06.01.2021

1946

Netzwerkplanung EFH + Landwirtschaft (Hardware+Umsetzbarkeit)

Hallo zusammen,

nachdem der Hausbau nun fast geschafft ist (außer Garten), will ich den Winter dazu nutzen das aktuell vorhandene Netzwerk auf den zukünftigen "Planzustand" zu bringen.
Zu meiner Person: Bin selber gepr. IT-Entwickler, seit 13 Jahren in der IT als SAP-Entwickler und in Ausbildung und Job teilweise genetzwerkt (CCNA,....). Aber immer nur nebenbei und als "Backup" für die eigentlichen Netzwerk-Admins.

Entschuldig bitte, wenn in der Beschreibung nicht immer der korrekte Fachbegriff genannt wurde ;)

Ist-Zustand:

Die WLAN-Abdeckung in unserem Holzhaus ist stark verbeserungswürdig. Die eingesetzte Hardware ein Zusammenspiel aus noch übrig gebliebenen Teilen alter Projekte im Privat-/Vereinsumfeld. Der Garten/Grundstück ist noch gar nicht mit WLAN versorgt.
Die angrenzende Landwirtschaft (Familienbesitz) (Scheune, Werkstatt und Partyraum/Heizraum) sind nicht miteinander vernetzt. Das heißt für uns:

-> Hackschnitzelheizung noch nicht voll angeschlossen
-> PoE-Kamera-Einsatz noch nicht möglich
-> Partyraum ohne Internet (Fernseher, Gäste-WLAN) schlechte Mobilfunknetzabdeckung
-> Arbeiten in der Werkstatt machen keine Spaß, weil mein Internetradio nur über mobile Daten läuft.
und vieles mehr.

Soll-Zustand - Schritt 1
Priorisiert werden soll der Ausbau im Haus mit Anschlussmöglickeit (Zustand 2)

WLAN: Beschafft wurden von mir Ruckus-APs, welche im Unleashed-Modus betrieben werden. (H510 + R320). Selbst noch nicht konfiguriert, bin ich jedoch von Erfahrungsberichten überzeugt. Etwas längere Zeit wollte ich mal UniFi, davon bin ich weggekommen.

LAN:
Beschafft habe ich aktuell einen Ruckus ICX-7150-c12p. Musste jedoch feststellen, dass dies eine eventuell zu voreilige Kaufentscheidung wart (Anzahl Ports zu niedrig, Layer3) ? Er ist erst seit 2 Tagen bei mir und kann ohne Probleme zurück gesandt werden.

Nach stundelangen stöbern (hier und im Internet) bin ich schon zu 85% überzeugt, dass folgende Modelle Cisco sg220-26p oder TP-Link t1600g-28ps die besseren wären. Jetzt ist der TP-Link End Of Life, würdet ihr denn immer noch empfehlen? Mit 24 Ports, davon einige PoE (Kameras, Access Points) mit max 200W PoE-Leistung ist ausreichend.

Routing
Anhand der vielen Empfehlungen vom Benutzer aqui und der Knowledge-Base hier würde es in meinem Fall mehr Sinn machen über eine pfsense zwischen den VLANS zu routen. (VLAN Client, Gast, Technik)????
Ich habe mir folgendes überlegt:
a) Synology-NAS soll zukünftig (USB-Laufwerke, Lokalen Speicher) also zentrale Netzwerkdatenablage werden. Ich möchte mich auch von OneDrive, Dropbox lösen und die Datenablage zuhause haben für Backups.
b) Synology-NAS soll zukünftig die PoE-Kameras anschließen (surveillance station)
c) Gäste dürfen nur ins Internet.

