Wifi Mesh mit Zugriffs-/Gruppenmanagement

[X-TR4]

Moin Zusammen,

ich kann den Titel gerade nicht besser formulieren aber ich hoffe man kann es verstehen.
Was ich suche ist folgendes:
Ich möchte ein Mesh Wlan aufbauen (vermutlich 3-4 APs)
Ein Paar Geräte werden natürlich auch Kabelgebunden im Netzwerk sein
Zusätzlich möchte ich verschiedene Gruppen einrichten um Geräte besser zu managen bzw Restriktonen umzusetzen:

Eine Gruppe für NAS bzw Windows Clients (hier z.T. Kabelgebunden)
Eine Gruppe für Smart Geräte/Echo etc
Eine für Gäste (neue Geräte landen dort automatisch)
(...)

Dann würde ich es gerne so umsetzen, dass die Gruppe der Echo Geräte oder auch Gäste keinen Zugriff auf mein NAS hat, Gäste generell auf garkeine Geräte aus anderen Gruppen usw..
Im Grunde ein wenig wie man es mit VLANs auf klassischer Netzwerkebene umsetzen würde
Ich hoffe ich habe mich verständlich ausgedrückt.
Gibt es das bzw. wenn ja, wo ist es gut gelöst?

Aktuell habe ich TP Link Deco. Das Wlan Mesh funktioniert gut aber die Möglichkeiten in der Hinsicht sind quasi nicht vorhanden.

@mods - Sorry Falsches Forum - Bitte in Heimnetze verscheiben
@Lawnmower , @Zensai

 

[Tornhoof]

Ich bin mir nicht sicher ob es sowas gibt, was du machen kannst ist via Radius Server den Login steuern und basierend dadrauf VLAN Tagging betreiben.
Beispiel: https://help.ui.com/hc/en-us/articles/115004589707-RADIUS-Based-MAC-Authentication-and-802-1X

Dafür brauchst aber halt "Enterprise-level" Geräte.

 

[X-TR4]

Das wird tatsächlich etwas zu Aufwändig für meinen Geschmack - s.o. gehört auch nach Heimnetze, habe mich vertan.

Das Problem mit VLAN Tagging ist, dass es innerhalb des WiFis nicht geht so mein Stand.
Klar, zumindest könnte ich mein Nas irgendwie gesondert abkapseln.

Wenn sowas garnicht geht dann müsste ich eben mit Alternativen wie Gäste Wlan, Versteckter SSID etc arbeiten. Das Problem ist, gerade bei einfachen Smarthome Geräten funktionieren solche Dinge nicht immer

 

[Tornhoof]

Das Problem mit VLAN Tagging ist, dass es innerhalb des WiFis nicht geht so mein Stand.

Naja, das ist ja gerade der Trick an dem Radius Zeug, du kannst dann die VLANs steuern, also z.b. MAC ABC bekommt eine andere VLAN Id als MAC BCD. Dann "verhalten" sich deine Wireless Geräte genauso wie die Wired Geräte, d.h. wenn du mit VLAN deine Anforderungen lösen kannst, dann müsste das RADIUS Zeug reichen um deine Wireless Geräte auch einzubinden.

 

[X-TR4]

Aber funktioniert Vlan Tagging auch innerhalb eines WLAN netzes?
zB Smartphone 1 kommt in VLAN1 und Laptop 1 in VLAN2, beide hängen am gleichen WLAN AP und sollen untereinander nicht kommunizieren

Ich habe im Kopf, das geht nicht

 

[Tornhoof]

les dir doch einfach mal einmal den link von oben durch

 

[tdbr]

Machbar mit Mikrotik (cAP ax) (nicht sehr einfach in der Konfiguration).
Machbar mit Ubiquiti (UniFi) (deutlich einfacher in der Konfiguration).
OpenWRT?

Geld ist dein Limit (Wifi 5/6/7)

Ich hab Mikrotik hier mit 5 VLAN (VPN, ISP, IoT, Gast, MGMT)

Radius ist nicht was du brauchst getrennte VLAN & WLAN mit Firewall Regeln reichen aus.

