1 public IP


Das klingt schon fast lustig solange man selber nicht betroffen ist 😅

Kann jemand etwas zu den geplanten Herstellern für ein Netzwerk dieser Größenordnung sagen?
Edgecore Switches für Core und Gewerbe, Edgecore oder Unifi für WLAN (ca 70APs) und [Edgecore|FS.com|Mikrotik] für den Wohungs-Uplink? bzw hat wer alternative Ideen in einem ähnlichen Preisrahmen?

Vielen Dank

Habe bis jetzt nur Erfahrung mit OpenVPN (auch mit MulitSite VPN und Layer2 VPN für Musikstreaming) und bin damit eigentlich auch zufrieden, wollte mir aber das neue und performantere Wireguard mal anschauen. Aber IPsec ist auch eine Gute Idee, vor allem da keine Client Software installiert werden muss. Danke für den Tipp!


Vielen Dank für deine Einschätzung, das Meiste davon war mir schon bekannt, habe aber vereinzelt auch über ganz schlechte Erfahrungen mit Edgecore gelesen, und da ich selber noch keine Erfahrung damit habe, wollte ich mal vorsichtig nachfragen wie es anderen damit geht Der Partner für die Edgecore Hardware ist Stordis.com, das sollte eigentlich passen.

Damit bräuchte ich eigentlich nur noch eine (unabhängige) Einschätzung ob Unifi für ca 70 APs eine gute Lösung ist, oder ob ich bei dieser Größenordung auch mit Edgecore besser fahre..

Gegen einen Wifi Controller habe ich nichts, im Gegenteil: Ich würde mir sogar wünschen, das ein Controller zB das Roaming macht und zentrales Firmware upgrade möglich ist.
Mir würden Edgecore APs mit der OpenWifi Firmware am Besten gefallen. Leider hat Edgecore im Moment noch keine Wifi6E Modelle (nur Wifi6) und die OpenWifi Firmware ist angeblich auch noch nicht so stabil wie die Edgecore Firmware.. (man kann aber später einfach die Firmware ändern)

Für Unifi spricht der Preis, aktuelle Hardware und vorhandene Erfahrung (wenn auch nicht in dieser Größenordnung). Aber ja Vendor Lock sehe ich auch kritisch.

Von welchen Herstellern sprichst du da? Die Edgecore APs sind angeblich baugleich mit irgendwelchen Aruba APs..

ja bin ich.. sollte ich mir die Posting History von aqui ansehen? 😅

Edit: Cisco oder Mikrotik? 🤔

Das klingt nach Unsleashed von Ruckus. Die hatte ich auch schon einmal in einem Projekt. Sind super, aber leider preislich ausser Reichweite..
Naja aktuelle Handys und Laptops haben eigentlich alle Wifi6E. Und bei so einer Investition möchte man zumindest am aktuellen Stand der Technik sein und dann mind. 5 Jahre+ die Hardware verwenden. Oder sehe ich das zu kritisch?
Ich habe lediglich anhand deiner Postinghistory versucht deine Präferenzen zu erkennen (die laut @Visucius scheinbar bekannt ist). Du kannst aber auch einfach schreiben welche Hersteller du verwenden würdest
Aber scheinbar sind das prinzipiell eher die teuren Markenherstellen (Extreme, Aruba, Cisco, Ruckus) obwohl du auch viel zu Mikrotik postest..

Ja klar diese Themen sind immer auch eine Glaubensfrage. Aber ich denke schon, dass man sich auch in einem Forum zu diesem Thema austauschen kann und nicht nur auf den Verkäufer vertraut.
Bezüglich Proof of Concept: die Frage ist für mich weniger ob es funktioniert, sondern wie gut es skaliert. ein Testsetup mit 2-3 Access Points wird mit jedem Hersteller gut funktionieren bzw ist auch Erfahrung mit bis zu 20 Unifi APs vorhanden. Sonst kenne ich noch uralt Cisco (WAP321) und Ruckus (R320) aber im kleineren Setups (ca 10APs).
Aber bei 70 Access Points muss man entweder anderen Leuten vertrauen die das schon probiert haben oder selber 70 APs kaufen und testen..
Was aber ein guter Punkt ist: 802.1x hatte ich noch nie am laufen, dass muss natürlich ordentlich getestet werden bevor man 70 Stück kauft

Das Netzwerk Projekt ist "work in progress" und hoffentlich ab Oktober abgeschlossen.

Die Kerninfrastruktur (Edgecore AS5835 und AS4630) ist bestellt, und wird demnächst getestet.
Ebenso werde ich bezüglich WLAN mit Edgecore EAP-10[1|2] und Unifi U6-[Light|Enterprise] genauere Tests durchführen.

