7
Umstellung von FritzBox Netzwerk auf Unifi mit VLANs
Hallo zusammen,
der Titel ist etwas allgemein gehalten aber ich habe ein paar gesammelte Fragen bezüglich meines Umzugs vom "all in one" Netzwerk auf vLANs.
Ich wollte schon eine ganze Weile mein Heimnetzwerk mit vLANs strukturieren, jedoch scheitere es bis jetzt immer an der Hardware. Ich war an die Fritzbox gebunden, was sich mit der Umstellung demnächst auf Glasfaser ändert. Dafür habe ich mir im Vorfeld einen Unifi Cloud Gateway Ultra (gibt es zur Zeit wieder) geholt, da mein WLAN bereits über Unifi APs aufgespannt wird.
Ausgangslage:
- Fritzbox,
- div. Switches (managed und unmanaged),
- die üblichen Heimgeräte PC, Tablet, xBox, Drucker
- IoT Sachen wie Alexa und Co.
- Heimserver auf MiniPC mit Proxmox
- VPN Zugriff über die Fritzbox für Notfälle
Auf Proxmox läuft:
- Homeassistant in einer VM
- Unifi Controller für die Switches und APs (kann dann entfallen) im LXC
- Nginx Proxy Manager (hauptsächlich für Homeassistant von extern) im LXC
- MariaDB für Homeassistant im LXC
Wie ich die VLANs in Unifi grundsätzlich einrichten muss, weiß ich (hoffentlich).
Dazu gibt es ja genug Tutorials.
Ich habe auch schon ein Tut gefunden, bezüglich VLAN Zuweisung auf dem Proxmox.
Meine Frage zielt eher in die Richtung, was ich wo reinpacke (in welches VLAN) und was ich dann freigebe, damit die Kommunikation untereinander (wo nötig) funktioniert.
1. Wo packe ich z.B. den NPM hin und wie route ich dann weiter? Dieser ist ja eigentlich der Hauptangriffspunkt, weil von außen erreichbar.
2. Überlege auf den Proxmox auch noch Paperless ngx oder so zu installieren. Wo sollte dann der Drucker hin, damit der als Scanner an Paperless senden kann.
3. IoT: Hier nochmals eine Unterscheidung zwischen "muss nur mit dem Internet kommunizieren" vs. muss auch mit anderen IoTs kommunizieren (Homeassistant)
4. xBox: Muss im Normalfall nur ins Internet gelangen. Ich streame aber auch ab und zu lokal auf meinen PC oder das Ipad, da der Hauptfernseher anderweitig blockiert wird. ;)
5. Fritzbox wird als SIP/DECT hinter der Unifi weiter betrieben. Ins Management???
6. Habe auch schon gelesen, dass viele Probleme hatten, wenn IoT und Home getrennt wurden, da dann die Kommunikation, gerade beim neu einrichten, meist fehl schlug. Habe da weniger Angst, da alles über den HA läuft. Der muss aber erreichbar sein. Ich könnte den HA auch nur von extern ansteuern, möchte aber den Zugriff bei Internetausfall nicht verlieren.
Erster Entwurf bzw. eher Idee:
ID1: Management
- Alle Unifi Geräte
- Die Haupt-IP des Proxmoxs ??? Hierzu habe ich unterschiedliche Aussagen
ID2: Home
- Alle PCs, Tablets
- Drucker??? Wegen Paperless in ein anderes Netz?
- xBox wegen lokalem Streaming?
ID3a: IoT - nur extern
- Alexa
- TVs (ich mache keine lokalen Streams)
- div. (Küchen-) Geräte
ID3b: IoT - intern und extern
- Homeassistant (muss wohl hier rein und gleichzeitig auch von Home erreichbar sein)
- MariaDB
- alle IoT Geräte, die mit HA kommunizieren
- xBox??? (evtl. hier rein und besonderen Freigaben oder ganz separieren)
ID4: Server ???
- NPM
- Paperless (oder das in Home???)
- Drucker ???
- xBox ???
