Unifi als Heimnetzwerk Hardware?

[martensit]

Hallo,

ich bin auf der suche nach Netwerkhardware für mein Heimnetzwerk (bzw. möchte es völlig neu aufbauen). Folgendes sollte es möglichst können:

Ich hätte gerne die Möglichkeit 2-3 seperate VLANs zu erstellen (zusätzlich zum Gastnetzwerk) um möglichst meine "richtigen" Geräte von IOT Geräten zu trennen. Toll wäre es auch wenn ich (in der Endausbaustufe) für diese VLANs unterschiedliche DNS Server einrichten könnte (beispielsweise zwei Pi-Holes).

Zumindest ist dies derzeit der Plan.

Derzeit überlege ich Ubiquiti Unifi, würde mich jeodch interessieren ob es Alternativen gibt (insbesondere da Unifi ja möglicherweise doch etwas "Overkill" für mein Setup ist).
Bei Unifi würde ich dann wahrscheinlich einen 8 port Switch, USG sowie einen Accesspoint benötigen. (Zusätzlich möglicherweise noch 1-2 günstige unmangaged switche).

Nun zu meinen Fragen:
Ist dieser Plan überhaupt sinnvoll?
Ist die Hardware für diesen Plan geeignet?
Gibt es alternative/bessere Hardware für mein Usecase?

Vielen Dank im vorhinein!

 

[Merle]

Ich habs so. Mit managed Zyxel Switch, aber das USG, den Cloud Key, 2APs (1 Pro, 1 LR).
Das geht in der Theorie so wie du willst.
Allerdings ist der DNS in dem Segment nur durch DHCP ausgegeben, potentiellen Verkehr zu anderen DNS musst du für die gedachten Sourceadressen noch selber blockieren, aber dafür hat man ja das USG.
Bei mir ist in Betrieb:
Adminnetz, Gastnetz, Kindernetz (Family DNS), public Hotspot (captive portal, forced family DNS).

*edit:
Ach ja, zur Frage. Deine Ansprüche sind für ein Heimnetzwerk „oversized“. Darum ist es auch die Hardware. Im Bereich der von dir gewünschten Funktionen sind mir keine billigeren Lösungen bekannt, die ohne basteln nutzbar sind.
OpenWRT kann das auch alles, und dann per Trunk weitergeben, aber es ist deutlich komplexer und setzt ssh und etwas Linux voraus für alle Funktionen (z.B. per-Zone-DHCP).

 

[Raijin]

Unifi ist beliebig skalierbar, also kein "Overkill". Der Vorteil von Unifi wäre, dass man einmalig in den Controller-Einstellungen die VLANs erstellt und dann jeweils beim Router (USG), Switch (US) bzw. Access Point (UAP) gewissermaßen nur noch anklicken muss. Bei gemischten Geräten müsste man jeweils einzeln in der GUI die VLAN-IDs konfigurieren. Ist auch kein Beinbruch, aber eine potentielle Fehlerquelle.

Da du allerdings explizit IoT anführst, muss man etwas mehr ins Detail gehen. Viele Smart Devices werden über mobile Apps gesteuert. Diese Apps funktionieren in der Regel auf zwei Arten: Cloud-basiert oder Subnetz-basiert. Letzteres klingt zwar so als wenn man das super in einem VLAN isolieren kann, aber das Problem ist, dass "Subnetz" dabei in vielen Fällen "auf das lokale Subnetz begrenzt" bedeutet. Das heißt konkret, dass die App am Handy/Tablet ausschließlich im lokalen (W)LAN nach den Devices sucht, nicht jedoch hinter einem Router in einem potentiell anderen VLAN. Wenn man nun solche Geräte bzw. Apps nutzt, müsste man sich mit dem Smartphone jedes Mal in ein WLAN einloggen, welches im AP auf das IoT-VLAN umgesetzt wird, weil man aus dem Haupt-WLAN heraus in der App eben gar keine Geräte finden würde.

