Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss

NOCling

Du hast ja einen Cisco SG350 angesprochen, das ist doch soweit ich weiß, schon ein full managed L3 Device.

Der kann dann also Routen und sogar ein wenig über ACLs steuern was wohin draf.
Vermutlich sogar Policy bases routing.

Wenn du aber eh alles über VLANs leiten willst und jedes auf der Firewall aufschlägt, dann würde es auch hier reichen, wenn man jeden an die Sense anschließen würde.

Aber, wenn jetzt NAS auf Switch 1 und PC auf Switch 2 hängt, was ich dank alles im gleichen Rack vermeiden konnte, dann würde das alles über die Firewall laufen.

Bei den kleinen Netgate Kisten ist hier sogar ein Switch eingebaut, der VLANs usw. kann, das würde dann zumindest die Last von der Firewall Engine nehmen.

Aber hast du hier feste Interface, dann würde der Trafic vom NAS zum PC durch die Firewall laufen, bzw. musst du dann die Regel aktivieren, das Daten im gleichen Netz nicht durch das Regelwerk müssen.

Geht auch, ist aber mit weniger Druck unterwegs, als wenn das alles über den Cisco laufen würde.
Cisco Switche sind halt Monster was pps usw. angeht.

Die neuen kannst, richtig eingerichtet, nicht Mahls mehr mit einem Loop im LAN killen, zumindest die wir in den Standorten einsetzen. Ok die Core ist dann ein wenig träge und hakt ein wenig auf der CLI, aber die läuft weiter.

viragomann

@thiasaef said in Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss:

Hat jemand Erfahrung mit den neuen IPUs oder dem SG350-10, insbesondere was den Stromverbrauch angeht? Mir ist schon klar, dass das den Kohl nicht wirklich fett machen wird, aber ich hab ne leichte Macke, was das angeht.

Ich auch.
Würden mich nicht wohl fühlen, wenn da ständig was Strom zieht, wovon keiner einen Nutzen hat.

So etwas wie den IPU habe ich auch als Zentrale meines Heimnetzwerks, allerdings mit 4 NICs, 3 Jahre alt, 8 GB RAM und einem i5-4200U. Bestückt ist er mit einer 120 GB SSD und 2 TB HDD.
Auf dem läuft ein Linux, worauf ich die pfSense und einen Cloudserver virtualisiert habe. Davor geschaltet ist nur ein VDSL-Modem, die pfSense macht also auch die Internetverbindung via PPPoE.
Der Durchschnittsverbrauch liegt bei etwa 7 W, gemessen über mehrere Tage.

Mit dem WLAN-AP wird VLAN wahrscheinlich ohnehin Thema bei dir, um mehrere SSIDs betreiben zu können oder um dessen Management-Interface vom WLAN-Netz zu trennen.
Allerdings sollte das nicht zwingend einen VLAN-fähigen Switch erfordern. Die VLANs laufen üblicherweise auch ganz gut über konventionelle Switche, allerdings dann ohne saubere Trennung und mit dem damit verbundenen Sicherheitsdefizit.

JeGr

@thiasaef said in Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss:

Ich bin bisher davon ausgegangen, dass bei meiner angedachten Segmentierung eh alles durch die Firewall durch muss, aber vermutlich hab ich einfach nur eine falsche Vorstellung davon, was man mit einem Managed Switch alles machen kann.
Der Drucker und die TVs sollen jedenfalls keinen Zugang zum WAN haben.

Jein. Du schreibst ja aber in deiner Liste selbst:

Geplante Segmentierung des zukünftigen Netzwerks:
Workstation, Office-PC
Gigaset Go Box
TV, Printer
WLAN AP
PC

Jetzt soll der WLAN AP ja aber sinnvollerweise sicherlich auch Geräte in das gleiche Netz wie PC oder Workstation bringen können? Also müsste da das gleiche VLAN anliegen bzw. mehrere. Das kannst du nicht einfach so an die pfSense hängen, die kann an jedem physikalischen Interface zwar mehrere VLANs, aber die müsste man dann wiederum bridgen, was auf die Ursprungsaussage rausläuft: Firewall ist KEIN Switch. Und da du mit Office PC und Workstation ja auch mehrere Geräte im gleichen Netz hast geht das nicht anders, denn wenn du OHNE Switch auskommen willst, müsste ja alles direkt an die Sense verdrahtet werden. Und dann hätte ohne Bridge alles ein eigenes Netz.
Macht das Sinn? Eher nicht, denn du willst bei Geräten, die du in die gleiche Zone einteilst wie jetzt bspw. Workstation und Office PC (oder lass es ggf. ein NAS oder eine USB Platte an einem Rechner noch dazukommen) nicht unbedingt, dass diese bei Kommunikation miteinander jedes Mal ihren ganzen Traffic komplett über die Firewall juckeln, nur weil sie untereinander Daten austauschen. :)

