Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Welche Netze habt Ihr? Trennung von Gerätegruppen. MultiSSID Accesspoints?

    Scheduled Pinned Locked Moved Deutsch
    38 Posts 8 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      athurdent
      last edited by

      Joh, meine Streaming Boxen etc habe ich auch alle per Kabel verbunden. Beim Einzug hab ich damals überallhin zumindest ein Kabel gezogen, das war ne gute Idee. Was sich per Kabel anbinden lässt, sollte auch möglichst so angebunden werden.

      Das mit den überlappenden Kanälen liegt aber schon auch an den Herstellern/Providern. Ich glaube kaum, dass unsere neuen Nachbarn, die laut eigener Aussage neulich "WLAN bekommen" haben, da viel mehr gemacht haben als den Code von unter der Vodafone Box in das Handy zu tippen. Aber Ihr habt recht, die 5GHz WLANs nehmen leider zu. Meist sind sie aber auf den unteren 4 Kanälen, zumindest wenn es keine Firmeninstallationen sind.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Das mit den überlappenden Kanälen liegt aber schon auch an den Herstellern/Providern.

        Da würde ich dir ja theoretisch recht geben, aber praktisch legt sich ein AP in AUTO Einstellung von selbst eigentlich nicht in Zwischenbänder wie 2,3,5 o.ä. rein, eben weil die Automatik weiß, dass sie bei 1,6,11 brav +2/-2 Bänder für störungsfreien Betrieb offen lassen sollte :( Ich verstehe daher eh nicht, warum die APs seit Jahren die Freiheit geben das zu selektieren, wenn jeder mit etwas tiefergehender Ahnung von Funk und Wellen sofort frenetisch den Kopf schüttelt und sagt die Bänder sollen sich nicht überlagern/stören. Warum dann nicht die APs auch auf 1/6/11 oder notfalls noch 1/5/9/13 soweit möglich limitieren, dann hätte man zwar multiple APs auf einem Kanal, aber die können sich dann wenigstens ordentlich die Bandbreite teilen und stören sich bei der Frequenz nicht.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • B
          BigChris
          last edited by

          Ich will das AC eigentlich nicht wegen der höheren Geschwindigkeit, sondern weil 2,4GHz WLAN und Bluetooth sich in einem Gerät manchmal gegenseitig stören.

          1 Reply Last reply Reply Quote 0
          • magicteddyM
            magicteddy
            last edited by

            Moin,

            @BigChris:

            …Nutzt Ihr Accesspoints mit MultiSSID und VLAN? Was kann man empfehlen an AC Geräten? Ubiquiti AC-Lite? Oder kann man auch mit günstigeren Geräten seine Freude haben?

            Ich hatte den AC Lite eine Weile im Einsatz bis ihn mir ein Kumpel abgequatscht hat und ich aus Spieltrieb den AC Pro gekauft habe, für den täglichen Einsatz mit Smartphone, Tablett und Labtop ist der Lite eigentlich vollkommen ausreichend. Er lieferte eine bessere Funkabdeckung als jede Fritte oder mein Archer C7. Er deckte als alleiniger  AP die Wohnung komplett ab wo ich vorher immer 2-3 im Einsatz hatte. Du bist halt auf maximal 4 SSIDs beschränkt.

            Momentan habe ich 4 SSIDs im Einsatz:  Lan, Gastnetz, Kind 1 und Kind 2. IoT Geräte habe ich überwiegend verkabelt und z.Z. im LAN da open Source Projekte. 2 closed Source Geräte habe ich im Gastnetz vom LAN isoliert. Sobald eine SSID durch Auszug frei wird kommen alle IoTs in ein eigenes VLan.

