[Infotainment] Netzwerk Neubau mit pfSense und Unifi

JeGr

@karl047 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

warum du mit pfSe* und nicht mit dem anderen Se* gegangen bist? obwohl du hier und dort der Moderator bist

Wir müssen hier nichts zensieren. Sowas gibt's bei mir nicht. Ich hab das bei dir mal editiert ;)

Warum ich pfsense und nicht opnsense nutze? Weil nach meiner Erfahrung mit beiden Produkten pfsense das stabilere ist.

Wie man aber unschwer am Satz erkennen kann ist das:

1. Meine Erfahrung mit den Produkten
2. meine subjektive Entscheidung

Ich mag beide Produkte und IMHO spornen sie sich beide an. Auch was opnsense gerade im Regelwerk im jüngsten Update gemacht hat, gefällt mir tatsächlich mal nach etlichen Updates bei denen ich eher in die Tischkante gebissen habe. Ich denke immer noch, dass die Wahl, sich ein starres halbjährliches Release-Korsett anzulegen die völlig falsche ist und sie dafür weder die Installations- noch die Testbasis haben um das sinnvoll zu machen. Mir sind einige Male opns Installationen um die Ohren geflogen nach Updates und gleichzeitig gabs aber auch keinen Weg zurück weil ist ja alt und so. Insgesamt gibt es einfach viel Licht aber auch viel Schatten. Beispiel: Die UI ist nicht schlecht mit der Seitenleiste - hat man keine Top-Menüs die stören. Gleichzeitig empfinde ich das krampfhafte Umbauen der Menüpunkte und umsortieren, damit man kein Diagnose Menü braucht dämlich: bei pfSense habe ich alle Diagnostic Sachen an einem Ort, genauso die Logs. Da kann ich problemlos hin und herspringen was gerade bei Debuggings wichtig ist. Bei opnsense muss ich ständig ganze Menübäume umklappen, mich durchfingern bis ich dann im Menü3 den Log Eintrag hab, dann wieder Menü5, Submenü2, Logs... Argh. Gerade wer schnell zwischen Firewall Logs und bspw. VPN Logs hin und her springt klickt sich tot. Sicher ist bei pfsense nicht alles super sinnvoll angeordnet, die Ordnung bei opnsense ist mir aber meinem Gefühl nach völlig daneben. Ich suche mich teils echt doof um die Sachen zu finden von denen ich weiß, dass sie da sind/sein müssen. Auch dieses seltsame Aufsplitten von Diensten, einzelnen Paketen etc. finde ich umständlicher als den Paketmanager der pfsense. Genauso den Updateprozess, der mir teils suggeriert ich könne auf eine spezifische Version springen - geht aber nicht. Dafür ist das integrierte Logging bzw. der FlowD für eine kurze grobe Traffic Analyse nicht schlecht. Gefällt mir. Die neuen Regelmöglichkeiten, direkt aus der Tabellensicht Log/an/aus/etc zu triggern ebenfalls. Und dass man bei normalen Regeln nun quick/non-quick einstellen kann - wobei ich das schwierig finde. Gerade Anfänger dürfte das eher irritieren und durcheinander bringen. Da ist dann schnell was erlaubt/geblockt was gar nicht so sollte. So geht die Liste weiter. Es gibt Pros, es gibt Cons. Könnte ich ne ganze Liste von schreiben was mich stört und was ich am Liebsten in beiden Produkten hätte

Für mich bzw. für Firmen sehe ich aber (momentan) einfach pfSense als die stabilere, oder sagen wir "mehr Enterprise-y", Lösung. Stabiler, nach Updates weniger Probleme, bislang keine Umstellungen die mich komplett überrascht haben (also Funktion X läuft jetzt ganz anders). Dagegen 3/5 Updates von opnsense schief/ruppig gelaufen, in Minor Versionen plötzlich vitale Features geändert die zu Ausfällen bei Kunden sorgen, HW Probleme von einer zur anderen Version.

Das sind eben dann einfach gewachsene Erfahrungswerte. Die sehen bei anderen dann vielleicht anders aus und deshalb ist der Austausch ja auch so wichtig! Ohne den bekommt man wichtige Sachen nicht mit. Und wer weiß, ob das nächstes Jahr so noch gilt, daher teste ich auch beide ständig weiter.