Leider habe ich noch kein Feedback bekommen wie sich denn nun Unifi mit ca 70 APs verhält..

Aber ich dachte mir ich werde regelmäßig den aktuellen Status des Projekts bekanntgeben falls es Leute interessiert.

In diesem Sinne ist das Projekt erst ab Oktober "erledigt"

Vielen Dank für das Feedback!


Kannst du uns verraten was schlussendlich der Grund für den Wechsel war?
Performance? bessere Kompabilität (mit Packetfence)? Politik? zu viel Budget?

Packetfence kannte ich gar nicht, sieht aber interessant aus! Muss ich mir bei Gelegenheit genauer ansehen..

Nachdem ich Moment auf die Switch Hardware und ein paar Edgecore Access Points warte, habe ich mich bezüglich Firewall weiter informiert.

Und wie das oft so ist, je genauer man hinsieht desto verschwommener wird es..

Eigentlich war klar, dass ich pfSense auf einem Netgate 1537 verwende - bis ich bemerkt habe, dass die D-1537 CPU schon 8 Jahre alt ist..
Naja dann habe ich die Nachfolger Generation D1700 entdeckt, fehlende Treiber für die SoC SFP+ Ports der D1700er Serie mit FreeBSD 12 (pfSense bis inklusive 2.6), wieder einen genaueren Blick auf OPNsense geworfen (FreeBSD 13), erfahren dass es Intel QAT gibt und Stichwörter wie VPP/DPDK aufgeschnappt, und dann bemerkt dass ich mich etwas verlaufen habe 😅

Damit ich wieder etwas Orientierung finde habe ich eine Feature Vergleichsliste mit 6 verschiedenen PCs für die Firewall erstellt (DEC3850, Netgate 1537, Netgate 6100, Supermicro mit C3958 / D-1736NT / D-1718T): https://cloud.nett.media/s/iBsx8GCZaNZsosF (online Tabelle)

Meine Überlegung: Wir haben im Moment zwar nur einen 500Mbit Uplink aber die 10Gbit Uplink Variante ist nicht viel teurer, und die Hardware sollte damit umgehen können (10Gbit wird vermutlich kommen, wenn auch noch nicht gleich).
Eigentlich hat nur der Supermicro mit Atom C3948 mehr als zwei 10Gbit Schnittstellen, aber der hat wiederum von der Rechenpower (CPU Mark) nur die Hälfte des Xeon D-1537, was ev für Intrusion Detection System (IDS) / Intrusion Prevention System (IPS) zu wenig ist..

Also zurück zum Start und beim Netgate 1537 bleiben und bei Bedarf eine Netzwerkkarte rein? Oder doch auf die aktuelleren Xeon D1736NT/1718T setzen mit OPNsense/pfSense 2.7? Wie wichtig ist QAT wenn VPN nicht exzessiv verwendet wird?

Was meint ihr dazu?

So Oktober ist schon lange vorbei und das Netzwerk Projekt ist noch immer nicht abgeschlossen 🙈

Trotzdem werde ich mal einen Zwischenbericht liefern

Die Hardware:

• OPNsense Firewall mit Supermicro MBD-X12SDV-4C-SPT4F-O (D-1718T CPU) im High Availibility Setup
• Core Switches mit Edgecore AS5835-54X
• Leaf Switches teilweise mit Edgecore AS4630-54P und Unifi USW-Pro-48-POE (weil Edgecore in manchen Positionen zu laut..)
• WLAN mit Unifi U6+ und Unifi Enterprise Access Points und U6 Mesh aussen (war einfach um die Hälfte billiger..)
• je nachdem ob in den Wohnungen Ethernet Verkabelung gewünscht wurde oder nicht (die meisten haben nur WLAN) wurde ein FS.com PoE Medienconverter oder ein Zyxel GS1350-6HP verwendet um die Access Points in den Wohnungen anzubinden.

Status:


Wie erwartet reicht es großteils aus, nur jede 2te Wohnung mit WLAN zu versorgen um trotzdem Flächendeckend Empfang zu haben.

OPNsense Firewall funktioniert mit 10Gbit SFP+ Modulen, aber nicht mit 25Gbit DAC Kabel von FS.com (Core Switch hat ein 100Gbit->4x25Gbit DAC Breakout Kabel und Server und Leaf Switch funktionieren damit auch, nur die Firewall Hardware erkennt es nicht - vielleicht auch ein Treiber Problem von FreeBSD..).
Das High Availability Setup empfinde ich etwas "shaky", aber für minimale bis keine downtime auch bei firmware upgrades dann doch sinnvoll.

