Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Wenn du nicht sagst und beschreibst, was du vor hast, wird es schwierig, weil man dir alles aus der Nase ziehen muss.
In jedem Forum wird dann der Ton rauer, wenn die Leute nicht ihren Mitwirkungspflichten nachkommen. Anfänger heisst evtl. ich habe nicht die richtigen Vokabeln, aber nicht ich kann nicht versuchen darzustellen was ich habe und will.
Prinzipiell ohne jetzt irgendwas zu wissen, sehe ich jetzt nicht, wo du was ändern musst, einzig das, man will mal draufschauen, wenn was nicht geht könnte kleine Konfigurationsänderungen nötig machen. Da würde ich einfach das Mangement von WAN-Seite (was dann das Speedportnetz ist) der Router anschalten, vorrausgesetzt natürlich ausreichend starke Passwörter und co, damit nicht einer der anderen 6 Netzbereiche den anderen lahmlegen kann.
Warum?
Sind die 5 Gebäude für 5 verschiedene Firmen gedacht? Dann ggf. ja zur Trennung der Netze.
Es wird dann aber auch 5-facher Aufwand an Matrial, Geld & Zeit sein.
Beteigeuze24 schrieb:
Ich würde aber auch gerne von außerhalb mal draufschauen, falls mal wieder irgendwas nicht geht.
Wenn das z.B. einzelne Mietwohnungen wären, könnte man locker ein großes Netz fahren.
Dies wäre weniger Aufwand & Kosten. Eine ordentliche VLAN-Lösung und Firewall sowieso noch dazu.
Hm, ist das nicht ein bisschen zu klein gedacht. Was ist in 5, 10, 15, 20 Jahren?
Ich würde da mindestens auf Cat7 gehen. Anschluss-Dosen können auch Cat6a sein.
NW-Dosen kann man später leicher tauschen als Kabel. Und die Schirmung ist bei Cat6+7 besser.
Wenn z.B. ein Krankenhaus oder Firmensitze das Ziel sind, könnte man auch gleich Cat8.1 verlegen.
Dann ist man kabelseitig auf der sicheren Seite.
Auf jeden Fall würde ich zwei Router parallel (Loadbalancing) fahren hinter dem Glasfaser-zu-Kupfer-Adapter.
Falls mal ein Router Probleme macht oder ausfällt, kann das System automatisch auf den anderen umswitchen.
Für den Glasfaser-Anschluss konnte ebenfalls überlegt werden, ob zwei GF-Anschlüsse für Loadbalancing nicht besser wären. Das lohnt sich aber wohl nur bei lukrativen (Geschäfts-)Kunden.
Weil Du „rauen“ Ton ansprichst, was genau ist das für ein Gewerbe, also wie Tanzmusikus schon fragte, sind das mehrere Firmen? Dann bitte jeder einen Glasfaser-Anschluss, denn der Anschluss enthält mehrere Fasern. Oder ist das Vermietung wie in einem Hotel oder Boarding-House?
Ich würde mir einen ONT holen und dahinter dann einen Multi-LAN-Router nehmen, also selbst über OPNsense was basteln oder vorgefertigt DrayTek oder Lancom. Letztere bekommt man gebraucht recht günstig, also den Lancom 1793VAW schon für 200 € noch mit vielen Jahren Security-Updates.
Aber wenn Du eigentlich (nur) ein großes WLAN verteilt über mehrere Gebäude ausspannen willst, dann würde ich das lieber gesamt betrachten, also eine Gesamt-Lösung ala UniFi. Dann bräuchten wir mehr Details, also erstmal die Nutzungsform [Firmen, Hotel, …] und ob nur WLAN oder auch LAN-Dosen den Nutzern zur Verfügung stehen (sollen).
Beteigeuze24 schrieb:
beim Aufbau eines Netzwerkes unter die Arme gegriffen wird? Die Anforderungen steigen und mir fehlt das Wissen.
