Unifi Netzwerk - Cloud Key oder Gateway ultra?

[Martin.80]

Das Vigor 167 Modem ist schon die erste Wahl. Du kannst es direkt anschließen und loslegen.
Ich habe es bei mit dem Cloud Gateway Ultra im Einsatz.

Vorher hatte ich bereits einen Unifi PoE Switch, sowie zwei Unifi APs an einer Fritz!Box mit aktivierten Gast-Lan im Einsatz. Die Unifi-Geräte hatte ich über eine Linux VM mit dem Unifi Network Controller konfiguriert.
Auf dem Switch hatte ich entsprechend zwei Ports (untagged) auf zwei unterschiedliche VLANs (Gast-VLAN und „Home“-VLAN) konfiguriert. Die APs haben das Gast-VLAN dann „Tagged“ über ein weiteres WLAN-Profil zugewiesen bekommen.

 

[Raijin]

Ich hab irgendwie den Punkt verpasst ab dem wir von "Ich möchte ein Gast-WLAN" zu einem neuen Modem gekommen sind. Wenn man am Auto eine Anhängerkupplung haben möchte, kauft man sich doch auch nicht gleich ein neues Auto?!?

Im absolut einfachsten Fall musst du für eine simple Gastfunktion im UAP mehr oder weniger nur einen Haken setzen. @hanse987 kann das sicher näher erläutern.

Mit gutem Gewissen oder mit gemischten Gefühlen? Weiß nicht so recht, ob mir das geheuer wär.

Naja, was macht denn Client Isolation? Da ist im AP eine simple ACL, die ausschließlich Kontakt zur MAC-Adresse des Gateways erlaubt. Alles andere wird geblockt. Das ist kein Hexenwerk. MAC-Spoofing würde dem unerwünschten Besucher auch nicht helfen, weil man ja über eine zweite SSID verbunden ist - egal welche MAC der Client hat.

Hinzu kommt die Frage wie hoch denn überhaupt das Risiko im Gastnetzwerk ist. Auch Gästen, denen man Zugang zum Gast-WLAN gewährt, sollte man ein gewisses Grundvertrauen entgegenbringen können - zB Bekannte/Freunde. Wenn ich jemandem gar nicht traue, kommt er auch nicht ins Gast-WLAN.

Abgesehen davon muss man im nächsten Schritt konsequenterweise auch die Frage stellen wie sicher die Gastfunktion im Router ist. Wirklich "sicher" sicher sein kann man nur, wenn man sich da ne vollständige HW-Firewall hinknallt und selbst da gäbe es noch ein Restrisiko. Ist halt immer ein Abwägen zwischen Komfort, Sicherheit und realistischem Risiko.

 

[SONicX]

Ich hab irgendwie den Punkt verpasst ab dem wir von "Ich möchte ein Gast-WLAN" zu einem neuen Modem gekommen sind. Wenn man am Auto eine Anhängerkupplung haben möchte, kauft man sich doch auch nicht gleich ein neues Auto?!?

Mir gefällt eben, dass man hier alles unter einem Dach hat.
Dann eben noch die Geschichte mit dem separaten LAN für die Kinder... ansonsten fallen einem sicher noch andere Spielereien ein, wenn das mal läuft.

Aber im Grunde hast du natürlich recht..... ich nehm jetz das neue Auto.
Meine 7560 ist seit 2022 aus dem Support raus, also sollte ich die eh mal ersetzten.
Das Vigor und der Gateway kommen preislich an eine aktuelle Fritzbox...
So kann man es sich zumindest schön rechnen

Wie schon gesagt, seh das auch ein Stück weit als Hobby.... man könnte es sicher auch "billiger" umsetzten.

Mit einer alten Fritzbox als IP-Client konnte ich das Festnetztelefon Thema bereites vorab abhacken... das hat geklappt.

Jetz fehlt mir dann noch eine elegante Lösung, die statischen IPs auf den Gateway zu übertragen.

 

[norKoeri]

ist da nu das Vigor167 die erste Wahl?

Wie im verlinkten Thread geschildert, kannst Du Vieles nehmen. Bei DSL100 wäre das sogar der Speedport Smart 1 oder der alte DrayTek 130 oder oder oder. Ist echt egal – wenn es dann konkret Probleme an Deiner DSL-Leitung gibt, müssten wir nochmal schauen.

was macht denn Client Isolation? Da ist im AP eine simple ACL, die ausschließlich Kontakt zur MAC-Adresse des Gateways erlaubt.

