Neuaufbau Heimnetzwerk - Bitte um Tipps beim Aufteilung/HW-Kauf

norKoeri schrieb:
Wobei ich jetzt auch nachschauen müsste, wie oft bzw. wann genau der Radius-Server überhaupt befragt wird.
Musst Du nicht. Hat niemand gefragt und ist vom TE auch nicht gewünscht.
 
Raijin schrieb:
Broadcasts werden weder durch eine Routerkaskade noch durch einen VLAN-Router durchgehen, weil sie nicht geroutet werden. Das Problem hättest du daher so oder so, wenn die App der Kameras mit Broadcasts arbeiten und Smartphone und Kameras sich in verschiedenen Netzwerken befinden.
Alles klar verstanden.
Dann ist das einfach so, werde ich bei der Kamerawahl aufpassen.

Noch eine Frage zum Fritz Gastzugang und den Broadcasts.
Kann es eigentlich sein, dass ich eine Tonies-Box nicht ins Gast-WLAN bekommen habe, weil hier ggf. Broadcasts unterbunden werden?
 
eehm schrieb:
Kann es eigentlich sein, dass ich eine Tonies-Box nicht ins Gast-WLAN bekommen habe, weil hier ggf. Broadcasts unterbunden werden?
Nein. Das hat ziemlich sicher nichts miteinander zu tun.
Die tonieboxen haben Einschränkungen, die viel wahrscheinlicher dafür verantwortlich waren.
 
  • Gefällt mir
Reaktionen: eehm
bender_ schrieb:
Die tonieboxen haben Einschränkungen, die viel wahrscheinlicher dafür verantwortlich waren.
OK, danke für die Einsätzung.
Ich hab dann zwar noch am Abend vor Weihnachten mit Wireshark versucht das Problem zu identifizieren, aber habe leider nichts gesehen.
Am Ende habe ich die Box dann aus Zeitdruck ins normale WLAN, dass der Sohnemann glücklich ist!
 
bender_ schrieb:
Kameras am Slave Router betreiben und nur die entsprechenden Ports ins Hauptnetz routen. Fertig ist eine simple Firewall, die nicht unflexibel anschlussbasiert funktioniert, sondern eine Netzzone mit speziellen Eigenschaften ermöglicht.
Hierzu hätte ich noch eine Frage zur Sicherheit bei einer möglichen Erweiterung.
Wenn ich für Geräte wie die Tonies-Box, Fire-TV, generell IoT-Geräte ein separates Netzwerk mit Internet möchte, dann könnte ich doch von dem zweiten Router einen weiteren Port auf den managed Switch legen und theoretisch ein weiteres VLAN bilden.
Sollte doch eigentlich absolut sicher sein, weil die Fritz Box alles was hinter dem zweiten Router passiert nicht sieht außer das über die Whitelist durchgeroutete von den Kameras.
 
eehm schrieb:
und theoretisch ein weiteres VLAN bilden.
Ich denke Du meinst das Richtige und es wird auch so funktionieren, wie Du dir das denkst.
Ich bediene mich mal einem Schaubild aus dem PC Magazin:
router-kaskade.jpg

Deine Fritze bildet Netzwerk 1 (die Kamera 1 musst Du dir ins Subnetz denken)
Der zusätzliche Router der Kaskade bildet Netzwerk 2
An Router 2 stellst Du ein, welche Dienste aus dem Netzwerk 1 an welchen Geräten in Netzwerk 2 erlaubt sind.
Du öffnest dazu die Firewall nur für die IP-Adressen und Ports der Kameras. Alle anderen Verbindungen zum Netzwerk 1 werden blockiert.
Jedes weitere Gerät, dass Du an den LAN Anschlüssen oder am WLAN des Router 2 betreibst, unterliegt den gleichen Regeln, die Du für die Kommunikation zwischen Router 1 und Router 2 durch die Firewall von Router 2 definiert hast.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: eehm und Raijin
Ergänzend zu @bender_ 's Ausführungen:

Für Zugriffe vom Hauptnetz auf Geräte im hier dargestellten Subnetz (ungünstige Wortwahl vom PC Magazin) werden in Router2 Portweiterleitungen angelegt. Vom Haupnetz aus erfolgt der Zugriff dann mittels WAN-IP von Router2 + der Port in der Portweiterleitung.