Daher würde ich da mal ganz von vorn anfangen und mir Gedanken machen zu einer Art "Zonenmodell": Welche Geräte hast du, was sollen die (genau) dürfen und welche Geräte sind sich damit sehr (ganz) ähnlich (gleich) und würden somit in die gleiche Zone fallen.

Laut deiner Liste also z.B. Workstation und Office-PC wohl? Drucker soll kein Internet haben, aber von intern ja logisch erreichbar sein, sonst kein Drucken. Muss der TV erreichbar sein oder/und Internet haben? Du schreibst nein, aber warum muss er dann überhaupt ans LAN? Von Lokalen Quellen irgendwas abspielen können? Von wo? Was ist mit Streamingdiensten à la Netflix, Prime etc.? Was muss der PC vs. Office PC können/dürfen? Gleiche Anforderungen aber getrennt voneinander wegen "Office / Home" Trennung?

Wenn man das mal so einklassifiziert hat, schreibt man sich die Zonen entsprechend raus und kann dann weiter machen. Aber immer im Auge behalten, ob und welche Kisten sich ggf. auch untereinander sehen sollten/müssen weil sonst ggf. irgendwas nicht geht.

Und dann packt man das ganze in geplante Netze bei denen man sich tunlichst auch noch Luft nach oben lässt, aber das hatten wir ja gerade erst in einem anderen Thread (kann den jemand verlinken?), wie man sich da ggf. einen CIDR Bereich von ~/20 oder so rausschneidet und mit dem mal die Netze plant. Dann hat mans ggf. bei VPNs o.ä. später auch wesentlich einfacher.

Zur Hardware noch kurz:

Die ganzen IPU Systeme sind alles U-Varianten bzw. Embeddeds von Desktop CPUs. Einerseits gut (Desktop CPU hat für den ganzen PHP und Frontend Rempel ordentlich Power), andererseits auch nicht ganz so gut, denn HT ist bei einem Router/Firewall Einsatz eher weniger toll. Also sollte man die 2+2 CPU Angabe eher als "2" Kerne lesen und fertig. HT bringt da eher weniger und kann ggf. sogar langsamer sein als es abzuschalten. Ansonsten sehe ich da den Grund nicht (außer du bekommst in nächster Zeit Glasfaser mit 1Gbit) für eine zu große Kiste - außer man will 4 Kerne. Würde mir eher eine rauspicken, die ggf. preislich im Rahmen ist und hohen SingleCore Power hat. Also eher weniger sowas wie IPU660 mit 2GHz. Und ggf. in mehr RAM investieren. Ansonsten schreibst du ja leider nichts für andere Daten (Bandbreite, VPNs, etc.) bei denen es auf CPU und Co ankäme.

Nen Cisco würde ich mir auch nicht unbedingt ins Netz pflanzen, aber ggf. nen sinnvoll großen (oder ggf. mehrere) VLAN fähige Switche. Und wenn dann ggf. eh ein Unifi AP dazu kommt (U6 Lite hat da IMHO mächtig BANG for Buck - siehe mein Post im Allgemeinen Unterforum), dann würde ich ggf. eher Unifi Switche mit einplanen, da gibts inzwischen ja auch noch ein paar günstigere. Und du kannst als großen Vorteil alles mit dem Controller aus einer Hand bedienen und musst nicht alles einzeln konfigurieren.

thiasaef

die kleinen Netgate Appliances ... liegen im Bereich 5W. Die kannst dir ja auch mal anschauen.

Werde ich auf jeden Fall machen. Die SG-3100 sieht auf den ersten Blick nach einer veritablen Alternative zur IPU66x aus.

wenn's günstig sein soll z.B. auch ein D-Link DGS-1210-20 oder kleiner

Kann man bei den Teilen den Zugriff auf das Management Interface vernünftig beschränken? Ich bin aus dem Handbuch nicht schlauch geworden.

