Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anfänger Setup

    Deutsch
    6
    26
    2.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • -flo- 0-
      -flo- 0
      last edited by

      @JeGr:

      Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

      Z.B. ein Netgear GS108E-300PES, gibt's für ca. 36 EUR. Der läuft bei mir seit langem wunderbar. Aber Achtung, Netgear genießt unter den Profis hier keinen guten Ruf. Ich geh' schon mal in Deckung. :-)

      @JeGr:

      3: Jein. Kommt drauf an, wie deine Docker Container konfiguriert sind, welche IP/Port Kombinationen genutzt werden. Theoretisch könnte man das via HAProxy und DNS abdecken, könnte aber ein wenig kniffliger in der Konfiguration werden.

      Wäre http(s)://<reverse-proxy>/<service> (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.

      Ich denke das müßte aber auch mit http(s)://rss.whatev.er gehen, nur daß man dafür Einträge im DNS Forwarder oder Resolver braucht.

      @JeGr:

      Ich würde einfach einen Ubiquity Access Point nehmen (AP-AC-LR oder AP-AC-PRO, ich hab den LR/Longrange genommen wegen besserer Abdeckung, das bisschen "Speed" mehr, was der PRO könnte, können bei mir eh wenig Geräte und die haben meist LAN).

      Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af – anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)</service></reverse-proxy>

      1 Reply Last reply Reply Quote 0
      • M
        mims
        last edited by

        Vielen Dank für Eure Infos =)

        Da würde ich ggf. drüber nachdenken - wenns eine APU/billig bleiben muss - mir eine APU2 zu ordern, ist das gleiche Gehäuse etc. somit kannst du dir das ggf. sparen und musst nur die Platine auswechseln.

        Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

        "Pi-Hole…" Das Pi-Hole blockt aber via DNS Blocklisten, nicht wie default pfB per IP Listen. Das sind dann andere Jobs. Du kannst zwar mit pfB auch DNS Blocken via Integration in Unbound, das wird dann aber dann durchaus eben komplexer. Trotzdem siehst du dort im Normalfall, ob dein DNS gegen den Resolver geblacklistet wurde (kannst du auch auf dem Client sehen, denn da würde die Domain dann mit 127.0.0.1 oder 0.0.0.0 aufgelöst, je nach Konfiguration).

        Uff. Würde das bedeuten, dass all die Listen, die ich aktuell per Pi-Hole abonniert habe, für pfB nicht kompatibel wären? Ob die entsprechenden Hosts via DNS blockiert werden, oder (wenn ich das richtig verstanden habe) einfach der Zugriff auf die IPs gesperrt wird, wäre mir egal. Bzw. gibt es einen Grund, warum mir das nicht egal sein sollte? Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole….?

        4.1: Nein, nur weil pfSense VLANs kann/könnte, muss das trotzdem auch dein Switch können. Ansonsten müsstest du auf allen Geräte auch VLANs konfigurieren, dann könntest du theoretisch bei deinem unmanaged Switch bleiben. Aber die Kopfschmerzen und Zeit möchte sich glaube ich freiwillig keiner geben, vor allem wenn Geräte wie Kameras etc. im Spiel sind, bei denen man kein VLAN festlegen kann. Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

        Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1", sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

        Aber: dazu muss er überhaupt mal ins WLAN rein kommen. Wenn du eh nur bekannte Geräte ins WLAN einbuchst und rein lässt, sehe ich da kein Problem, dass man auf Layer 2 filtern müsste.

        Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend? Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar. Einziges Problem mit einem "guten" Passwort ist, dass ich schon mehrfach Devices hatte, die einfach keine "guten" Passwörter annehmen wollten. Das war einmal ein Netzwerkdrucker und einmal ein Neato Botvac; die Passwörter waren zu lang und konnten nicht eingegeben werden. Beim Drucker war das egal, der lief dann halt am USB Port der FB als Netzwerkdrucker statt im WLAN, aber um meine Passwörter nicht ändern zu müssen, läuft jetzt nur für den Botvac ein Gastnetzwerk mit pille-palle-Passwort.

        GS108E-300PES

        Solange alles wie erwartet funktioniet, ist mir der Ruf des Gerätes erstmal zweitrangig. Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?
        Und siehe oben: der Switch kann dann VLAN, die Einstellungen werden aber von pfSense festgelegt und weitergereicht? Oder muss ich den dann separat konfigurieren? Noob-Problem: wenn ich mir schon die Mühe mache, pfSense vernünftig zum Laufen zu bekommen, dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

        Wäre http(s)://<reverse-proxy>/<service> (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.</service></reverse-proxy>

        Ich habe so etwas ähnliches mal lokal unter Docker ausprobiert; da wurde immer http(s)://subdomain.<docker-host> gemappt. Funktionierte dann aber nicht wie gewünscht und musste zudem Docker als root ausführen. Für Tests war das okay, auf meinem NAS (wo ich Docker eigentlich komplett über Synology GUI statt cli bediene) würde ich das ungern machen.

        Wäre hierfür der squid reverse proxy geeignet? pfSense wäre dann ja sowieso sowohl Router, als auch DNS-Server, richtig? Wenn ich dann service.domain.endung aufrufe, könnt die Anfrage nicht automatisch an http(s)://<ip>:<port>/<ggf-pfad> weitergeleitet werden? Ich hatte gehofft, dass das die simpelste Lösung wäre - oder denke ich da viel zu kompliziert?

        Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af – anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)

        Was wäre denn da die Alternative zu Netgear? Ich hätte schon gerne -insbesondere, wenn noch solche APs mit PoE dazu kommen- schon gerne zuverlässig ggf. allen Geräten PoE zur Verfügung stellen… Da es wirklich einiges an Geräten wird, und mittelfristig ja praktisch zwei getrennte Haushalte versorgt werden sollen, hätte ich halt auch gerne direkt 48 Ports zur Verfügung. Da muss ich dann nicht jeden Raspberry Pi, der vielleicht in Garten oder Garage soll, noch abwegen, ob nicht was "Wichtigeres" demnächst den LAN Port belegen könnte ^^

        Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?</ggf-pfad></port></ip></docker-host>

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

          Was du brauchst richtet sich eigentlich nach der Leistung die du abrufen willst. Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)

          Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole….?

          pfBlockerNG ist kein Adblocker. Pi-Hole ist das. pfB ist eher ein universelleres Zusatzwerkzeug, das mehrere Dinge kann. Um Werbung o.ä. zu blocken, gibt es Einstellungen und Möglichkeiten, keine Frage. Aber das ist konfigurationsabhängig. IP Blocking ist natürlich recht ressourcenschonend, kann aber ggf. eben auch Domains mit abknipsen, die gar nichts böses sind (weil unter einer IP ggf. mehrere Dutzend Services laufen). DNS Blacklisting kann auch mal wenns schief geht dein DNS lahmlegen - ist also wie gesagt alles konfigurations- und Wunschabhängig. So pauschal sagen "das funktioniert genauso wie das" würde ich nicht, man kann aber ein ähnliches Setup erreichen.

          Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1",

          Nein, denn das ist nicht ihr Job. pfSense ist Router/Firewall und damit auf Layer 3, MAC und VLAN spielen aber auf Layer 2 und sind prinzipiell erstmal Switch-Sache.

          sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

          Nein, im Switch definierst du im Normalfall Ports als entweder Access oder Trunk Port. Access Ports sind Ports, die ganz normal angeschlossene Geräte haben (PC) die kein VLAN Tagging selbst machen. Und für diesen Access Port kannst du im Switch definieren: "der ist in VLAN 10". Der nächste Port mit PC Freundin bspw. "ist in VLAN 20". Der nächste ist dann für Gäste "VLAN 30" usw. Per default sind die im Default VLAN (meist 1, selten auch 0). Und somit können alle miteinander reden. Stellst du jetzt einige Ports auf 10, andere auf 20 und 30, dann sehen sich plötzlich nur noch Geräte im gleichen VLAN, der Switch erzeugt also in sich mehrere kleine Switche (VLANs) die nur noch Geräte mit gleichem Tag miteinander reden lassen.
          Dann gibts noch Trunk Ports, die mehrere VLANs haben. Das wäre dann bspw. der "Uplink" zur pfSense: den Port zur Sense steckt man in VLAN 10,20 & 30 und konfiguriert auf diesem physischen Interface der pfSense dann in der UI die VLANs 10, 20 und 30. Die tauchen dann wie "echte" Interfaces in der Konfiguration auf und können entsprechend eigene IP Bereiche, DHCP und DNS Einstellungen haben und damit dann auch eigene Firewall Regeln.

          Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend?

          Jein. Ja für den Hausgebrauch und eine überschaubare Menge an Geräten. Bei öffentlichen/Firmennetzen eher nein, denn da wird das PW dann irgendwann einfach zu weit verbreitet. Deshalb wird dort entweder Enterprise-WPA2 genutzt (mit Login) oder bspw. ein Portal zugeschaltet und das Passwort ab und an rotiert (damit der Vertreter/Kumpel nicht ein Jahr später vor der Tür steht und wieder WLAN hat ;))

          Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar.

          Security through obscurity. Es bringt nichts. Genauso wenig wie die SSID ausblenden. Aber viele Menschen fallen gern auf den Trick mit den Händen vor dem Gesicht rein. Ich seh dich nicht, also siehst du mich auch nicht :P SSID Hiding ist sogar kontraproduktiv da sich so andere APs weniger gut auf die verfügbaren APs einstellen und das Frequenzband/Timing teilen können. Aber hey, es wird auch 2018 immer noch in SOHO Routern "Ping von WAN blockieren" als super-duper-Stealth-Feature verkauft...

          die einfach keine "guten" Passwörter annehmen wollten

          Wenn sie WPA2 konform sind/sein wollen, muss eigentlich auch ein entsprechendes Passwort erlaubt sein. Aber mit den Ubiquity APs kann man da einige Späße bauen, für die man sonst ziemlich tief in die Tasche greifen muss. Beispiele wären Radius Based VLANs mit WPA2-Enterprise (WiFi Clients anhand ihres Logins automatisch in ein VLAN packen), Gäste Portal mit Freischaltungen etc.

          Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?

          Puh sicher einige. Nur als Gedankenexperiment würde ich aber einwerfen, dass - auch wenn sie ggf. teurer sind - Ubiquity auch Switche macht, auch mit PoE - und man dann zumindest APs und Switche mit der gleichen/ähnlichen Software konfigurieren könnte. Macht es vielleicht einfacher an mancher Stelle :)

          dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

          Wie gesagt, Switching läuft auf einem ganz anderen Layer der Router/Firewall ab, so dass du da nicht drumherum kommen wirst. Aber da du APs eh auch konfigurieren musst - siehe oben. Vielleicht lassen sich da 2 Fliegen mit einer Klappe schlagen. Ansonsten gibts auch sehr günstige HP Einsteiger Switche, TP-Links etc. die VLAN, QoS und PoE können und nebenbei eine halbwegs brauchbare WebUI und/oder CLI haben.

