Frage zu VLAN mit Ubiquiti

[Maine]

Hallo zusammen,

ich habe vor, bei mir zu Hause verschiedene VLANs einzurichten, um die wichtigen Dinge (PCs / Smartphones / Tablets) von den potentiellen Schwachstellen wie IoT-Gedöns, China-Staubsaugroboter usw. abzukoppeln.

Ich bin gerade allerdings ein bisschen verwirrt, was ich dafür genau brauche bzw. ob vielleicht ein Gerät schon alle meine Anforderungen erfüllen würde.

Aktuell sieht es bei mir so aus:

• FritzBox 6591 dient als Vodafone-Kabelmodem und Router
• daran hängt ein unmanaged TP-Link 48er-Gigabit-Switch
• am Switch hängen 2 Unifi AP AC Lite mit PoE-Injektoren
• im Hintergrund läuft die Unifi-Controller-Software auf einem kleinen Homeserver

Da VLANs bei Unifi nur mit deren eigenen Cloud Gateways bzw. DreamMachines möglich sind, soll es also in diese Richtung gehen. Das war bislang aber sehr teuer und das hat mich zurückgehalten.

Nun gibt es seit kurzem den Cloud Gateway Ultra für ~ 100 € und ich frage mich jetzt, ob das Gerät meine Anforderungen erfüllen würde bzw. wie das Setup dann aussehen müsste.

Verstehe ich das richtig, dass die Reihenfolge dann wäre:

FB als Kabelmodem --> Unifi Cloud Gateway Ultra --> unmanaged Switch

Und ginge das überhaupt oder kommen sich dann die FB und der CGU in die Quere?

Was mir noch nicht ganz klar ist: Müsste ich die Unifi APs dann an das Cloud Gateway oder den Switch anschließen oder wäre das egal?

Ich bin wie ihr seht erstmalig mit der Einrichtung eines VLANs befasst, seid daher nachsichtig mit mir

 

[ruthi91]

FB als Kabelmodem --> Unifi Cloud Gateway Ultra --> unmanaged Switch
Und ginge das überhaupt oder kommen sich dann die FB und der CGU in die Quere?

Ich glaube du meinst den Unifi Express ? (darauf läuft auch der Controller)
Ansonsten ja die Reihenfolge und wenn die Fritzbox im Modem-Modus ist, gibts auch kein Problem.

 

[d2boxSteve]

Ein unmanaged Switch kann keine VLAN's, dafür braucht es einen managed auf dem man die VLAN's dann anlegt und einen Router, der die VLAN's per Firewallregeln miteinander auch verbindet. Ein anderes VLAN bedeutet ja auch ein anderer IP-Kreis und um die zu verbinden braucht es Routing..

 

[Raijin]

Da VLANs bei Unifi nur mit deren eigenen Cloud Gateways bzw. DreamMachines möglich sind

Das ist schon mal falsch. VLANs sind standardisiert und du kannst Unifi APs, TP-Link Router und Zyxel Switches mischen wie du lustig bist, wenn sie denn alls 802.1Q unterstützen. Ich hab zB Unifi APs, aber Netgear Switches und das ganze hinter EdgeRoutern, pfSense o.ä.

FB als Kabelmodem --> Unifi Cloud Gateway Ultra --> unmanaged Switch
[..]
Was mir noch nicht ganz klar ist: Müsste ich die Unifi APs dann an das Cloud Gateway oder den Switch anschließen oder wäre das egal?

Ein unmanaged Switch hat von VLANs keine Ahnung. Im Idealfall reicht er die Pakete inkl. VLAN Tag ungesehen weiter, aber definiert ist das nicht. Schlimmstenfalls verwirft der Switch die Pakete als ungültig, weil der Header des Ethernet Frames zu lang ist.

Für ein sauberes VLAN-Setup sollten die gesamte Infrastruktur, auf der getaggte VLANs laufen sollen, 802.1Q unterstützen, weil sonst Probleme vorprogrammiert sind bzw. das Netzwerk in keinem standardisierten Zustand läuft.

In dieser Konstellation hättest du also nur am Unifi Gateway zuverlässig VLANs.

 

[Maine]

Vielen Dank schon einmal!
Ich versuche mal bestmöglich auf die aufgeworfenen Fragen bzw. Anmerkungen zu antworten.