Zudem ging mir persönlich(!) auf beiden Seiten das Angezicke vor Jahren auf den Keks. Was mich heute immer noch etwas stört, ist die kurze Lunte, die einige User/Devs immer noch haben. Das empfinde ich als Kindergarten. Wenn ich mein Projekt ernst genommen wissen möchte, dann erreiche ich das durch eigenes Handeln und nicht mit Fingerpointing und Mimimi. Das ist inzwischen (teils wesentlich, teils nicht) besser geworden, trotzdem merkt man in manchen Belangen (wiederum subjektiv! meiner! Meinung nach) immer noch, dass man extrem schnell in der Defensive und am Verteidigen ist, statt sich Eier wachsen zu lassen und sein eigenes Ding zu machen. Ohne unnütze Seitenhiebe und sonstiges Auskeilen.

Will jetzt gar nicht noch mehr ins Detail gehen, das kann man gern in einem anderen Beitrag. Wobei ich wie gesagt beide Projekte sehr gern habe und eher als Cousins denn als "Brüder/Forks" sehe, da sie sich eben auseinander entwickelt haben. Mir gefällt aber als Alt-Unixer der pfSense Ansatz trotz allem besser (minimalistisches Grundsetting anstatt zu viel schon im Core Default zu haben). Zudem habe ich auf Arbeit mit etwa 85%/15% pfsense/opnsense zu tun. Daher pfsense hier als meine Main-Firewall. Was nicht heißt, dass ich nicht noch eine Box habe (aber momentan nicht im Rack), auf der opnsense läuft. Und im Lab habe ich eh immer mind. 2 VMs von jedem (2x stable, 2x dev-current, Yx irgendwelche aktuellen Kunden/Probleme/Testsetups).

Und zu guter Letzt: Ganz egal was man einsetzt
-> Better use some *sense than no(n)sense!

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Sieht schön aufgeräumt aus. Wird der US24 voll bestückt sein? Das mit den Bürstenblende ist übrigens eine gute Idee, mit dem Kabelmanagement habe ich es irgendwie nicht so. :)

Momentan wohl "noch" nicht, aber das kommt sicher schneller als mir lieb ist. Vorher waren es ja 2x 24er, jetzt nur noch einer zentral und die 3x 8er Remote, das könnte knapp werden, zudem jetzt 3 Uplinks statt vorher einer nötig und die sense jetzt 4x angebunden statt 2x vorher.

Das mit den Bürstenpanels war tatsächlich Zufall. Wollte erst Kabelarme/Klammern dann aber dran gedacht, dass das immer ein ewiges Gefriemel ist die Kabel da reinzubiegen, wieder Kabelbinder drumrum, nach hinten führen, blub tröt. Daher einfach direkt oben rein und wech. Gar nicht doof. Und von hinten ist das Ding ja eh zu, sieht man also nichts (auch wenns nicht gruselig werden soll).

Wie willst du den Cloud Key versorgen, über PoE? Brauchst noch ein PoE Switch, so ein Injektor vorne sieht Kacke aus.

Das ist tatsächlich gerade ziemlicher Mist. Wurde nämlich nicht erwähnt als ich das Ding gekauft habe, dass der im Rack NUR via PoE funktioniert. Hätte ich mir denken "können", steht so aber nirgends. Deshalb stand ich dumm da. Dann erstmal mit Strom von hinten via USB-C befeuert -> nächstes Problem: dann geht vorne die LAN Buchse nicht, also auch von hinten angeschlossen. Hmm dann bräuchte ich das ganze Ding nicht außer dem Display wenn ich nichts dranhängen kann... Also nen PoE Injector 48V-24W bestellt -> gestern gekommen... tja und dann...

Nichts. Angeschlossen, reingeschleift, an den LAN Port ran -> Key bootet fein -> aber sagt immer noch LAN disconnected!? WTF?

Also entweder hab ich ganz doofes Pech gehabt und die Rack Leiste (oder ggf. auch der CloudKey bzw. seine Pinleiste fürs Rack) ist beschädigt, oder das Ding ist einfach von der Konzeption her Mist. Es ist super, dass man da beide Keys mit verarbeiten kann und dass PoE und LAN und was auch immer geht. Aber so ist das der Krampf pur. Hab also jetzt erstmal beim Verkäufer eine RMA angefordert und will Key und Panel nochmal tauschen, hoffe dass es dann mit nur einem Kabel übern Injektor geht. Aber ärgert mich kollossal, dass man fast fertig ist und dann nochmal von vorne anfängt :/

so ein Injektor vorne sieht Kacke aus.