Mir wäre lieb, wenn Du uns die Threads nennen würdest, die Du bei einer Suche gefunden hast. Hast Du vielleicht „rau“ damit verwechselt, dass wir darauf hinweisen, dass man in solchen Netzen potentiell seine Nutzer quält oder sogar schädigt, wenn man das nicht ordentlich macht? Also Stichwort Client-Isolation …
Wenn du nicht sagst und beschreibst, was du vor hast, wird es schwierig, weil man dir alles aus der Nase ziehen muss.
In jedem Forum wird dann der Ton rauer, wenn die Leute nicht ihren Mitwirkungspflichten nachkommen. Anfänger heisst evtl. ich habe nicht die richtigen Vokabeln, aber nicht ich kann nicht versuchen darzustellen was ich habe und will.
Prinzipiell ohne jetzt irgendwas zu wissen, sehe ich jetzt nicht, wo du was ändern musst, einzig das, man will mal draufschauen, wenn was nicht geht könnte kleine Konfigurationsänderungen nötig machen. Da würde ich einfach das Mangement von WAN-Seite (was dann das Speedportnetz ist) der Router anschalten, vorrausgesetzt natürlich ausreichend starke Passwörter und co, damit nicht einer der anderen 6 Netzbereiche den anderen lahmlegen kann.
Hier mal eine Draufsicht auf das Gelände. Campingplatz mit Pensionszimmern und Gaststätte.
Alles außerhalb der schwarzen Linie ist noch Zukunftsmusik
In SO2 ist der Hausanschlußraum
SO3 Pensionszimmer
So4 Gaststätte und Pensionszimmer
SO9 und SO7 geplant
SO5 Technik
SO1 Stellplätze
Von der Straße bis zu SO5 sind es ca.350 m.
Die Plätze sind mehr oder weniger gut mit WLAN versorgt.
Von SO2 aus sind alle Gebäude mit Glasfaser angebunden(Stern) und auch mit Cat7(Stern und Reihe).
Nur SO5 hat lediglich eine Glasfaserversorgung.
In SO2 ist die Rezeption.
Das Verwaltungsnetzwerk ist bisher per Richtfunk ans Firmen interne Netz angebunden und vom Netz des Campingplatzes physisch getrennt. Die Verbindung ist aber aufgrund von Baumhindernissen mitunter sehr langsam. Jetzt wollte ich per VLAN und VPN über den Glasfaseranschluß zum Zentralrechner oder ich müßte vielleicht Bäume fällen.
Soweit mal ein grober Überblick.
Ergänzung ()
madmax2010 schrieb:
altes cat5 oder neues cat5 / oft cat5e (aka wie viele adern)
Hier muß ich etwas korrigieren
In SO3 und SO4 ist alles vom Technikraum aus, in jeden Raum mit Cat7 verkabelt
In SO2 da ist praktisch alles gemischt, je nach Jahreszahl des Einbaus.
Für die Geschwindigkeiten (30 Mbit), die ich so anpeile, reichen die vorhandenen Kabel allemal aus.
Für die Parkplatzkameras nutze ich das gute alte Telefonkabel(3x4x0,8).
Ergänzung ()
Tanzmusikus schrieb:
Wenn das z.B. einzelne Mietwohnungen wären, könnte man locker ein großes Netz fahren.
Hm, ist das nicht ein bisschen zu klein gedacht. Was ist in 5, 10, 15, 20 Jahren?
Ich würde da mindestens auf Cat7 gehen. Anschluss-Dosen können auch Cat6a sein.
Das, was jetzt auf Vordermann gebracht werden, soll ist hauptsächlich Campingplatz, mit 50 Zimmern zur Vermietung. Der Trend geht ja eindeutig zur WLAN-Nutzung. Mit den TP-Link-Accesspoints gibt es ja auch beide Möglichkeiten. Ich habe fast überall die EAPs eingebaut.
Ergänzung ()
Tanzmusikus schrieb:
Wenn das z.B. einzelne Mietwohnungen wären, könnte man locker ein großes Netz fahren.
Dies wäre weniger Aufwand & Kosten. Eine ordentliche VLAN-Lösung und Firewall sowieso noch dazu.
