Netzwerksegmentierung Fritzbox - UniFi

[manifreak]

Hallo zusammen,​

Bin derzeit auf der Suche nach Komponenten für eine Abzweigung eines bestehenden Glasfaseranschlusses in eine darunterliegende Wohnung.

Ausgangssituation
OG - 250Mbit Glasfaser - Modem - Fritzbox 4040 - LAN1 - Switch- PC, TV WLAN 2-3 Smartphones
UG - LAN2 - CAT7 Kabel in 19" Rack - ...

Geplant wäre hier ein Aufbau eines zweiten abgetrennten Netzwerks, wichtig wäre mir dabei folgendes:
Netzwerk1 sollte unverändert weiter über die Fritzbox (LAN/WLAN) laufen
WLAN Abdeckung - AP werden per Kabel angebunden
VLANs (Smarthome Geräte)
VPN

Aufgrund guter Erfahrungen mit Ubiquiti UniFi, hätte ich folgenden Aufbau im Sinn.

Fritzbox LAN (Exposed Host) - Dream Router (double NAT)- Switch 24 PoE - U6 Lite AP

Wäre dieser Aufbau machbar und vor allem sinnvoll?
Vielen Dank im Voraus.

 

[Hammelkoppter]

Passt! Hab selbst ne Fritte die auf ne USG weiterleitet an der dann Switche und APs hängen.
Logisch ist das Netz dann mittels VLANs aufgetrennt und die USG kümmert sich um das Firewalling zwischen den Netzen.

 

[norKoeri]

Glasfaser ↔︎ Modem ↔︎ […]

In dem Fall könntest Du doch den UniFi Dream Router (UDR) als Haupt-Router nehmen und die FRITZ!Box im Modus IP-Client umstellen. Für Dich ändert sich nichts. Und das Untergeschoss hätte kein Doppel-NAT.

Fritzbox LAN (Exposed Host)

1. fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → (Taste) weitere Einstellungen → (Taste) IPv6-Adressen → DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: DNS-Server und IPv6-Präfix (IA_PD) zuweisen
2. fritz.box → Internet → Freigaben → (Reiter) Portfreigaben →
   1. IPv4: Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host)
   2. IPv6: Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen

Dann hat das Untergeschoss auch IPv6 und sogar die Möglichkeit sich in IPv6 selbst Ports aufzumachen.

Glasfaser ↔︎ Modem ↔︎ [Switch] ↔︎ LAN

Wenn Ihr bei 1&1 wäret, kannst Du das sogar noch weiter treiben und direkt verzweigen, dann macht jeder Router seine eigene PPPoE-Einwahl. Kein Doppel-NAT, keine fremde Firewall, …

VLANs […] guter Erfahrungen mit Ubiquiti UniFi

… oder ich habe Dich komplett falsch verstanden.

Willst Du VLANs bei Dir im Heim-Netz nachrüsten und mit dieser Hardware auch den Nachbarn abdecken? Dann würde ich die FRITZ!Box wirklich nachlagern. Aber dann brauchst Du auch kein UniFi, sondern könntest irgendeinen Router nehmen, dessen VLAN-Verwaltung Du magst. Dafür würde sich bereits ein einfacher Keenetic Speedster anbieten (allerdings gehen IPv6 und DS-Lite noch Richtung Hölle; letzteres kannst Du bei 1&1 immer noch abschalten lassen), TP-Link Omada ER605, DrayTek Vigor2135, Lancom, Bintec-Elmeg, … und wie die fertigen Router-Boxen-mit-VLAN alle heißen. Letztere bieten aber noch kein WireGuard, nicht einmal OpenVPN sondern nur IPSec für VPN.

darunterliegende Wohnung

Klingt so, als würde jemand Anderes dort wohnen. Warum hat die Wohneinheit nicht selbst Internet?

 

[Hammelkoppter]

Kleiner Tipp.... Keep IT simple. Es funktioniert genau wie ich es beschrieben habe bestens. Doppel Nat ist auch überhaupt kein Problem. Keine Ahnung warum Leute das ständig erwähnen. Wo soll für den 0815 User das Problem sein.
Weiterhin kann man auch einfach Routing Einträge auf der Fritte setzen und auf der UDM (Maschine - nicht Router) kann man auf Nat verzichten. Dann muss man auch nicht unbedingt auf Exposed Host setzen, sondern macht einzelne Weiterleitungen von der Fritte auf die UDM.
Ich versteh auch weiterhin nicht, warum man seine teure Fritte zu einem IPClient degradiert. Du hast ne 2. Firewall (vor der UDM, für den Fall dass es Mal eine Schwachstelle bei Ubi geben sollte), kannst nen Gast VLAN direkt auf die Fritte führen und kommst nicht in die Verlegenheit das Gäste aus Versehen bei dir im internen Netz sind, kannst nen Notfall VPN auf der Fritte terminieren und und und.