 

[X-TR4]

les dir doch einfach mal einmal den link von oben durch

Dem Link entnehme ich wie ich bei ubiquiti Radius/Mac Auth einstelle aber nicht was ich damit umsetzen kann. Vielleicht stelle ich mir das was ich will zu einfach vor, es enspricht jetzt ja erstmal keinem, Standard Netzwerkprotokoll.

So wie ich das sehe müsste ich dann wirklich mit getrennten WLAN Netzwerken je Gruppe arbeiten und Zugriff über VLAN regeln. Ich kann ja ein Vlan nur einem Wlan bzw Netzwerkport aber keinem einzelnen Gerät innerhalb eines WLANs zuordnen oder nicht?

Was die Geschwindigkeit angeht hätte ich gerne Wifi 6, ab 3Gbit(max) und am besten Triband falls ich die Mesh Geräte untereinander nicht verkabeln können sollte. Auf die Schnelle hatte ich den U7 Pro gefunden von Ubiquiti. Der wäre auch so mein max Preissegment

 

[Tornhoof]

Gemäß dem Link oben legst du unterschiedliche Radius User Profile an, für jede MAC Adresse ein eigenes Profil, dann kannst du unterschiedliche MAC Adressen für WIFI Devices unterschiedliche VLAN Ids geben.

Zumindest wenn ich mir https://std.rocks/ubiquiti_radius_vlan.html so anschaue, da macht das einer mit zwei getrennten VLANs, einmal für Admin, einmal für nicht Users, alles über eine SSID. Der macht das jetzt mit Windows Server, aber das ist halt nur ein Radius Server.

 

[X-TR4]

Grundsätzlich verstanden - hier nicht VLAN Zuordnung durch MAC sondern durch Windows Authentifizierung

Soweit so gut. Aber was fange ich mit dem VLANs nun an?
Hier ist ja noch die Besonderheit dass er eine SSID mit 2 Subnetzen hat ich aber garnicht den Punkt finde wie das umgesetzt wurde.

Ich nehme aber schon einmal mit, da sist jetzt nichts was ein gängiger Heimnetzwerkhersteller out of the Box bietet, es müsste als mindestens soetwas semi professionelles wie ubiquiti sein

 

[norKoeri]

Die angegebene(n) Quelle(n) nutzten noch dynamische VLANs. Das erfordert, dass der WLAN-Client auch WPA-Enterprise kann. Alle anderen Clients kommen normal über Multi-SSID ihre VLAN-Zuteilung. Schöner geht das neuerdings über Private-Pre-Shared-Key (kurz PPSK, manchmal auch DPPSK genannt).

es müsste als mindestens soetwas semi professionelles wie ubiquiti sein

Das können sogar nur gar wenige „richtig“: Ich kenne nur UniFi und Cisco. Problematisch wird das Ganze nämlich, wenn Du auch Multicast basierte Protokolle wie IPv6 oder mDNS weiter nutzen willst. Könntest Du darauf verzichten, hättest Du eine größere Auswahl …

Aber was fange ich mit dem VLANs nun an?

Du hast einen Router der mehrere Heimnetz-Segmente anbietet, also Multi-LAN. Diese verteilst Du über VLANs. Obige Techniken (A) Multi-SSID (B) dynamische VLANs (C) PPSK setzen jene VLANs auf WLAN um. Jene drei Techniken kannst Du auch mischen.

TP-Link Deco-Mesh

Wenn Du einen der Decos als Router laufen lässt, müsstest Du die Möglichkeit des Gast-WLAN haben. Welchen Router (Hersteller und Modell) und welchen Internet-Anschluss hast Du aktuell, also Fiber, DOCSIS, DSL bei welchem Internet-Anbieter in welchem Land?