Mein Denken war bisher auf war bisher auf 254 IP-Adressen in einem Netz ausgerichtet. Durch die zwangsweise Trennung hat das bisher auch gut funktioniert. Größer denken, muß ich erst lernen. Beim Zusammenlegen kommt einiges zusammen.
Mein Denken war bisher auf war bisher auf 254 IP-Adressen in einem Netz ausgerichtet. Durch die zwangsweise Trennung hat das bisher auch gut funktioniert. Größer denken, muß ich erst lernen. Beim Zusammenlegen kommt einiges zusammen.
Das scheint in deinem Fall eher weniger wichtig zu sein, da i.d.R. die "Übernachtungseinheiten" einzeln sind.
Selbst die Gaststätte braucht vermutlich nur einen einzigen Internetzugang.
Somit wäre die Art des Netzwerks (z.B. Klasse B oder C) dahinter eher weniger wichtig.
Klasse C hast Du in Benutzung, das wäre auch der Standard für private LANs.
Wichtig wäre die "Trennung der IPs"*, damit die Kunden nicht gestört bzw. gehackt können.
Gleichzeitig soll aber ggf. TV-Empfang o.ä. möglich sein. *Bitte korrigiert mich, wenn falsch (ausgedrückt).
Ab hier enden so langsam Wissen, Erfahrungen & Vorstellungsvermögen von mir über größere Netzwerke.
Ich wünsche viel Erfolg !!
Da du schon OMADA fähige AcessPoints im Einsatz hast, empfehle ich, die komplette Infrstruktur darauf aufzubauen, das vereinfacht dir die benötigte Administration.
Auch den Sicherheitsaspekt kann ich bisher noch nicht nachvollziehen.
Wozu trennt man IP´s, wenn am Ende doch alles über eine Leitung läuft und der Router zwischen den Netzen vermittelt? Ist das nicht sowieso alles angreifbar?
Kamera ins WLAN, QR-Code scannen und schwups kann man von außerhalb darauf zugreifen und das auch noch über LTE. Da komme ich nicht einmal selber auf meinen Router, aber über eine APP direkt ins private Netzwerk.
Wenn ich pro Zimmer ein Subnetz anlege, diese aber über den Router dann doch wieder miteinander kommunizieren können, ist dann nicht "alles in einem Netz" vergleichbar dasselbe?
Da ich das nicht verstehe, habe ich die betriebsnotwendigen Rechner in einem physisch getrenntem Netzwerk, was vielleicht ja gar nicht sein müßte.
Für meinen Fall. Die Verwaltung der AP´s über den Omada-Controller finde ich, zumindest für das, was ich dort verwalte, sehr logisch und einfach. Diese Lösung hat mir gut gefallen. Da bin ich gerne von Metz umgestiegen.
Ergänzung ()
@redjack1000 Ich wollte ja auch über die Fritz-App zulassen, daß ich von unterwegs auf die Fritzbox-LTE zugreifen kann. Das funktionierte aber grundsätzlich nicht.
Das Problem hat sich aber jetzt mit Glasfaser erledigt.
Wozu trennt man IP´s, wenn am Ende doch alles über eine Leitung läuft und der Router zwischen den Netzen vermittelt? Ist das nicht sowieso alles angreifbar?
Dafür gibt's ja die entsprechenden (Business-)Router mit den nötigen Sicherheitstechnologien (VLAN, Firewall) und -einstellungen (z.B. Fail2Ban) kann man vorsorgen.
In dem Zusammenhang könnte es vielleicht sogar gut sein, eine Firma für die Mitplanung und später Überwachung/Wartung/Suport engagieren. Diese Firmen sind dann auch (begrenzt) dafür haftbar/verantwortlich.
Beteigeuze24 schrieb:
Kamera ins WLAN, QR-Code scannen und schwups kann man von außerhalb darauf zugreifen und das auch noch über LTE. Da komme ich nicht einmal selber auf meinen Router, aber über eine APP direkt ins private Netzwerk.
