Network-Design mit Routing zwischen 2 Netzen (vermutlich ubiquiti)

[berto]

Hi Leute,

ich bin gerade dabei mich ins Thema Netzwerk zu fuchsen, nachdem dieses Thema eine meiner Achillesfersen ist.

Als praktisches Bsp würde es schon seit längerem anstehen das Heimnetz umzubauen. Ich habe hier auch gleich einen etwas speziellen Use-Case und zwar 2 Netze in einem Mehrfamilienhaus zu verbinden.

Ich gehe bewusst nicht darauf ein wie das Setup aktuell ist, da ich bereit bin das ganze ideal von der grünen Wiese weg zu bauen.

Folgende Ausgangssituation:
OG:

• Meine Wohnung
• Es besteht ein eigener WAN anschluss per Modem (WAN1)
• Vom "Netzwerkschrank" im Voraum, wo das Modem steht, laufen 2 LAN Leitungen in den Keller zum ServerRack

Keller:

• Hier steht ein ServerRack in dem sich sowohl ein Homelab zum tüfteln läuft, als auch NAS, backup-festplatte und ein paar virtualisierte Services, die in beiden Netzen verfügbar sein sollten
• Beim letzten kleineren Umbau wurde 1 LAN Leitung ins UG gezogen

UG:

• Wohnung meiner Eltern
• Es besteht ein einer WAN-Anschluss per Modem (WAN2)

Anforderungen:

• Das Ganze sollte natürlich sauber getrennt sein. Es soll nicht möglich sein vom Subnet OG direkt ins Subnet UG zu funken und umgekehrt
• Das "Shared" subnet mit NAS etc. soll von beiden Stockwerken aus erreichbar sein
• Die Stockwerke sollten nachwievor über ihre jeweils eigenen WAN-Anschlüsse ins Internet routen

Zukünfigte Erweiterungen wenn möglich:

• Integration von 2 Überwachungs-Kameras vor der jewiligen Eingangstür
• Evtl. Erweiterung von OG auf ein zusätzliches Stockwerk in Zukunft
• Wenn möglich ein einzelnes Gerät (kann über die IP oder MAC identifiziert sein zb.) in UG über das WAN von OG nach außen routen.

Nachdem ich mich ein bisschen eingelesen habe würde mir eine ubiquiti DreamMachine Pro als Herzstück durchaus gut gefallen. Da hätte ich auch schon einen Accesspoint und ein USG im Einsatz, wobei zumindest der AP sicherlich gut wiederverwendet werden kann.

Was mir jetzt noch nicht ganz klar ist:
Was für ein Gerät brauch ich dann im UG, das in den Port gestöpselt ist, der von der DreamMachinePro kommt? Hier bräuchte ich nocheinmal einen Router oder?

Zur Veranschaulichung habe ich eine kleine Grafik gebastelt wie ich mir das ganze vorstellen würde:

Ich bin für alle Tipps dankbar und wünsche euch einen guten Rutsch!

 

[derchris]

Sollte mit der UDM-Pro eigentlich so gehen. Was für Internetanschlüsse und was für ein NAS habt ihr? Welches VLAN, Client oder Domain welchen WAN Port nutzt regelst du letztendlich über Policies.

Die Clients kannst du auch beliebig von einem VLAN ins andere schieben, wurde mit dem aktuellen Unifi OS noch mal leichter.

 

[berto]

@derchris dankeschön schonmal für die Antwort.

Ok das mit den VLANs muss ich mir definitiv anschauen, da hab ich noch eine ordentliche Wissenslücke

Zu deinen Fragen: ich nehme an das zielt auf den throughput ab: Es ist alles Gigabit.

Die NAS ist ein Supermicro server mit freenas, WAN1 ist eine 300mbit Leitung, WAN2 weiß ich nicht genau, aber weniger.

Also bräuchte ich im UG Stockwerk, da wo das ? eingetragen ist im Diagramm gar nix außer einen Switch? Ich hätte gedacht ich brauche da nochmal was, was routen kann.

 

[Raijin]

Also wenn ich ehrlich sein darf, halte ich die UDM (Pro) für diesen Zweck für vollkommen oversized und reine Geldverschwendung.

Du willst:

• 2 autarke Wohnungsnetzwerke
• nach wie vor 2 Internetanschlüsse
• ein geteiltes Netz für NAS und Kameras (= DMZ)

Das kannst du mit einem banalen MikroTik hEX (S) oder einem EdgeRouter abdecken. Wenn's n bischen mehr Dampf haben soll, nimm eine HW-Firewall mit pfSense, o.ä. Letzteres ist für diesen Zweck zwar ebenso etwas drüber, aber sei's drum, ein günstiger MiniPC mit pfSense sticht UDM, wenn man nu nicht unbedingt ein vollständiges Unifi-Setup anstrebt.