ID9: Gastnetzwerk
So, das ist das, was mir aktuell im Kopf rumgeistert.
Werde das auch noch genauer ausarbeiten, wenn ich von euch entsprechenden Input erhalten habe.
Ich möchte das vorher durchplanen, denn ich bin nen Kopf kürzer, wenn bei der Umstellung eine größere Downtime auftritt oder hinterher etwas nicht so funktioniert, wie es vorher ging. Da verstehen einige Personen im Haushalt keinen Spass. ;)
Danke und Gruß
Ghent
der Titel ist etwas allgemein gehalten aber ich habe ein paar gesammelte Fragen bezüglich meines Umzugs vom "all in one" Netzwerk auf vLANs.
Ich wollte schon eine ganze Weile mein Heimnetzwerk mit vLANs strukturieren, jedoch scheitere es bis jetzt immer an der Hardware. Ich war an die Fritzbox gebunden, was sich mit der Umstellung demnächst auf Glasfaser ändert. Dafür habe ich mir im Vorfeld einen Unifi Cloud Gateway Ultra (gibt es zur Zeit wieder) geholt, da mein WLAN bereits über Unifi APs aufgespannt wird.
Ausgangslage:
- Fritzbox,
- div. Switches (managed und unmanaged),
- die üblichen Heimgeräte PC, Tablet, xBox, Drucker
- IoT Sachen wie Alexa und Co.
- Heimserver auf MiniPC mit Proxmox
- VPN Zugriff über die Fritzbox für Notfälle
Auf Proxmox läuft:
- Homeassistant in einer VM
- Unifi Controller für die Switches und APs (kann dann entfallen) im LXC
- Nginx Proxy Manager (hauptsächlich für Homeassistant von extern) im LXC
- MariaDB für Homeassistant im LXC
Wie ich die VLANs in Unifi grundsätzlich einrichten muss, weiß ich (hoffentlich).
Dazu gibt es ja genug Tutorials.
Ich habe auch schon ein Tut gefunden, bezüglich VLAN Zuweisung auf dem Proxmox.
Meine Frage zielt eher in die Richtung, was ich wo reinpacke (in welches VLAN) und was ich dann freigebe, damit die Kommunikation untereinander (wo nötig) funktioniert.
1. Wo packe ich z.B. den NPM hin und wie route ich dann weiter? Dieser ist ja eigentlich der Hauptangriffspunkt, weil von außen erreichbar.
2. Überlege auf den Proxmox auch noch Paperless ngx oder so zu installieren. Wo sollte dann der Drucker hin, damit der als Scanner an Paperless senden kann.
3. IoT: Hier nochmals eine Unterscheidung zwischen "muss nur mit dem Internet kommunizieren" vs. muss auch mit anderen IoTs kommunizieren (Homeassistant)
4. xBox: Muss im Normalfall nur ins Internet gelangen. Ich streame aber auch ab und zu lokal auf meinen PC oder das Ipad, da der Hauptfernseher anderweitig blockiert wird. ;)
5. Fritzbox wird als SIP/DECT hinter der Unifi weiter betrieben. Ins Management???
6. Habe auch schon gelesen, dass viele Probleme hatten, wenn IoT und Home getrennt wurden, da dann die Kommunikation, gerade beim neu einrichten, meist fehl schlug. Habe da weniger Angst, da alles über den HA läuft. Der muss aber erreichbar sein. Ich könnte den HA auch nur von extern ansteuern, möchte aber den Zugriff bei Internetausfall nicht verlieren.
Erster Entwurf bzw. eher Idee:
ID1: Management
- Alle Unifi Geräte
- Die Haupt-IP des Proxmoxs ??? Hierzu habe ich unterschiedliche Aussagen
ID2: Home
- Alle PCs, Tablets
- Drucker??? Wegen Paperless in ein anderes Netz?
- xBox wegen lokalem Streaming?