          Wäre hierfür der squid reverse proxy geeignet?

          Das muss nicht squid sein, das kann wie gesagt HAproxy auch. Ist im Prinzip egal, es muss eben ein Backend und ein Frontend da sein die aufeinander gematcht werden. Wenn du alle Dienste im Docker in einzelnen Instanzen mit unterschiedlichen Ports auf der gleichen IP hast, ist das prinzipiell via HAproxy recht einfach zu machen. Das geht dann mit einem bzw. zwei Frontends (je nachdem ob man WAN und LAN machen muss) und multiplen Backends, die dann nach Domain unterschieden werden. Da gibts sogar ein Template für.

          Was wäre denn da die Alternative zu Netgear?

          Siehe oben, ggf. mal bei ubiquity selbst oder dann eben Netgear, TP-Link, HP o.ä. schauen.

          Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?

          Kommt drauf an, was für Geräte du im WLAN hast. In den meisten Fällen habe ich jetzt gesehen, dass das Handys, kleinere Kisten etc. sind, die keine "Mega-Krasse-Performance" brauchen und nur selten mal wirklich ein Laptop, das auf ein NAS zugreifen will. Da außer Laptops sehr selten Geräte mehr als ein bis zwei Antennen verbaut haben, ist der UAC-AC-PRO mit dem ganzen MIMOmublubb zwar toll, aber die wenigsten Geräte rufen dann die super-duper-Megabits auch ab ;) Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre. Praktisch ist er manchmal sogar schneller als der Pro (laut Messung von einem Testbericht), da er an den Rändern eben noch bessere Abdekcung und daher Geschwindigkeit hat, als der Pro und man dann doch mal eher ne höhere Rate bekommt.

          Wenn dir ein AP eh nicht reicht von der Abdeckung, ist eben die Frage ob es 2 LR oder 2 PRO werden, den Lite würde ich eher außen vor lassen. Bei mehr als einem kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

          Gruß Jens

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • GrimsonG
            Grimson Banned
            last edited by

            @JeGr:

            Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre.

            Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

            Was die höhere Übertragungsrate des Pro angeht, mein Smartphone (Xperia Z3+) beherrscht die und ist alles andere als aktuell, ebenso die meisten Samsung Geräte. Im Smartphone merkt man das zwar nicht so sehr, aber z.B. hat ein kleiner 30 Euro Dongle da meinem alten Laptop einen gehörigen Schub verpasst und auf einem Laptop merkt man das doch schon deutlich.

            @mims
            Ich nutze als Switch einen Netgear JGS524PE, der funktioniert recht gut. Allerdings musst du bei 24 und 48 Port Geräten mit POE bedenken das es diese in der Regel nicht Lüfterlos gibt, wenn der Switch im Keller oder Abstellraum steht ist das kein Problem. Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.

            Ich hab den JGS524PE im Büro stehen und hab inzwischen den Lüfter gegen einen leisen von Noctua getauscht, dadurch ist aber natürlich die Garantie weg und die LED für die Lüfterwarnung am Switch leuchtet Orange weil der Noctua etwas langsamer läuft als die original Turbine.

            Von TP-Link würde ich Abstand halten: https://forum.pfsense.org/index.php?topic=123324.0

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

              Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
              Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

              Punkt ist: Ich (persönlich) brauche die beim AC-PRO verfügbaren 2x Gigabit nicht, 1x reicht mir. USB brauch ich auch nicht. Kaum ein WiFi Gerät von mir hat ein 3x3 Antennenarray verbaut, die meisten gerade eine oder 2x2 Setting. Somit ist das "Mehr" an Kosten/Nutzen des PRO für mich so gut wie nicht nutzbar. Außer bei meinem neuesten Laptop mit 3x3 Array könnte ich kein Gerät voll ausfahren. Der PRO könnte outdoor verwendet werden - ebenfalls uninteressant für mich, da mir ein AP nun für alles gut reicht :) Dafür habe ich mit dem LR den Vorteil des kleineren Geräts (Durchmesser ist kompakter), komme mit einem 12W PoE Injector aus im Gegensatz zum PRO der einen 24W braucht und der Max Verbrauch ist gut 1/3 weniger. Mag nicht viel sein, aber hey.

              Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

              Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • GrimsonG
                Grimson Banned
                last edited by

                @JeGr:

                Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
                Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

                Ich hatte beide hier und ein Kollege hat die mit einem Profi-Messgerät verglichen, der Unterschied in der Reichweite/Frequenzstärke war so minimal das er im Bereich des Messfehlers des Messgerätes war. Das in einem Altbauhaus mit dicken Steinwänden inkl. ne Menger Metallschrott, der in den Holblöcken "entsorgt" wurde.

                @JeGr:

                Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

                Der LR kann im 5GHz Band bis 867 Mbps, der Pro bis 1300 Mbps. Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

                @JeGr:

                Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?

                Nun er möchte VLANs einsetzen, da ist ein Switch bei dem man VLAN1 nicht von den Ports lösen kann eine schlechte Wahl. Klar kann man die Konfiguration entsprechend anpassen und VLAN1 gar nicht nutzen, aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

                  Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

                  aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.

