Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    MultiNAT Heimnetzwerk simplifizieren

    Deutsch
    6
    31
    2.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      paoloest @m0nji
      last edited by

      @m0nji said in MultiNAT Heimnetzwerk simplifizieren:

      @paoloest
      ggf. muss dann jemand antworten der sicher besser mit L3 auskennt. Ich habe zwar auch ein L3 Switch nutze aber nur L2. Man macht sich sein Heimnetzwerk natürlich ein Stück weit komplexer, da deine Firewall dann gewissen Traffic nicht mehr kontrolliert. Beispiel wäre hier dein IOT/Guest VLAN mit den anderen internen VLANs...

      jetzt hat sich etwas in meinem Kopf losgetreten - die Frage: Ist das eigentlich gut, dass der Traffic die Firewall nicht mehr passiert ... Schneller ist es ja über den Switch, aber kann ich auch sicher stellen, dass die VLANs untereinander nicht sichtbar sind.
      Z.B. ich habe einen AP, der mehrere SSIDs aufspannt, die alle in einem unterschiedlichen VLAN hängen. Dann muss der Port ja tagged für all diese VLAN IDs sein. Auf der anderen Seite gibt ja der AP das VLAN Tag vor, wenn ich mit einem WIFI connected bin... da muss ich nochmal drüber nachdenken.
      Ziel ist: Komplette Abschirmung der VLANs. Ich will nicht, dass ein FireTVStick zu viel sieht :)

      Die Empfehlung bzgl. Unifi kommt ja gerade daher, da Switche UND APs recht gut sind und die Konfiguration/Monitoring dann sauber über eine Console gemacht werden kann.

      Bzgl. deiner Sorge wegen fehlenden 2.5Gbe Port bei den APs....ja ich denke hier kommt bald noch etwas ABER eigentlich auch Quatsch.
      20Mhz 2,4Ghz und 80mhz 5Ghz (wohl die häufigste Konstellation) bleibst du im 1 Gbit Rahmen. Dann lieber die Last auf 2 APs verteilen.

      @m0nji : Grundsätzlich ja, wenn ich allerdings 4 heavy user gleichzeitig habe und die alle durch den AP wollen (plus einigen andereDevices, die auch Rauschen erzeugen), dann hab ich Bedenken, dass der 1GBit Port "ausreicht"

      Unifi sieht wirklich sehr interessant aus. Ist auch anscheinend gut vom Chip shortage betroffen ... Entweder ziemlich ausgebombt oder da kommt bald was Neues.

      Dann brauche ich ja doch noch einen PoE Switch zusätzlich, die ganzen Unify devices können ja nicht mit einem externen Netzteil versorgt werden

      1 Reply Last reply Reply Quote 0
      • P
        paoloest @NOCling
        last edited by paoloest

        @nocling said in MultiNAT Heimnetzwerk simplifizieren:

        Gast und Co weiterhin nur als VLANs auf dem Switch und Routing + Firewalling über die Sense.

        Will man die volle Bandbreite routen können, dann verwendet man einen passend dimensionierten L3 Switch.
        Bei den guten kann man hier auch mit PBR und ACLs sogar extendet ACLs arbeiten. Aber auch das ist nur eine Notlösung gegenüber sauberem Firewalling.

        In dem Fall wird ein Transfernetz zwischen Switch und pfSense erstellt.
        Die Netze hinter dem Switch müssen dann der pfSense noch im Resolver usw. hinterlegt werden, damit diese dann mit DNS bedieht werden können.

        DHCP wirst dann vermutlich anders lösen müssen, denn ich finde gerade nicht den Punkt einfach einen Scope anlegen zu können auf dem dann der Switch per IP Helper zur Sense weiterleitet.

        Stimmt, du hast recht. So weit hatte ich gar nicht gedacht. Dann kommt auf der PFSense alles "nur" aus dem Transfernetz an und ich kann wieder nicht entscheiden, was ich wohin Routen soll ZB einzelner client ins VPN oder nicht.