Ich glaube du meinst den Unifi Express ? (darauf läuft auch der Controller)

ich meine den hier: https://eu.store.ui.com/eu/en/pro/category/all-unifi-cloud-gateways/products/ucg-ultra

Das ist schon mal falsch. VLANs sind standardisiert und du kannst Unifi APs, TP-Link Router und Zyxel Switches mischen wie du lustig bist, wenn sie denn alls 802.1Q unterstützen. Ich hab zB Unifi APs, aber Netgear Switches und das ganze hinter EdgeRoutern, pfSense o.ä.

Hab ich falsch ausgedrückt: Das VLANs auch ohne Unifi gehen, ist mir klar, ich würde es aber gerne alles über die Unifi-Software steuern und da braucht es dann so wie ich das verstanden habe zwingend was von Ubiquiti?

Ein unmanaged Switch hat von VLANs keine Ahnung. Im Idealfall reicht er die Pakete inkl. VLAN Tag ungesehen weiter, aber definiert ist das nicht. Schlimmstenfalls verwirft der Switch die Pakete als ungültig, weil der Header des Ethernet Frames zu lang ist.

Ok, ich benötige also in jedem Fall einen managed Switch (oder vielleicht auch nicht? siehe Frage weiter unten)

In dieser Konstellation hättest du also nur am Unifi Gateway zuverlässig VLANs.

Im ersten Schritt möchte ich das VLAN auch nur für Wifi-Geräte einrichten, damit die sauber vom Rest getrennt sind. Sprich wenn die APs am Unifi Gateway hingen, der Rest aber weiterhin am unmanaged Switch, würde das trotzdem gehen?

 

[ruthi91]

@Maine hier mit Timestamp zur VLAN Erstellung:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Masamune2]

Im ersten Schritt möchte ich das VLAN auch nur für Wifi-Geräte einrichten, damit die sauber vom Rest getrennt sind. Sprich wenn die APs am Unifi Gateway hingen, der Rest aber weiterhin am unmanaged Switch, würde das trotzdem gehen?

Ja das würde dann gehen.

 

[Raijin]

Hab ich falsch ausgedrückt: Das VLANs auch ohne Unifi gehen, ist mir klar, ich würde es aber gerne alles über die Unifi-Software steuern und da braucht es dann so wie ich das verstanden habe zwingend was von Ubiquiti?

Jein. Ubiquiti ist der Hersteller und UniFi ist eine Produktserie, neben anderen Produktserien wie zB EdgeMax. EdgeRouter und EdgeSwitches, ebenfalls von Ubiquiti, würde man ebenso vergeblich im UniFi-Controller suchen wie Router und Switches von TP-Link, Netgear, Zyxel und Co. Ubiquiti reicht also nicht per Definition, es muss zwingend eine UniFi-Komponente sein.

Ok, ich benötige also in jedem Fall einen managed Switch (oder vielleicht auch nicht? siehe Frage weiter unten)
[..]
Im ersten Schritt möchte ich das VLAN auch nur für Wifi-Geräte einrichten, damit die sauber vom Rest getrennt sind. Sprich wenn die APs am Unifi Gateway hingen, der Rest aber weiterhin am unmanaged Switch, würde das trotzdem gehen?

Wie ich schon schrieb hast du bei dieser Konstellation eben nur am Unifi Gateway zuverlässig VLANs zur Verfügung. Wie der unmanaged Switch damit umgeht, steht in den Sternen. Wenn du also die UAPs direkt an das Unifi Gateway hängst und deren Ports mit VLAN-Tags versorgst, während der Port für den unmanaged Switch untagged bleibt, geht das so, ja.


Grundsätzlich musst du dir darüber im Klaren sein, dass VLANs die Komplexität des Netzwerks erhöhen. Dadurch können Probleme entstehen, deren Existenz dir vorher gar nicht bewusst war. Da du speziell IoT angesprochen hast, kann hier schon die erste Falle lauern. Viele IoT-Apps suchen die IoT-Geräte per Broadcast und das funktioniert nur innerhalb ein und derselben Broadcastdomäne, also innerhalb desselben VLANs. Smartphone in VLAN 10 (=Hauptnetz) und Smarte Lampe in VLAN 20 (=IoT-Netz) würden sich womöglich also nicht finden können. Das kommt aber auf das IoT-System an. Philips Hue bietet beispielsweise die Möglichkeit, die Hue-Bridge per IP anzubinden, also gezielt und eben auch in anderen Netzbereichen. Das geht aber nicht mit allen Systemen....