Allerdings möchte ich nochmal darauf hinweisen, dass das natürlich irgendwann recht komplex werden kann, insbesondere dann, wenn viele Geräte mit denselben Ports arbeiten (zB Web-GUI), weil man in den Portweiterleitungen jeweils einzigartige Ports für die Geräte einsetzen muss.

Beispiel:

PW1 : extern tcp 10000 --- IP1 tcp 80
PW2 : extern tcp 10001 --- IP2 tcp 80
PW3 : extern tcp 10002 --- IP3 tcp 80

Natürlich wird das nur für Geräte benötigt, die man vom Hauptnetzwerk aus ansteuern will. Ein Amazon Echo oder dergleichen benötigt beispielsweise keine Portweiterleitungen, weil man nicht direkt auf ihn zugreift.
 
  • Gefällt mir
Reaktionen: eehm
Raijin schrieb:
Allerdings möchte ich nochmal darauf hinweisen, dass das natürlich irgendwann recht komplex werden kann, insbesondere dann, wenn viele Geräte mit denselben Ports arbeiten (zB Web-GUI), weil man in den Portweiterleitungen jeweils einzigartige Ports für die Geräte einsetzen muss.

Danke nochmals für den Hinweis.
Das hat Bender_ schon so gut hier beschrieben https://www.computerbase.de/forum/t...beim-aufteilung-hw-kauf.2122195/post-27714250. Nochmals Danke.

Aber es ist klar, das muss ich dann für jedes Gerät machen auf das ich vom Hauptnetz aus zugreifen will.
Allerdings muss ich irgendeinen Tod sterben, weil dafür ist es ein sicherer Aufbau, weil die Fritzbox alles abfängt und ich zum Internet hin keinen Fehler machen kann.

Falls das irgendwann zu kompliziert werden sollte, dann könnte ich hinter der Fritz Box auch einen Mikrotik hEX S oder ähnliches einsetzten.
Zum Internet hin wäre alles genauso sicher, weil das noch die Fritzbox macht und der hEX S könnte direkt zwischen mehreren Unter-LANs routen und auch mit VLANs arbeiten.
Edit: Und falls später Doppel-NAT ein Problem wäre, dann könnte man es mit der Lösung auch leicht lösen und im hEX S das NAT deaktivieren!

Vorteil bleibt bei der Kaskade immer, wenn die Fritzbox am Internet hängt, dann ist das Tor zur Welt sicher zu und ich kann nur noch dahinter "kleine" Fehler aus Sicht der Sicherheit machen.
Oder anderes gesagt keine schlimmeren Sicherheitslücken aufmachen als alles in das Hauptnetz der Fritzbox zu hängen.
Portweiterleitungen in der Fritzbox oder ähnliches mal ausgeschossen! ;)

Hierzu nochmals ein großes Danke an euch, dass ihr mir die Kaskade so schmackhaft gemacht habt.
Ich wäre sonst mit meinen Wissen sicher in Probleme gelaufen und selbst wenn am Ende alles gelaufen wäre, hätte ich nie sagen können, ob es jetzt sicher ist ....!
 
Zuletzt bearbeitet:
eehm schrieb:
Falls das irgendwann zu kompliziert werden sollte, dann könnte ich hinter der Fritz Box auch einen Mikrotik hEX S oder ähnliches einsetzten.
[..]
Edit: Und falls später Doppel-NAT ein Problem wäre, dann könnte man es mit der Lösung auch leicht lösen und im hEX S das NAT deaktivieren!
Wenn man einen MikroTik, EdgeRouter oder sonstige fortgeschrittene Router einsetzt, ist man so oder so gut damit beraten, ohne NAT zu arbeiten, sondern stattdessen mit Routen. Damit sind netzwerkinterne Portweiterleitungen hinfällig und mit einer einzigen statischen Route in der Fritzbox abgefrühstückt. Im Mikrotik, o.ä. würde man dann tatsächlich nur die Firewall für die Zugriffe konfigurieren.