Kein Thema der passt auf die Halterung rechts neben der Firewall perfekt drauf, da kommt dann einfach ein Kabel runter und eines wieder hoch. Sähe auch gar nicht soo dumm aus, wenn es denn funktionieren würde ;)

Und die 1HE mit der pfSense Hardware, ist das universell? Habe die irgendwann schon mal gesehen in Zusammenhang mit einem Alixboard

Nope, das ist eigentlich die Halterung für eine ältere Lanner FW-7535 daher passt sie für die scope7-7525 auch nicht ganz (weil schmaler als die alte 35er), aber die Halterung ist auch für das Netzteil genau zugeschnitten dass das links neben die Kiste reinpasst. Daher kann ich aber auch das Gerät nicht festschrauben und nur reinlegen. Aber evtl. findet sich noch ein altes Mountkit für ne 7525 (die ist dann aber IMHO ohne Ablage für Netzteile was schade wäre).

Habe die irgendwann schon mal gesehen in Zusammenhang mit einem Alixboard

Es gibt auch Universalschubladen oder einfach 1HE Rackböden, wo man nutzen könnte. Machen auch einige. Gefällt mir dann aber mit fehlendem Frontpanel nicht so gut. Da bin ich optisch angefixt das "schöner" zu machen.

Und was ist ein 2FA? :)

2-Factor-Authentication. Also das typische User/Pass + generierter PIN/Key. Am besten sowas natürlich per extra App offline möglich, manche wollen dazu aber unbedingt SMS senden, was a) nervt wenn mal kein Netz da ist oder die SMS arschlangsam ankommt und b) durch diverse SIM-Cloning Angriffe generell eher uncool ist. Als Fallback wäre es ja OK, aber es gibt eben hartnäckige Fälle die das echt nur per SMS anbieten - leider. Paypal hatte es jetzt endlich mal gebacken bekommen, eBay immer noch nicht gelernt und Sony fürs PSN bspw. ist leider auch noch so ein hartnäckiger Fall. Oder Kreditkarten, die das jetzt (erst) nutzen (statt wie Banken auf ne andere/Offline-Lösung zu setzen).

Generell ist das der "communication" Pi, der andere soll dann erstmal Monitoring übernehmen. Wobei das später auf nen kräftigeren Pi4 oder NUC kommt, da Grafana, Influx und Graylog jetzt nicht so die zierlichen Leichtgewichte sind ;)

nonick

@JeGr
Das kann ich alles so unterschreiben. Bin damals, als das Projekt Monowall eingestellt wurde, auf Anraten von Manuel Kasper zu OPNSense gewechselt. Die Erfahrung mit OPNSense waren nicht die besten. Seit dem ich auf pfSense umgestiegen bin, habe ich keine Probleme mehr gehabt. Korrekte Konfiguration vorausgesetzt, funktioniert alles zuverlässig, auch nach Updates. Meine Backup Kiste, die unter OPNSense häufig zum Einsatz kam, wurde seitdem nicht mehr benutzt.

karl047

@JeGr : Danke dir für deine Antwort, ich wollte dich wirklich mit meiner Frage nicht ärgern aber wie du geschrieben hast und wie ich das beschrieben habe:
"Weil nach meiner Erfahrung mit beiden Produkten pfsense das stabilere ist"
"dass alles einzurichten mit pfSense viel stabiler ist, und man merkt dass es irgendwie läuft"

und du hast am Ende VOLL RECHT:
"Und zu guter Letzt: Ganz egal was man einsetzt
-> Better use some *sense than no(n)sense! "

und wir führen überhaupt keine Diskussion über welches davon besser ist, jeder und seine eigene Entscheidung.

Danke dir wieder, und wünsche dir VIEL SPASS mit deinem Schrank und weniger Kopfschmerzen; Ich kann mich gut erinnern dass es mir damals Nervenzusammenbruch gebracht hat bis ich alles hingekriegt habe

JeGr

ich wollte dich wirklich mit meiner Frage nicht ärgern

No offense meant - none taken :)

Danke dir wieder, und wünsche dir VIEL SPASS mit deinem Schrank und weniger Kopfschmerzen; Ich kann mich gut erinnern dass es mir damals Nervenzusammenbruch gebracht hat bis ich alles hingekriegt habe

Na hoffentlich nicht ;)

und wir führen überhaupt keine Diskussion über welches davon besser ist, jeder und seine eigene Entscheidung.