Den QR-Code (mit den entsprechenden Zugangsdaten "SSID" und "PW") kann man nach jedem aus-checken ändern. Ggf. auch per Zufallsgenerator.
Ich würde jetzt sofort an deiner Stelle noch keine Router & Switche kaufen, wenn der Umfang der Technik noch nicht ganz klar herausgearbeitet ist. Ich würde erst alle möglichen Szenarien durchspielen & notieren.
Beteigeuze24 schrieb:
Wenn ich pro Zimmer ein Subnetz anlege, diese aber über den Router dann doch wieder miteinander kommunizieren können, ist dann nicht "alles in einem Netz" vergleichbar dasselbe?
Jeweils ein Subnetz würde natürlich gehen, ist aber sehr verwenderisch.
Entsprechende Firewalls haben die Möglichkeit, den Kontakt zwischen den einzelnen IPs im selben Netzbereich zu isolieren/unterbinden. Ich würde mich an deiner Stelle auch von Fachleuten beraten lassen.
Am Besten von verschiedenen, damit man ein besseren Überblick bekommt. Zusätzlich wie hier auch im Forum.
Stelle die entsprechenden Fragen zur Hard- und Software ... und erhalten diverse Antworten. 🤓👍
Beteigeuze24 schrieb:
Da ich das nicht verstehe, habe ich die betriebsnotwendigen Rechner in einem physisch getrenntem Netzwerk, was vielleicht ja gar nicht sein müßte.
Naja, macht schon Sinn. Bei einem Fehler in einem der Teilnetzwerke bzw. dem einen (großen) Netzwerk, könntest Du von deinem getrennten NW ggf. immer noch kommunizieren / Hilfe holen. 😉
@Tanzmusikus Mit den Fachfirmen habe ich meine Erfahrungen bereits vor 20 Jahren gemacht.
Damals kam mir die Idee, das Ganze in professionelle Hände zu geben.
Ich hatte enormen Speicherbedarf und mußte einen externen Arbeitsplatz einbinden.
Das auch noch bei den damals so geringen Bandbreiten.
Das Ergebnis war niederschmetternd, bis hin zu einem fast kompletten Datenverlust.
Leider auch noch zu exorbitanten Kosten, die ein so kleiner Betrieb gar nicht erwirtschaften kann.
Ich kann auch nicht mit einer Konsole auf der Serverfarm arbeiten, ich brauche den Rechner physisch vor mir.
In der Folge habe ich konsequent downgradet, bis auf das Level, was ich leisten kann.
Mit den Einschränkungen kann ich dann leben. Arbeitet eben nur einer auf dem Rechner und nicht alle parallel.
Aus diesen Erfahrungen heraus will ich das Netzwerk selber administrieren.
Ich habe mir jetzt schon eine kleine Testumgebung aufgebaut.
Keinesfalls möchte ich von einer Hotline abhängig sein.
Ich bräuchte jetzt für den Start mal Hilfe, wobei eben gerade die Meinungen auch auseinander gehen können.
Wenn ich mal den Support von Trendnet nehme, da ist jetzt eine Woche vergangen ohne, daß da eine Antwort kam. Da sind dann Foren doch deutlich schneller.
Die Frage, die sich mir stellt ist:
Ist dein Netzwerk inkl. Router bzw. 2 Router für Loadbalancing, Switch/e, Gateway bereits ausreichend?
Bietet die Firewall im Omada-Controller ausreichend Optionen und Einstellmöglichkeiten (z.B. VLAN)?
Ist der Trendnet-Switch/Konverter kompatibel mit den TP-Link Omada-Geräten?
Beteigeuze24 schrieb:
Wie bekomme ich drei bisher getrennte Netzwerkteile am einfachsten in eine Netzwerkstruktur.
Wenn bereits 3 Router dafür vorhanden sind, würde das Verbinden der Netzwerke per Routen möglich sein.
Es sollten unterschiedliche Netzadressen/-Bereiche sein, sonst wird es aufwändiger.
Vorher ist natürlich eine physische Anbindung vonnöten.