 

[manifreak]

Klingt so, als würde jemand Anderes dort wohnen. Warum hat die Wohneinheit nicht selbst Internet?

Nein, im UG werde dann ich wohnen und eben gerne abgetrennt den Internetanschluss von meinen Schwiegereltern im OG mitbenutzen.

Passt! Hab selbst ne Fritte die auf ne USG weiterleitet an der dann Switche und APs hängen.
Logisch ist das Netz dann mittels VLANs aufgetrennt und die USG kümmert sich um das Firewalling zwischen den Netzen.

Einzige Voraussetzung dafür sollte dann sein, dass der UDR an einem eigenen Port an der Fritzbox hängt oder?

Mir ist durchaus bewusst, dass die einfachste Lösung wäre, den UDR statt der Fritzbox zu verwenden. Jedoch sollte der obere Aufbau unverändert bleiben.

Sollte also so funktionieren?

 

[Hammelkoppter]

Ja passt! Je nachdem ob du Nat im unteren Netzwerk einsetzen möchtest, musst du halt einen Routing Eintrag auf der Fritte setzen die in dein Ubi Netz zeigt.
Der UDM würde ich auf jeden Fall auch eine statische IP geben falls du mal Portweiterleitungen benötigst.
Unten dann halt noch ein entsprechendes Firewall Regelwerk, um die 2 Netze voneinander zu trennen.

 

[Raijin]

So sehr ich auch Unifi im Bereich WLAN schätze, so sehr rate ich in komplexeren Netzwerken von den Unifi-Routern ab. Zwar bietet Unifi etwas mehr Kontrolle über Routing und NAT, aber immer noch weit entfernt von einer vollwertigen Hardware-Firewall mit pfSense/OPNsense o.ä.
Klar, wenn das reicht, dann reicht es, aber man sollte sich vorher sehr sicher sein, Erklärung folgend:

Nein, im UG werde dann ich wohnen und eben gerne abgetrennt den Internetanschluss von meinen Schwiegereltern im OG mitbenutzen.

In diesem Szenario tut es jeder 08/15 Router mit WAN-Port. Kabel von LAN4 als Gast-LAN der Fritzbox in der oberen Wohnung (Schwiegereltern) in den WAN-Port des Routers in der unteren Wohnung (Du) und das war's. Entscheidend ist hier die Nutzung von LAN4 als Gast bei der oberen Fritzbox. Nimmst du stattdessen LAN2 wie in deinem Bild in #5, ist dein Netzwerk zwar durch WAN+NAT+Firewall deines Routers vom Netzwerk der Schwiegereltern getrennt, aber andersherum ist alles offen - es sei denn du konfigurierst die Firewall deines Routers entsprechend..

Fritzbox (LAN1-3 + WLAN) --- Schwiegereltern
(LAN4 als Gat)
|
(WAN)
DeinRouter (LAN+WLAN) --- DeineWohnung

Wenn's bei dir dennochein Unifi-Router sein soll, geht das natürlich auch. VLANs benötigst du in diesem Falle nicht (abgesehen vom folgenden IoT-Szenario). Da du aber eh mit mindestens einem Access Point planst und der Router an dieser Stelle nur Standardaufgaben übernimmt, täte es hier auch ein banaler 40€-Router und muss kein 200€ DreamRouter sein.

Apropos Access Point: Ich rate vom U6 Lite ab. Ubiquiti hat beim Nachfolger des sehr beliebten und sehr empfehlenswerten UAP AC Lite einen entscheidenden Fehler begangen: Wifi 6 ist nur auf 5 GHz umgesetzt und auf 2,4 GHz funkt der U6 Lite weiterhin auf Wifi 4. Die Wiedereinführung von 2,4 GHz bei Wifi 6 - Wifi 5 wurde bei 2,4 übersprungen - ist eine der interessantesten Neuerungen des Standards. Mit dem U6 Lite beraubt man sich selbst dieses Vorteils. Entweder sollte man sich daher bei der Konkurrenz umschauen oder in Richtung U6 Pro gehen, der diesen Makel ausbessert. Wenn du "drauf pfeifst", tut's natürlich auch der U6 Lite, das musst du aber selbst wissen.