Firewall
Würde sie mir gerne selber zusammenbauen oder fertig kaufen (Vor China-Bestellungen schrecken ich nicht zurück.)
3 oder 4 Port, sie sollte:
a) zukunftsfähig sein (Upgrad VDSL 50Mbit auf evtl. 100Mbit oder Glasfaser )
b) Genug Leistung für das Routing haben (bezogen auf ein Heimnetzwerk!)
c) Nutzung pfBlockerNG, DPI
d) Will zukünftig Regeln definieren, wer was darf
e) zugriff von Extern (OpenVPN) aufs Heimnetz
f) Verwaltung WLAN-Gastzugänge

@@Soll-Zustand - Schritt 2@@
Erweiterung des Netzwerkes auf Landwirtschaft und Partyraum/Heizraum. Glasfaserleitung durch Leerrohr (DN110 Kabuflex).
Kleiner Switch mit Anschluss für Glasfaser-Uplink zum Anschluss von 1-2 Access Points.
Kennt ihr einen VLAN fähigen kleinen Switch (8 Ports mit SFP-Anschluss) der mit einem Cisco oder TP-Link bei mir im Haus gut harmoniert? PoE wäre auch notwendig. Passen da meine Vorschläge im Bild?

Bräuchte folgende Hilfestellung:
1) Synology in VLAN 20 oder 30? Im 30iger liefe der Zugriff vom VLAN 20 über den Router (pfsense).
2) TP-Link-Switch trotz EndOfLife empfehlenswert?
3) In welches VLAN würdet ihr das NAS reinstellen?
4) Welche pfsense hardware, je länger ich schaue umso unschlüssiger werde ich.

Schönen Feiertag euch

Gruß
Thomas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 638199

Url: https://administrator.de/forum/netzwerkplanung-efh-landwirtschaft-hardware-umsetzbarkeit-638199.html

Ausgedruckt am: 26.06.2025 um 13:06 Uhr

13 Kommentare

Neuester Kommentar

Da hast Du Dir ja was vorgenommen.
Vorab: sollen die vorhandenen Telefone auch im Partykeller oder gar im Garten funktionieren? Dann solltest du Dir dafür auch was überlegen.

zu 1) da dein VLAN 30 die Technik ist und das Synology auch die Kameras verwalten soll bietet sich auch VLAN 30 an.
zu 2) Geschmaksache, ich persönlich würde eher einen D-Link nehmen. EOL ist in sofern schwierig, als daß Du bei einem Defekt ein anderes gerät bekommst und dann mit einem vorher erstellten Backup nichts anfangen kannst. Ansonsten spricht da nichts gegen.
zu 3) siehe 1)
zu 4) die Hardware ist fast egal. Jeder Rechner, der nicht all zu alt ist sollte dafür ausreichen. Nur darauf achten, daß ausreichend Netzwerkkarten vorhanden sind. 3 ist Minimum 1x WAN, 1x LAN, 1x DMZ. Ich habe einen Celeron mit 4 GB RAM laufen. Reicht völlig.

Ansonsten kann man das so machen.

🖖

Von der Hardware bist du perfekt aufgestellt. Dein ICX 7150 ist Stacking fähig ggf. wenn du die Kosten nicht scheust kannst du 2 in einem Full Stack stacken.
Der Switch ist in sofern perfekt als das er ein zentrales Management für das gesamte Netz ermöglicht. Der Unleashed manager der APs verwaltet also auch den Switch gleich mit.
Der zweite wichtige Punkt ist das der ICX eine Full Layer 3 Switch ist also Routing supportet. Das würde die Nutzung einer pfSense zum VLAN Routing völlig überflüssig machen und erspart dir damit ein überflüssiges Gerät und das Management dafür !
Das zentrale Filtern der Werbung und Malware im gesamten Netz kann auch ein Pi-Hole erledigen.
In sofern solltest du einen Tausch des Switches besser überdenken. Würde ich nicht machen... Wenn die Ports nicht reichen kannst du auch über einen LAG einen kleineren z.B. Cisco SG220 an den ICX anschliessen der dir z.B. dann alle nicht PoE Ports bedient. Das wäre letzlich sinnvoller. Oder du tauschst ihn gegen einen 24 Port 7150. Letztlich deine Entscheidung....
Glasfaser Ports haben sie alle so das du dort auch deine Glasfaser Verbindungen terminieren kannst. Firewall Selbstbau ist absolut OK und macht auch Sinn, dann aber indem du damit die FritzBox entsorgst, denn die ist damit ja dann überflüssig.
1.) Ist Wumpe, VLAN IDs sind Schall und Rauch bzw. rein kosmetisch.
2.) Nein, besser nicht. Wenn du schon einen ICX hast ist das wenn du dir zu einem Lamborghini ein Dreirad kaufst. Ob das sinnig ist musst du selber entscheiden.
3.) siehe Punkt 1.)
4.) Für dich reicht ein APU-4 (siehe Tutorial) wenn du mehr Ports brauchst dann ggf. HIER nachsehen.