Inwiefern das auf dich zutrifft, kann ich nicht sagen. Fakt ist, dass es solche Probleme gibt, nicht bei allen Apps/Geräten, aber bei diversen. Diese Apps suchen dann lediglich via Broadcast ausschließlich im lokalen Subnetz und das war's. "Einfach" soll's ja sein und der Benutzer soll bloß nicht eine IP oder so eingeben müssen, das geht ja gar nicht, ist ja nicht trivial sowas, kann Otto Normal ja nicht, muss er auch nicht, ist ja unnötig, IoT-Devices sind ja superduper sicher, VLANs braucht kein Mensch - sagen sich die Hersteller und sparen sich die Arbeit

Ich selbst habe daher wohl oder übel meine Smart Devices im Hauptnetzwerk und dafür in der Firewall jeden übeflüssigen Datenverkehr aus/zum Internet für diese Geräte blockiert.


Grundsätzlich empfehle ich rund um VLANs stets das KISS-Prinzip. Je mehr VLANs man einrichtet umso komplexer wird das Setup und umso mehr muss man sich um Routing, Firewalls und dergleichen kümmern. Ansonsten steht dem Vorhaben eigentlich nichts im Wege. Du brauchst einen oder mehrere VLAN-fähige Switches (je nachdem wie weit die VLAN-Tags in der Switch-Kette durchgereicht werden sollen) und natürlich einen Router, der alle Subnetze der VLANs entweder mit jeweils einem physischen Interface oder eben mit VLAN-Tags untereinander routet. Das geht zB auch mit einem USG, ja. Da das USG jedoch nur 3 LAN-Ports hat, von denen einer natürlich für die Internetverbindung draufgeht, bleiben nur noch 2 physische Interfaces. Hat man mehr als 2 VLANs, muss man also mehrere auf einen Port legen. Geht auch, kann bei viel Datenverkehr zwischen den VLANs jedoch die Verbindungen ausbremsen.

 

[Merle]

Man kann das auch NATen (machts aber eher komplexer). Solltest dir gut überlegen, klingt nach viel Aufwand. Man kann Adressen in deiner Hauptnetzrange auf interne andere Adressen NATen. Damit werden sie normal beim Broadcast gefunden. Pro IoT Device heißt das also 1 verlorene IP im Hauptnetz und verhältnismäßig hoher Aufwand bei der Firewallconfig.

 

[martensit]

Vielen herzlichen Dank für die Antworten! Das hilft schon sehr! Also wird's Unifi

Den begriff IoT habe ich da seeeehr großzügig formuliert. Ich bin mir bewusst, dass es Probleme mit Apps etwaiger Geräte geben kann, jedoch sollte das in meinem Fall nicht wirklich ein Problem sein, da ich kaum solche Geräte besitze...

Ich habs so. Mit managed Zyxel Switch, aber das USG, den Cloud Key, 2APs (1 Pro, 1 LR).
Das geht in der Theorie so wie du willst.
Allerdings ist der DNS in dem Segment nur durch DHCP ausgegeben, potentiellen Verkehr zu anderen DNS musst du für die gedachten Sourceadressen noch selber blockieren, aber dafür hat man ja das USG.
Bei mir ist in Betrieb:
Adminnetz, Gastnetz, Kindernetz (Family DNS), public Hotspot (captive portal, forced family DNS).

*edit:
Ach ja, zur Frage. Deine Ansprüche sind für ein Heimnetzwerk „oversized“. Darum ist es auch die Hardware. Im Bereich der von dir gewünschten Funktionen sind mir keine billigeren Lösungen bekannt, die ohne basteln nutzbar sind.
OpenWRT kann das auch alles, und dann per Trunk weitergeben, aber es ist deutlich komplexer und setzt ssh und etwas Linux voraus für alle Funktionen (z.B. per-Zone-DHCP).

Ja so in etwa habe ich mir das auch vorgestellt. Wie hast du das mit dem forced dns gemacht? Ich habe noch keine Erfahrungen mit Unifi, bilde mir aber ein, gelesen zu haben, dass ein redirect nur über den "Umweg" über das config file im USG geht (wäre wahrscheinlich auch kein Problem, wäre nur interessant, ob es auch in dem GUI geht)

 

[Raijin]

DNS forcen ist trivial.