VLANs (Smarthome Geräte)

Das musst du dir sehr genau überlegen und auch sehr genau hinschauen was für SmartHome-Systeme du einsetzt und wie du sie bedienen möchtest. SmartHome ist leider auch 2022 noch nicht so smart wie der Name suggerieren mag. Viele dieser Systeme sind nicht auf Netzwerke mit mehreren VLANs/Subnetzen ausgelegt. Die meisten Apps für Smartphone und Tablet suchen die vermeintlich smarten Geräte via Broadcasts, also ausschließlich im lokalen Subnetz.

Einen smarter Heizungsthermostat im Smart-WLAN, das sich in VLAN 10 befindet, wird mit hoher Warscheinlichkeit nicht aus dem Haupt-WLAN (VLAN 20) gesteuert werden können, weil sie sich gegenseitig einfach nicht "sehen". Mit einer pfSense/OPNsense, o.ä. als Router könnte man an dieser Stelle noch mit einem Broadcast-Relay arbeiten, bei einem Unifi-Router wird das hingegen schwierig, da das schon ein sehr spezieller Anwendungsfall ist, der eher nicht ins Unifi-Universum gehört.

Besser wäre dann eine Lösung über eine SmartHome-Zentrale, die auch multi-netzwerk-fähig ist. Mit OpenHAB müsste das beispielsweise gehen, wenn ich mich nicht irre. Damit wären auch "dumme" Smart-Geräte aus dem Haupt-WLAN steuerbar.

Du siehst aber, dass der Teufel im Detail steckt. So Smart wie sich SmartHome präsentiert, ist es häufig leider gar nicht.

 

[Hammelkoppter]

So sehr ich auch Unifi im Bereich WLAN schätze, so sehr rate ich in komplexeren Netzwerken von den Unifi-Routern ab. Zwar bietet Unifi etwas mehr Kontrolle über Routing und NAT, aber immer noch weit entfernt von einer vollwertigen Hardware-Firewall mit Sense

Mag sein, nur läuft auf dem UDR die Controller Software und nen integrierter AP. Sind also 2 zusätzliche Geräte die man sich sparen kann. Ich würde dann eher dazu neigen, den Router da zu positionieren, wo ich noch WLAN haben möchte. Einfach das Netz zwischen Fritte und UDR in ein eigenes VLAN packen, über den Switch führen und man kann den Router da aufstellen wo man will und spart sich ggf. einen AP.

Apropos Access Point: Ich rate vom U6 Lite ab. Ubiquiti hat beim Nachfolger des sehr beliebten und sehr empfehlenswerten UAP AC Lite einen entscheidenden Fehler begangen: Wifi 6 ist nur auf 5 GHz umgesetzt und auf 2,4 GHz funkt der U6 Lite weiterhin auf Wifi 4. Die Wiedereinführung von 2,4 GHz bei Wifi 6 - Wifi 5 wurde bei 2,4 übersprungen - ist eine der interessantesten Neuerungen des Standards.

Generell würde ich niemandem mehr 2,4 GHz empfehlen. Es gibt auch nicht mehr soooo viele Geräte die kein 5GHz unterstützen und die die es nicht tun, brauchen idR kaum Bandbreite. Dennoch beim Kauf von Multimedia Komponenten natürlich immer darauf achten, dass diese 5GHz unterstützen und ggf. lieber nen AP mehr einplanen.

Einen smarter Heizungsthermostat im Smart-WLAN, das sich in VLAN 10 befindet, wird mit hoher Warscheinlichkeit nicht aus dem Haupt-WLAN (VLAN 20) gesteuert werden können, weil sie sich gegenseitig einfach nicht "sehen". Mit einer pfSense/OPNsense, o.ä. als Router könnte man an dieser Stelle noch mit einem Broadcast-Relay arbeiten, bei einem Unifi-Router wird das hingegen schwierig, da das schon ein sehr spezieller Anwendungsfall ist, der eher nicht ins Unifi-Universum gehört.