            -teddy

            @Work Lanner FW-7525B pfSense 2.7.2
            @Home APU.2C4 pfSense 2.7.2
            @CH APU.1D4 pfSense 2.7.2

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Momentan habe ich 4 SSIDs im Einsatz:  Lan, Gastnetz, Kind 1 und Kind 2

              Ohne zu weit OT zu gehen: Du weißt, dass du SSIDs "sparen" kannst, wenn du eine SSID mit Radius based VLANs nutzt? :) Einfach auf WPA2 Enterprise mit User/Passwort Login umstellen und jedem User per Radius dann das gewünschte VLAN verpassen -> Tadaa :D

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • magicteddyM
                magicteddy
                last edited by

                Moin Jens,

                habe ich schon von gelesen ;)
                Da aber im Gastnetz nicht sonderlich viel los ist habe ich es aus Bequemlichkeit nicht weiter verfolgt.
                So kann ich, bei Bedarf, per FHEM eine oder beide SSID abschalten, quasi als Not-Aus, wenn die Zwerge nicht auf Muttis Wünsche reagieren und der Admin gerade nicht greifbar ist weil er sich mal wieder in die Spätschicht verpieselt hat :o

                -teddy

                @Work Lanner FW-7525B pfSense 2.7.2
                @Home APU.2C4 pfSense 2.7.2
                @CH APU.1D4 pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • A
                  athurdent
                  last edited by

                  Warum nicht einfach feste DHCP Leases für die Geräte der Kinder vergeben, einen Alias pro Kind einrichten und eine entsprechende Allow Regel mit diesem Alias schreiben? Die Regel kannst Du bei Bedarf manuell oder automatisch mit dem Scheduler abstellen.
                  Weiterer Vorteil: so könnt Ihr auch noch mehr Kinder bekommen :)

                  1 Reply Last reply Reply Quote 0
                  • U
                    un1que
                    last edited by

                    Welchen Vorteil hat man, wenn man bspw. Smart-TV's in ein separates VLAN verbannt? Ich meine, wenn man etwas gegen jede Art von ausspionierung hat, dann sollte man dem Fernseher doch gleich den Internetzugang abdrehen. So ist man dann auch sicher gegen Hacker Angriffe auf seinen TV geschützt.

                    Aber VLAN wäre doch nur eine halbe Sache oder nicht? Denn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

                    1 Reply Last reply Reply Quote 0
                    • jahonixJ
                      jahonix
                      last edited by

                      Smart-TVs wurden genannt und sind daher in der Diskussion.
                      Viel entscheidender erachte ich die diversen Geräte des Smarthomes/IoT/…, die zum Teil erheblichen Broadcast-Traffic verursachen. Und die Geräte (wie Crestron Prozessoren), die damit nicht besonders gut umgehen können. Ich kann einen Crestron Control-Prozessor zum rebooten bringen, wenn ich ihn nur mit genügend UDP Traffic beschieße (*). Das kommt dann einem denial-of-service Angriff gleich.
                      Daher ist es sinnvoll, solche Geräte oder Gerätegruppen voneinander zu trennen. Beschränkt auf Smart-TVs ist das nicht, das war ein Beispiel mit hohem Verbreitungsgrad.

                      (*)
                      wenn der Prozessor zu viele UDP-Pakete bewerten und wegschmeißen muss, dann fehlt ihm die Zeit für interne Prozesse. Das bekommt der Watchdog mit und bootet das Gerät vorsorglich neu, da es ja scheinbar nicht mehr reagiert.

                      1 Reply Last reply Reply Quote 0
                      • B
                        BigChris
                        last edited by

                        enn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

                        Daher muss man drüber nachdenken, was man an "Komfort" will und wie viel Sicherheit man bereit ist dafür aufzugeben.

                        1 Reply Last reply Reply Quote 0
                        • X
                          xidendt
                          last edited by

                          Ich plane einige Netzwerke mit meinem apu2

                          Ich betreibe ein Netzwerk für 2 Personen, 6 Gästehäuser, wlan, media Netzwerk und eins für Überwachungskameras.