Genau das. Den Schuh möchte ich mir gar nicht anziehen, da versuche ich auch produktneutral zu bleiben alleine schon ggü den Kunden. Wenn ich persönlich gefragt werden, gebe ich dazu Antwort, dränge die aber nicht als "DIE" Meinung jemandem auf. Egal ob orange oder blau -> Hauptsache eine davon ;) Besser als ewig mit teuren Kisten rumzukaspern, die es 2019 immer noch unter ihrer Würde erachten bei IPSEC bspw. aktuelle Cipher/Codecs mitzuliefern oder OpenVPN überhaupt zu unterstützen. Da könnte ich Regenbögen im Quadrat kotzen.

mike69

Ist doch schön, wenn sich alle lieb haben.

@JeGr
Das mit dem Cloudkey und dem Rackpanel ist echt ärgerlich. Sieht so recht edel aus, muss natürlich funktionieren.

Zum Thema 2FA: Danke für die Erklärung, dachte eher so an eine Beschimpfung. :)

Das mit der Code per SMS finde ich nicht soooo tragisch. Smartphone ist immer in der Nähe und alle mal besser als eine Bank App, welche fleissig Google Analytics befeuert. Die Deutsche Bank bietet zum Beispiel auch eine Hardwarelösung an mit einem QR Scanner, welcher ein Code rausspuckt. Wir nutzen auch Paypal, aber ohne das App nur über den Browser. Was machen die anders?

Zum Thema Bürstenleiste,es sieht erbärmlich aus ohne. Wenn ich mal ein Bild hochladen darf.

JeGr

Naja! Erbärmlich kenne ich aber anders. Ist doch alles ordentlich aufgeräumt? Manche Kabel haben halt ihren Biegeradius, das passt doch. Ich hätte nur ggf. andere Farben für unterschiedliche Segmente genutzt aber ansonsten wäre ich froh wenns in der Wohnung schon nen Patchpanel gegeben hätte und ich nicht jetzt Aufputz Kabelkanäle kleben müsste :)

Das mit der Code per SMS finde ich nicht soooo tragisch. Smartphone ist immer in der Nähe und alle mal besser als eine Bank App,

Ja ist in der Nähe aber nein, eben nicht immer mit Empfang. Zudem sind SIM-Cloning Attacken keine Theorie sondern leider schon häufiger vorgekommen. Ich kann aber 2FA via SMS nicht als sicheren Kommunikationskanal benutzen wenn er das nicht ist. Zudem bin ich auf mehrere äußere Einflüsse angewiesen. Was ist schlimm daran sich an vorhandene Standards wie TOTP zu halten die sauber funktionieren und zudem außer an die Zeit an nichts gebunden sind?

Bank App, welche fleissig Google Analytics befeuert

Sowas darf eben in einer Secure App nicht drin sein. Nervkram! Meine Sparda hat da ne extra Secure App nur für die Codegenerierung. Läuft sauber. QR Scanner ist schon wieder ziemlich speziell... da könnte ich auch gleich das simple EC-Lesegerät-Ding nutzen um meine PIN am Bildschirm abzuscannen (oder meinst du das)? Ist natürlich auch sauber weil offline und da Karte benötigt ordentlich abgesichert.

Wir nutzen auch Paypal, aber ohne das App nur über den Browser. Was machen die anders?

Hat jetzt nichts mit der App zu tun, aber da gabs lange gar kein 2FA (hallo, ihr spielt mit Geld, warum geht das nicht sicherer!?), dann lief es per SMS () und nun endlich auch alternativ via TOTP Verfahren.

mike69

ansonsten wäre ich froh wenns in der Wohnung schon nen Patchpanel gegeben hätte und ich nicht jetzt Aufputz Kabelkanäle kleben müsste :)

Hatten es beim Neubau vor über 10 Jahren mit eingeplant und in einigen Räumen mehrfach legen lassen. Der Tip kam von meinem Cousin, zum Glück, wollte komplett auf WLAN setzen. :))

da könnte ich auch gleich das simple EC-Lesegerät-Ding nutzen um meine PIN am Bildschirm abzuscannen (oder meinst du das)?