ID3a: IoT - nur extern
- Alexa
- TVs (ich mache keine lokalen Streams)
- div. (Küchen-) Geräte
ID3b: IoT - intern und extern
- Homeassistant (muss wohl hier rein und gleichzeitig auch von Home erreichbar sein)
- MariaDB
- alle IoT Geräte, die mit HA kommunizieren
- xBox??? (evtl. hier rein und besonderen Freigaben oder ganz separieren)
ID4: Server ???
- NPM
- Paperless (oder das in Home???)
- Drucker ???
- xBox ???
ID9: Gastnetzwerk
So, das ist das, was mir aktuell im Kopf rumgeistert.
Werde das auch noch genauer ausarbeiten, wenn ich von euch entsprechenden Input erhalten habe.
Ich möchte das vorher durchplanen, denn ich bin nen Kopf kürzer, wenn bei der Umstellung eine größere Downtime auftritt oder hinterher etwas nicht so funktioniert, wie es vorher ging. Da verstehen einige Personen im Haushalt keinen Spass. ;)
Danke und Gruß
Ghent
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71237319206
Url: https://administrator.de/contentid/71237319206
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Es gibt generell 2 VLAN Konzepte.
Wie du deine Netze segmentierst ist immer eine individuelle Entscheidung die man als Außenstehender nie vollständig beurteilen kann weil jeder andere Segmentierungs Kriterien hat. Insofern sind solche Fragen immer schwer zu beantworten.
Was natürlich separat ist ist das WLAN bzw. Gästenetz und wenn vorhanden IoT oder Haustechnik weil dort oft höhere Anforderungen an die Sicherheit bestehen.
Management trennt man auch ab wie du schon richtigerweise sagst. Hier liegen die ganzen Management Zugänge der Switches, APs, Server etc.
Wenn man die FB nur noch als Telefonanlage benötigt betreibt man die natürlich nur noch im IP Server Mode intern.
Im Grunde hast du mit der Aufteilung schon alles richtig gemacht.
Eine Downtime muss es nicht geben wenn man das Altnetz als Ganzes als VLAN an der neuen Infrastruktur betreibt. So rennt erstmal alles wie gewohnt weiter und man kann sukzessive im Betrieb Endgeräte in die neuen Netzsegmente migrieren und wasserdicht auf Funktion testen. Sollte wider Erwarten etwas nicht klappen steckt man einfach wieder zurück und sucht in aller Ruhe den Fehler.
So bleibt der der WAF und Hausfrieden immer gewahrt!
- Ein klassisches Layer 2 Konzept mit einem externen Router wie du es vermutlich umsetzen willst. Beispiele findest du hier und hier zu diesem Design.
- Ein klassisches Layer 3 Konzept was aber einen Layer 3 fähigen VLAN Switch erfordert.
Wie du deine Netze segmentierst ist immer eine individuelle Entscheidung die man als Außenstehender nie vollständig beurteilen kann weil jeder andere Segmentierungs Kriterien hat. Insofern sind solche Fragen immer schwer zu beantworten.
Was natürlich separat ist ist das WLAN bzw. Gästenetz und wenn vorhanden IoT oder Haustechnik weil dort oft höhere Anforderungen an die Sicherheit bestehen.
Management trennt man auch ab wie du schon richtigerweise sagst. Hier liegen die ganzen Management Zugänge der Switches, APs, Server etc.
Wenn man die FB nur noch als Telefonanlage benötigt betreibt man die natürlich nur noch im IP Server Mode intern.
Im Grunde hast du mit der Aufteilung schon alles richtig gemacht.
Eine Downtime muss es nicht geben wenn man das Altnetz als Ganzes als VLAN an der neuen Infrastruktur betreibt. So rennt erstmal alles wie gewohnt weiter und man kann sukzessive im Betrieb Endgeräte in die neuen Netzsegmente migrieren und wasserdicht auf Funktion testen. Sollte wider Erwarten etwas nicht klappen steckt man einfach wieder zurück und sucht in aller Ruhe den Fehler.
So bleibt der der WAF und Hausfrieden immer gewahrt!
Danke für die Antwort.
Der erste Layer2 Artikel war mir sogar schon bekannt.