Davor geschaltet ist nur ein VDSL-Modem, die pfSense macht also auch die Internetverbindung via PPPoE.

Würde mich auch reizen, aber aktuell bin ich glücklich mit Telekom Hybrid und da wird das wohl nicht gehen.

Der Durchschnittsverbrauch liegt bei etwa 7 W, gemessen über mehrere Tage.

Das wäre natürlich ein Traum. Geringerer Verbrauch verglichen mit meiner derzeitigen Lösung und das bei deutlich mehr Komfort und deutlich mehr Möglichkeiten zur Segmentierung des Netzwerks.

Jetzt soll der WLAN AP ja aber sinnvollerweise sicherlich auch Geräte in das gleiche Netz wie PC oder Workstation bringen können?

Also dem WLAN AP sind prinzipiell drei Aufgaben zugedacht:

• Bei Bedarf ein Gäste-WLAN bereitstellen
• Bei Bedarf Videotelefonie auf mobilen Geräten (Laptop / Tablet) ermöglichen
• Eventuell ein drittes Netz für bereits vorhandene Smart-Home-Geräte aufspannen

Im gleichen Netz wie die PCs möchte ich davon höchstens die Smart-Home-Geräte haben und untereinander sollen die verschiedenen WLAN-Netze auch keine Daten austauschen können.

Also müsste da das gleiche VLAN anliegen bzw. mehrere.

Also angenommen, ich möchte die Smart-Home-Geräte, die selbst keinen Internetzugang haben sollen, von einem PC aus erreichen können, ohne über die Firewall gehen zu müssen. Dann müsste ich, wenn alle wie bisher im gleichen VLAN sind, auf IP Ebene filtern, was - korrigiert mich, wenn ich falschliege - nicht gerade die sauberste Lösung ist, oder wenn sie in verschiedenen VLANs wären, im Switch eine Art Inter-VLAN Routing aktivieren.

wenn du OHNE Switch auskommen willst, müsste ja alles direkt an die Sense verdrahtet werden. Und dann hätte ohne Bridge alles ein eigenes Netz.

Das ist eigentlich bis auf wenige Ausnahmen genau das, was ich anstrebe.

Daher würde ich da mal ganz von vorn anfangen und mir Gedanken machen zu einer Art "Zonenmodell"

Das habe ich mit meiner obigen Segmentierung versucht. Alles, was nicht am Internet hängt, darf von mir aus in einem gemeinsamen Netz sein. Alles andere soll (eventuell mit Ausnahme von Workstation und Office-PC) in eigenen Subnetzen leben und wenn überhaupt nur über die Firewall miteinander kommunizieren dürfen.

dass diese bei Kommunikation miteinander jedes Mal ihren ganzen Traffic komplett über die Firewall juckeln

Nennenswerter Traffic innerhalb des Heimnetzes würde nur anfallen, wenn ich die Box auf der pfSense läuft, gleichzeitig als DLNA-Server missbrauchen würde.

Drucker soll kein Internet haben, aber von intern ja logisch erreichbar sein, sonst kein Drucken.

Ja, aber die paar MB, die bei einem Druck- oder Scanauftrag anfallen, sollten ja eigentlich kein Problem für die Firewall sein.

Was ist mit Streamingdiensten à la Netflix, Prime etc.?

Werden auf absehbare Zeit nicht zum Einsatz kommen.

Was muss der PC vs. Office PC können/dürfen? Gleiche Anforderungen aber getrennt voneinander wegen "Office / Home" Trennung?

Ja genau, Workstation, Office-PC und Drucker sind ein in sich geschlossenes System, indem der (Windows-)PC nichts verloren hat.

Aktuell tendiere ich dazu, eine "Router-on-a-Stick" Konfiguration zu fahren, vorerst also nur einen neuen VLAN fähigen Switch mit anständigem Funktionsumfang anzuschaffen (z.B. Cisco SG250-08, Cisco SG350-10, Ubiquiti UniFiSwitch 8, wobei Letzterer ein ziemlicher Stromfresser zu sein scheint und ich mir nicht sicher bin, ob ich mit der UniFi Controller Software warm werden würde) und die APU erst zu ersetzen, wenn die Anforderungen es tatsächlich erfordern. Wobei mich eine IPU trotz allem reizen würde ...