Doppel-NAT bei einer Routerkaskade ist nämlich ein zweischneidiges Schwert. Einerseits vereinfacht es vieles, weil zB einige InternetRouter gar keine manuellen Routen zulassen, andererseits entsteht eben das Problem mit potentiell mehrfach genutzten Ports, die dann wie beschrieben eigene Portweiterleitungen mit Alternativ-Ports benötigen, was wiederum voraussetzt, dass die Client-Anwendung überhaupt die Eingabe eines Ports anbietet.


Aber ich denke an dieser Stelle haben wir auf mittlerweile 4 Seiten so ziemlich alles ausdiskutiert. Die Investition in einen Asus-Router wie vorgeschlagen ist überschaubar und wenn du damit irgendwann an Grenzen stossen solltest, hast du immerhin schon etwas Erfahrung gesammelt und kannst immer noch auf MikroTik, o.ä. umschwenken. Wobei man auch darauf hinweisen sollte, dass solche Router deutlich tiefer in die Materie einsteigen und die Konfiguration entsprechend komplizierter ist als bei 08/15 Consumer-Routern wie Asus, Fritzbox und Co. Wie gesagt, Fritzboxxen und Co zeigen dem Anwender vielleicht 5% der Themenwelt "Netzwerk" und der Rest läuft in einer Blackbox. MikroTik kann da schon wesentlich mehr und da verliert man schnell den Überblick ;)
 
  • Gefällt mir
Reaktionen: eehm
Raijin schrieb:
Die Investition in einen Asus-Router wie vorgeschlagen ist überschaubar und wenn du damit irgendwann an Grenzen stossen solltest, hast du immerhin schon etwas Erfahrung gesammelt und kannst immer noch auf MikroTik, o.ä. umschwenken. Wobei man auch darauf hinweisen sollte, dass solche Router deutlich tiefer in die Materie einsteigen und die Konfiguration entsprechend komplizierter ist als bei 08/15 Consumer-Routern wie Asus, Fritzbox und Co. Wie gesagt, Fritzboxxen und Co zeigen dem Anwender vielleicht 5% der Themenwelt "Netzwerk" und der Rest läuft in einer Blackbox. MikroTik kann da schon wesentlich mehr und da verliert man schnell den Überblick ;)
Danke, ja das war eher Zukunftsmusik, falls der Asus nicht mehr reichen sollte.
Werde mich mal schlau machen, ob es einen Asus-Router gibt der mit VLANs umgehen kann, dann könnte ich mich auch an das Thema "spielerisch und sicher" rantasten.
 
bender_ schrieb:
Im Prinzip jeder auf dem Merlin läuft.
OK, danke.
Das ist dann im Prinzip eine modifizierte Firmeware.
Geht wohl in die Richtung OpenWRT nur für Asus-Modelle und ein paar wohl baugleiche Geräte.
 
"Einfache Einrichtung" ist relativ. Unifi von Ubiquiti arbeitet nach dem Controller-Prinzip. Das heißt, dass man die einzelnen APs nicht mehr direkt konfiguriert, sondern sich in die Web-GUI des Controllers einloggt und von dort alle angebundenen Unifi-Komponenten zentral steuert. Man nimmt Einstellungen im Controller vor und dieser lädt auf Knopfdruck die Änderungen in die APs, etc. hoch.

Ich will jetzt nicht näher ins Detail gehen, aber der Controller muss "fest" auf einem Gerät installiert werden, weil die Unifi-Komponenten (-APs, -Switches, -Router) mit dem Controller verheiratet werden. Bedienen kann man den Controller ganz normal über den Browser, aber installiert wird er fest auf einem NAS (zB Container), einem Raspberry PI, einem PC/Laptop oder auf Unifi-Hardware (zB Unifi CloudKey).