 

[Maine]

Ich hatte mit Ubiquiti auch Unifi gemeint - sorry, Ungenauigkeit meinerseits.

Das es komplexer würde, ist mir völlig klar. Aktuell behelfe ich mir in der Form, dass die potentiell "unsicheren" Geräte im Gast-WLAN hängen und dort Client Isolation aktiviert ist. Da immer mehr IoT-Geräte über eine Anbieter-Cloud laufen (bei mir z.B. Xiaomi Staubsauger oder Shelly Steckdosen), ist das in Punkto Kommunikation mit den Geräten nicht so das Problem. Das generelle "Clouds-sind-meh-und-ich-mag-sie-eigentlich-nicht..." einmal ausgenommen...

Aber so richtig gut gefällt mir diese Lösung nicht, daher der Gedanke mit den VLANs.

Ich hab auf jeden Fall jetzt einigen neuen Input und was zum Nachdenken, vielen Dank!

 

[Raijin]

Da immer mehr IoT-Geräte über eine Anbieter-Cloud laufen (bei mir z.B. Xiaomi Staubsauger oder Shelly Steckdosen), ist das in Punkto Kommunikation mit den Geräten nicht so das Problem.

Clouds sind leider ein zweischneidiges Schwerz. Einerseits erleichtern sie die Kommunikation, aber andererseits weiß man nicht was sonst noch so passiert und wie. Ich will jetzt nicht zu sehr ins Detail gehen, weil das den Rahmen sprengen würde, aber auf einem CCC Congress hat ein Redner mal eindrucksvoll demonstriert wie er mit einer manipulierten WLAN-Glühbirne, die er bei amazon gekauft und jederzeit als Retoure hätte zurückgehen lassen können, live auf der Bühne auf ein "fremdes" Heimnetzwerk zugreifen konnte - in dem Fall allerdings nur sein eigenes zur Demo.

Sicherheit und Komfort sind diametral, mehr Sicherheit bedeutet weniger Komfort und mehr Komfort bedeutet weniger Sicherheit. Das ist die Crux dabei.

Aktuell behelfe ich mir in der Form, dass die potentiell "unsicheren" Geräte im Gast-WLAN hängen und dort Client Isolation aktiviert ist.
[..]
Aber so richtig gut gefällt mir diese Lösung nicht, daher der Gedanke mit den VLANs.

Weil? Wenn's sauber funktioniert, ist das eigentlich die einfachste Lösung, bei der man als Anwender nicht viel falschmachen kann. Die Gast-Firewall in einer Fritzbox tut genau das, was du zumindest theoretisch auch mit einem UniFi Gateway tun würdest, nur dass AVM weder Youtube noch Foren dazu braucht


Prinzipiell wäre auch ein abgespecktes VLAN-Setup möglich:

Managed Switch
+-(Port 1 @ VLAN 10 untagged) ------ (LAN1 als Heimnetz) Fritzbox
+-(Port 2 @ VLAN 20 untagged) ------ (LAN4 als Gastnetz) Fritzbox
+-(Port x @ VLAN 10+20 tagged) ----- (LAN @ VLAN 10+20 tagged) UAP

Dabei würdest du weiterhin das Gastnetzwerk der Fritzbox nutzen, selbiges aber per VLAN 20 (Beispiel) durch einen managed Switch auf die UAPs verteilen, die daraus 2 WLANs machen. Ein UnifFi Router entfiele und du müsstest dich nicht um Firewall, Routing und Co kümmern, weil die Fritzbox das wie gehabt weitermacht.

 

[Maine]

Das WLAN läuft bei mir komplett über die Unifi-APs, d.h. das Gast-Netzwerk (aber mit WPA2-Schlüssel, d.h. nicht offen) und das normale WLAN laufen beide über Unifi. Das WLAN der FB ist komplett deaktiviert.