Ganz herzlichen Dank jedenfalls schon mal für die rege Beteiligung an meinen Überlegungen. Es hilft ungemein bei der Entscheidungsfindung, wenn man versucht, sein Vorhaben zu erklären, die genauen Anforderungen niederschreibt und dann auch gleich noch so tolles Feedback bekommt!

JeGr

@thiasaef said in Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss:

Kann man bei den Teilen den Zugriff auf das Management Interface vernünftig beschränken? Ich bin aus dem Handbuch nicht schlauch geworden.

Wenn ich eh Unifi APs habe, dann möchte ich (subjektiv, ich persönlich) das lieber alles zentral haben. klar sind dann DLink Teile günstiger, aber wie oft kauft man neue Switche. Zudem bin ich mir bei den DLink Teilen nicht sicher, irgendwelche billigen hatten glaube ich auch VLAN Leakage, was nicht so cool war.

Werde ich auf jeden Fall machen. Die SG-3100 sieht auf den ersten Blick nach einer veritablen Alternative zur IPU66x aus.

Ist schon recht mächtig was sie kann, aber ich mutmaße gegenüber einem i5/i7 selbst in der U Variante hat sich nicht ganz die Schnitte. Dafür spart sie garantiert mehr Strom, korrekt. Und man hätte tatsächlich dezente Switch Funktionen integriert.

Davor geschaltet ist nur ein VDSL-Modem, die pfSense macht also auch die Internetverbindung via PPPoE.

Würde mich auch reizen, aber aktuell bin ich glücklich mit Telekom Hybrid und da wird das wohl nicht gehen.

Bin ich gar kein so großer Fan, denn PPPoE ist für die pfSense immer weitaus aufwändiger als einfach nur IP zu sprechen. PPPoE ist im Vergleich ziemlich ressourcenzehrend und da du eh nicht drumrum kommst - so what :)

Der Durchschnittsverbrauch liegt bei etwa 7 W, gemessen über mehrere Tage.

Das wäre natürlich ein Traum. Geringerer Verbrauch verglichen mit meiner derzeitigen Lösung und das bei deutlich mehr Komfort und deutlich mehr Möglichkeiten zur Segmentierung des Netzwerks.

Das passt schon, die SG2100 liegt bei 5-6W von meiner Beobachtung, aber die Messgeräte sind bei so kleinen Zahlen meist ein bisschen off. Irgendwo zwischen 5-7 wirst du aber sicher landen.

Also dem WLAN AP sind prinzipiell drei Aufgaben zugedacht:

• Bei Bedarf ein Gäste-WLAN bereitstellen
• Bei Bedarf Videotelefonie auf mobilen Geräten (Laptop / Tablet) ermöglichen
• Eventuell ein drittes Netz für bereits vorhandene Smart-Home-Geräte aufspannen

Da hast du aber bspw. schon 3 Netze. Gast, Intern (Videotelefonie Laptop/Tablet -> in welchem Netz sind die sonst? Gast? Auch das Laptop?) und IoT/Smarthome bspw.

Im gleichen Netz wie die PCs möchte ich davon höchstens die Smart-Home-Geräte haben und untereinander sollen die verschiedenen WLAN-Netze auch keine Daten austauschen können.

Warum genau die? Müssen die das? ist das so ein all-in-wonder-Kram, der nur via mDNS und Multicast/Broadcast läuft und nicht ordentlich via IP?

Die WLANs nicht, das verstehst du falsch, aber WO ist bspw. das Laptop sonst drin? Ich hab bspw. nen PC und nen Laptop (privat), die sollen auch gefälligst im gleichen Netz sein, damit ich dem (LAN) Rechte geben kann auf Management von internen Geräten. Ich will aber anderen WiFi Geräten (Gästen, Work Laptop) nicht im privaten LAN haben. Der Arbeitslaptop soll dann im Work-Netz sein wie der ArbeitsPC. Die sollen auch gegenseitig sich nicht sehen. Trotzdem sind das Netze mit diversen Rechten. Vom Privaten LAN aus IoT steuern, jap. Vom Work LAN nope, das hat da nix zu suchen. Gäste kommen in ein Separée und intern gar nichts. Aber meine eigenen Mobilgeräte sollen auch kein Portal bekommen, das wäre nervig. Also trennen.