Es wird ein QR-Code am Monitor generiert und das Lesegerät zeigt eine PIN an. Also kein Scheckkartenleser.
Mit den Apps ist so ne Sache, nutze ein Smartphone ohne Google Framework, da sind die runter zu ladenen APKs rar gesät. Klar gibt es Download-Portale wie apkpure o.ä., ob die Apps original oder untouched sind sei mal dahingestellt. Unsere Bank stellt ihre Apps nur über den Playstore zu Verfügung, und die sind lausig programmiert wenn man die Bewertungen liest.

Wie dem auch sei, es driftet ab.:)

JeGr

So kurzer Zwischenstand:

Nach einigem Grummeln und Brummeln mit diversen Händlern war nun gestern endlich der letzte Raspi für den Festeinbau da und das Rackmount Kit und der Cloudkey sind RMA't und auf dem Rückweg zu mir. Hoffentlich funktionieren die besser als die letzten beiden. Klar, ich könnte einfach einen gekühlten Raspi4 4G als Controller nutzen. Wäre wahrscheinlich recht ähnlich oder sogar schneller als der Unifi Key. Aber das komplette Kit - wenngleich teuer - sieht zum einen wirklich gut aus, und zum anderen finde ich das Display des CKG2 ganz praktisch - sowie die Möglichkeit das Ding notfalls sogar per Bluetooth zu konfigurieren. Wenn das Zeug aber wieder nur so sporadisch funktioniert und ständig neustartet bzw. der PoE nicht sauber läuft, dann geht das komplett zurück und ich bau mir wirklich nen Raspi4-based Controller ein und mach oben einfach ne Blende drüber und gut. Keinen Nerv mehr ewig das Rack nicht zumachen/einbauen zu können, weil ein Gammelteil nicht mitspielen mag.

Die sonstigen Switche und Co sind inzwischen alle verbaut und auf Location wo sie hinsollen, 802.1x Radius MAC Auth aktiviert und wieder Mal wäre es schön bei den Unifi Sachen doch ein zwei Winzigkeiten mehr konfigurieren zu können. Aber egal. So werden/wurden jetzt einfach die Geräte via MAC (im Format XXYYZZAABBCC) als User/Pass angelegt, VLAN Tag konfiguriert (wenn man keines konfiguriert wird das Gerät einfach mit dem untagged VLAN angemeldet, in meinem Fall also dem Mgmt Netz -> cool!) und damit hab ich auf jedem Switch bis auf die ersten und letzten Ports quasi alle im Profil "Radius" konfiguriert. Sprich:

• Gerät ran:
• Meldung im Radius Log auf pfSense:
  • (ID) Login INCORRECT: [xxyyzzaabbcc/ <via Auth-Type = eap>] (from client swtXY port Z cli xxyyzzaabbcc)
  • Gerät bekommt keine IP/kein Netz (komischerweise aber noch ne IP6 die aber dann nicht funktioniert, warum noch unklar)
  • MAC Adresse vom Gerät kopieren
  • FreeRadius auf, User=xxyyzzaabbcc, Pass=xxyyzzaabbcc, Cleartext, VLAN=VLANID, speichern
  • reload
• An Gerät ran, Netzwerk neustarten/neu initialisieren/ausstecken-einstecken/whatever
• Meldung im Radius Log auf pfSense:
  • (1555) Login OK: [B827EBCA75A8/<via Auth-Type = eap>] (from client swt01 port 14 cli B8-27-EB-CA-75-A8) // Beispiel für einen der PIs
• Blick ins DHCP Log
  • Oct 2 12:21:39 dhcpd DHCPACK on <IP> to b8:27:eb:ca:75:a8 via igb2.<VLANID>
  • Oct 2 12:21:39 dhcpd DHCPREQUEST for <IP> from b8:27:eb:ca:75:a8 via igb2.<VLANID>

BAM. Gerät bekommt nach Radius MAC Auth automatisch im richtigen VLAN seine Adresse per DHCP. Wenn er statisch konfiguriert ist gehts natürlich noch schneller, logisch.