                  Schöne Einstellung. Kann ich zu Netgear 1:1 auch so sagen. Kommt eben immer aufs Gerät an. Man kann bei TP-Link sehr wohl Ports sinnvoll konfigurieren. Vor allem bei den nicht winzigen Geräten mit 5 Port Smart & Easy. Die sind genauso gut oder schlecht wie anderer Kram von Netgear et al auch. Wir reden hier über Gerätschaft von ~25€. Und selbst da ist es diskutabel ob das jetzt ein Riesen Drama ist, wenn ein Switch so billig VLAN1 als Management für die UI fix eingebrannt hat (was dann korrekt eine Beschränkung ist), aber die Ports ansonsten ordentlich in seinen VLANs isoliert. Zudem reden wir nicht von Enterprise Einsatz.
                  Hinzu kommt, dass das bislang nur bei den beiden kleinsten LowCost Teilen der Fall ist. Wir wollen dann aber nicht anfangen über Ausfallraten bei Netgears Billigware oder andere <100€ HW zu diskutieren. Das ist dann sehr witzlos.

                  Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • GrimsonG
                    Grimson Banned
                    last edited by

                    @JeGr:

                    Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

                    Nun ich verlasse mich hier auf die Link Geschwindigkeit die mir der Controller anzeigt. Evtl. liegt es auch daran das ich ein Z4 aus Japan habe, was aber eigentlich baugleich mit dem Z3+ sein soll.

                    @JeGr:

                    Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)

                    Zumindest konnte ich selbst bei dem ganz kleinen GS105eV2 von Netgear das VLAN1 von den Ports entfernen. Mein Post war auch nicht als "kauf Netgear" gedacht, ich habe nur geschrieben das bei mir der Netgear Switch recht gut funktioniert. Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss. Und eben das man die VLANs ordentlich konfigurieren kann. Bei 48 Ports mit POE würde ich eh nicht mehr geizen und in Richtung HP oder Cisco schauen.

                    Aber wir können es ruhig dabei belassen das wir verschiedener Meinung sind. Am Ende muss sich der OP eh selbst überlegen was für seine Zwecke, und seinen Geldbeutel, am besten geeignet ist.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss.

                      Richtig, das kann durchaus ein störender Faktor sein, es sei denn man hat sowas wie einen kleinen Betriebsraum bei sich im Keller oder sonstwo, wo das nicht stört. Ein Grund, warum ich damals die HP1810er gekauft hatte, da sie recht günstig (für 24 Ports + 2x SFP+) waren, die Oberfläche HTML only und halbwegs sauberes VLAN abbilden können (auch wenns gruselig dargestellt wird) und dabei keinen Lüfter haben. Werden zwar im Sommer mal ein wenig warm, aber bislang ohne Problem.

                      Da der OP schon meinte, er würde gern mit so wenig Tools/Oberflächen wie möglich arbeiten, war mein Gedanke hier eben ggf. Switche von Ubiquity mit ins Boot zu holen. Alternativ gibts sicher ne günstige Serie von Cisco (wobei die günstigen Ciscos ja dann auch wieder keine sind sondern meist Ex-Linksys oder anderes Gedöns) oder HP (auch hier muss man aufpassen, die 19xx'er waren das glaube ich, die eigentlich alte 3COMs sind mit absolut gruseliger Oberfläche, kann mich aber täuschen).

                      Vielleicht gibts ja jemand der auch eine Empfehlung hat, wenn man ein paar PoE Ports brauchen könnte (gibt ja durchaus Misch-Konfigurationen mit 24/48 Ports bei denen 8/12 Ports PoE fähig sind). :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • M
                        mims
                        last edited by

                        Wow, danke für die ganzen Infos!

                        Bevor ich jetzt genauer darauf eingehe (mit weiteren Fragen ;)), vorab nur kurz die momentan wichtigste Frage: ich wollte jetzt eigentlich eine APU2C4 anschaffen. Das zugehörige 19" Gehäuse (was auch für meine bereits vorhandene APU1D passt), ist heute angekommen. Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4? Denn dann würde/müsste ich das 19" Gehäuse direkt wieder retournieren und gar nicht erst auspacken…....

                        Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

                        Bzw. eben zeitlich wichtige Frage: statt ner APU lieber was anderes in ungefähr derselben Preisklasse? Was auch für die Zukunft noch geeignet ist (also beispielsweise nicht bald irgendwelche Verschlüsselungsstandarts nicht mitmacht). Ob ich jetzt 175 EUR oder 225 EUR zahle, ist relativ egal, solange ich dafür dann ein wirklich passendes Gerät habe :)

                        Auf die anderen Punkte gehe ich später noch mal in Ruhe ein =)

                        1 Reply Last reply Reply Quote 0
                        • GrimsonG
                          Grimson Banned
                          last edited by

                          Also der SG-1000 ist IMHO ein nettes Spielzeug bzw. ganz passable für einen Camper der das Teil über Batterien/Solar betreiben will. Für den dauerhaften Einsatz wäre der mir zu schwachbrüstig. Da schau dir eher den SG-3100 an, oder die MinnowBoard Produkte von Netgate: https://store.netgate.com/MBT-4220-system.aspx.