So könnte das aussehen und bereits ab ~60€ zu haben sein:

Spoiler: Beispiel-Setup

+-----------------------------+
|           (WAN)             |
| Router1                     |
|           (LAN)             |
+-----------------------------+
        (192.168.1.1)
              |
       (192.168.1.254)
+-----------------------------+
|          (eth0)             |
| hEX/ER/pfSense       (eth2) | ---- DMZ für NAS, Kameras, etc
|          (eth1)             |
+-----------------------------+
       (192.168.2.254)
              |
        (192.168.2.1)
+-----------------------------+
|           (LAN)             |
| Router2                     |
|           (WAN)             |
+-----------------------------+

Selbst wenn man das später umbauen und zB denselben Internetzugang möchte, kann man das so machen. Bei solchen Routern hat man volle Kontrolle über Routing, Firewall und NAT, kann letzteres also problemlos ausschalten, spielt aber bei deinen Eltern vermutlich eh keine große Rolle.

 

[berto]

@Raijin Vielen Dank für den Input.
In deiner Topologie hätte man also 3 Router oder?
Also wenn man bei einem Fabrikat bleiben will 3x Hex(S) oder 3x ERX, richtig?

 

[Joe Dalton]

Wenn Deine "Modems" bereits Router sind, die mit statischen Routingeinträgen konfiguriert werden können, dann brauchst Du nur einen neuen Router. Die Konfiguration in sinngemäß die gleiche und Du brauchst nicht zwingend drei gleiche/neue Router.

btw: Wenn Du Routing betreiben willst, dann spielt die Musik auf Layer 3 (IP-Adressen). Solltest Du im Keller etwas betreiben wollen, das entweder über WAN1 oder 2 Richtung Internet gehen soll, dann ist die MAC-Adresse als Schall und Rauch.

 

[Raijin]

Wie @Joe Dalton schon geschrieben hat braucht man nicht 3 identische Router.

Es gibt zwei mögliche Szenarien für diese Situation:

1) Die zur Zeit verwendeten Internetrouter bieten die Möglichkeit benutzerdefinierte Routen einzutragen. Hier würde man eine Route in die DMZ via den 3. Router eintragen. Fritzboxxen können das beispielsweise, Speedports nicht.

2) Die verwendeten Internetrouter bieten keine individuellen Routen. Als Workaround stellt man den DHCP-Server im jeweiligen Netz so ein, dass er nicht den Internetrouter als Gateway verteilt, sondern die IP des 3. Routers. Dieser routet dann je nach Ziel (www oder DMZ) zurück zum jeweiligen Internetrouter oder in die DMZ.


Es gäbe noch ein drittes Szenario, nämlich händische Einträge in die Routingtabelle der einzelnen Clients, aber diese Möglichkeit beschränkt sich weitestgehend auf PCs. Das hieße, dass man den PCs also explizit sagen könnte: "Hey, die DMZ liegt hinter dem 3. Router!"
Solange man die DMZ nur für den Datenaustausch via PC nutzt oder ggfs die Kameras via PC anschauen möchte, klappt das auch. Möchte man jedoch beispielsweise vom Handy aus auf die Kameras zugreifen oder am TV Filme vom NAS abspielen, sähe das anders aus, weil es jenseits von PCs nicht vorgesehen ist, die Routingtabelle händisch anzufassen.

 

[berto]

Danke nochmal an @Joe Dalton und @Raijin .
Leider sind die Modems von unserem Anbieter seeeeehr bescheiden. Da bin ich schon froh, dass sie überhaupt die Option bieten im Bridge-Modus zu arbeiten und nicht als direkter Router. Also müssten da so oder so neue Router hin. In den aktuellen Netzen ist bei mir ein USG im Einsatz und im anderen Netzt ein einfacher, ziemlich alter tp-link Router.

Die von dir genannte 3. Option ist aufgrund der Clients, wie du schon geschrieben hast nicht wirklich eine.

Da ich eh neue Router will und brauche, möchte ich dann schon welche die zumindest vom gleichen Hersteller sind und somit gleich zu konfigurieren.

Mir geht es zusätzlich zum Usecase mit der DMZ auch darum so viel wie möglich zu dem Thema zu lernen, da ich auch beruflich in Zukunft mit Networking Themen zu tun habe. (zwar hauptsächlich in der Cloud, aber die Grundlagen sind ja die gleichen).

Ich bin jetzt gerade dabei mir anzuschauen, wie die Mikrotik Dinger funktionieren. Auf den Namen bin ich früher schon einmal gestoßen. Bei Ubiquiti gefällt mir einerseits das Ökosystem eigentlich echt gut, auch mit der Kamera integration usw. dann, auf der anderen Seite ist man doch ein bisschen eingeschränkt, vor allem preismäßig, weil ja zb alle switches außer der ganz kleine richtig Geld kosten).