        Der Gedanke wirft mich wieder zurück auf Start.
        Also eine Netgate6100 mit einmal SFP+ connect zueinem USW-Enterprise-8-PoE. da kommt dann ap und mal ne camera ran. Für mehr benötige ich PoE derzeit noch nicht.
        Zweiter SFP+ connect von PFSense zu einem weiteren Switch - kann dann eigentlich nur der USW-EnterpriseXG-24 sein, weil es sonst keinen unify gibt, der 10GBit ports hat und wo die Gesamtanzahl ports >8 ist.
        Switching dann auf Layer 2

        Danke für eure Geduld mit einem Fachfremden !

        m0njiM 1 Reply Last reply Reply Quote 0
        • Bob.DigB
          Bob.Dig LAYER 8
          last edited by Bob.Dig

          @NOCling Bin ja ahnungslos bei solchen Themen, aber wäre es nicht möglich, mehrere VLANs auf einem L3-Switch und der pfSense einzurichten, sodass man kein Transfernetz benötigt, also beide können das unabhängig von einander routen? 🤔

          P 1 Reply Last reply Reply Quote 0
          • P
            paoloest @Bob.Dig
            last edited by

            @bob-dig said in MultiNAT Heimnetzwerk simplifizieren:

            @NOCling Bin ja ahnungslos bei solchen Themen, aber wäre es nicht möglich, mehrere VLANs auf einem L3-Switch und der pfSense einzurichten, sodass man kein Transfernetz benötigt, also beide können das unabhängig von einander routen? 🤔

            Ja, das ist eigentlich die allesentscheidende Frage. "Verschenkt" man die Layer 3 Funktionalität, sobald man alle VLANs auf dem Switch und der PFSense anlegt und ohne Transfernetz arbeitet?

            1 Reply Last reply Reply Quote 0
            • m0njiM
              m0nji @paoloest
              last edited by

              @paoloest
              Ein PoE Switch ist nicht zwingend erforderlich. Beim U6 Mesh bzw. bei einigen älteren APs ist ein PoE Injector mit dabei. Ansonsten kann man den auch separat erwerben
              Unifi Store PoE Adapter

              Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
              WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

              P 1 Reply Last reply Reply Quote 1
              • P
                paoloest @m0nji
                last edited by

                Ich habe gestern Abend gelesen, dass der enterpriseXG-24 einen Höllenlärm macht (Zitat: Ein Düsenjet ist nichts dagegen) - der kommt dann wohl nicht in Frage, da der Serverschrank im Esszimmer (zum offenen Arbeitszimmer) steht.

                1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by NOCling

                  DMZ als L2 über den Switch und dann paar Netze die L3 sein sollen über ein Transfernetz zur Sense.

                  So läuft alles L2 technisch über den Switch und nur die DMZ direkt über die Sense.
                  So kannst dann auch mit richtig Power auf das NAS zugreifen, wenn es in einem anderen L3 steht als die Clients.
                  Von der Sicherheit ist das dann aber nur minimal besser als wenn Client und NAS im gleiche L2 hängen.

                  Sicherheit braucht halt nen Filter und da kommt dann wieder die pfSense ins spiel. Die muss aber dick genug sein um die 10GBit singelstream + was sonst so los ist durch den Filter zu pressen.

                  Ja klar kannst auch einfach mit dem Client Netz L3 zur Firewall machen.
                  Dann hast du aber fix asym. routing und suchst dir nen Wolf.
                  Also gleich den Scheiß lassen und mit einem Transfernetz arbeiten, dann hast hier ganz sauberes sym. routing und keine Probleme.

                  Musst dir halt Gedanken machen was will ich. Bei xxxx Clients macht es Sinn diese zu verteilen damit der Broadcast klein bleibt.
                  Und Clients müssen ja nicht den BC von hunderten Druckern mit bekommen und umgekehrte.