DPI für 100 und mehr MBit?

Wie hast Du dir das mit ner pfsense vorgestellt?

Zitat von @aqui:

dann aber indem du damit die FritzBox entsorgst, denn die ist damit ja dann überflüssig.

Ist sie nicht, da hier die Telefone angeschlossen sind. Aber man kann ja die pfsense als Exposed Host einsetzen und dann, als Beispiel, zumindest im Haus, das WLAN der Fritte als Gast WLAN nutzen.
Oder gleich eine echte Telefonanlage.

🖖

Die FB kann man dann aber besser als reine VoIP Anlage im internen Netz nutzen wenn man sie wegen der Telefonie nicht ersetzen will. Allemal besser als in einer Kaskade mit doppeltem NAT und Firewalling. Da reicht dann ein übliches NUR Modem an der Firewall.
Sofern man es denn überhaupt will. Die FB mit dem ICX als Layer 3 Switch mit entsprechenden ACLs reicht ja auch allemal in einem Heimnetz. Aber alles wie immer Ansichts- und Geschmackssache. 😉

Guten Abend,

ich hoffe jetzt nicht den kompletten Thread durch ausversehenes Klicken "Zur Lösung" beigetragen schon final abgeschlossen zu haben.... :| Kann das ein Admin rückgängig machen?

- Zweiten ICX 7150-c12 kaufen (scheidet erstmal Budgetechnisch aus, auch wenn ich sie recht billig bekommen habe). Switch gegen 24P tauschen fällt auch aus ;)
- Ich folge deinem Ratschlag den Ruckus-Switch zu behalten und in Zukunft über LAG einen ohne PoE anzuschließen.
- Fritz!Box ist nur noch eine Telefon-Anlage, der Komfort über Fritz!Fons ist schon sehr hoch und reicht uns völlig aus.
- Telefon-Empfang im Partykeller ist nicht notwendig. Nehmen die Fritz!Box-App am Handy.
- Unleashed Manager: Hab schon ein paar Videos auf dem Kanal von CommScope geschaut. Zentrale Verwaltung finde ich sehr gut
- VLAN Routen auf Switch ok. Routing + ACL auf dem ICX.
ok ich les das mal Ruckus Online Hilfe. Ich denke die Extende ACL´s sind genau das, was ich eventuell im pfsense eingestellt hätte.

Jetzt habe ich noch eine Verständnisfrage:
Mal angenommen ich verwende keine pfsense.
a) Fritz!Box nur als DSL-Modem + Telefonanlage ?
b) PiHole direkt am Switch.

-> Welche Vorteile hätte in meinem Fall trotzdem die Verwendung von pfsense?
WLAN Gastportal kann Ruckus Unleashed (so habe ich es verstanden)
Werbeblocker (neutral), da entweder PiHole oder pfBlockerNG
VPN-Verbindung (kann pfsense oder Synology, welche ja eh irgendwann angeschafft wird)

Kann das ein Admin rückgängig machen?

Kannst DU selber als Threadowner machen: Wie kann ich einen Beitrag als gelöst markieren?
FAQs lesen hilft wirklich.

Ich denke die Extende ACL´s sind genau das, was ich eventuell im pfsense eingestellt hätte.