Beteigeuze24 schrieb:
Ich habe beim Ausbau immer Glasfaser mitverlegt. Vom HA-Raum gehen also in alle Richtungen Glasfaserleitungen zu den jeweiligen Unterverteilungen.
Auf der Skizze sieht mir einiges ein bisschen unklar aus: GF-Dose bis Trendnet Tl2-F7120 (12 SFP-Ports) ist klar.
Die 3 bis 6 Gebäude sind per Glasfaser (und später per GF/CU-Konverter) miteinander verbunden?
Das nenne ich mal "übergangs-reich".
Beteigeuze24 schrieb:
Die einzelnen AP in den Zimmern sind in der Regel TP-Link EAP 115.
Ist eine spezielle Gateway-Software vonnöten, oder läuft das über den Hauptrouter mittels DHCP ?
Beteigeuze24 schrieb:
Mein Denken war bisher auf war bisher auf 254 IP-Adressen in einem Netz ausgerichtet. Durch die zwangsweise Trennung hat das bisher auch gut funktioniert. Größer denken, muß ich erst lernen. Beim Zusammenlegen kommt einiges zusammen.
Das gilt für das 24er Netz (Class C).
"Größer" muss es gar nicht werden/sein, vielleicht nur anders.
Wenn die Anzahl ausreicht, könntest Du 'zig 29er Subnetze einrichten. Das wären 6 IPs pro Subnetz.
Ein 30er Subnetz (2 IPs) wäre vermutlich zu wenig, es sei denn Du legst es in den Hausregeln fest.
Ich persönlich würde 6 IPs pro Zimmer als in 99,9% der Fälle ausreichend bezeichnen.
Für LAN-Parties sollten sich die Teilnehmer vorher erkundigen, was geht.
Falls es für die Gaststätte mit den 6 IPs nicht reicht, könnte man auch 28er Subnetze einrichten.
Dann ständen 14 IPs pro Subnetz zur Verfügung. Oder man vergibt 2 Subnetze (geht das überhaupt?).
Eine Möglichkeit wäre dabei 2 Subnetze per (Forward- und Backward-)Routen zu verbinden.
Damit würde dann die doppelte Anzahl an IPs der Gaststätte zur Verfügung stehen. Das 2. "angeklebte" Subnetz darf dann nicht anderweitig vergeben werden. Es muss aber auch nicht extra zugewiesen weren.
Beteigeuze24 schrieb:
Auch den Sicherheitsaspekt kann ich bisher noch nicht nachvollziehen.
Wozu trennt man IP´s, wenn am Ende doch alles über eine Leitung läuft und der Router zwischen den Netzen vermittelt? Ist das nicht sowieso alles angreifbar?
Selbst Kinder und Jugendliche haben mittlerweile fast uneingeschränkten Zugriff auf's Internet und probieren teilweise schonmal diverse Befehle aus. Vom Admin-PW ändern bis hinzu <keine Ahnung, was es da so gibt> wäre alles denkbar. Einen Netz-Scanner kannst Du auf Tausend Webseiten herunterladen & nutzen.
Android-Phones mit veraltetem Software-Stand gibt es bestimmt sehr viele. Da Du als Betreiber/Techniker für das Netz haftest, solltest Du so etwas nicht auf die leichte Schulter nehmen. Schnell kann ein Bann deiner Öffentlichen IP-Adresse dazu führen, dass für eine gewisse Zeit einige Webseiten nicht mehr erreichbar sind - bis der Bann (von den entsprechenden Servern) aufgehoben wird. Also sollte man das Ausbreiten von möglichen schädlichen "Befehlen/Programmen" bereits früh unterbinden.
Vergleiche das einfach mal mit einem Mehrfamilien-Haus: Es gibt nur Schlüssel für die Haustür.
Jede Familie kann bei allen anderen Familien in alle Zimmer schauen (elektronisch).
Schließt jemand sein Laptop an & stellt die Firewall auf "Privat", dann könnte praktisch jeder im gleichen Subnetz (z.B.: 192.168.0.0/29 => Nutzbare IPs: 192.168.0.1 - 192.168.0.6) auf ggf. vorhandene Freigaben zugreifen, wenn diese kein Passwortschutz besitzen.