                          Wobei ich persönlich bei dieser Art von Produkten nicht so der Experte bin, ich baue lieber selber mit Mini-ITX boards und Standard Komponenten. Da ist dann das Gehäuse zwar etwas größer, und evtl. der Stromverbrauch ein paar Watt höher, aber dafür kann ich jede Komponente ohne Probleme einzeln upgraden bzw. bei Defekten ersetzen.

                          1 Reply Last reply Reply Quote 0
                          • M
                            monstermania
                            last edited by

                            @mims:

                            Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4?

                            Nein,
                            in der Preisklasse ~ 200€ gibt es m.E. nichts vergleichbares. In der Kombination aus Kompaktheit/Leistung/Energieverbrauch/Preis steht die APU2 ziemlich einzigartig da.
                            Ganz klar, besser geht immer. Nur wird es dann ganz schnell auch ganz schön schnell teuer.  ;)

                            Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

                            Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)
                            Zum Thema VLAN solltest Du berücksichtigen, dass sich alle VLAN-Netze den einen NIC teilen. Sprich, wenn Du 3 VLANS nutzt teilen sich diese 3 VLANS den einen 1 Gbit NIC. Das kann für den Einen oder Anderen schon eng werden, wenn Du z.B. ein NAS in der DMZ hast und gleichzeitig mit Clients aus dem LAN oder WLAN auf das NAS zugreifst.
                            Eine APU2 ist da m.E. deutlich flexibler und performanter.
                            Dazu kommt dann noch, dass Du nicht ausschließlich auf pfsense festgelegt bist wie z.B. bei einer SG1000/3100.  :)

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)

                              Ich rate den meisten Kunden - aber das sind natürlich Firmenkunden - davon ab. Auch im Homeoffice, da:

                              • Traffic Durchsatz mit Filter only bei rund 150-200Mbps, ggf. inzwischen ein wenig höher aber trotzdem Oberkante
                              • VPN Durchsatz ~10-15Mbps TOP. Mehr geht nicht auf der HW
                              • Gigabit gibts trotz zweier Interfaces nicht, weil die intern am gleichen Bus hängen (ähnlich Raspi) und daher niemals Gigabit Performance schaffen würden, selbst wenn nur nackte Hardware + minimal Routing laufen würde (dann liegt er wohl bei ~450Mbps nackt und ohne alles)
                              • bestimmte Pakete gar nicht oder nur minimal nutzbar.

                              Gerade weil der OP schon Pakete wie pfBlocker etc. angesprochen hat, wäre mir die Hardware extremst zu klein.

                              Die SG-3100 ist tatsächlich was für den Heimeinsatz, ich finde das Gerät trotzdem irgendwie eine (kleine) Fehlbesetzung, da die 6 Interfaces gesplittet sind in 2 echte und ein interner Chip der auf 4 Einzelchips splittet - daher die 1+1+4 Interface Konfiguration, die man dort findet. Man kann also max. 1 WAN und 1 DMZ bauen, die anderen 4 Interfaces sind über den 5. internen Chip gebridged und quasi ähnlich einer FritzBox als Switch konfigurierbar. Klar, wenn man sowas sucht, mag das ideal sein. Ich hatte die 3100 kurz für einen Kunden als Ersatz für eine SG-2440 da und war nicht so angetan. Die Basisplatte ist zwar massiv, das restliche Gehäuse aber knarzig und klapprig und die UI für den internen Switch zur Konfiguration noch lange nicht ausgegoren. Ich fand das nicht intuitiv zu konfigurieren, sondern eher ein wenig … chaotisch trifft es wohl - da in der Switch Konfiguration plötzlich das interne 5. Bridge Interface sichtbar ist und damit auch konfigurierbar. Intuitiv fand ich somit die Konfiguration des Switches nicht. Eher sehr fehleranfällig. Power hatte das ARM Gerät zwar, welche Performance maximal konnte ich leider nicht testen - dazu hatte ich es zu kurz. Wird aber wohl irgendwo zwischen 2220 und 2440 angesiedelt sein.

                              Da die Kiste auch schon über den ~220 einer APU2 liegt, würde ich erstmal dabei bleiben, es sei denn, du hast Größeres vor was Pakete wie IDS/IPS angeht oder du braucht intra-VLAN-Routing Durchsatz mit Gigabit. Da wirds bei der APU2 auch eher enger.

                              Gruß

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • M
                                mims
                                last edited by

                                Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)

                                Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

                                VPN: ja! Läuft momentan auf meiner Synology, die deshalb einen bestimmten Port freigegeben bekommen hat. Würde ich gerne vermeiden. VPN dann für insgesamt sechs Clients, davon im Normalfall max. 3 gleichzeitig verbunden (eher 1-2). Um mobil Werbung etc. zu blockieren bin ich momentan beim Verlassen meines LAN automatisch per VPN wieder damit verbunden. Aktuell nutze ich OpenVPN, aber auch hier bin ich offen was Änderungen angeht (wenn Ihr der Ansicht seit bzw. mir erklärt, warum ein anderes Protokoll besser wäre :) ).

                                Ansonsten halt pfBlocker-ng und HAproxy oder squid für einfachere Zuordnung der Dienste (siehe unten: xy.foo.bar statt 192.168.1.65:8098/meindienst/admin).

