Heimnetzwerk erstellen mit UDMP

1stSlave

Lieutenant
Registriert
Juni 2007
Beiträge
926
Hallo Community,

ich bin recht neu in der Ubiquiti-Welt und wollte gerne eure Meinungen/Hilfe zu meinem "Projekt".
Ziel ist es aus dem Verteiler im Keller in die oberen Etagen des Hauses via Ethernet und WLAN Internet und Zugriffe auf NAS einzustellen. Dafür habe ich nun mal eine UDMP bestellt. Des Weiteren werden dann noch AP (Nano wohl) und ein PoE Switch folgen. Der Switch bitte wenn möglich leise, da im Keller ebenfalls mein Büro ist. Im EG habe ich Wohnzimmer und Esszimmer mit Ethernet verkabelt. Da würde ich dann Geräte wenn möglich direkt via kleinem zusätzlich Switch via Kabel anhängen. Dazu sollten HUE Leuchten, Konsolen sowie andere Smart Geräte und Smartphones/Tablets via WLAN verbunden werden und ein Gästenetz eingerichten werden. Einen Stock höher sind dann die Zimmer welche ebenfalls verkabelt sind und daher da dann die Vorbereitung für die TeeniesPCs und Mobile via WLAN vorhanden sein soll. Im DG ist ein weiteres Kinderzimmer welches nicht verkabelt ist und daher auf WLAN vom OG angewiesen ist. Welche AP machen hier sind und wie sosll ich am Besten das Netzwerk ein-/aufteilen. Vorallem mit DMZ, IoT-Geräten etc.
Ich würde auch gerne, falls möglich, das PiHole direkt auf der Dream Pro laufen lassen, anstelle des aktuellen Raspberrys.

Vielen Dank schon mal
 
1stSlave schrieb:
UDMP […] Dream Pro
Meinst Du eine UniFi Dream Machine Pro (UDM-Pro):
  1. Welchen Internet-Anbieter (Telekom, 1&1, …), mit welchen Vertrag (Name und Anschlussart; DSL, Cable, Fiber) hast Du in welchem Land?
  2. Welchen Router hast Du aktuell?
Stattdessen empfehle ich normalerweise den UniFi Cloud Key Gen2 Plus. Mal schauen, ob wir auch in Deinem Fall dort landen.
1stSlave schrieb:
wie soll ich am Besten das Netzwerk ein-/aufteilen
Das ist sehr individuell.
Viele kommen mit zwei Netz-Segmenten aus, also normales Heimnetz und ein Gastnetz. Daher muss man beim Router auch nicht auf UniFi umschwenken. Wenn Du mehr willst …
1stSlave schrieb:
… wofür brauchst Du das?
 
Zuletzt bearbeitet:
Schweiz, UPC mit 1Gbit Leitung

Die Frage ist, macht es Netztwerktechnisch Sinn IoT geräte vom Rest zu trennen oder nicht. Gartengeräte, Hue, etc.

Auch würde ich für die Kinder ein separates eingeschränktes Netz aufbauen.
 
1stSlave schrieb:
wollte gerne eure Meinungen/Hilfe zu meinem "Projekt". [...]
Sorry aber wall of text unter der nur du dir etwas vorstellen kannst. Ein Bild sagt mehr als tausend Worte, also einmal bitte eine Übersicht liefern, geht z.B. kostenlos wunderbar mit https://draw.io, gibt auch diverse Vorlagen für Netzwerke.

1stSlave schrieb:
ein PoE Switch folgen. Der Switch bitte wenn möglich leise
Wie viele PoE Ports brauchst du denn und welcher PoE Standard (ja, da gibt es mehrere verschiedene teils konkurrierende und teils aufeinander aufbauende Standards)?
Ab einer gewissen Anzahl genutzter PoE Ports braucht es halt eine aktive Kühlung und wenn du schon ne UDM Pro und Unifi APs nutzen willst, liegen deren Unifi Switche natürlich nahe. Ob die leise sind, weiß ich nicht und wie bei Lautsprechern hat da jeder ein anderes Empfinden. Alternativ nimm halt passiv gekühlte Switche, da musst du dann selbstständig für ausreichend Luftzirkulation oder Platz um das Gerät sorgen.