Sprich: es reicht nicht, den AP in irgendein VLAN zu hängen, sondern der muss an nen Trunkport, damit dein AP dynamisch die Geräte mal in dieses, mal in jenes VLAN hängen kann. Und nicht eine SSID pro VLAN (man kann bei Unifi APs nur 4 SSIDs pro Radio 2/5Ghz aufspannen) was zusätzlich auch die Bandbreite absaufen lassen würde.

Also angenommen, ich möchte die Smart-Home-Geräte, die selbst keinen Internetzugang haben sollen, von einem PC aus erreichen können, ohne über die Firewall gehen zu müssen. Dann müsste ich, wenn alle wie bisher im gleichen VLAN sind, auf IP Ebene filtern, was - korrigiert mich, wenn ich falschliege - nicht gerade die sauberste Lösung ist, oder wenn sie in verschiedenen VLANs wären, im Switch eine Art Inter-VLAN Routing aktivieren.

Nein. Wenn du SmartHome Murks ins gleiche Netz wie dein PC steckst, dann läuft das alles NICHT über die Firewall, weil es im gleichen Subnetz abläuft. Da kannst du keine Regeln definieren, weil die Firewall die Pakete nie sehen wird. Nur wenn die in einem anderen Netz stehen kannst du Regeln konfigurieren. Dann kommt aber drauf an, ob das funktioniert und ordentlich via IP läuft oder ob es Murks ist der mit Multi-/Broadcast läuft.

wenn du OHNE Switch auskommen willst, müsste ja alles direkt an die Sense verdrahtet werden. Und dann hätte ohne Bridge alles ein eigenes Netz.

Das ist eigentlich bis auf wenige Ausnahmen genau das, was ich anstrebe.

Macht für mich begrenzt bis keinen Sinn?

Das habe ich mit meiner obigen Segmentierung versucht. Alles, was nicht am Internet hängt, darf von mir aus in einem gemeinsamen Netz sein. Alles andere soll (eventuell mit Ausnahme von Workstation und Office-PC) in eigenen Subnetzen leben und wenn überhaupt nur über die Firewall miteinander kommunizieren dürfen.

Alles was Internet darf im gleichen Netz? Das wird dann ein kunterbuntes Durcheinander aber keine wirkliche Netztrennung. Da würde ich nochmal drüber nachdenken. Bestes Beispiel hatte ich schon genannt. Arbeits/Privat PC, Mediengeräte mit Streaming, TV darf doch Netflix, IoT/Smarthome muss doch ans Netz weil Update oder Cloud Feature, etc. etc. und schwupp haste alles wieder im gleichen Netz hängen

Nennenswerter Traffic innerhalb des Heimnetzes würde nur anfallen, wenn ich die Box auf der pfSense läuft, gleichzeitig als DLNA-Server missbrauchen würde.

Wenn du gleichzeitig oben schreibst "komme ich 5+ Jahre dann mit aus" kann ich die Aussage nicht ganz ernst nehmen ;)
Wie oben beschrieben, Anforderungen ändern sich ganz schnell :)

Ja, aber die paar MB, die bei einem Druck- oder Scanauftrag anfallen, sollten ja eigentlich kein Problem für die Firewall sein.

Nö ist es nicht. Das wäre kein Ding, aber Verschwendung einen echten Port an der Firewall mit nem Drucker zu belegen, der im Traum kein Gigabit braucht.

Werden auf absehbare Zeit nicht zum Einsatz kommen.

Du hast 5+ Jahre schon weiter geplant? Ich frage nur weil sich das bei uns auch mit den Kids recht fix mal geändert hat. Und so eine Netzplanung und gescheite Struktur/Architektur machst du einmal richtig und nicht nach Bedarf immer und immer wieder. Erweitern ja, aber ständig neu machen? Nö.

Ja genau, Workstation, Office-PC und Drucker sind ein in sich geschlossenes System, indem der (Windows-)PC nichts verloren hat.