                                Dann eben VLAN, habe mir das ungefähr so vorgestellt:
                                VLAN0 (Safe Space)
                                ==> mein Hauptrechner, NAS, Backup-NAS, ggf. mein Smartphone
                                ==> Zugriff hierauf von anderen VLAN verboten, bzw. ggf. einzelne Ports für einzelne Nutzer anderer VLAN freigeschaltet
                                ==>
                                ==> Internet: ja

                                VLAN1 (User)
                                ==> alle andere Personen im Haushalt; Zugriff von VLAN0 möglich, einzelne Services zu VLAN0 für einzelne User entsprechend freigeschaltet
                                ==> Internet: ja

                                VLAN2 (Geräte)
                                ==> FireTV, Raspberry Pis, Kleinkram, etc., Drucker, Scanner
                                ==> Geräte untereinander nicht vernetzt
                                ==> einzelne Geräte (z.B. FireTV) haben Zugriff auf einzelne Services von VLAN0 (z.B. Plex darf natürlich auf das NAS zugreifen, Pis kriegen ggf. eine Netzwerkfreigabe für das Sichern von Konfigurationsdateien, …)
                                ==> vielleicht irgendwann mal der lang ersehnte dedizierte Bitcoin Miner ;)
                                ==> Internet: ja

                                VLAN3 (yeah: no!)
                                ==> IP Cams, Testgeräte, "no trust" Geräte
                                ==> Geräte dürfen weder untereinander, noch in andere VLAN kommunizieren; Ausnahme: NAS aus VLAN0 darf auf die Kameras zugreifen
                                ==> Internet: nein!

                                VLAN4 (Netzwerkkram)
                                ==> Hier würde ich dann nur die Ubiquity Unify Geräte einbinden (aktuell geplant 1x Access Point, 1x managed Switch für VLAN, später kommt defintiiv ein 2. AP hinzu)
                                ==> Internet: ja

                                Die Idee dahinter ist, dass ich aus VLAN0 auf alles Zugreifen kann (Geräte konfigurieren, "Fern"wartung per SSH, etc. pp). VLAN3 würde ich nutzen, damit ich Geräte verwenden kann, die ich normalerweise nicht in mein Netzwerk lassen würde (z.B. China IP Cams, statt Geräte, bei denen ich sicher sein kann, dass sie nix Seltsames in meinem Netzwerk versuchen, sofern man sich da überhaupt sicher sein kann)........
                                Wer bestimmte Services braucht (alle User kriegen bsp. nextcloud für Dokumente, Kalender, Kontakte, einige bekommen Netzwerkfreigaben für weitere Dateien und/oder zum Datenaustausch), darf auch von außerhalb VLAN0 auf diese Services zugreifen - und nur auf diese (Idee dahinter ist, dass ich auch getrost die Windows-Rechner bestimmter User, die sonst gnadenlos im Gastnetz hängen, zumindest soweit ins Netzwerk integriere, dass sie von lokalen Services profitieren können).

                                Dies nur zur Erklärung, wieviel VLAN überhaupt geplant ist.

                                Wenn ich da mit der aktuell "besten" APU hinkomme, was afaik die APU2C4 sein müsste, dann würde ich darauf zurückgreifen.

                                Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.

                                Steht alles aktuell in meinem Büro. Ich hoffe, mittelfristig ein eigenes Zimmer (oder eine Ecke) hierfür zu finden, wo die Lautstärke dann gar keine Rolle spielt. Solange muss ich da durch :/ ^^

                                Bezüglich der Ubiquity Geräte: mittelfristig soll jedes Zimmer eine 2er LAN Dose bekommen; WLAN ist dann eigentlich nur noch für die Smartphones und diverse ESP8266 wirklich notwendig, daher brauche ich da jetzt nicht die Ultra-Performance. Es soll nicht stocken, aber je weniger Geräte WLAN überhaupt benötigen, umso glücklicher bin ich. Daher muss es da nicht das allerbeste Gerät sein. Wenn jetzt, wie bei den von mir bereits genannten AP, die Preise so dicht aneinander liegen, würde ich trotzdem lieber auf das "bessere" Gerät zurückgreifen. Da gehen Eure Meinungen hier ja etwas auseinander. Ist das wirklich reine persönliche Ansichtssache,, welches Gerät besser ist - oder kann man mir die Entscheidung doch auch objektiv gesehen irgendwie leicht machen?

                                Euer Vorschlag, dann auch auf einen Switch von Ubiquity zu setzen, finde ich grundsätzlich gut. Der US-24-250W hat 24 Ports und PoE; schlägt mit knapp 400 EUR zu Buche, würde aber erst einmal ausreichen - und wenn ich später doch noch Ports brauche, kann ich entweder noch einen non-PoE dazu nehmen (es braucht ja nicht jedes einzelne Gerät tatsächlich PoE), oder es wäre doch bestimmt auch möglich, einen meiner vorhandenen Switches mit dem Gerät zu verbinden - solange alle Geräte, die über den zusätzlich angeschlossenen Switch laufen, sich im selben VLAN befinden, wie der Port am Ubiquiti, an dem der Switch hängt… richig?

                                Kauf-Gedanken soweit:
                                ich behalte das 19" Gehäuse für die APU, verbaue solange ich noch teste meine APU1D und steige später (wenn es produktiv werden soll) auf die APU2C4 um; dazu kommt erst einmal ein Ubiquity AP (welcher??).

                                Was sagt Ihr denn zu meinen grundsätzlichen Voraussetzungen? Brauche ich überhaupt wirklich VLAN? Wenn ich beispielsweise auch direkt in pfSense festlegen könnte (kann ich??)