                          Meinen Kumpel mit seine Windows Kisten und allen anderen ( ich telefoniere nach hause) Geräte inklusive allein mobile device habe ich in einem eigenen Vlan weg gesperrt.
                          Ich betreibe ausschließlich Linux und habe meine mobilen Geräten ebenfalls separiert, also noch mal 2 Netzen.
                          Eins für die Media Geschichte und Fernseher, eins für die Überwachungskameras und nochmal eins für die Gästehäuser.

                          Insgesamt 6 getrennte Netzwerke, teils über Vlan Lösung.

                          Bin leicht fanatisch was Sicherheit angeht, daher alles getrennt was ich nicht kontrollieren kann von meinen internen Netzwerk.
                          Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen, zumindest wäre dann keine Manipulationen durch Laien möglich.

                          1 Reply Last reply Reply Quote 0
                          • jahonixJ
                            jahonix
                            last edited by

                            @xidendt:

                            Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen

                            Das könntest Du über Port-security der Switche machen, ist dann aber schon ganz schön Fort-Knox…

                            1 Reply Last reply Reply Quote 0
                            • magicteddyM
                              magicteddy
                              last edited by

                              @arthurdent

                              klar geht das, ist mir auch alle klar, aber so können sie in "ihrem" Netz ranhängen was sie wollen, wenn sie meinen einem Freund den Zugang zu gewähren bitte, ihre Verantwortung (Nutzungsvertrag existiert!), auch das sollen sie begreifen und lernen, das klappt auch sehr gut. Sie müssen nur kurz Bescheid geben das ich die Mac Zügel am Switch lockere. Zudem kann ich jedem Interface per Traffic Shaper Grenzen auferlegen die sie sich dann ggf. mit ihrem Freund teilen müßen, ohne das Mutti wie ein tasmanischer Teufel durch die Bude tobt weil das Fratzenbuch laggt  ;) Machmal habe ich das Gefühl Home Admin zu sein ist die Grundausbildung für Diplomatie  :P dabei bin ich eher der Poltergeist. Noch mehr Kinder? Wir sind froh das die Beiden jetzt 14 & 17 sind, jetzt noch mal wieder von vorne Anfangen ???

                              -teddy

                              @Work Lanner FW-7525B pfSense 2.7.2
                              @Home APU.2C4 pfSense 2.7.2
                              @CH APU.1D4 pfSense 2.7.2

                              1 Reply Last reply Reply Quote 0
                              • X
                                xidendt
                                last edited by

                                @jahonix:

                                @xidendt:

                                Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen

                                Das könntest Du über Port-security der Switche machen, ist dann aber schon ganz schön Fort-Knox…

                                Danke, werde ich mich doch gleich mal damit befassen.

                                Fort Knox finde ich toll, nicht das ich groß etwas zu verheimlichen hätte. Ich habe etwas dagegen meine Daten ungefragt mit der Welt zu teilen.

                                1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator
                                  last edited by

                                  @arthurdent

                                  Warum nicht einfach feste DHCP Leases für die Geräte der Kinder vergeben, einen Alias pro Kind einrichten und eine entsprechende Allow Regel mit diesem Alias schreiben?

                                  Weil die Zwege mitunter gar nicht doof auf den Kopf gefallen sind und sowas rausbekommen und ändern können ;) Jaa natürlich kann man die Recht beschneiden etc. aber naja. Und jedes Gerät der Kids per MAC einzufangen ist gar nicht so leicht mitunter. Handy, Handheld Console, Laptop etc., da ist ein eigenes Kids VLAN mitunter wirklich einfacher :)

                                  …mehr Kinder

                                  DAS allerdings ist immer gut :D

                                  @un1que

                                  Welchen Vorteil hat man, wenn man bspw. Smart-TV's in ein separates VLAN verbannt? Ich meine, wenn man etwas gegen jede Art von ausspionierung hat,
                                  dann sollte man dem Fernseher doch gleich den Internetzugang abdrehen. So ist man dann auch sicher gegen Hacker Angriffe auf seinen TV geschützt.