Ich bin auch gerade dabei das ServerRack ein wenig umzubauen und aufzuräumen auch mit Patchpanel etc. Ist halt gleichzeitig Lernmedium, Spielerei und nutzbarer Benefit. Daher ist es mir auch grundsätzlich eher egal ob jetzt das ganze Vorhaben 150€ mehr oder weniger kostet.

 

[Raijin]

Gerade wenn man Networking als Ganzes lernen möchte, bietet sich eigentlich eine pfSense, o.ä. eher an als USG bzw. UDM. Letztere bieten zwar schon viel, aber im Unifi-Korsett teils eben auch beschränkte Funktionen. Nicht-abschaltbares NAT am WAN-Port wäre ein Beispiel. Mit pfSense und Co hat man volle Handlungsfreiheit und kann jedes erdenkliche Szenario verwirklichen, das mit Unifi höchstens mit Konfigurationshacks umsetzbar sind (mit JSON-Konfigs jonglieren, die beim nächsten Controller-Update übergebügelt werden).

Unifi ist ein tolles System, aber es ist in Teilen eben doch auf bestimmte Anwendungsfälle mit leichten bis mittleren Anpassungsmöglichkeiten zugeschnitten. Wenn man explizit lernen möchte, stößt man bei Unifi womöglich an Grenzen dessen, was man ausprobieren kann, weil es - wie besagtes NAT am WAN - nicht vorgesehen ist.

Ein weiterer Vorteil von pfSense und Co ist, dass man es auf mehr oder weniger beliebiger Hardware aufsetzen kann. Von einem MiniPC mit einer LAN-Schnittstelle (Routing dann nur via VLANs) bis hin zu aufgebohrten System mit einem Dutzend Interfaces oder so - die Hardwarekosten können also gut an die Anforderungen angepasst werden.

 

[Joe Dalton]

Wenn eh neue Router fällig sind, dann würde ich eine Firewall nehmen und der fünf Interfaces verpassen:

• 2x LAN
• 1x DMZ
• 2x WAN

Zum Spielen kämen dann noch zwei-drei VLAN-fähige Switches (Layer2) dazu und fertig wäre das ganze. Das wäre dann abhängig von Deiner Verkabelung und den Möglichkeiten, die Anschlüsse irgendwo zusammenzufassen.

 

[berto]

Das wäre dann abhängig von Deiner Verkabelung und den Möglichkeiten, die Anschlüsse irgendwo zusammenzufassen.

Die Leider nicht gegeben ist. Der Standort der Modems ist jeweils mehr oder weniger fix durch den coax anschluss. Im Falle vom OG kann ich eine der 2 Leitungen in den Keller dazu verwenden, den WAN, der vom Modem kommt in den Keller zu schicken. (aktuell ist das USG noch direkt neben dem Modem im OG). Vom Keller in das UG gibt es nur eine Leitung und wenn die als WAN -> Keller verwendet wird, dann hab ich keine mehr, die retour geht.

Ich habe mir die Vorschläge jetzt ein bisschen genauer angeschaut und finde vieles davon sehr interessant. Dadurch komme ich jetzt momentan gedanklich eher in Richtung 'mach ein "simples", aber stabil funktionierendes Home-Netz' und zum spielen noch was kleines daneben. Ich habe nämlich auch nicht lust am nächsten Tag im Homeoffice kein Internet zu haben, weil ich am Vorabend übermüdet "nur noch schnell was ausprobieren" wollte

 

[Raijin]

Das klingt vernünftig. Nicht ohne Grund gibt es das KISS-Prinzip, keep it simple, stupid. Je komplexer man das Netzwerk aufbaut, umso fehleranfälliger wird es, wenn man nicht das nötige Wissen mitbringt und auf die Hilfe anderer angewiesen ist - sei es ein öffentliches Forum oder youtube.

 

[berto]

@Raijin oder alle anderen die das Thema lesen:

Hi, jetzt muss ich das Thema noch einmal ausgraben.

Die Hardware ist diese Woche angekommen und heute wurde alles eingebaut, verkabelt etc.

Eine (wahrscheinlich ziemlich dämliche) grundsätzliche Verständnisfrage habe ich allerdings noch:

Hier in dem Thread wurde immer nur von VLANs geschrieben. Ich kenne aus dem cloudkontext eigentlich nur subnets. Jetzt ist die Frage was brauche ich in diesem Szenario? VLANs, Subnets oder beides?

Danke nochmal und schönes Wochenende

 

[Joe Dalton]

Die Hardware ist diese Woche angekommen und heute wurde alles eingebaut, verkabelt etc.