Du meinst also, dass ich erstmal ein VLAN mit der jetzigen IP einrichte und dort alles hin umziehen lasse, so dass alle Verknüpfungen erhalten bleiben.
Dazu hätte ich eine Zusatzfrage: Eigentlich legt man ja einen DHCP Bereich fest (z.B.100-200) und der Rest wird als statische IP in den Geräten eingetragen. Es ist bei FritzBox als auch Unifi jedoch möglich, Geräte, die mit DHCP Auto angeschlossen sind eine feste IP außerhalb des eigentlichen Bereichs (100-200) zu vergeben. Sollte doch eigentlich nicht möglich sein von der Logik her, oder? Kann man das so machen oder ist das eher schlecht?
Der erste Layer2 Artikel war mir sogar schon bekannt.
Du meinst also, dass ich erstmal ein VLAN mit der jetzigen IP einrichte und dort alles hin umziehen lasse, so dass alle Verknüpfungen erhalten bleiben.
Dazu hätte ich eine Zusatzfrage: Eigentlich legt man ja einen DHCP Bereich fest (z.B.100-200) und der Rest wird als statische IP in den Geräten eingetragen. Es ist bei FritzBox als auch Unifi jedoch möglich, Geräte, die mit DHCP Auto angeschlossen sind eine feste IP außerhalb des eigentlichen Bereichs (100-200) zu vergeben. Sollte doch eigentlich nicht möglich sein von der Logik her, oder? Kann man das so machen oder ist das eher schlecht?
Du meinst also
Ja, wie würdest du es denn anders machen wollen wenn du längere Unterbrechungen kategorisch ausschliessen willst?! Alles andere würde doch mindestens ein paar Stunden Downtime bedeuten wenn du auf Schlag alles am Punkt X migrierst. Außerdem hast du dann immer einen "Point of no return". Wie das mit dem häuslichen Friden korrespondiert ist sicher kein Thema eines Administratoren Forums?! Sagt einem aber auch schon der gesunde IT Verstand. Da ist eine sanfte Migration doch deutlich sinnvoller indem du eine Kaskade beteibst und das jetzige Netz komplett wie es ist erstmal so weiterbetreibst und dann wie oben beschrieben sukzessive migrierst. So macht man es ja auch bei Firmennetzen die man segmentiert. Warum sollte es im Heimnetz also anders sein und man nicht bewährte Verfahren setzen?!
Dazu hätte ich eine Zusatzfrage:
Ein IP Adresskonzept vorher zu machen ist zwingend bei einer Segmentierung. Das sollte man also generell immer machen und niemals on the fly Adressen bestimmen.Viele Hersteller verfahren so wie du beschrieben hast, das statische DHCP Reservierungen über die Mac Adresse konfigtechnisch nicht im freien Pool Bereich liegen dürfen. Das ist übliche Praxis und nichts Besonderes und kann natürlich auch logisch immer möglich sein solange man im gleichen IP Netz bleibt. Wie deine UBQT Gruselgurken das handhaben steht sicher im Handbuch.
Wenn du in deinem Adress Konzept z.B. immer den Bereich von .50 bis .99 dafür reservierst hast du doch einen guten groben Rahmen. Die beiden "Enden" des Adressbereiches hast du für feste, statische IPs reserviert, .50 bis .99 für Mac Adress reservierte für DHCP, .100 bis .200 als Pool. Natürlich kann man das an individuelle Bedürfnisse noch anpassen. Passt doch alles...?!
Moin,
also ich habe so ein Projekt vor 6 Monaten gestartet. Da ich die Switche sowieso auswechseln wollte hatte die benötigten neu angeschafft. Somit habe ich den Umbau stufenweise machen können. Das würde ich Dir auch empfehlen, weil dann hast Du wie Aqui noch ein funktionierendes Netzwerk. Kleiner Tip, mach Dir zusätzlich eine Zeichnung damit Du ein Überblick bekommst.