1stSlave schrieb:
Welche AP machen hier sind
Ich rate jetzt mal und wende erlernte Grammatik, Rechtschreibung und Erfahrung an und vermute du fragst uns "Welche APs hier einen Sinn ergeben würden"? Das lässt sich pauschal aus der Ferne nicht sagen aber wenn du schon mit einen nanoHD starten willst, warum dann nicht damit weiter machen?

1stSlave schrieb:
Ich würde auch gerne, falls möglich, das PiHole direkt auf der Dream Pro laufen lassen, anstelle des aktuellen Raspberrys.
Deine Suchmaschine scheint einen Defekt zu haben denn meine lieferte mir: https://github.com/unifi-utilities/unifios-utilities/tree/main/run-pihole
Offensichtlich hat da in der Anleitung aber jemand IPv6 vergessen und das wird ärgerlich sein, denn:
1stSlave schrieb:
Soweit mir bekannt wird da auch auf DSlite gesetzt.
DSlite und Unifi waren aber noch nie wirklich Freunde: https://community.ui.com/questions/...-it-work/63d025ff-3026-4a39-9285-00a48fb75533
Ich meine auch vor kurzem erst hier auf CB in nem Thread gelesen zu haben, dass Unifi und DSlite immer noch problematisch sei.
Gut für viele reine Endanwender ist das unproblematisch aber Probleme kann es geben wenn man (an diversen Konsolen) online spielen will um nur ein Beispiel zu nennen.

1stSlave schrieb:
wie sosll ich am Besten das Netzwerk ein-/aufteilen. Vorallem mit DMZ, IoT-Geräten etc.
1stSlave schrieb:
Die Frage ist, macht es Netztwerktechnisch Sinn IoT geräte vom Rest zu trennen oder nicht. Gartengeräte, Hue, etc.
Sinn macht sowieso nix und ob das einen Sinn ergibt hängt davon ab was du dir davon erhoffst, IoT etc. vom Rest zu separieren. Der wunderbare @Raijin hat gefühlt in jedem Thread zum Thema VLAN und Threads wie diesem hier mehrfachst erklärt, was die Nachteile sind wenn man IoT/Smarthome/Elektroschrott in eigene VLANs packt und worauf man da alles achten muss. Ich muss mehrfach gesagtes und erklärtes ja nicht wiederholen und könnte es auch nicht besser formulieren, daher verweise ich auf die Forensuche.
Ansonsten gilt wie immer: Nicht alles was technisch machbar ist, muss sinnvoll sein.

Ich würde zusätzlich deine Herangehensweise etwas überdenken. Überlege dir was du erreichen möchtest (ohne direkte technische Erklärung was du glaubst dafür machen zu müssen) und erst dann, nach Klärung der Ziele, überlegt man sich wie man diese umsetzen kann.
Technik ist immer nur ein Mittel zum Zweck um etwas zu erreichen, Technik ist nie die Lösung.

1stSlave schrieb:
würde ich für die Kinder ein separates eingeschränktes Netz aufbauen.
Hier wären VLANs z.B. eine gute Wahl da man zentral Zugriffe regeln kann und nicht pro Gerät alles einschränken muss
 
  • Gefällt mir
Reaktionen: Raijin und bender_
1stSlave schrieb:
Muss es unbedingt PoE sein?
Solche WLAN-Access-Points sind teurer und – weil wohl Firmen die steuerlich absetzen –, sehr kurze Sicherheit-Update-Fenster. Heul.
1stSlave schrieb:
Hätte jetzt den U6-Pro empfohlen. Außer Du brauchst die kleine Größe.
Mein Tipp wäre noch ein wenig durchzuhalten und auf WLAN-Access-Points mit drei (1 × 2,4 GHz plus 2 × 5 GHz) oder sogar vier Funkmodulen (plus 6 GHz) zu warten, also wenn die bezahlbar sind. Auch brauchst dann andere Switche, nämlich mit mit PoE++.
 
Zuletzt bearbeitet: (Tippfehler + Grammatikfehler)
1stSlave schrieb:
Welche AP machen hier sind und wie sosll ich am Besten das Netzwerk ein-/aufteilen. Vorallem mit DMZ, IoT-Geräten etc.
So viel wie nötig, aber so wenig wie möglich. Wenn du hier hier im Forum fragen musst, kann man wohl davon ausgehen, dass dein KnowHow in dem Bereich überschaubar ist, korrekt? Dann muss man ganz klar sagen: Halte es so simpel wie es nur irgend geht. Generell gilt in der IT das KISS-Prinzip, ohne entsprechende Erfahrung noch viel mehr.