Einziger Wehrmutstropfen daran: Unifi macht Radius MAC Auth grundsätzlich (wie im Log zu sehen) wie EAP mit ... MD5. Was eigentlich ein "schwacher Cypher" ist bzw. man bei Radius inzwischen abschalten kann/sollte. War bei mir auch so, hat mich ne Stunde gekostet rauszufinden, warum zum Geier alles geht, nur Radius MAC Auth nicht. Radius based VLANs vom WiFi AP gehen nämlich! Die nutzen allerdings eben je nach Radius Konfig den Standard den Radius anbietet (was man also vorgeben kann in FreeRadius auf der pfSense als Default). Sprechen also EAP-TLS oder -TTLS o.ä. - nur die Mac Auth macht das nicht. Gut, jetzt ist das alles intern und kein großes Drama, piekst mich aber an, dass ich sowas anmachen muss. Betrifft BTW auch andere Radius Server (wie Windows/Microsoft), bei denen inzwischen per default alte Sachen wie EAP-MD5 und Co abgeschaltet sind und man die manuell wieder anklemmen muss.

Das nur für die, die ggf. mit anderen 802.1x Implementationen herumkrebsen und das ggf. auch als Problem haben ohne es zu wissen ;)

Dafür positiv: neue Kabel und Käbelchen sind angekommen, 0,25/0,3m Kurzkabel für direkt Rack-Rack-Gerätverkabelung um die langen Dinger endlich rauszuwerfen.

Hier nicht ganz aktuelles Bild mal bei Tageslicht, Top down:

• Rangier-Bürstenpanel für externe Kabel (gehen hinten/oben dann aus dem Rack raus)
• frei weil wartend auf RackKit für Unifi CKG2
• Unifi US-24
• Rangier-Bürstenpanel für interne Kabel (geht ins Rack rein/bleibt drin/nach unten zu anderen Geräten)
• 2HE Audio-Rackrahmen für 10-Unit Vertikaleinbau.
  • 3x 2er-Blenden (schwarz) von links
  • 3x Raspis (2x 3B+, 1x 3B)
  • 1x 1er-Blende (schwarz) ganz rechts
• pfSense auf scope7-7525 (Atom C2558) in Rackeinbau-Kit von ehem. FW-7535 verbaut. Links in Halterung Netzteil der Scope, rechts in Halterung (passt lustigerweise fast genau rein) liegt der 48W-24V PoE Injector von Unifi für den Cloudkey (schwarz verdrahtet)
• 4HE günstige schwarze matte Blechblende für Optik/Sounddämmung
• 2. HE von unten: 1HE Rackboden, schwarz mit Verschraubung vorne & hinten. Darauf steht
  • Synology DS1813+, angebunden mit 4x Gigabit (Kabelstrang der oben bunt aus dem Rangierpanel kommt, 2x grün, 1x gelb, 1x schwarz)
  • APC Back-UPS 700 als Turm Variante. Hängt via USB an Synology dran zum Auslesen, Syno publisht den APC Status via Netzwerk an pfSense und zweite Syno im Obergeschoss damit alle wichtigen Geräte die Info zum Powerdown bekommen wenn nötig.
  • USV hat an sich jeweils eine Steckdosenleiste angeschlossen für Power Surge only (also nur gegen Blitzschutz etc.) und für BBU (battery backed-up). In der BBU Leiste hängt momentan annähernd alles aus dem Rack, also Syno, die Pis sowie die Switche und der Controller. Was nicht daran angeschlossen wird sind u.a. 1-2 kleine Geräte die noch reinkommen (ein NUC der ggf. noch von einem der Pis abgelöst wird) sowie der Lüfter/Ventilator des Rackgehäuses, der aber eh so gut wie nie läuft (Temp <30° im Rack).

Wen die Kabelfarben interessieren:

• weiß: Uplink/VLAN-Trunks (also andere Switche oder der Uplink ins Internet auf der Firewall - farbig wäre da doof gewesen durchs Haus zu legen).
• schwarz: Management (alle Unifi Geräte mit ihren Mgmt Ports, Synology für Mgmt, Firewall)
• grün: normales LAN (2x Syno für 2Gbps Trunk, NUC, Firewall)
• blau: Lab Netz zum intensiven Testen (momentan nur Firewall und 1 Pi, auf dem Bild ist der aber noch nicht angekommen)
• gelb: Infrastruktur (Sachen, die alle Netze brauchen wie DNS, LDAP, etc., Pis, Synology, etc.)
• rot: Media (im Bild nicht zu sehen, weil innerhalb von weiß[Trunk] gekapselt da meist keine Bandbreiten >200Mbps gebraucht werden, sieht man nur auf den Satelliten-Switchen dann aufliegen)
• orange: IoT (dito wie rot -> momentan nur in Ausnahmen benötigt. Da kommen dann ggf. Hausautomation etc. rein wenn dafür mal Zeit ist).