Gruß
also ich habe so ein Projekt vor 6 Monaten gestartet. Da ich die Switche sowieso auswechseln wollte hatte die benötigten neu angeschafft. Somit habe ich den Umbau stufenweise machen können. Das würde ich Dir auch empfehlen, weil dann hast Du wie Aqui noch ein funktionierendes Netzwerk. Kleiner Tip, mach Dir zusätzlich eine Zeichnung damit Du ein Überblick bekommst.
Gruß
Hallo.
Danke für die Beiträge.
Stand seit heute Nachmittag: Habe @aqui 's Tipp befolgt und erstmal auf dem Unifi ein VLAN "Altnetzwerk" eingerichtet, den wichtigen Geräten ihre IPs zugewiesen und dann umgesteckt.
Lief direkt weiter, wie bisher. 3 Minuten Downtime als das Modem sich neu DSL geholt hat.
Soweit erst einmal alles super. Auch mein DECT auf der Fritte nun hinter dem Unifi läuft gemäß Tutorials wie gewünscht.
Auf meine ursprünglichen, speziellen Fragen wurde jedoch noch nicht eingegangen, daher möchte ich es noch nicht als gelöst markieren, bevor alles so umgestellt wurde, wie ich es mir vorstelle. aqui's Beitrag wird auf jeden Fall auch als Lösung markiert, da er einen wertvollen Tipp mir gegeben hat.
Danke für die Beiträge.
Stand seit heute Nachmittag: Habe @aqui 's Tipp befolgt und erstmal auf dem Unifi ein VLAN "Altnetzwerk" eingerichtet, den wichtigen Geräten ihre IPs zugewiesen und dann umgesteckt.
Lief direkt weiter, wie bisher. 3 Minuten Downtime als das Modem sich neu DSL geholt hat.
Soweit erst einmal alles super. Auch mein DECT auf der Fritte nun hinter dem Unifi läuft gemäß Tutorials wie gewünscht.
Auf meine ursprünglichen, speziellen Fragen wurde jedoch noch nicht eingegangen, daher möchte ich es noch nicht als gelöst markieren, bevor alles so umgestellt wurde, wie ich es mir vorstelle. aqui's Beitrag wird auf jeden Fall auch als Lösung markiert, da er einen wertvollen Tipp mir gegeben hat.
speziellen Fragen wurde jedoch noch nicht eingegangen
Bitteschön...1.)
NPM ist das Network Policy Modul (Radius) oder was ist damit gemeint? Wenn das sicherheitsrelevant ist natürlich ins private Netz
2.)
Dahin wo der Drucker am meisten gebraucht wird. Da du ja frei routen kannst ist es Wumpe wo du den plazierst.
3.)
Ist natürlich eine Security Frage. Die die die keinerlei Internet Zugang haben sollen und brauchen isoliert man dann auch vollständig. Das kann man aber auch mit einem entsprechenden Regelwerk innerhalb eines gemeinsamen VLANs machen wo man statische und DHCP Adressen mit subnetz konformer Adressierung trennt und so die statischen mit einer Firewall Regel blockt. Hat ja den gleichen Effekt und den Vorteil das man die Regel schnell mal deaktivieren kann wenn doch mal ein Update aus dem Internet fällig ist. Solche einfachen Binsenweisheiten sollte auch ein Enduser kennen...
4.)
War das ne Frage oder nur ne Info? 🤔
5.)
Ja, wo man sie plaziert ist eigentlich egal. Sie sollte da liegen wo auch die VoIP Endgeräte sind sofern die solche überhaupt hast.
6.)
Probleme gibt es nur wenn Betreiber die IP Protokolle nicht kennen und falsch handhaben mit denen die Komponenten über das Netz kommunizieren. Wenn man sich da informiert und das korrekt handhabt muss man sich in der Tat nicht fürchten!
Danke für deine Antwort.