                                • Gerät A darf nicht ins Internet, hat keinen Zugriff/Verbindung auf andere Geräte
                                • Gerät B darf ins Internet, darf zugreifen auf Port 1234 von Gerät XY, hat keinen Zugriff auf andere Geräte
                                • etc.
                                  Dann könnten sich ja theoretisch doch alle Geräte im selben VLAN befinden. Hauptsächlich geht es mir darum, dass potenziell "nicht unbedingt ungefährliche" Geräte trotzdem in mein LAN können, ohne ggf. Schäden zu verursachen.

                                Sorry, ist jetzt ganz schön lang geworden… ich möchte nur sicher gehen, genau das passende Setup zu erstellen, ohne am Ende Funktionen zu missen, aber natürlich trotzdem auch die Ausgaben nach Möglichkeit gering zu halten.

                                Grüße

                                1 Reply Last reply Reply Quote 0
                                • -flo- 0-
                                  -flo- 0
                                  last edited by

                                  @JeGr:

                                  Bei mehr als einem [Anm.: AP] kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

                                  Statt eines Raspi (da tut's mit Einschränkungen sogar ein Pi2) oder dem Cloudkey geht auch eine VM. Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.

                                  1 Reply Last reply Reply Quote 0
                                  • JeGrJ
                                    JeGr LAYER 8 Moderator
                                    last edited by

                                    Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

                                    Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich. :)

                                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      monstermania
                                      last edited by

                                      @mims
                                      Irgendwie verliere ich vor lauter VLAN den Überblick.  ;)
                                      Aber mal im Ernst. VLAN dienen ja dazu über die gleiche HW Netzwerke getrennt voneinander betrieben zu können. Nur sollte man dabei auch die Praxis bzw. den Aufwand nicht außer acht lassen.
                                      So wie ich das sehe benötigst Du bei Deinem geplanten Konstrukt (wahrscheinlich) in jedem Netz auch WLAN. D.H. Du müsstest in jedem Netz auch einen WLAN-AP bereitstellen. Die Unifi-AP können z.B. nur 4 unterschiedliche WLAN SSID bereitstellen.
                                      Für Gäste habe ich jetzt bei Deiner Planung gar nichts finden können.
                                      Und logischerweise kannst Du in jedem Netz auch individuell steuern, welche Devices ins Internet können oder eben auch nicht.

                                      Ich befürchte nur, dass Du Dich etwas übernimmst.  ???
                                      Mir persönlich wäre Deine Planung für ein Heimnetz viel zu aufwändig. Wer soll dabei dauerhaft den Überblick behalten?
                                      Ich selbst habe ein LAN/WLAN in dem alle meine privaten Geräte laufen. Auf der FW ist dann individuell geregelt welche Devices was dürfen (z.B. Internet per trans. Proxy, VPN, WhatsAPP, usw.). Zusätzlich gibt es dann ein Gäste-WLAN für alle unsere Gäste (nur Internetzugriff).
                                      Eine DMZ hab ich auch, aber mangels Geräten darin ist die nicht im Einsatz.
                                      So reicht mir das. Und selbst bei diesem einfachen Konstrukt sind ettliche Stunden Arbeit drauf gegangen, bis endlich alle Regeln gepasst haben bzw. Dienste sauber konfiguriert waren.
                                      Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

                                      Machbar ist (fast) Alles. Nur nicht Alles was machbar ist, ist auch sinnvoll.
                                      Ich halte mich da lieber an die Regel: KISS (Keep it small and simple)

                                      Gruß
                                      Dirk

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        mims
                                        last edited by

                                        Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.

                                        Genau so habe ich das auch geplant. Extra nen Raspi würd ich dafür ungern aufsetzen, aber es gibt verschiedene Docker Images (auch eins von linuxserver.io, die mich bis jetzt noch nie enttäuscht haben), welches ich verwenden würde.

                                        Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich.

                                        Ups. Okay… ^^ aktuell läuft hier 1&1 DSL 100; gemessen habe ich da gerade mal 93 Mbit/s down und 33 Mbits/s up...

                                        @monstermania: sofern ich unter pfSense für jedes Gerät festlegen kann a) welche Geräte darauf zugreifen können (inkl. bestimmte Ports pro Gerät), b) auf welche Geräte das Gerät selbst zugreifen darf, und c) ob das Gerät ins Internet darf, schmeiße ich VLAN gerne direkt wieder aus meiner Konfigurationsidee raus :)

                                        Vielleicht kannst Du (bzw. Ihr) mir das netterweise an einem Beispiel erklären:

                                        device0 = mein Hauptrechner
                                        -> hat Zugriff auf alle Geräte im Netzwerk
                                        -> hat Zugriff auf internet
                                        -> kein Zugriff auf dieses Gerät von anderen Geräten im Netzwerk
                                        ----> Ausnahme: mein Smartphone darf auf Port 8080 (und nur den) zugreifen

                                        device1 = NAS1
                                        --> hat Zugriff auf device[x,y,z] (diese haben aber keinen eigenen Zugriff auf das NAS)
                                        –> hat Zugriff auf das Internet
                                        --> device0 hat vollen Zugriff auf dieses Gerät
                                        --> andere Geräte haben (je nach IP/MAC bzw. ggf. anderer, eindeutiger Vorgabe) nur auf bestimmte Ports/Services dieses NAS Zugriff