                  Bei 20 Clients im Heimnetzt ist das aber auch wieder total hupe.
                  Habe hier zwar 10 VLANs aber da ist dann was für bestimmtes Technikzeugs oder Gast oder ne DMZ oder so was spezielles drin und dann läuft es über die FW.

                  L3 über den Switch ja kann man machen aber warum im Heimnetz?
                  Dann lieber Funktionen wir DHCP Snooping oder dynamik arp protection des L3 Feature Sets ins LAN knallen.
                  Oder 802.1x wenn man eh gerade dabei ist das gescheit zu sichern.

                  Bringt dann deutlich mehr als bisle weiches L3 getrenne auf dem L3 Switch.

                  Netgate 6100 & Netgate 2100

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    paoloest @NOCling
                    last edited by paoloest

                    Hey zusammen,

                    mal ne ganz andere Frage (auch wenn etwas deplatziert hier im Netgate Forum ;)) was haltet ihr von der UDMProSE? Habe mich gestern mal mit dem Unify Ökosystem beschäftigt und bin schon ein bisschen Fan geworden.
                    Natürlich kann die UDM einfach im Detail viel weniger als die PFSense, aber wenn ich ein PiHole dazu stelle - der kann ja auch unbound übernehmen.
                    PPPoE bekommt die UDM jawohl hoffentlich hin (Leider ist keine Demo applicance mehr online verfügbar). Wenn ich irgendwann dann mal Fiber bekomme, dann habe ich ja einen SFP+ zum Glasfasermodem
                    Bisschen routing wird sie ja auch können, wenn man erstmal die allow all Einstellungen aufgelöst hat.
                    VPN ins internet per open vpn ist noch eine Frage, die ich noch klären müsste.

                    die 8 gbe ports - sind das dedizierte Ports oder geswitchte?

                    Oder haltet ihr nix von der UDM?

                    m0njiM 1 Reply Last reply Reply Quote 0
                    • m0njiM
                      m0nji @paoloest
                      last edited by

                      @paoloest Ich glaube du wirst hier wenig Fans der der Unifi Routing Lösungen finden. Gute Videos macht hierzu Lawrence Systems wobei er durch die pfSense Brille schaut: (https://www.youtube.com/watch?v=WY-24alrvCw)
                      Gerade das Thema Remote VPN ist immer noch schlecht. Wenn man mit den wenigeren Features dennoch zu recht kommt hat man natürlich aber einen schönen kompletten Stack von einem Anbieter.

                      Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
                      WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @paoloest
                        last edited by JeGr

                        @paoloest said in MultiNAT Heimnetzwerk simplifizieren:

                        Hab ihr ne gute Switch Empfehlung ? Eigentlich so wie der von zyxel nur halt doppelt so viele Ports :)

                        Zyxel ignorieren, keine Billigheimer nutzen. Was ist das Budget? fs.com hat viele Switche wenn man sie einzeln administrieren will. Oder auch Mikrotik wenn man "nur" den Switch will. Wenn man ggf. auch Access Points oder mehr anbauen will und das ggf. zentral managen (auch ohne Cloud) dann wäre Unifi Serie von Ubiquiti (geht auch offline!) oder die neuen Omada Serie von TPlink möglich. Das sind dann aber SDN (software defined networking) Spielzeuge. Das muss man beim Preis und beim Drumherum dann eben beachten, dass man sich da mehr als nur nen Switch holt. Aber gerade wenn das nichts kleines wird sondern später ein wenig wächst, ist das Setup dann halt wesentlich einfacher weil man nicht auf jedem Gerät einzeln rumpfuschen muss.

                        Kommt aber auch sehr auf den Budget an.

                        @paoloest said in MultiNAT Heimnetzwerk simplifizieren:

                        E3845 Atom ist in meiner appliance drin. Schon ein paar Jahre alt. Reicht das trotzdem?