Die Edgecore Switches mit SONiC brauchen schon eine gewisse Einarbeitungszeit damit alles halbwegs so läuft wie gewünscht. Vor allem Multi Chassis Link Aggregation lief nicht auf Anhieb und die CARP IPs von der Firewall brauchten spezielle Einstellungen auf den Switches.

Bezüglich Software Architektur habe ich mich gegen Layer 3 entschieden und alles auf Layer 2 gemacht (weniger robust im Fehlerfall, aber einfacher in der Konfiguration und mehr Kontrolle über die VLANs auf der Firewall).
Die Firewall hat ~80 VLANs (mit 80 CARP IPs, 80 DHCP Server, 80 Firewall Rules, etc ). Da ich nicht alles händisch konfigurieren wollte, habe ich die config.xml exportiert , mit python scripts die snippets erzeugt, in die config eingefügt (https://github.com/nett-media/opnsense-config-generator) und dann die config.xml wieder importiert.

Bei Unifi habe ich auch die VLANs automatisiert erzeugt (https://gist.github.com/stif/7530c9234fd5b1343539e840b8d2eeb2) bin aber auf ein 64 VLAN Limit gestoßen, welches sich mit einem Eintrag in die system.properties umgehen lies (https://community.ui.com/questions/No-more-than-63-VLANs-possible/14f339 ..)

Es gibt 3 verschiedene WLAN SSIDs im ganzen Haus (Member, Guest und IoT).
Die Authentifizierung und VLAN Zuordnung passiert beim "Member" WLAN über WPA2 Enterprise mit Radius.
Beim "IoT" WLAN passiert die Authentifizierung über Standard WPA2 mit Passwort und die VLAN Zuordnung wird anhand der MAC Adressen über Radius gemacht.

Über Ethernet Kabel passiert die VLAN Zuordnung noch händisch per Port (auch hier ist bei den "öffentlichen" RJ45 Ports im CoWorking 801.x angedacht aber noch nicht implementiert).
Somit kommt jeder User im ganzen Haus in sein persönliches VLAN.

Was noch wichtig war/ist: ich muss im Unifi Controller Wifi Meshing deaktivieren, da sonst trotz aktivierten "Rapid Spanning Tree" schleifen im Netzwerk entstehen und dann alles steht (der große Nachteil des Layer 2 Ansatzes..)

Die Geschwindigkeit unseres symetrischen 500Mbit Uplinks ist eigentlich sehr gut :
Die Hardware ist aber trotzdem vorbereitet auf einen 10Gbit uplink, obwohl der vermutlich nicht so schnell kommen wird.
Multiple Zoom/Teams/etc Meetings funktionieren problemlos, Netflix&Co auch.

Neben den ganzen physischen Problemen (Netzwerk Rack zu wenig tief, kein Platz wegen zuviel Kabel Überlängen, etc) die ich hatte, gibt es aber auch Software technisch noch einige Baustellen:

Grundsätzlich läuft das Netzwerk sehr gut und die Leute sind auch sehr zufrieden, aber manchmal läuft ein Client Device Amok und bombardiert die Firewall mit DHCP Requests. Dann kann es passieren dass neue Clients zeitweise keine IP bekommen. Da bin ich am abklären mit dem Support von OPNsense und Edgecore, aber im Moment ist noch keine Lösung in Sicht 😢

Die zweite Baustelle ist VPN. Bis jetzt habe ich immer mit OpenVPN gearbeitet, aber nach dem input von @aqui:
Habe ich IPsec /IKEv2 mit dem neuen "connections" Ansatz probiert: https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-msch ...
Als Abwandlung vom obigen Tutorial habe ich unter Remote Authentication von "EAP-MSCHAPv2" auf "EAP RADIUS" umgestellt.
Hat auch prinzipiell geklappt, aber der Teufel steckt im Detail. Wenn ich Methode2 (statische IP pro User also kein "EAP id=%any") verwenden möchte um jeden User nur in sein VLAN zu lassen, geht das zumindest mit den Windows Boardmitteln nicht mehr und muss erst wieder auf externe VPN Clients wechseln. Außerdem habe ich noch Probleme mit Routing und mehreren "Connections" auf die gleiche WAN URL und irgendwie bin ich bei IPsec noch nicht wirklich zuhause (obwohl ich mir alle wirklich tollen Tutorials von @aqui durchgelesenen habe 👏😆)

Naja soviel zu dem doch nicht so kurzen Update.
Hoffentlich kann ich die letzten Punkte auch bald beheben und das Projekt bald abschließen.