Eigentlich beschreibt Client Isolation eine Funktion, bei der einem Client ungeachtet der Verbindungsart nur Zugriff auf die MAC-Adressen auf einer Whitelist gewährt wird, meist nur das Standardgateway. So ist sichergestellt, dass der Client nach wie vor problemlos ins Internet kommt, aber eben keine anderen Teilnehmer im Netzwerk kontaktieren darf. Ob die Quelle oder das Ziel per LAN oder WLAN verbunden ist, spielt dabei im Grunde genommen keine Rolle.
Von TP-Link gibt's zumindest ein paar Video-Anleitungen, hier eine davon:
YouTube
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
@Tanzmusikus
Omada
Ich habe die C 200
Da sehe ich nicht viel Einstellmöglichkeiten.
Die POE-Switche sind TO-Link, 24 Port und managbar.
Verbaut habe ich bisher EAP 115 Wall
Switch und EAP können VLAN.
Den Controller kann ich wechseln
Der Trendnet ist preiswert mit seinen 12 SFP-Ports. Was anderes hatte ich nicht gefunden.
Hier habe ich ja jetzt gelernt, daß es da auch Alternativen gibt, allerdings in einer deutlich anderen Preisklasse.
Skizze
Ja, ab Hausanschlußraum sind dann alle Gebäude mit Glasfaser OM 4 /12 Adern verbunden.
Aktuell über Cat7 Kabel, bis ich mir die LWL-Patchfelder ins Rack gebastelt und die Adern gespleißt habe.
Die Switche haben ja auch alle SPF-Port´s, so daß vom HA bis zum Switch, alles in LWL-Technik läuft.
Die Skizze ist entstanden, als ich noch nichts von SFP-LWL Konvertern wußte.
Ich habe für meine Provisorien diese Art der Umsetzung verwendet: https://www.tp-link.com/de/business-networking/omada-accessory-media-converter/mc220l/
Gateway
Ich habe die Omada-Controller einfach über DHCP ins Netz eingebunden.
Ab da sind diese über die APP erreichbar und konfigurierbar.
Der TP-Link ER605 als passt mir nicht ins Konzept, da ich ja LWL-Kabel ab HA-Raum habe.
Netz
6 Clients pro Zimmer sind aktuell ausreichend.
Es wird aber zukünftig sicher noch mehr werden.
Heute hängt ja praktisch schon fast jede Glühlampe im WLAN.
Das könnte für die Außenbeleuchtung noch infrage kommen.
Aktuell läuft die Heizungssteuerung über ein Gateway, aber ob das so bleibt, weiß ich aktuell nicht.
Da habe ich Homatic und bin auch zufrieden.
Ändern werde ich die Rauchmelder(Hekatron), da mir die aktuelle Lösung überhaupt nicht gefällt.
Vermutlich rutschen die auch alle ins WLAN.
Die Gaststätte hat eine ankommende Leitung, die in einem Switch endet. Dort greife ich die beiden IP-Telefone ab. Zusätzlich hängt noch eine alte Fritz-Box dran, die ein extra Gastnetzwerk aufspannt und die Gaststättensoftwareverwaltung weiterleitet.
Sicherheit
Da kein Gast untereinander kommunizieren muß, braucht es da keine Verbindung.
Ich würde natürlich gerne auf alles draufschauen können.
Deshalb gefällt mir OMADA auch gut.
Da hat man einen guten Überblick.
Da übertreibst Du aber 'n bisschen arg. 😅
Ich würde dies immer noch als Nische bezeichnen.
Tja, da hast Du grundsätzlich doch schon ganz schön Anlauf genommen.
Ich kann jedenfalls nicht mehr weiter helfen. Für den Überblick fehlt mir die Erfahrung.
Wünsche Dir weiterhin eine gute Lernkurve & viel Erfolg !!
P.S.
Ich werde weiterhin gespannt deine Fragen beobachten.