Alles was keine Bridge hat, kann hier schwierig werden da die Dinger dann mit stumpfen Broadcast oder teilweise auch mit Multicast arbeiten. Hab es selbst neulich erst mit ner Soundbar erlebt, welche man nur mit Google Home App einrichten kann. Kann man dann anschließend zwar in ein anderes VLAN verschieben, aber das Ding verliert gern Mal seine Konfiguration und dann beginnt der "Spaß" von vorn.
Für sämtliche Geräte die über Zigbee arbeiten, ist das jedoch kein Problem z.B. Philips Hue. Hier kommuniziert man logischerweise immer mit der Bridge.

 

[WhiteHelix]

bei einem Unifi-Router wird das hingegen schwierig

Also ich kann jetzt nur für die USG sprechen, von dem UDM Kram halte ich mich aus Gründen sehr weit fern. Da gabs das mDNS Relay noch, ich hoffe jetzt mal das die das auch in die UDM Serie mit umgezogen haben.

 

[Hammelkoppter]

Hab auch nur ne USG aber es soll wohl gehen.
Bin aber auch grundsätzlich bei Raijin - egal ob USG oder UDR, die Dinger sind nicht wirklich empfehlenswert. Habe mich mittlerweile arrangiert, jedoch wird der nächste Kauf kein Ubiquiti mehr.
Die wechseln gefühlt 2x im Jahr das UI aber stattdessen mal an Wünschen der Community zu arbeiten. Kein Geoblocking wenn IPS aktiv ist, Regelwerk sieht aus wie Müll (vor allem mit der neuen UI - legacy geht noch halbwegs, Bedienung ist trotzdem Mist), gammeliges L2TP/IPsec VPN statt Wireguard oder wenigstens SSL, Firewall Logging nur auf CLI oder per externem Syslog. So viele Basics die ich da vermisse - das ist echt schon traurig.

 

[Raijin]

Für sämtliche Geräte die über Zigbee arbeiten, ist das jedoch kein Problem z.B. Philips Hue. Hier kommuniziert man logischerweise immer mit der Bridge.

Ja, eine Hue-Bridge kann mit mehreren Netzwerken umgehen, weil nach erfolgloser (Broadcast-)Suche in der App die explizite Eingabe einer IP-Adresse angeboten wird. Das gilt aber mitnichten für alle Bridges/Apps. Auch für die Hue-Bridge bzw. die App gilt das erst seit diese Funktion reingepatcht wurde.

Generell würde ich niemandem mehr 2,4 GHz empfehlen. Es gibt auch nicht mehr soooo viele Geräte die kein 5GHz unterstützen und die die es nicht tun, brauchen idR kaum Bandbreite.

Was nichts daran ändert, dass Wifi 6 @ 2,4 GHz eine der signifikantesten Neuerungen des Wifi 6 Standards ist, natürlich neben MU-MIMO in beide Richtungen. Eine Implementierung von Wifi 6 ohne 2,4 GHz wirkt jedoch buchstäblich halbherzig.

Mag sein, nur läuft auf dem UDR die Controller Software und nen integrierter AP. Sind also 2 zusätzliche Geräte die man sich sparen kann. Ich würde dann eher dazu neigen, den Router da zu positionieren, wo ich noch WLAN haben möchte. Einfach das Netz zwischen Fritte und UDR in ein eigenes VLAN packen, über den Switch führen und man kann den Router da aufstellen wo man will und spart sich ggf. einen AP.
[..]
ggf. lieber nen AP mehr einplanen.

Also was nu? APs sparen oder mehr APs?
(Jaja, ich weiß, Kontext. Ist auch nicht ganz ernst gemeint )

Der Controller muss im übrigen mitnichten auf einem zusätzlichen Gerät laufen. Entweder man hat sowieso ein NAS, einen PI, o.ä., wo man den Controller als Docker-Container laufen lassen kann, oder man installiert den Controller auf einem PC/Laptop und startet ihn nur bei Bedarf. Letzteres habe ich selbst jahrelang so gemacht obwohl ich einen Server habe, auf dem ich ihn laufen lassen konnte. Abgesehen von den Statistiken und dem Captive Portal gibt es auch keinen Grund dafür, dass der Controller 24/7 läuft.



Wie auch immer, ich denke @manifreak hat ausreichend Input bekommen. Wenn weitere Fragen auftauchen, können wir ja darüber diskutieren

 

[manifreak]

kurzes Update:
Glasfaseranschluss verzögert sich weiter - derzeit mit 10Mbit mobilen Internet verbunden.
Konnte günstig eine UDM Pro erwerben, welche mit einem U6 Pro und einigen USW Flex Mini zuverlässig arbeitet. Double NAT ist tatsächlich bis jetzt kein Problem