Neulinge, die bisher noch nicht mit solchen Lösungen gearbeitet haben, tun sich manchmal etwas schwer damit, weil sie es eben gewohnt sind, sich auf jeden einzelnen AP, etc. separat einzuloggen. In privaten Dimensionen - ~1-3 APs - ist das auch noch innerhalb weniger Minuten zu bewerkstelligen, aber Unifi ist ein System, das beliebig skaliert werden kann und auch in Firmen oder gar auf Messen zum Einsatz kommt und dabei Dutzende APs, etc. und sogar mehrere Standorte verwalten kann. Da will man sich nicht auf jeden AP einzeln einloggen ;)
Das mag etwas einschüchternd klingen, aber hat man das Prinzip verstanden, fuchst man sich da schnell rein.


Bedenken muss man allerdings auch, dass Unifi natürlich auch einige Einstellungen bietet, die man vom 08/15 Heim-WLAN aus Fritzbox und Co nicht kennt. Auch hier zeigt sich der (semi)professionelle Ansatz. Erweiterte Funktionen kann man aber getrost auf Standard stehen lassen, wenn man sich damit nicht auskennt. Und sonst gibt's google, youtube und das Forum.
 
  • Gefällt mir
Reaktionen: bender_
Ich würde auf andere Komponenten setzen.
Der Switch ist zu teuer und Du nutzt dessen Funktionen außer PoE gar nicht.
Der U6-LR kann kein Wi-Fi 6 im 2,4GHz Band. Ein ärgerliches Manko der günstigen UniFi Wi-Fi 6 APs. Eigentlich sind nur der U6 Pro und Mesh empfehlenswert.
Wenn der AC55 nur die Subnetzseparierung macht, benötigst Du immer noch einen Router fürs Hauptnetz.

Wenn es denn unbedingt was semiprofessionelles sein soll, dann würde ich eher Omada wählen. TP-Link hat für Ansprüche von Privatkunden das meiner Ansicht nach bessere Produktprogramm.
Beispiel:
Router: https://geizhals.de/tp-link-omada-er7212pc-a2857830.html
APs: https://geizhals.de/tp-link-omada-eap653-a2789394.html
Switch: https://geizhals.de/tp-link-tl-sg22...-gigabit-smart-switch-tl-sg2218-a2519275.html
Macht ordentliches Wi-Fi 6 mit viel Luft nach oben.
Komplett VLAN fähig (ASUS Router wieder überflüssig)
24-Ports GbE, davon 8 mit 110W PoE+ Budget mit integriertem Router + Omada Controller und brauchbarer VPN Performance.
SFP+ Ports für evtl. direkte Anbindung an den Gf-TA.
Außer Telefonie und ggf. DSL Modem, alles was Du brauchst.

Da sind wir jetzt aber wieder komplett vom einfachen Netzwerk weg.
 
  • Gefällt mir
Reaktionen: eehm und Raijin
eehm schrieb:
Dazu bitte auch dies lesen …
eehm schrieb:
Ich habe jetzt noch viel gelesen.
Bitte bedenke, dass rund um UniFi haufenweise Influencer aufgekommen sind, die sehr geschickt Search-Engine-Optimization (SEO) betreiben. Wir in den Foren dürfen dann reihenweise hinterher räumen. Leider stellen sich diese Influencer den Foren nicht; denn dann würde die sehen, was sie anrichten. Aber wie geschildert, haben wir Foren das Problem mit Trollen, die solche Reparaturen dann zusätzlich ausarten lassen. So rate ich dringend und wiederholt in Deinem Aufbau von einer Router-Kaskade ab. Wenn Du auf UniFi setzt, dann kannst Du das auch gleich richtig machen.
eehm schrieb:
Die Switche bei Ubiquiti Networks sind wahnsinnig teuer. Und sie haben ein geringes Gesamt-Power-Budget. Bitte anhand der Datenblätter der Access-Point (meine Tipp für Dich: U6-Pro) und der Kameras zusammenrechnen. Aber dürfte in Deinem Fall passen.
 