Aktuell tendiere ich dazu, eine "Router-on-a-Stick" Konfiguration zu fahren, vorerst also nur einen neuen VLAN fähigen Switch mit anständigem Funktionsumfang anzuschaffen (z.B. Cisco SG250-08, Cisco SG350-10, Ubiquiti UniFiSwitch 8, wobei Letzterer ein ziemlicher Stromfresser zu sein scheint und ich mir nicht sicher bin, ob ich mit der UniFi Controller Software warm werden würde) und die APU erst zu ersetzen, wenn die Anforderungen es tatsächlich erfordern. Wobei mich eine IPU trotz allem reizen würde ...

So ein großer Stromfresser ist der nicht. Wird ja normalerweise problemlos via PoE gespeist. Aber wenns dich brennend interessiert kann ich den US8 gern mal messen, ich hab 3 davon :)

"on a stick" im Sinne von du nimmst einen VLAN trunk und reichst den vom Switch zur Sense durch und legst die da an? Oder willst du VLANs nur aufm Switch anlegen und dort filtern? DAS ist dann richtig häßlich ;) da würde ich jeden Tag den Unifi Controller und Switch + pfSense davor nutzen :D

NOCling

@jegr said in Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss:

klar sind dann DLink Teile günstiger, aber wie oft kauft man neue Switche.

Bei HP genau 1 mal, dann hast du Garantie bis 2121 und wirst die nicht mehr los, da ist das schon als Drohung zu verstehen!

@jegr said in Kosteneffiziente Hardware Empfehlung für Mini-Heimnetz an VDSL-Anschluss:

Und nicht eine SSID pro VLAN (man kann bei Unifi APs nur 4 SSIDs pro Radio 2/5Ghz aufspannen) was zusätzlich auch die Bandbreite absaufen lassen würde.

Von der Bandbreite mal abgesehen, ich habe hier aktuell 4 und wenn man das GW Monitoring abschaltet kann man auch mehr ausstrahlen.
Haut sich aber gegenseitig mit den Beacons irgendwan tot.
So habe ich hier zu den APs einen Trunk mit 3 Tagges VLANs.
Ich manage die hier bei mir im LAN einfach mit.

Hatte mal überlegt ein eigenes Management VLAN zu erstellen, aber 2 Switche, 3 APs und der Controller.
Das ein wenig over.

Wobei wenn ich das Management VLAN Feature bei meinen HPs aktiviere, sprechen die nur noch mit Clients im gleichen Netz.
Da müsste ich meine Rechner die hier drauf dürfen wieder über ne PAT IP jagen und die HPs damit austricksen.

In der Firma ok, aber privat brauche ich das jetzt nicht.
Da ist he nur SSH erlaubt, Webserver ist abgeschaltet, das erhöht die Sicherheit hier massiv und per CLI geht alles eh viel schneller und einfacher.

Meintest den hier:
https://forum.netgate.com/topic/159737/routing-oder-was-anderes/

Ich komme mit einem 24er nicht aus, haben 2 davon im Rack.
Am ersten sind 22 für Clients nutzbar, am zweiten 23.

Dafür hängen hier nicht so viele Kisten im WLAN rum, Kabel hat halt den Vorteil, einstecken, vergessen läuft immer und rennt mit GBit oder irgendwann auch mal 10GBit.

Geräte nach Funktion uns Kommunikationsbeziehungen zu differenzieren und strukturieren ist das Sinnvollste.

Also IoT in ein Netz, Haustechnik ggf. noch mal ein eigenes. Gäste eigenes VLAN mit P2P Block im WLAN. Worknet gibts hier auch, darf nur ins Internet und nix anderes darf hier rein, knallharte Trennung.

LAN darf in die internen Netze, aber auch nicht ins Gast. Gast darf wie Work, nur ins Internet.

Dann ist da noch das Thema Multicast.
Wenn du Kisten hast die das brauchen muss du das auch ggf. sauber einrichten.

Ich brauche das für die PV Anlage, also Energiemanager, Wechselrichter und Batteriespeicher. Wenn das nicht sauber läuft, dann dreht letzter gern mal durch.
Mit den HPs Querier eingerichtet, Intervall 60s und je Switch eine IP, also ist auch hier ein Backup vorhanden, wenn der andere Switch mal ausfällt.
Ja wieder ein wenig über fürs Heimnetz, aber das läuft einfach wenn man es mal sauber eingerichtet hat für die Ewigkeit, also zumindest so lange die HPs Strom haben.