Hatten wir schon mal, dass man solch eine ACL nicht so annehmen kann … Wir hatten wir auch einen Thread zu Grandstream, die das komplett falsch gemacht hatten. Allerdings macht das UniFi tatsächlich so. Trotzdem, nicht lange vermuten, sondern ordentlich testen …

 

[Raijin]

Ach komm, das hier ist ein Heimnetzwerk. Wenn man einem Gerät oder einem Besucher nicht traut, dann traut man ihm nicht, auch nicht im Gastnetzwerk. Selbst wenn dieser jemand oder dieses etwas nichts im lokalen Netzwerk anstellt, kann er oder es im Internet beliebigen Mist anstellen. Einfach mal auf dem Teppich bleiben.

 

[DLMttH]

Geht ja nicht unbedingt um eine nicht vertrauenswürdige Person, vielleicht aber um ein nicht vertrauenswürdiges Gerät.

 

[SONicX]

Jetz bräuchte ich nochmal eure Hilfe.... Habe das UCG die ersten Tage hinter der FB betreiben und heute ein Vigor167 davor gesetzt.

Jetzt die große Frage... Wie komme ich nun wieder online? Das Gateway sagt nur dass es kein Internet hat... Ich finde aber auch nirgends was wo ich die Zugangsdaten eingeben könnte.

Am vigor den LEDs nach passt alles.

 

[redjack1000]

Läuft das Vigor als Router oder als Bridge?

Cu
redjack

 

[SONicX]

So, wie es von Werk ab kommt.
Wie komme ich den da überhaupt drauf?

Ergänzung (18. Juli 2024)

Am WAN1 liegt auch keine IP an.... Status: nicht verfügbar

 

[Martin.80]

Um auf das Modem zuzugreifen klemmst du dich einfach mit einem PC/Notebook auf einen der beiden LAN-Ports. die Standard IP vom Vigor ist 192.168.1.1 und die Standard-Zugangsdaten lauten „admin/admin“.

Wie hast du das WAN1 Interface am UCG konfiguriert?

 

[SONicX]

Ok die IP hat aktuell das UCG...
Ist das ein Problem?

Ansonsten wenn ich direkt aufs vigor geh, ist im Modem Modus.
Muss ich da die öffentliche IP sehn? Sehe da zwar allerlei Daten zum DSL, aber keine IP.

Konfiguriert habe ich das PPPoE nach ner Anleitung.

 

[redjack1000]

Ist das ein Problem?

Ja.

Cu
redjack

 

[SONicX]

Und wie behebe ich das? 😄

 

[Martin.80]

Ok die IP hat aktuell das UCG...
Ist das ein Problem?

Nein das ist kein Problem, solange du nicht über UCG auf das Modem zugreifen willst.

Die öffentliche IP siehst du nicht am Modem, sondern sollte dir im Dashboard angezeigt werden ,bzw. unter „Settings -> Internet“.

Kannst du von den Einstellungen mal einen Screenshot machen?

 

[SONicX]

Komm über die App gerade nimmer drauf... Daher die Qualität.

 

[Martin.80]

Nimm mal bitte das VLAN Tag aus der Konfiguration raus. Das macht bereit der Vigor.

 

[SONicX]

Die öffentliche IP müsste doch auch ohne die Konfiguration direkt angezeigt werden... Die kommt iwie nicht im UCG an... Viel weil es bisher hinter der Fritzbox lief? Da hat das UCG die bestehende Verbindung einfach genutzt... Muss ich jetzt nicht iwo umstellen, dass die Verbindung jetzt übers Gateway hergestellt werden soll?

 

[redjack1000]

Noch mal die Frage

Bridge oder Router?

Schau dir das hier an - https://www.draytek.de/vigor1301651...ion-fuer-die-pppoe-einwahl-eines-routers.html

Cu
redjack

 

[Martin.80]

Nein, die öffentliche IP taucht erst auf, wenn das UCG selbst die Verbindung aufbaut. Vorher hat es bestimmt di IP vom Firtzbox-Netz angezeigt?

Hast du den Haken entfernt?

 

[rezzler]

Ansonsten wenn ich direkt aufs vigor geh, ist im Modem Modus.
Muss ich da die öffentliche IP sehn?

Nein, weil der Vigor von der ja gar nichts weiß. Der leitet nur die DSL-Daten gewandelt auf Ethernet weiter. IP ist ne Stufe darüber.