Das ist absolut richtig !

Welche Vorteile hätte in meinem Fall trotzdem die Verwendung von pfsense?

Du hättest eine Stateful Firewall. ACLs sind Prinzipien bedingt nicht stateful.
VPN mit einer Synology ist keine gute Idee, denn dazu müsstest du ein Loch in deine Firewall oder den Router bohren und so immer ungeschützten Internet Traffic in interne LAN Segmente lassen. Es ist also nie eine gute Idee VPNs über interne Server zubetreiben. VPNs gehören immer in den Perimeter auf Router oder Firewall.

Ansonsten ist dein Plan Netzdesign oben ein Bilderbuch Design an dem es nichts mehr auszusetzen gibt. 😉

Zitat von @aqui:
VPNs gehören immer in den Perimeter auf Router oder Firewall.

Oder der VPN-Server steht in einer DMZ hinter Router oder Firewall.

cu,
ipzipzap

Hallo zusammen,
ich stehe nun an dem Punkt, wo an meinem Ruckus ICX 7150-C12P die Ports nicht mehr ausreichen. Gestern habe ich erfolgreich auf FastIron 10.xxxx upgedated. Schöne neue Welt

Jetzt überlege ich:
a) Cisco CBS250-24T-4G für ca 200-300€ oder
b) Kauf gebrauchter Ruckus ICX 7150-48p und meinen Switch in die Werkstatt der Landwirtschaft.

Neu vs gebraucht.....
Was würdet Ihr empfehlen?
Gruß
Thomas

Gestern habe ich erfolgreich auf FastIron 10.xxxx upgedated. Schöne neue Welt

Bedenke das die 10er Version nur noch als L3 Image daherkommt!! Du musst eine bestehende L2 Konfig also in einigen Teilen umstellen! Lesenswert dazu: Netzwerk Erweiterung und Überarbeitung
b.) wäre die deutlich sinnvollere Option weil du beide Switches über eine Full-Stack Konfig stacken kannst und sie dann quasi als einen Switch verwalten kannst. Aber auch ohne Stack bleibst du so im gewohnten Umfeld.
Alternative wäre auch ein 7250 sofern der refurbished preiswerter zu bekommen ist. Wenn du keine Berühungsängste mit den 6430/50 Modellen hast auch die. Allerdings entfällt dann die Stacking Option durch den Modellunterschied.

Hi @aqui,
ich konfigurere gerade meinen Switch neu. Nach dem oben verlinkten Tutorial von dir.
Alles soweit in Betrieb konfiguriert und viel dazu gelernt die letzten 4 Tage.

Current configuration:
!
ver 10.0.10f_cd1T213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
  stack-port ethernet 1/3/1
  stack-port ethernet 1/3/2
!
!
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name Client by port
 untagged ethe 1/1/3
 spanning-tree
!
vlan 20 name Gast by port
 untagged ethe 1/1/4
 spanning-tree
!
vlan 30 name Management by port
 untagged ethe 1/1/5
 spanning-tree
!
vlan 178 name Koppelnetz by port
 untagged ethe 1/1/11
 spanning-tree
!
!
!
!
!
ip route 0.0.0.0/0 192.168.178.1
!
!
clock summer-time
clock timezone europe CET
jumbo
hostname ICX7150-C12P
ip dns server-address 192.168.178.1
ip multicast passive
ip multicast version 3
!
!
ntp
 server 192.168.178.1
!
!
!
!
!
!
!
!
!
interface management 1
 ip address 192.168.250.250 255.255.255.0
!
interface ethernet 1/1/3
 port-name VLAN10
 no inline power
!
interface ethernet 1/3/1
 speed-duplex 1000-full
!
interface ethernet 1/3/2
 speed-duplex 1000-full
!
interface ve 1
 port-name VLAN-1
 ip address 192.168.1.250 255.255.255.0
!
interface ve 10
 port-name VLAN-10
 ip address 192.168.10.250 255.255.255.0
!
interface ve 20
 port-name VLAN-20
 ip address 192.168.20.250 255.255.255.0
!
interface ve 30
 port-name VLAN-30
 ip address 192.168.30.250 255.255.255.0
!
interface ve 178
 port-name VLAN-178
 ip address 192.168.178.250 255.255.255.0
!
!