Eine DMZ ist ein Netzwerk, dessen Zugriff durch die Firewall im Router einseitig eingeschränkt wird. Die DMZ darf antworten, aber nicht selbsttätig Verbindungen aufbauen. Weißt du wie man sowas konfiguriert und welchen Grund das hat?

IoT ist nochmal etwas anderes. @snaxilian hat es schon gesagt, ich schreibe gefühlt einmal pro Woche immer wieder dasselbe zu diesem Thema. Viele IoT-Geräte sind nur mäßig für geroutete Netzwerke geeignet, weil sie eben doch nicht so smart sind.... Die meisten Hersteller berücksichtigen nicht, dass ihre Geräte auch in komplexen Netzwerk eingesetzt werden könnten. Das führt dazu, dass die Apps auf Smartphone/Tablet die IoT-Geräte lediglich in ein und demselben lokalen Netzwerk suchen und wenn sie nichts finden, heißt es nur "Kein Gerät gefunden". Die technischen Details lasse ich jetzt mal weg bzw. die darf man gerne nachlesen, wenn man in meinen Beiträgen nach IoT sucht.
Es kommt also darauf an welche IoT-Geräte bzw. SmartHome-App / -Bridge / -Zentrale man einsetzt. Wenn man nur überschaubare Kenntnisse im Bereich Routing, Firewall und dergleichen hat, kann das wirklich sehr sehr frustrierend werden...
 
  • Gefällt mir
Reaktionen: M-X und snaxilian
1stSlave schrieb:
Die Frage ist, macht es Netztwerktechnisch Sinn IoT geräte vom Rest zu trennen oder nicht. Gartengeräte, Hue, etc.

Das musst du für dich selber beantworten.

Ich habe es bei mir getan, weil ich keine Datenkraken (Google, Amazon usw.) und Hardware aus China in meinem privaten Netz will. Dazu besteht bei IoT-Hardware die Gefahr, dass die softwaretechnisch auf einem alten Stand (Kernel, Pakete) bzw. irgendwann nicht mehr gepflegt werden, was potentiell ein Einfallstor ist.
Ich habe aber auch nicht so viele IoT-Kram.

Die Probleme IoT-Geräte netzwerkseitig von der Steuerung zu separieren sind hier genannt. Abhilfe kann mDNS bringen.

Bedenke aber, dass es bei VLAN usw. auf die richtige Konfiguration ankommt. Ansonsten bringt dir das auf dem Papier bestgeplante Netzwerk nichts. Unifi ist afaik im Auslieferungszustand der Meinung, dass Inter-VLAN-Traffic erlaubt ist.

Beim Thema AP würde ich bei dem Preis auch direkt zum U6 Pro greifen. Wichtig wäre aber zu klären, ob du WiFi6 jetzt oder in absehbarer Zeit brauchst. Wenn nicht, kann man bei entsprechend günstigen Angeboten zu WiFi5 AP greifen.

PoE hat halt auch den Vorteil, dass ich nur eine Netzwerkleitung zum AP und damit keine Steckdose in der Nähe brauche.
 
Hallo zusammen,

Danke für die Zusammenfassung. Was ich daraus nehme. Switch brauche ich sowieso einen neuen da der aktuelle alt und zu wenige Anschlüsse hat. 24er brauch ich. AP denke ich komme ich bestenfalls mit 2 aus, allenfalls 3 (wegen vieler Wände/Beton).

ich mache keine DMZ und keine Abtrennung von IoT, aber setze ein VLAN für die Kinder auf. Denke da kann mir Youtube dann weiterhelfen.

Betreffend Pihole dachte ich dass hier allenfalls jemand Erfahrung damit hat ob es mit dem Container gut klappt oder nicht, daher meine Frage. Ansonsten lass ich es weiterhin auf dem Raspberry.
 