Die ersten 4 Ports sind inzwischen vollständig gesteckt, da hängen jetzt alle Satellitenswitche (US-8er) dran (daher altes Bild) sowie der 3. Pi verbaut so dass jetzt endlich - bis auf den fehlenden Controller - das ganze mal nach was aussieht ;) Nur das letzte (Port 23) baumelnde graue Kabel ist noch da um mein Laptop direkt anzustecken, das momentan Aushilfscontroller spielt.

mike69

Moin @JeGr .

Danke für das Feedback.

Hoffentlich funktionieren die besser als die letzten beiden.

Das bedeutet, du wartest auf den Dritten? :(
Funktioniert das allgemein nicht oder in Verbindung mit der Rackhalterung? Ist dennoch ärgerlich, egal wie.

Wie ich sehe, nutzt Du kein VLAN für deine Netzwerke, darf ich fragen, warum? Bestimmt, weil Du es kannst aber im Ernst, hast Du so viele Ports frei am Switch?

meipert

@mike69 gerade wenn ich das Environment daliegen habe und die Geräte welche zentrales Management bieten würde ich auch ein VLAN Konzept empfehlen, und sei es nur um seine Konsolen und Gastgeräte aus produktiven Netzen herauszuhalten, für die Konsolen ein Direct-NAT erstellt um beim zocken keine Latenzen mehr zu haben, oder die Multimedia Abteilung auf Multicast Basis in einem eigenen isolierten Bereich betreibt. Ganz zu schweigen von der eigenen Frau und der Oma welche auch für sich einen isolierten Bereich bekommen sogar mit shield und anomaly detection.. man glaubt gar was die jeden Tag für einem Impact aus dem Google Play Store heraufbeschwören und man dann seltsamen Netzwerkphänomenen nachgeht oder selbst zum McDonalds fährt um dort seine Cryptogeschäfte zu erledigen haha

managed network -> bekommt erst mit VLAN -> so richtig seinen Wert als managed network angerechnet :-)

p.s. und wenn die Oma mal wieder die ganze Bandbreite zum skypen verbraucht dann trunk ich einfach ihren VLAN Port kurz weg :-)

Lg
Michael

mike69

Moin Michael.

Willkommen im Forum.
Wäre dein "Leidensweg" nicht besser in einem eigenen Thread aufgehoben? :)

@mike69 gerade wenn ich das Environment daliegen habe und die Geräte welche zentrales Management bieten würde ich auch ein VLAN Konzept empfehlen, und sei es nur um seine Konsolen und Gastgeräte aus produktiven Netzen herauszuhalten, für die Konsolen ein Direct-NAT erstellt um beim zocken keine Latenzen mehr zu haben, oder die Multimedia Abteilung auf Multicast Basis in einem eigenen isolierten Bereich betreibt.

Ich denke mal, da sind viele bei Dir. Wird von vielen praktiziert, auch von @JeGr, daher die Frage an Ihn, was hat Er vor? :)

@meipert said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

p.s. und wenn die Oma mal wieder die ganze Bandbreite zum skypen verbraucht dann trunk ich einfach ihren VLAN Port kurz weg :-)

Auch hier gibt es elegantere Lösungen. :)

JeGr

ich lagere mal den einen Post in ein extra Thema aus, macht da glaub ich mehr Sinn, weil das ansonsten nicht so wirklich eine Antwort ist auf den Rest :)

Ich denke mal, da sind viele bei Dir. Wird von vielen praktiziert, auch von @JeGr, daher die Frage an Ihn, was hat Er vor? :)

Wenn Fragen sind, stellt die doch ruhig. Ist doch kein Problem?

mike69

Hab ich doch.

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Wie ich sehe, nutzt Du kein VLAN für deine Netzwerke, darf ich fragen, warum? Bestimmt, weil Du es kannst aber im Ernst, hast Du so viele Ports frei am Switch?

Du hast 4 Kabel vom Router zum Switch, VLAN-Trunk, LAN, Lab und Management. Also fährst Du nicht komplett im VLAN?

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Du hast 4 Kabel vom Router zum Switch, VLAN-Trunk, LAN, Lab und Management. Also fährst Du nicht komplett im VLAN?