Hi Aqui,

Danke für deine Einschätzung!
Deine Anleitung zum Thema hab ich mir natürlich schon angesehen und getestet und hatte auch große Hoffnung dass es klappen wird.
Leider wird die IP aber nicht übernommen, sondern holt sich die erste freie IP aus dem Pool. Und wenn ich den Pool deaktiviere klappt die Verbindung gar nicht.
Wie es aussieht geht das nur mit den legacy Tunnel settings und nicht mehr mit "Connections/Pools"..

Und auch wenn es klappen würde, habe ich immer noch das Problem das sich jeder Radius User anmelden könnte (wegen %any) und erst durch die Firewall der Zugriff auf die anderen VLANs verhindert wird. Irgendwie nicht schön, ganz abgesehen davon, dass ich dann pro Radius User VLAN ID und IP spezifiziert habe, was auch potenziell zu Problemen führen könnte bei manchen WLAN clients (bei Linux Clients hat der DHCP Server Vorrang gegenüber der Radius IP, andere hab ich nicht getestet..)

Bin also am überlegen, Radius wieder rauszunehmen und auf EAP-MSCHAPv2 mit Pre-Shared-Keys zurückzuwechseln und den NCP client zu nutzten wie in Methode 2 der offiziellen Dokumentation angegeben. Dann müsste ich aber wiederum debuggen warum mehrere "Connections" mit dem gleichen Endpoint "vpn.example.com" nicht funktionieren und warum manche Hosts erreichbar sind und andere nicht.

Oder wirklich zurück zum Start und mit den legacy "Tunnels" mit PhaseI&II aufbauen und testen oder zurück zu OpenVPN..

Viele Möglichkeiten die alle viel Zeit benötigen 🙈

Nein, schon mit Radius.

Ich verwende ja den Radius Server auch für die WLAN Authentifizierung mittels WPA2 Enterprise.

Also im Moment sehen die User Einträge im Radius so aus:

Für den Test mit Radius VPN habe ich "Framed-IP-Address" hinzugefügt mit einer gültigen IP aus dem VPN Address Pool ((VPN->IPsec->Connections->Pool):


und auch ohne der VLAN ID getestet:


Reagiert aber nicht darauf, sondern nimmt immer die erste freie IP aus dem Pool

Das war eher so gemeint, dass jeder Bewohner einen Radius User für das WLAN hat, auch wenn er kein VPN benötigt und außerdem gibt es noch die IoT Geräte bei welchen die MAC Adresse als Radius User und Pass hinterlegt sind..

Daher tendiere ich gerade dazu VPN ohne Radius zu implementieren oder einen weiteren externen Radius nur für VPN aufsetze..

Bei VPN alleine nicht, aber wenn es der selber Radius User für WLAN und VPN ist, ist es sehr wohl relevant. Will nicht dass die User im WLAN die IP welche für VPN gedacht ist bekommen ;)

Zusammenfassend: Werde es nochmal ohne Radius mit EAP-MSCHAPv2 versuchen (VPN->IPsec->Pre-Shared-Key), und wenn ich es nicht schaffe auf OpenVPN wechseln. Ich glaub mit pfsense und openvpn hatte ich mal erfolgreich getestet dass ich keine IP beim Radius User eintragen musste, sondern nur die VLAN ID brauchte um über VPN in das richtige Subnetz zu kommen..

Shame on me, wenn man unter Pools "Radius" einstellt, wird natürlich die IP von Radius übernommen 🙈
Das ändert aber wenig an meinen generellen Bedenken bezüglich zu viele Radius User, MAC Address User und ob irgendwelche Clients komisch reagieren wenn sie sich über WLAN anmelden..

Hatte ein Missverständnis, dachte es könnten sich dann alle Radius User über VPN anmelden (also auch die welche kein VPN benötigen und auch die MAC Address User+Pass Radius Einträge für IoT Wlan) und die Verbindung dann erst über eine Firewall Rule geblockt wird.
Stimmt aber nicht. Es können sich nur die Radius User über VPN anmelden, welche auch eine IP eingetragen haben. Alles Gut hier 👍

Die IP für VPN und die IP im LAN sind ja nicht die gleichen (zB 10.5.33.33/24 für VLAN und 172.16.203.33/32 für VPN).
Wenn die Radius Zugangsdaten für die WLAN Anmeldung verwendet werden, soll der DHCP Server die IP Adresse hergeben. Wenn die Radius Zugangsdaten für VPN verwendet werden, soll die Radius IP verwendet werden.
Muss mal verschiedene Clients durchtesten wie sich die verhalten..