                        E-Atom ist nicht vergleichbar mit dem C-Atomen, die sind für andere Ziele gemacht. E- war eher Embedded Geräte und Krams mit Video und Gedöns, C-Atome (C3xxx) sind Netzwerk embedded SOCs die rein auf Performance und Netzdurchsatz optimiert sind. Der E-Atom hat kein QAT o.ä. kennt aber AES-NI zumindest. Ist aber lange nicht so performant wie die C35xx Serie.

                        UDMProSE

                        nichts. Mehr Schein als Sein. Wenn man halbwegs an eine *Sense gewohnt ist, was hier standard funktioniert wird hart enttäuscht bei der UDM/Pro. Viel Dashboard Klimbim aber wenig tatsächlich konfigurierbare gute Funktion, viel Kram der so "Beta" läuft - nee. Kommt mir keine mehr irgendwo hin.

                        Ansonsten bin ich verwirrt was die plötzliche over-the-top Usage von Switch etc. angeht. Also alles größer als "Pro" von Unifi halte ich für ein Heimnetz völlig overdosed und überzogen. Macht wenig Sinn außer teuer. Großartige Ansammlungen von 10G Ports wie der Enterprise XG Switch - WTF, wofür braucht man mit nem Gigabit Netz plötzlich 48 10G RJ45 Ports?

                        Wenn man sich da wirklich was aufbauen möchte, kann man sich für die 1200 Flocken lieber was zusammenstellen, was dann 1-3 Access Points für die Abdeckung, einen 24er Switch Pro Switch und für die paar 2.5 oder höhere Kisten dann sowas wie den Flex XG oder den Enterprise 8 PoE (einzig sinnvoller Enterprise für PowerUser um ne kleine 10G Zone zu bauen). Zudem gibts auch den kleinen Aggregation Switch mit 8x SFP+ der richtig günstig ist, an den man dann den Flex/Ent PoE und nen Switch Pro ranhängen kann, dann hat man da nen schönes 10G Backbone. 2.5G/5G können am Enterprise PoE laufen oder es gibt SFP+ RJ45 Module, die auch 2.5 und 5Gbps können, man kann die Geräte dann bspw. eben an den Aggregation Switch mit dem SFP+ GBIC hängen und sich Switch-Inseln sparen. Oder man bekommt irgendwo den Switch XG 16 mit 10x SFP+ und 4x 10G RJ45 als Aggregation Switch. Damit kommt man halt besser rum als gleich pan 1000€ für einen Switch rauszuhauen :)

                        Cheers

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        P 1 Reply Last reply Reply Quote 1
                        • P
                          paoloest @JeGr
                          last edited by paoloest

                          @jegr

                          Vielen Dank für die hilfreiche Antwort. Sind wieder sehr gute Punkte dabei, die ich noch nicht bedacht habe.

                          Budget ist eigentlich egal. Ich steigere mich gern rein und bin dann over the top :) aber muss Im sinnvollen Maße sein und darf nicht zu laut sein.

                          Guter Hinweis auch nochmal mit den Atom Prozessoren und der udm pro.
                          Fand die netgate 6100 gut, hatte letztens aber gelesen, dass die auf 2,5 gbit singlestream abgeregelt ist. Aber wenn ich Layer 2 im gleichen Netz mein 10gbit Notebook und Nas stehen habe, dann bleibt ja die pfsense eh außen vor und der Switch macht alles

                          Auch ne super Idee mit dem aggregation Switch. Ich werd deine vorachlage mal durchdringen. UniFi finde ich vom Ansatz echt super

                          Schade dass der Switch flex ng kein sfp+ hat.
                          Weißt du wie laut der switch pro 24 und der Switch xg 16 ist?
                          Erstes Gefühl ist, wenn der Switch xg 16 von der Lautstärke vertretbar ist, den zusammen mit nem Switch Enterprise 8 Poe - dann hab ich es ja eigentlich. Dann kann ich noch nen unify ap direkt über Poe versorgen, was super ist und vielleicht nochmal irgendwann eine Camera

                          Vielen Dank!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post