                                  Prinzipiell nicht doof, praktisch gibts einige seltsame TVs die das brauchen, andere möchte oder muss man ggf. updaten wegen TV Tuner etc. und muss damit ein Firmware update machen. Dann ist eigenes VLAN und Block Regel, die man dann temporär aufheben kann, einfacher.

                                  Aber VLAN wäre doch nur eine halbe Sache oder nicht? Denn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

                                  Warum nicht? Man kann den Zugriff AUF den TV VON anderen VLANs ja durchaus an lassen, das heißt ja aber nicht dass der TV VON sich aus ins Internet was senden darf :) Und das geht im eigenen VLAN einfacher abzuriegeln als wenn man ihn auf eigene feste IP zwingen müsste und diese dann aus dem LAN rausblockt. Da kann immer mal was dazwischen kommen. IP ändert sich nach Firmware Update auf DHCP, jemand verstellts, ändert die Regel etc.

                                  @xidendt:

                                  Bin leicht fanatisch was Sicherheit angeht, daher alles getrennt was ich nicht kontrollieren kann von meinen internen Netzwerk.
                                  Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen, zumindest wäre dann keine Manipulationen durch Laien möglich.

                                  So fanatisch finde ich das gar nicht. Gerade im InternetofTimebombs weiß man mitunter gar nicht, welches Gerät das nächste ist, welches irgendeinen Mist macht.
                                  BTW: Dein Wunsch nach MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten ;)

                                  @magicteddy:

                                  Admin zu sein ist die Grundausbildung für Diplomatie  :P dabei bin ich eher der Poltergeist. Noch mehr Kinder? Wir sind froh das die Beiden jetzt 14 & 17 sind, jetzt noch mal wieder von vorne Anfangen ???

                                  Admin sein heißt immer Diplomat zu sein ;) Willkommen im Job :P
                                  Und beim letzten Absatz noch schlimmer: Stell dir vor es wäre (noch?) ein Mädchen… :D

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    athurdent
                                    last edited by

                                    Weil die Zwege mitunter gar nicht doof auf den Kopf gefallen sind und sowas rausbekommen und ändern können
                                    

                                    Meine Zwerge sind noch zu klein dafür, aber mein Ansatz für später ist:
                                    Estmal so einrichten. Wissen, was passieren kann, überwachen. Wenn das Monitoring anschlägt, Kind gratulieren und nächstes Level einläuten.
                                    So lernen sie wenigstens was. :)

                                    MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten
                                    

                                    Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

                                    1 Reply Last reply Reply Quote 0
                                    • JeGrJ
                                      JeGr LAYER 8 Moderator
                                      last edited by

                                      Wenn das Monitoring anschlägt, Kind gratulieren und nächstes Level einläuten.
                                      So lernen sie wenigstens was. :)

                                      Stimmt :D
                                      Achievement unlocked: "Outbreak" - At least one of your children gained the ability to circumvent a MAC-2-IP address lock-in.

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • jahonixJ
                                        jahonix
                                        last edited by

                                        @JeGr:

                                        …mehr Kinder

                                        DAS allerdings ist immer gut :D

                                        Wie im Arbeitsalltag: üben für den Ernstfall, immer und immer wieder. Und wenn es klappt, dann gleich nochmal!  ;D  SCNR

                                        1 Reply Last reply Reply Quote 0
                                        • jahonixJ
                                          jahonix
                                          last edited by

                                          @athurdent:

                                          Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

                                          Klar. Am einfachsten mit ACLs, die gibt es dort auf MAC- und IP-Ebene (also L2 und L3).

                                          1 Reply Last reply Reply Quote 0
                                          • JeGrJ
                                            JeGr LAYER 8 Moderator
                                            last edited by

                                            @athurdent:

                                            MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten
                                            

                                            Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

                                            Klar. Am einfachsten mit ACLs, die gibt es dort auf MAC- und IP-Ebene (also L2 und L3).

                                            Aaah schön zu wissen. Und das geht ohne extra Lizenz, Erweiterung oder sonstige Extra Tools die wieder mehr kosten? (muss man ja leider fragen ;))

                                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.