Das war der leichte Part...

Eine (wahrscheinlich ziemlich dämliche) grundsätzliche Verständnisfrage habe ich allerdings noch:
Hier in dem Thread wurde immer nur von VLANs geschrieben. Ich kenne aus dem cloudkontext eigentlich nur subnets. Jetzt ist die Frage was brauche ich in diesem Szenario? VLANs, Subnets oder beides?

Das ist primär eine Frage, was Deine Geräte unterstützen: VLANs arbeiten auf Layer2 und IP/Routing ist Layer3.
Wenn Dir die Unterschiede nichts sagen, dann würde ich die HW erstmal zur Seite legen und mich einlesen. Ohne das grundlegende Verständnis der beiden Layer kommst Du nicht weit.

 

[Raijin]

Wenn du keine Vorstellung davon hat was VLANs sind und was sie tun, solltest du dir mal diese VLAN-Grundlagen durchlesen. Da wird recht anschaulich erläutert wie VLANs funktionieren.

Mit VLANs lässt sich eine Infrastruktur für mehrere Netzwerke parallel nutzen. Ohne VLANs müsste man für jedes Netzwerk eigene Kabel, eigene Dosen, eigene Switches und eigene Access Points verwenden. Ich hab zB 10+ Netzwerke in meiner Bude (crazy, I know...), aber ich habe nicht in jedem Zimmer 10 verdammte Dosen, sondern ganz normal nur 1-2. Dort kommt bei einingen Dosen aber wie im Link oben dargestellt ein "buntes" Netzwerksignal raus, welches alle Farben meines Netzwerkregenbogens enthält und ich kann mir bei Bedarf jenes Netzwerk rausziehen, das ich haben möchte - zB mit einem kleinen VLAN-Switch.

Ergänzung (13. Januar 2024)

Inwiefern VLANs für dich relevant sind bzw. werden, hängt natürlich vom Setup ab. Ich hab den Thread jetzt nicht in voller Gänze nochmal durchgelesen, aber so wie ich das noch im Kopf habe sollten die Wohnungen ja nach wie vor autark bleiben, also über eine eigene Infrastruktur verfügen, die nicht vermischt wird. Das heißt jede Wohnung hat ihr eigenes Netzwerk, ihr eigenes WLAN und ihren eigenen Internetzugang. VLANs braucht man dabei tendenziell nicht, wenn der Router, der alles verbindet, über genug Schnittstellen verfügt. Das in #4 skizzierte Beispiel kommt gänzlich ohne VLANs aus.

Wenn man beide Wohnung an dieselbe Internetleitung hängen möchte, ginge das auch ohne VLANs. Der Hauptrouter muss dann eben für jede Wohnung eine Schnittstelle bieten sowie eine für die WAN-Verbindung und eine für das gemeinsame Netzwerk (DMZ) und ggfs noch eine für das oder die Gastnetzwerk(e). Je nachdem könnten das also bis zu 6 Schnittstellen sein - oder man teilt eben die eine oder andere Schnittstelle mittels VLANs in mehrere auf, wie oben beschrieben, und käme zB auch mit einem Router mit zB nur 4 Ports aus..

 

[berto]

Wenn du keine Vorstellung davon hat was VLANs sind und was sie tun, solltest du dir mal diese VLAN-Grundlagen durchlesen. Da wird recht anschaulich erläutert wie VLANs funktionieren.

Danke für den Link, werde ich mir gleich durchlesen. Das Problem ist eher, dass ich denke ich zwar mittlerweile theoretisch verstanden habe, was der Unterschied zwischen layer 2 und 3 ist (MAC vs. IP), aber eben noch nicht in der Praxis

Der Hauptrouter ist dann das UDM Pro geworden, da ich die APs schon hatte und die Integration mit den Kameras in einem späteren Schritt dadurch recht einfach werden sollte.
Also sind genügend Ports am Router (im Keller) da, für OG und UG gibt es je einen Ubiquiti UniFiSwitch Flex Mini.

Zum spielen und lernen zu einem Späteren Zeitpunkt habe ich noch 2 managed netgear switches rumliegen und werde mir dann einmal auf einer bastellösung PfSense anschauen.

Da ich gestern im ersten Anlauf mit den VLANs gescheitert bin, dann im OG, wo ich auch arbeite Internet zu haben, habe ich dann quasi einen "revert" auf das bestehende Setup mit neuer Hardware gemacht. Also OG + Keller in einem Netz im 192.168.1.0/24 und keine aktive Verbindung ins UG.

Kurzfristig geht es mit jetzt dann eben darum, das umzusetzten, dass OG und Keller (=DMZ) getrennt sind und dann eben auch UG angeschlossen ist, das in die DMZ kommt und aber den 2. WAN nutzt.