OK die Frage darin hatte ich nicht wirklich wahrgenommen. Gut so :)

Doch ich fahre VLANs. Wie im Farbschema beschrieben, alles was grau/weiß ist. Die erste Ader ist der Uplink (weiß weil auf Wand verlegend) und die nächste ist der VLAN Trunk auf dem die nicht so performanten VLANs aufgelegt sind. Momentan sind das Infrastruktur, IoT und Media sowie Guest. Wirklich aufgelegt sind mgmt (obivous reasons are obvious), LAN und LAB. LAN, weil es von dort aus duchaus Durchgriffe in andere Nezte gibt und das dann auf VLANs unnötig Bandbreite rauben würde. Lab liegt nur auf einem Interface weil es da ist und ich somit wirklich physische Trennung habe, wo ich ggf. nen anderen Switch etc. anschließen kann für echte Tests.

mike69

Mal eine Frage, wie schottest Du dein "LAB" oder "LAN" ab auf den Switch, über ACL Rules auf dem Switch?

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Mal eine Frage, wie schottest Du dein "LAB" oder "LAN" ab auf den Switch, über ACL Rules auf dem Switch?

Warum auf dem Switch? Die Netze liegen auf der Firewall auf?

mike69

@JeGr said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Warum auf dem Switch? Die Netze liegen auf der Firewall auf?

Du gehst z.B. mit LAN und LAB physikalisch vom Router in den Switch.
Mit einem am Switch angeschlossenen Host aus dem LAN Netz kannst Du doch auf die am Switch engeschlossenen Gerätschaften im LAB Netz zugreifen, oder?

Das looft doch direkt im Switch und nicht durch den Router, oder? Hab ich da einen Denkfehler? Als Layer 2 Switch ist ihm doch die IP egal.

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Mit einem am Switch angeschlossenen Host aus dem LAN Netz kannst Du doch auf die am Switch engeschlossenen Gerätschaften im LAB Netz zugreifen, oder?

Huh? Nö. Lab ist einfach ein abgetrenntes VLAN in dem ich LAN oder ähnliches simulieren kann und was ich als TestBed für Dinge wie VPN Strecken etc. nutze, wenn ich bspw. auf Arbeit eine externe Testgelegenheit brauche. Dann baue ich den Tunnel zu meiner Kiste auf und als Remote Netz nutze ich das Lab, was nur sich selbst sieht. Ich könnte vom LAN aus zum Labnetz zugreifen, richtig, aber der Traffic würde IMMER geroutet werden und über die grüne Strecke in die pfSense und von dort aus der blauen wieder in den Switch gehen. So wie immer mit eigenen VLANs. Nur weil die Sachen am gleichen Switch hängen, heißt ja nicht per se, dass ich da "einfach" drauf zugreifen kann. Die Ports sind ja alle entsprechend in VLANs bzw. im Radius Mode und belegen sich dann untagged mit dem VLAN was drauf soll, also bspw. Lab, LAN o.ä,.

Das looft doch direkt im Switch und nicht durch den Router, oder? Hab ich da einen Denkfehler? Als Layer 2 Switch ist ihm doch die IP egal.

Jetzt widersprichst du dir ;) Gerade WEIL er auf Layer 2/2,5 Modus operiert ist ihm die IP etc. egal und er respektiert nur die VLANs. Ist alles sauber mit VLAN Tags separiert und daher behandelt er alle Ports des entsprechenden VLANs als virtueller Switch. Sprich die sehen nur andere Geräte aus dem gleichen VLAN und die Firewall. Fertig. Nix anderes Gerät aus LAN im Labnetz oder umgekehrt. Deshalb macht man den Spaß ja mit VLANs ;) Und daher würde alles von LAN -> Lab oder umgekehrt immer brav durch die Firewall juckeln.

mike69

@JeGr said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Gerade WEIL er auf Layer 2/2,5 Modus operiert ist ihm die IP etc. egal und er respektiert nur die VLANs. Ist alles sauber mit VLAN Tags separiert und daher behandelt er alle Ports des entsprechenden VLANs als virtueller Switch.

Jetzt fällt der Groschen. :)

Die Ports am Switch sind oder werden noch mit der entsprechenden VLAN ID getagged :). Jetzt wir ein Schuh draus, logisch.
Hatte das mit den tagged Ports an den physikalischen Interfaces irgendwie nicht auf dem Schirm.

Danke :)