Und verwendet einen Subnetzrechner, wenn du das noch nie gemacht hast und nicht im Kopf mal eben so ne Maske ausrechnen kannst.
Spiele rum und schreibe dir das in einer Tabelle auf.

Das brauchst du in ein paar Jahren ggf. mal wenn du dann doch mal die VPN Tunnelbohrmaschine auspackst und am WAN ansetzt.

thiasaef

Warum genau die? Müssen die das? ist das so ein all-in-wonder-Kram, der nur via mDNS und Multicast/Broadcast läuft und nicht ordentlich via IP?

Das Smart-Home-Zeug ist eigenentwickelt, kann bei Bedarf 2.4 GHz Wi-Fi, soll aber auf keinen Fall aus dem Internet erreichbar sein und läuft bisher vollkommen autark. Wäre aber natürlich schon bequemer, wenn es - entsprechend abgesichert - permanent aus dem Heimnetz erreichbar wäre.

Und nicht eine SSID pro VLAN

Genau so hatte ich mir das bisher vorgestellt. Ein 2.4 GHz Netz für Smart-Home-Geräte und je ein 5 GHz Netz für Gäste bzw. eigene Endgeräte. Aber ich les mich gleich mal ein, welche Varianten es da offenbar noch gibt und wie man die konkret umsetzt.

Da kannst du keine Regeln definieren, weil die Firewall die Pakete nie sehen wird.

Solang die Geräte nur untereinander kommunizieren, natürlich nicht, aber spätestens wenn Pakete das Heimnetz in Richtung Internet verlassen wollen schon und genau hier greift bisher die Firewall ein, um zum Beispiel zu verhindern, dass Drucker oder TV Zugriff aufs Internet haben. Nur fände ich es deutlich sauberer, wenn das nicht auf IP Ebene passieren würde, oder bin ich da auf dem falschen Dampfer?

Alles was Internet darf im gleichen Netz?

Nene genau umgekehrt. Alles, was nicht ins Internet darf, dürfte theoretisch ins gleiche Netz, sprich gemeinsam an einem unmanaged Switch hängen.

Du hast 5+ Jahre schon weiter geplant? Ich frage nur weil sich das bei uns auch mit den Kids recht fix mal geändert hat. Und so eine Netzplanung und gescheite Struktur/Architektur machst du einmal richtig und nicht nach Bedarf immer und immer wieder.

Da hast du echt einen Punkt. Ich werde noch mal in mich gehen und überlegen, was ich bei der bisherigen Planung übersehen haben könnte.

Aber wenns dich brennend interessiert kann ich den US8 gern mal messen

Das wäre mega.

"on a stick" im Sinne von du nimmst einen VLAN trunk und reichst den vom Switch zur Sense durch und legst die da an?

Genau, denn so hab ich maximale Kontrolle darüber, wer mit wem wie kommunizieren darf, hab Einblick in alle Datenströme und trotzdem bleibt die Konfiguration noch verhältnismäßig simpel.

Da ist he nur SSH erlaubt, Webserver ist abgeschaltet, das erhöht die Sicherheit hier massiv und per CLI geht alles eh viel schneller und einfacher.

Wie finde ich am einfachsten heraus, bei welchen Switches das möglich ist? Ich steh mit den Handbüchern von den Dingern irgendwie total auf Kriegsfuß, entweder bin ich zu blöd, es zu verstehen, oder sie lassen die Sachen, die mich wirklich interessieren würden, tatsächlich einfach weg.

NOCling

Der Switch muss dazu ssh unterstützen, da Telnet nicht mehr verwendet werden sollte.

Das sollte ein gescheite Managed Switch seit ca. 10 Jahren drauf haben.

Bei HP konnten die 1800er das früher noch nicht, da war nur Web angesagt.
Aber das dürfte schon mit den 1810/1820 anders aussehen.
Inzwischen sollte das fast jeder können.

Aber ein wenig mit der Struktur der Config sollte man schon vertraut sein, denn z.B. gerade bei einem Cisco bekommst du einen ganzen Baumarkt an Werkzeug geliefert.

thiasaef

@nocling, also wenn SSH unterstützt wird, darf ich davon ausgehen, dass man das Webinterface komplett abschalten kann?

Aber ein wenig mit der Struktur der Config sollte man schon vertraut sein

Ist zwar schon eine halbe Ewigkeit her, aber ich hab schon mal mit Cisco Routern via CLI gearbeitet.