Destination NAT (DNAT) unabhängig vom verwendeten Router wie folgt:

Matching => Destination Port UDP+TCP 53
Redirect => gewünschte DNS IP

Ergänzung (6. Februar 2019)

Kleine Ergänzung:

Wenn der geforcte DNS im lokalen Netzwerk ist (zB ein lokaler pihole) muss dieser natürlich diese Regel umgehen, um seinerseits den Upstream-DNS abfragen zu können. Ohne die Ausnahme würde sich der DNS-Request sonst immer im Kreis drehen

Das geänderte Matching sähe dann in etwa so aus:

Matching => Destination Port tcp/udp 53 UND Source IP != 192.168.1.254 (fiktive pihole IP)
Redirect => 192.168.1.254

Das heißt also sinngemäß "gilt für alle Quell-IPs außer 192.168.1.254"


Aber wie gesagt, manchmal ist weniger mehr. Wenn du nur eingeschränkte Kenntnisse von Netzwerken hast, sind "2-3 seperate VLANs [..] (zusätzlich zum Gastnetzwerk)" grenzwertig (macht ha 3-4 insgesamt). Wenn am Ende in jedem VLAN nur 3 Geräte sind, und du massig Traffic zwischen den VLANs routest und mit einer Firewall versiehst, wirst du eher früher als später an deine Grenzen und die deines Setups stoßen - nicht in Bezug auf die Hardware, sondern das Konzept.
@Merle und anderen erfahrenen Usern traue ich ein Setup mit 3+ VLANs ohne mit der Wimper zu zucken zu, aber jemandem, der dazu explizit Hilfe im Forum sucht, wird's schwer haben oder am Ende aus Verzweiflung zB die Firewall zwischen den VLAN einfach komplett öffnen, was nicht Sinn der Sache ist..

 

[Merle]

Ich liefere im Gastnetz nur einen OpenDNS-Family-Server aus (sind public) und verbiete jegliche Kommunikation auf Port 53 zu allen anderen IPs.
Zudem dürfen bei mir Gäste nur HTTP(s), SMTP, POP, IMAP, NTP und VPN.

 

[Raijin]

@Merle : Dann blockst bzw filterst du aber DNS aber eher. Wenn man nicht den richtigen DNS einstellt, ginge in dem Falle eben gar nix mehr, weil's geblockt wird.

Wenn man via DNAT DNS-Traffic umbiegt, dann ist es egal welchen DNS ein Client nutzen möchte, weil der Router den eingestellten DNS erzwingt. Allerdings muss der Router für diesen Trick natürlich auch am LAN-Port DNATten können. Die meisten Consumer-Router können das ja nur am WAN-Port alias Portweiterleitung.

Letztendlich ist es aber egal wie man es macht. Wenn ein Gast in einem geblockten bzw gefilterten DNS-Szenario meint, schlauer als der Admin zu sein und 8.8.8.8 einstellt, hat er eben selbst schuld, wenn das geblockt wird. Manchmal ist man eben doch nicht so schlau wie man denkt
Bei DNS-Redirect denkt der Gast immerhin noch er sei schlauer, weil 8.8.8.8 scheinbar funktioniert, auch wenn dahinter eben doch der gewünschte DNS des Admins steckt.

 

[martensit]

Nochmals vielen Dank!

DNS forcen ist trivial.

Destination NAT (DNAT) unabhängig vom verwendeten Router wie folgt:

Matching => Destination Port UDP+TCP 53
Redirect => gewünschte DNS IP

Ergänzung (6. Februar 2019)

Kleine Ergänzung:

Wenn der geforcte DNS im lokalen Netzwerk ist (zB ein lokaler pihole) muss dieser natürlich diese Regel umgehen, um seinerseits den Upstream-DNS abfragen zu können. Ohne die Ausnahme würde sich der DNS-Request sonst immer im Kreis drehen

Das geänderte Matching sähe dann in etwa so aus:

Matching => Destination Port tcp/udp 53 UND Source IP != 192.168.1.254 (fiktive pihole IP)
Redirect => 192.168.1.254

Das heißt also sinngemäß "gilt für alle Quell-IPs außer 192.168.1.254"