Hier weitere Erklärung zu meinen aufgeführten Punkten:
(Im Grunde drehen sich alle Fragen um die Sicherheit und Erreichbarkeit)
1. NPM ist ohne den Zusammenhang mit dem Proxmox Teil meines Beitrags natürlich missverständlich. Ich habe auf dem MiniPC eine Proxmox laufen (siehe Startbeitrag). Unter anderem auch einen Nginx Proxymanager (NPM) der mir Zugriff auf meinen Homeassistant von außerhalb bereitstellt (Port 80+443 vom Router auf den NPM). Dieser leitet dann eine Subdomain auf den Homeassistant. Die Frage zielte darauf ab, in welches VLAN ich den NPM am Besten packe, da er als erster Ansprechpartner von außen wohl einer der Hauptangriffspunkte darstellt.
Aktuell hatte ich es z.B. so für den MiniPC gedacht:
Proxmox an sich bleibt im Management VLAN
Homeassistant ins IoT
MariaDB wird aktuell nurvon Homeassistant genutzt. -> IoT
NPM...in ein extra VLAN (Server) oder auch ins IoT???
2. Ok, dann ins Home.
3. Ja ok, verstanden. Ist bei mir eher der Fall "darf nur ins Internet kommunizieren", aber die einzelnen Geräte habe ich auch jetzt schon ohne VLAN gemäß "Einsatzzweck" in IP Bereiche gruppiert.
4. War eigentlich die Frage gemäß meinem VLAN Entwurf. Hier stellte sich die Frage, ob die Xbox eher in HOME oder ins IoT gehört. Werde sie wohl im HOME belassen, denn als geschlossenes System sollte das einigermaßen sicher sein.
5. Aktuell keine VoIP Geräte. Nur DECT. Will auf lange Sicht die Fritze weg haben und es via eines SIP LXCs und direkt aufs Handy regeln. Bisherige Versuche scheiterten aber kläglich. ;) Vielleicht weil die FitzBox bereits verbunden war.
6. Ok. Wie gesagt regelt das eigentlich eh alles der Homeassistant. Von daher richte ich eigentlich nichts via Handy und Co. ein.
Gruß
Ghent
Hier weitere Erklärung zu meinen aufgeführten Punkten:
(Im Grunde drehen sich alle Fragen um die Sicherheit und Erreichbarkeit)
1. NPM ist ohne den Zusammenhang mit dem Proxmox Teil meines Beitrags natürlich missverständlich. Ich habe auf dem MiniPC eine Proxmox laufen (siehe Startbeitrag). Unter anderem auch einen Nginx Proxymanager (NPM) der mir Zugriff auf meinen Homeassistant von außerhalb bereitstellt (Port 80+443 vom Router auf den NPM). Dieser leitet dann eine Subdomain auf den Homeassistant. Die Frage zielte darauf ab, in welches VLAN ich den NPM am Besten packe, da er als erster Ansprechpartner von außen wohl einer der Hauptangriffspunkte darstellt.
Aktuell hatte ich es z.B. so für den MiniPC gedacht:
Proxmox an sich bleibt im Management VLAN
Homeassistant ins IoT
MariaDB wird aktuell nurvon Homeassistant genutzt. -> IoT
NPM...in ein extra VLAN (Server) oder auch ins IoT???
2. Ok, dann ins Home.
3. Ja ok, verstanden. Ist bei mir eher der Fall "darf nur ins Internet kommunizieren", aber die einzelnen Geräte habe ich auch jetzt schon ohne VLAN gemäß "Einsatzzweck" in IP Bereiche gruppiert.
4. War eigentlich die Frage gemäß meinem VLAN Entwurf. Hier stellte sich die Frage, ob die Xbox eher in HOME oder ins IoT gehört. Werde sie wohl im HOME belassen, denn als geschlossenes System sollte das einigermaßen sicher sein.
5. Aktuell keine VoIP Geräte. Nur DECT. Will auf lange Sicht die Fritze weg haben und es via eines SIP LXCs und direkt aufs Handy regeln. Bisherige Versuche scheiterten aber kläglich. ;) Vielleicht weil die FitzBox bereits verbunden war.
6. Ok. Wie gesagt regelt das eigentlich eh alles der Homeassistant. Von daher richte ich eigentlich nichts via Handy und Co. ein.
Gruß
Ghent