!
!



!
!
!
!
!
service local-user-protection
username super password 8 $1$y2RizKeS$hLuQYAZBGkqwBfQITOmkd1
username Thomas password 8 $1$Gn3EIaB2$dCkQXuhIce561Y1IhJQfy0
username ruckus password 8 $1$mOuKyObU$nY3VoqV7TgbgQYtFWONwr1
!
aaa authentication login default local
!
aaa authentication web-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool vlan10
 network 192.168.10.0 255.255.255.0
  lease-count 199
  excluded-address 192.168.10.200 192.168.10.254
 lease 1 0 0
 option routers 192.168.10.250
 option domain-name vlan10.internal
 option domain-name-servers 192.168.178.1
!
!
ip dhcp-server pool vlan20
 network 192.168.20.0 255.255.255.0
  lease-count 199
  excluded-address 192.168.20.200 192.168.20.254
 lease 1 0 0
 option routers 192.168.20.250
 option domain-name vlan20.internal
 option domain-name-servers 192.168.178.1
!
!
ip dhcp-server pool vlan30
 network 192.168.30.0 255.255.255.0
  lease-count 199
  excluded-address 192.168.30.200 192.168.30.254
 lease 1 0 0
 option routers 192.168.30.250
 option domain-name vlan30.internal
 option domain-name-servers 192.168.178.1
!
!
!


!
web-management session-timeout 3600
!
ip ssh timeout 30

!


!
snmp-server contact "Thomas Thummert"  
snmp-server location "Hoechstaedter Strasse 11"  
!
manager registrar
manager port-list 987
!
cli timeout 0
!


!


!

end

Gemäß deinen Empfehlungen von hier Verständnissproblem Routing mit SG300-28. teste ich nun die Einstellungen.
1) DHCP-Adresszuweisung VLAN 10 --> NB wurde korrekte IP zugewiesen
2) Ping auf Switch-Gateway des VLANs 192.168.10.250 --> Erfolgreich
3) Ping auf anderes Switch-Gateway von VLAN 20 192.168.20.250 --> Nicht erfolgreich

Ich sehe den Fehler gerade nicht, könntest du mir einen Hinweis geben?
Ich habe lediglich das "alte" Koppel-VLAN 99 entfernt, ein neues 178 angelegt und alle folgenden Einstellungen nachgezogen. Der Grund war ein unterbrechungsfreier Übergang/Migration aller Geräte von Fritz!Box auf den ICX-Switch

Gruß
Thomas

Du solltest ggf. noch einmal deine SNMP Daten anonymisieren sofern sie das nicht sind.

Deine Konfig ist soweit OK. Alles richtig gemacht! 👍
Was dein "Problem 3" anbetrifft ist deine Frage bzw. Vorgehensweise leider etwas unklar.

Pingst du von einem Client im VLAN 20 oder aus einem anderen VLAN und welche Ziel IP pingst du?
Du schreibst "anderes Gateway". Was genau ist damit gemeint? Ein anderer Router im VLAN 20? Ein anderer Router in einem der anderen VLANs?

Die logisch richtige Änderung von 99 auf 178 ist de facto nicht das Problem. Wenn du die FB aus allen VLANs pingen kannst ist das alles richtig.
Bedenke das wenn kein aktiver Port im VLAN 20 ist du das VLAN Interface 20 auch nicht pingen kannst. Ist auch irgendwie logisch, denn wenn es keinerlei aktive Geräte in so einem VLAN gibt ist das ganze VLAN ja inaktiv.

Wenn es das denn nun war als Lösung bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?

Frage Netzwerke

Heiß diskutiert