Aber wie gesagt, manchmal ist weniger mehr. Wenn du nur eingeschränkte Kenntnisse von Netzwerken hast, sind "2-3 seperate VLANs [..] (zusätzlich zum Gastnetzwerk)" grenzwertig (macht ha 3-4 insgesamt). Wenn am Ende in jedem VLAN nur 3 Geräte sind, und du massig Traffic zwischen den VLANs routest und mit einer Firewall versiehst, wirst du eher früher als später an deine Grenzen und die deines Setups stoßen - nicht in Bezug auf die Hardware, sondern das Konzept.
@Merle und anderen erfahrenen Usern traue ich ein Setup mit 3+ VLANs ohne mit der Wimper zu zucken zu, aber jemandem, der dazu explizit Hilfe im Forum sucht, wird's schwer haben oder am Ende aus Verzweiflung zB die Firewall zwischen den VLAN einfach komplett öffnen, was nicht Sinn der Sache ist..

Ja, meine Frage war da eher schlecht formuliert, mir ist soweit klar, wie ich das nat konzeptionell mache, jedoch wusste ich nicht, ob das im GUI von Unifi geht oder ob ich das config file bemühen muss (wobei ich zugeben muss, dass ich mit json files sehr wenig Erfahrung habe)

Auch werde ich sehr wenig inter-vlan traffic routen müssen, da die Geräte kaum etwas voneinander wissen müssen. Daher glaube ich nicht, dass ich sonderlich viele Regeln brauchen werde.

 

[Raijin]

Ich nutze zwar viel Ubiquiti, bin aber gerade was Router angeht auf Seiten der EdgeRouter und somit ohne Unifi. Beim EdgeRouter hat man eine DNAT-Regel für DNS mit wenigen Klicks erstellt. Bei Unifi kann ich dir nicht aus dem Stegreif sagen wie's geht. Da lege ich dir aber Youtube ans Herz, weil man dort zahlreiche Videos findet und sich das schon mal angucken kann.

Es gibt auch eine Unifi-Demo, aber den Link habe ich am Handy gerade nicht parat.

 

[Merle]

Mit USG und APs und CloudKey ging alles über die Weboberflächen, NICHT JEDOCH über die App.
Die Weboberfläche ist aber verhältnismäßig mächtig.
(Einstellen konnte ich alles vom Design der Captive Portal Homepage bis zu VLANs. An Kenntnissen zu CLI und genereller Switchconfig hätte es nicht gemangelt, aber durch die Weboberfläche kam ich bisher nicht mal in Versuchung, mich per Putty o.ä. anzumelden.)
Wobei ich kein derartiges NAT eingerichtet habe, nur ein paar Portforwards.

 

[Raijin]

Die App habe ich einmal ausprobiert, aber ich halte Apps zur Einrichtung für Geräte jenseits eines Toasters für absolut untauglich. Meistens ist das doch nur der Ersteinrichtungsassistent, den auch jede WebGUI bietet. Selbst wenn man erweiterte Einstellungen machen kann, ist es meistens recht umständlich..

 

[hanse987]

Die App find ich grausam selbst wenn man nur einen AP einrichten will.

 

[t-6]

Hast du über die App versucht einen einzelnen, unabhängigen Unifi-AP zu konfigurieren, oder hast du dich mit der App in einen vorhandenen Unifi-Controller eingeklinkt um dort APs zu konfigurieren?

 

[flo222]

Die App sehe ich auch maximal als Ergänzung für ein bereits eingerichtetes Netzwerk. Ich nutze die eigentlich nur für Kleinigkeiten die ich auf die Schnelle ändern möchte. Beispielsweise die LEDs der APs ein- oder ausschalten. Oder schauen, welches Gerät gerade wieviel Bandbreite beansprucht. Oder die Statistik checken. Dafür ist die App auch ausreichend. Für alles andere melde ich mich aber direkt am Controller an. Ich glaub so ist sie auch zu sehen.

 

[Merle]

Die App ist bei mir insofern unbeliebter geworden, als dass jedes Mal, wenn ich was spezifischeres gesucht habe (QoS, DHCP Options, Captive Portal Settings) es einfach nicht dort war und ich am Ende dann doch vom smartphone die Webseite genommen habe...
Für eine Übersicht oder DPI usw ist die App schon OK.