1stSlave schrieb:
Ich würde auch gerne, falls möglich, das PiHole direkt auf der Dream Pro laufen lassen, anstelle des aktuellen Raspberrys.
Ich musste erstmal nachlesen ob die UDMP überhaupt derartiges erlaubt. Gemäß dieser Anleitung scheint es aber zu funktionieren. Wie gut das läuft? Keine Ahnung. Ein DNS-Server ist jedoch relativ unspannend, weil er nur DNS-Queries bearbeitet, die keine nennenswerte Leistung benötigen. Zum Vergleich: Pihole lässt sich problemlos auf einem winzigen PI Zero betreiben. Wenn die UDMP also Container unterstützt, kann sie auch pihole darin beherbergen.
 
Mir gehts eher Darum dass die Kinder nicht das ganze Netzwerk "verseuchen". Also dass das NAS etc geschützt bleibt. Dachte dazu wäre ein VLAN gut und was ich gelesen habe kann Ubiquiti das ja ganz ok
 
VLANs sind erstmal nix anderes wie in sich geschlossene Netze ohne Zugriff aufeinander. Die Reglementierung der Zugriffe untereinander machen andere Tools.
Consumer Zeug packt das alles in eine Oberfläche die dann limitiert in Funktion meist aber angepasst an die Anforderungen entsprechender Nutzer und noch beherrschbar ist.
Wenn Du also eine Kindersicherung nach Fritzbox Art aufgebohrt auf Segmentierung in VLANs mit einfach zu verstehenden Extrafunktionen hoffst, wirst Du eher enttäuscht sein.
Der UniFi Controller ist dazu auch nur bedingt geeignet.
Lies zum Beispiel Mal den Thread hier:
https://www.computerbase.de/forum/t...ubiquiti-und-oder-omada.2068375/post-26719861
Da wird mit einigen Vorstellungen aufgeräumt, was so ein Semipro Setup leistet und was nicht.
VLANs sind ne super Sache, in Verbindung mit einem Plan, konkreten Anforderungen und beherrschbaren Tools dazu. Ich sehe bei VLANs mindestens erweitertes PBR, besser eine Firewall idealerweise in Kombination mit einem Proxy als gute Kombination an.
Willst Du dir das wirklich antun?
Wenn nein findest Du bei AVM, Asus und Co. meiner Ansicht nach die besseren Lösungen.
 
Zuletzt bearbeitet: (Link korrigiert)
1stSlave schrieb:
aber setze ein VLAN für die Kinder auf
Ich stelle jetzt mal die Frage: Warum? Was erhoffst du dir davon bzw. was möchtest du damit erreichen? Eventuell gibt es auch andere Mittel die zu dem Ziel führen können ohne dass du VLAN-fähige Hardware benötigst.

1stSlave schrieb:
[...] die Kinder nicht das ganze Netzwerk "verseuchen". Also dass das NAS etc geschützt bleibt. [...]
Dann verwende Kennwörter für die entsprechenden Freigaben und administrative Zugriffe beim NAS. Gib den Kindern auf ihren Endgeräten nur Benutzeraccounts und Zugriffe mit eingeschränkten Berechtigungen. Hinzu kommt: Wer schützt das NAS davor, von dir "verseucht" zu werden?^^

Wie andere schon schrieben: VLANs separieren auf Subnetzebene, dies dann per entsprechendem Regelwerk einzuschränken kann eine Möglichkeit sein das Ziel zu erreichen aber es ist nicht unbedingt die günstigste Methode und erfordert entsprechenden Sachverstand bzw. den Willen sich da einzuarbeiten. Das bedeutet aber auch über die Ersteinrichtung hinaus, sprich bei Fehlern oder Problemen die genaue Ursache zu finden und nicht nach 1-2 Stunden aufzugeben und "eine Ausnahme" im Regelwerk zu definieren und früher als du denkst hättest dir das mit den VLANs auch sparen können weil die Freischaltungen so umfassend sind...
Neben VLAN-fähigen Switchen und APs brauchst dann natürlich noch einen passenden Router bzw. Router-Firewall-Kombination für dein Regelwerk zwischen den VLANs und dem Internet.
 
1stSlave schrieb:
Dazu sollten HUE Leuchten, Konsolen sowie andere Smart Geräte und Smartphones/Tablets via WLAN verbunden werden

Philips Hue läuft nicht über WLAN, sondern die Hue-Bridge nutzt einen eigenen Funkstandard.
 
Zurück
Oben