bender_ schrieb:
Da sind wir jetzt aber wieder komplett vom einfachen Netzwerk weg.
Genau das wollte ich eigentlich mit den Komponenten aufbauen.
Dachte LAN1 und LAN4 der Fritz Box auf VLAN10 und VLAN30 (Gast) im Switch konfigurieren.
Dann über die Kaskade mit dem Asus-Router ein neues VLAN (z.B. VLAN20) auf dem Switch anlegen auf dem dann die Kameras hängen und nur die Kameras in VLAN10 (LAN1 Fritzbox) per Asus-Router routen.

norKoeri schrieb:
Bitte bedenke, dass rund um UniFi haufenweise Influencer aufgekommen sind, die sehr geschickt Search-Engine-Optimization (SEO) betreiben. Wir in den Foren dürfen dann reihenweise hinterher räumen
OK, dann seid ihr wohl beide keine UniFi Fans und ich werde mich nochmal damit beschäftigen und mir vor allem die Produkte von TP-Link in Ruhe ansehen!
 
  • Gefällt mir
Reaktionen: Radde
eehm schrieb:
Dachte LAN1 und LAN4 der Fritz Box auf VLAN10 und VLAN30 (Gast) im Switch konfigurieren.
Dann über die Kaskade mit dem Asus-Router ein neues VLAN (z.B. VLAN20) auf dem Switch anlegen auf dem dann die Kameras hängen und nur die Kameras in VLAN10 (LAN1 Fritzbox) per Asus-Router routen.
Ich will dir nicht zu Nahe treten, aber bei deinen Gedankenspielen dazu, fehlt mir die Lösung für das Routing und/oder die Reglementierung der VLANs untereinander. Das kann keine dieser Komponenten leisten.
Ich habe den Eindruck, dass Du davon ausgehst, dass ein VLAN fähiger Switch sowas kann - der kann aber nur abhängig von der VLAN Konfig in mehrere kleine Einheiten "unterteilt" werden die sich ggf. über nur eine physikalische Verbindung an ein anders, VLAN fähiges Gerät weiterverteilen lassen. Mehr aber auch nicht...
 
  • Gefällt mir
Reaktionen: eehm
bender_ schrieb:
Ich will dir nicht zu Nahe treten, aber bei deinen Gedankenspielen dazu, fehlt mir die Lösung für das Routing und/oder die Reglementierung der VLANs untereinander.
Nein ich bin über jeden Hinweis sehr dankbar.
Ich dachte mir das so.
LAN1 (Fritz) -> VLAN10 (Switch)
LAN4 (Fritz-Gast) -> VLAN30 (Switch)

An den LAN-Ports (Netzwerkdosen) soll der Switch z.B. per MAC-Filter entscheiden, ob der Teilnehme in VLAN10 oder VLAN30 kommt.
Beim WLAN gibt es eine SSID_LAN1 (VLAN10) und eine SSID (VLAN30). Hier die Zugangsbeschränkung über Passwort (WPA2).

Falls das jetzt so überhaupt nicht geklappt hätte, dann bin ich sehr dankbar das jetzt schon zu wissen und nicht in die Falle zu laufen. Weil so hatte ich es am Anfang des Themas schon mehrfach gezeichnet und dachte das würde mit einem VLAN-fähigen Switch so funktionieren.
 
UniFi kann man nehmen. Findest auch viele Tutorials. Problem ist ein wenig, dass die Blogs und Videos seltenst dialektisch vorgehen, also nicht die Sachen ansprechen, die ausgelassen wurden oder wo man sich im Detail weiter einfuchsen muss. Also wenn Du vor der Entscheidung stehst, ob Router-Kaskade oder UniFi, dann bitte UniFi.
 
Zurück
Oben