                                        device2 = PC Freundin
                                        -> hat Zugriff auf device1 [Port 6000, 7722, 8844, 9000]
                                        -> hat Zugriff auf das Internet
                                        -> hat keinen Zugriff auf andere Devices im Netzwerk

                                        device[3,4,5] = "unsichere China Cams"
                                        -> haben keinen Zugriff auf andere Devices im Netzwerk
                                        -> haben keinen Zugriff auf das Internet
                                        -> alle (bzw. bestimmte Devices) haben vollen Zugriff auf diese Geräte bzw. ggf. nur bestimmte Ports dieser Geräte

                                        Mir geht es insbesondere um die folgenden zwei (aus meiner Sicht) Probleme:
                                        1. meine zuletzt gekaufte China Cam hatte irgend einen komischen Port offen; Recherche ergab, dass es sich dabei entweder um xy (vergessen, sorry, aber nen harmlosen Dienst) oder einen Wurm handelt, der versucht, weitere Geräte im Netzwerk zu infizieren (mit wasauchimmer)
                                        ====> solche Geräte würde ich gerne trotzdem verwenden, solange sie keinen Schaden anrichten können. Wenn dieser komische Port tatsächlich einen Wurm im Netzwerk verbreiten möchte, dies aber nicht kann, (weil absolut keinen Zugriff auf jegliche Devices und deren Ports), und ich gleichzeitig beispielsweise die Kamera trotzdemin meine Surveillance Station einbinden kann (notfalls via http bzw. JPEG Push), sodass sie nichts anrichten kann, bin ich zufrieden.

                                        2. im Netzwerk befindet sich ein Windows PC. Da ich diesen nicht andauernd überprüfen kann, aber auch nicht möchte, dass er ggf. mit im schlimmsten Fall bsp. einem Cryptolocker infiziert wird und den im Netzwerk verbreitet, möchte ich auch diesen abschotten
                                        ====> hängt aktuell im Gäste-WLAN; dadurch kann er aber weder von pi-hole profitieren (Werbung etc. wird nicht geblockt, da das Gäste-WLAN nicht den in der fb gesetzten DNS Server übernimmt), noch kann ich überhaupt eine Netzwerkfreigabe/Zugriff auf nextcloud/whatever erteilen, da das Gäste-WLAN eben vollständig isoliert ist. Ich würde dem PC aber gerne eine handvoll Ports bestimmter Geräte freigeben, nur halt keinen "Freifahrtschein" für alle Devices und deren Ports.

                                        Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

                                        Genau davor graut mir nämlich auch schon :D

                                        1 Reply Last reply Reply Quote 0
                                        • -flo- 0-
                                          -flo- 0
                                          last edited by

                                          Ich schließe mich der Meinung der Vorredner an. Das ist Overkill (und sicher kein "Anfänger-Setup" :-)).

                                          Man muß doch nicht die gesamte Zugriffssteuerung durch VLANs regeln. Es können auch mehrere Hosts gemeinsam in einem Netzwerk laufen, ohne daß diese aufeinander Zugriff haben müssen. Jeder PC und NAS bringt dafür Bordmittel mit.

                                          Wenn Du NAS und PCs jeweils in eigene VLANs packst, behinderst Du Dich total. Das Browsing im Netzwerk geht dann nicht, z.B. zu Netzwerk-Shares. Manche Drucker brauchen mDNS, die gehen nur im selben Netzwerk, und und und.

                                          Bei Windows (eigentlich überall) gehört übrigens eine adäquate Absicherung gegen Malware dazu. (Ist der Rest bei Euch Apple-HW btw.?)

                                          Mein Tipp: Ein VLAN für alle PC, NAS, ggf. Netzwerkdrucker. Ein zweites VLAN (editiert, da stand WLAN) für den Rest, also alles, was Du nicht selbst sauberhalten möchtest oder kannst / dem Du nicht vertrauen kannst (Mobilgeräte von Gästen oder Kindern, zweifelhafte Webcams, sonstiger IoT-Schrott, etc.)

                                          1 Reply Last reply Reply Quote 0
                                          • M
                                            mims
                                            last edited by

                                            Ich habe produktiv ein MacBook, meine Freundin (hoffentlich "noch") Windows 10. Dazu dann Android Smartphones und ein paar Ubuntu Instanzen (als VM). Auf den Raspberry Pis läuft raspbian und auf Synology die DSM Software.

                                            Wenn möglich würde ich es einfach gerne vermeiden, das mit Bordmitteln an jedem Gerät einzeln einstellen zu müssen… so kam ich ursprünglich auf VLAN bzw. bin natürlich auch für andere Vorschläge offen :) Schön wäre es allerdings, wenn ich das zentral steuern könnte (und dachte, dass das in pfSense doch möglich sein müsse). Sofern möglich, brauche ich gar kein VLAN mehr. Dann könnte alles in ein Netz und was nicht miteinander reden darf, bekommt entsprechende Restriktionen.

                                            Auf Bordmitteln (wenn ich den Begriff jetzt richtig deute) halte ich da einfach nicht viel. Gerade wenn es irgendwelche Würmer oder Crypto-Geschichten sind, die ggf. darauf ausgelegt sind, so etwas zu umgehen. Wenn die Firewall einfach jeglichen Traffic "schluckt" oder unterbindet, egal, was das Gerät nun macht, kann -meiner laienhaften Einschätzung nach- doch kein großes Risiko mehr bestehen..?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.