 

[Raijin]

Auch im dargestellten Szenario kann das WLAN der Fritzbox ausbleiben. Das Gastnetz käme ja aus LAN4 raus und je nach Wunsch an jedem beliebigen Port eines managed Switches.

 

[Maine]

Ah, so meinst du das. Ja, das wäre auch eine Option. Ein bisschen geht bei mir die Tendenz allerdings dahin, es bei der deutlich simpleren und vermutlich nicht viel weniger effektiven Variante mit Gast-WLAN + Client Isolation zu lassen. Das wäre auch billiger
Managed Switches sind ja schon eine gewisse Investition.

Danke nochmal, ich grübel noch etwas weiter darüber!

EDIT: Achja, zum Thema Cloud-Geräte: Das nervige ist ja vor allem, dass man bei vielen Dingen gar keine Wahl mehr hat, ob man die Cloud nutzt, oder nicht. Die Xiaomi-Sauger brauchen die alle zwingend, wenn man nicht mit alternativen Firmwares arbeiten will oder kann. Und die Shelly-Dinger haben keine Verbrauchsdatenmessung, wenn die Cloud deaktiviert ist. Am liebsten würde ich komplett Cloud-frei leben, aber das ist in vielen Fällen echt mit sehr viel Aufwand verbunden.

 

[Raijin]

Ein bisschen geht bei mir die Tendenz allerdings dahin, es bei der deutlich simpleren und vermutlich nicht viel weniger effektiven Variante mit Gast-WLAN + Client Isolation zu lassen. Das wäre auch billiger

Deswegen ja die Frage was dich überhaupt vom Status Quo wegzieht. Hast du irgendwelche spürbaren Nachteile mit dem Ist-Zustand? Oder hast du .. .. was weiß ich.. mit WireShark irgendwelche ungewöhnlichen Pakete im Netzwerk (zB weil die AP-eigene Gastfunktion nen leak hat oder so)?

Versteh mich nicht falsch, ich will dir nix ausreden, sondern nur anmerken, dass VLANs zwar eine tolle Sache sind und man sie extrem sinnvoll einsetzen kann, man aber auch einen konkreten Anwendungsfall dafür haben und sich einen nennenswerten Mehrwert davon versprechen sollte. Sicherlich kann man auch einfach aus Spaß an der Freud damit anfangen, aber dann ist der Mehrwert eben neu erlerntes Wissen, auch wenn man technisch nicht wirklich etwas gewinnt. Aber nur sowas wie "gefühlt mehr Sicherheit" ist wenig zielführend. Das ist dann so wie Leute, die ohne handfeste Gründe die Sicherheit einer Fritzbox als Router anzweifeln und sich ne pfSense hinstellen wollen - ohne diese überhaupt fachgerecht konfigurieren zu können.

Wenn du auf UniFi für das Gateway verzichten kannst, wäre sonst auch ein EdgeRouter-X oder gar ein banaler Router mit OpenWRT denkbar. Damit kann man auch VLANs basteln. Kommt nochmal ne Ecke günstiger. Der ER-X kost so um die 50-60€ als ich das letzte Mal geschaut hab.

 

[Maine]

Es ist ein bisschen Interesse und Bastellust ursächlich, das kann ich gar nicht verneinen
Auch finde ich die Idee, alles über ein einziges System steuern zu können, in dem Fall eben Unifi, sehr verlockend. Aber es stimmt schon - technisch wäre der Gewinn sehr überschaubar. Da hier ja durchaus auch ein paar Argumente contra VLAN genannt wurden, ist die Tendenz wie geschrieben aktuell eher, es beim Status quo zu belassen bzw. einfach noch mehr Geräte ins Gast-WLAN zu hängen.

 

[Raijin]

Es ist ein bisschen Interesse und Bastellust ursächlich, das kann ich gar nicht verneinen

Kann ich gut verstehen. Ich selbst hab über 10 VLANs in meiner Bude. Brauche ich die? Nein, ich brauche nicht mal eins, wenn ich ehrlich bin (naja, Default VLAN 1 eben ^^). Alles nur Spielerei, weil ich's kann und beruflich mit solchen Dingen zu tun habe. Wenn du auch basteln willst und die 100€ locker sitzen, go for it. Oder du suchst dir nen billigen gebrauchten TP-Link mit OpenWRT und schnupperst erstmal in die Technik rein.