NOCling

Dann ist nicht so viel anders, wenn das ein iOS war.

Nexus und CAT OS sind ein wenig anders, aber die Router die ich kenne sehen von der Struktur ähnlich aus wie ein Catalyst.

Die ganz neuen ISR habe noch nicht gesehen, die kommen dieses Jahr erst beim Kollegen auf den Tisch.

thiasaef

Eigentlich wollte ich mir ja einen UAP-AC-Lite zulegen und diesen mit OpenWrt beglücken. Aber nachdem ich jetzt mehrfach von teilweise massiven Störgeräuschen gelesen habe und mir außerdem die Firmenpolitik von Ubiquiti komplett gegen den Strich geht, bin ich jetzt auch der Suche nach einer Alternative.

Hat zufällig jemand einen Cisco Systems WAP125 im Einsatz und kann was dazu sagen? Taugt das Teil halbwegs und wie sieht es dort mit Telemetrie / Cloudanbindung aus? Lässt sich die effektiv unterbinden?

Als Notlösung könnte ich wohl erst mal auf eine Mini-PCIe-Karte mit zwei externen Antennen setzen, aber auf lange Sicht wäre mir ein (im Optimalfall an der der Decke montierter) VLAN fähiger Dual-Band AP schon lieber.

noplan

@thiasaef

Unifi ap ac lite mit openWRT
Wieso macht man sowas?

thiasaef

Weil ich einerseits absolut keinen Bock auf die Controller Software habe und andererseits besser schlafen kann, wenn ich mir halbwegs sicher sein kann, dass die Geräte im Heimnetzwerk genau das und nur das tun, was ich möchte.

noplan

@thiasaef

OK ich versteh wieso
Mir war nicht klar das ich OpenWRT auf unifi zum laufen bring

thiasaef

Sollte ohne Probleme gehen: https://openwrt.org/toh/ubiquiti/unifiac und wenn man möchte, kann man das Webinterface auch ganz weglassen und alles via CLI machen, aber so ein Fiepmonster kommt mir wie gesagt nicht ins Haus.

JeGr

Ich versteh's nicht. Wenn man kein Bock auf irgendwelche zentralen Controller hat (warum?) die man noch dazu selbst hostet/installieren kann im Gegensatz zu anderen und ihrem Cloud Murks - warum kauft man sich dann überhaupt einen Unifi AP. Dann kann man auch irgendein Netgear Gamer Kram nehmen und da OpenWRT drauf machen. Aber warum man das mit Unifi APs machen sollte entzieht sich meiner Logik.

thiasaef

Wenn man kein Bock auf irgendwelche zentralen Controller hat (warum?)

In meinen Augen unnötiger Mehraufwand für einen AP, der zumindest vorerst nur gelegentlich zum Einsatz kommen wird und außerdem will ich mich nicht grundlos von 3rd Party Software abhängig machen.

Aber warum man das mit Unifi APs machen sollte entzieht sich meiner Logik.

Ich dachte halt, das sei der einfachste Weg, um kostengünstig zu einem VLAN fähigen Dual Band AP zu kommen, der meinem Geschmack entspricht, aber Unifi steht eh nicht mehr zur Diskussion.

noplan

@thiasaef

für die Alpenland Fraktion hier

kann ich auf den unifi openWRT flashen ?
wenn ja wie bitte Link mit bunten bildern !

Den Sinn will ich jetzt gar nicht besprechen ... (irgendwer bei den Verkäufern findet schon einen useCase ... der zweck und sinnbefreit ist)

thiasaef

kann ich auf den unifi openWRT flashen ?

Ja: https://openwrt.org/toh/ubiquiti/unifiac#installation

noplan

@thiasaef

oidaaaaaaaa .... aha ... DANKE!

ob ich mir das antun möchte ... ich weiß nicht ... der EINZIGE GRUND wieso ich auch nur eine Sekunde drüber nachdenk (nein nein) ist den 2ten LAN port am AP AC PRO für VLANS funktionierend zu bekommen (also die bridge auflösen) aber das muss auch mit boardmitteln machbar sein.

ehrlich gesagt will ich gar nix anderes als die unifi software haben ... weil rennt und keine Probleme macht ... naja außer man klickt halt auf update ohne die release Notes zu lesen ;)