 

[X-TR4]

Im Grunde möchte ich ein einziges Wlan und mindestens 3 Gruppen

1. Gäste - wäre einfach weil wie bereits erwähnt gibt es ein Gast WLAN und die sollen in meinem Netz nichts weiter erreichen
2. Smarthome/IOT Die Geräte sollen untereinander kommunizieren aber nicht auf meine Privaten Daten zugreifen
3. Allgemeines Wlan/Lan für meine Computer und Mobilgeräte mit Zugriff auf ein NAS

Das einfachste wäre vermutlich 3 SSIDs - Nachteil wenn ich mich richtig informiert habe: Geht stark auf die Sendeleistung jede SSID seine Kanäle etc beansprucht.

Wenn ich nun die Geräte z.B. mittels mehrerer PPSK unterschiedlichen VLANs zuweise, wie hier im Bsp:

kann ich dann eine ACL erstellen und die Zugriffe innerhalb einer SSID regeln, oder benötige ich weiterhin mehrere SSIDs. Irgendwie kann ich die ganzen verlinkten Anleitungen/FAQs gedanklich noch in kein reales Beispiel umsetzen

welchen Internet-Anschluss hast Du aktuell, also Fiber, DOCSIS, DSL bei welchem Internet-Anbieter in welchem Land?

Es wird dann vermutlich auf Kabel herauslaufen. Wenn ich eh alles über ein separates WLAN regele vermutlich mit der aktuellen Vodafone Büchse

 

[norKoeri]

Es wird dann vermutlich auf Kabel herauslaufen. Wenn ich eh alles über ein separates WLAN regele vermutlich mit der aktuellen Vodafone Büchse

Du meinst Vodafone Cable, also DOCSIS? Du meinst als Cable-Modem die Vodafone Station? Als Router kommst Du mit einer Vodafone Station nicht weiter. Du musst dann die Vodafone Station in den Modus Bridge versetzen – wie und ob das geht, hängt vom Laufzeit-Tarif aber auch Bundesland ab. Anders formuliert: Du degradierst die Vodafone Station zum reinen Cable-Modem. Dahinter setzt Du Dein Router.

kann ich dann eine ACL erstellen

Das geschieht alles im Router. Der erzeugt für jedes VLAN ein eigenes Heimsegment. Jene (drei) Funktionen auf dem WLAN-Punkt sind nur dazu da VLANs auf SSIDs bzw. Endgerät umzulegen.

wenn ich mich richtig informiert habe: Geht stark auf die Sendeleistung jede SSID seine Kanäle etc beansprucht.

Naja, drei sind noch OK. In dem einen verlinkten Dokument müssten Zahlen stehen. Aber die entstanden im Kontext eines Universität-Campus auf dem Alle die volle Leistung haben wollen. Daheim hast Du selten mal die Situation das zwei gleichzeitig surfen.

Das einfachste wäre vermutlich 3 SSIDs

Das bieten bereits einige WLAN-Router. Aber ich rate davon ab, weil es einfach nur Chaos macht. Mehr dazu in unserem Archiv unter dem Stichwort „VLAN“ von Nutzer @Raijin. Denn Deine Frage hatten wir so bzw. ähnlich schon öfters, ja inzwischen jeden Monat mindestens einmal.

Kurzfassung: Die IoT-Geräte bleiben im Heimnetz, werden aber durch Internet-Sperren blockiert. Wenn Du Dich auf zwei Heimnetze begrenzen kannst, hast Du die Möglichkeit eine FRITZ!Box zu nehmen. In Deinem Fall käme die entweder hinter die Vodafone Station (die wiederum im Modus Bridge) oder ersetzt durch FRITZ!Box Cable (gemietet oder aus dem freien Handel). Dank deren LAN-Gastzugang musst Du auch nicht FRITZ!Repeater nutzen, um überall ein Gast-WLAN anbieten zu können; aber FRITZ!Repeater bieten sich an.

 

[X-TR4]

Ich werde mich dann mit den Stichpunkten mal ein wenig einlesen.
Die Komponenten besorge ich vermutlich im Januar.

Nach meinem jetzigen Stand kommt die beste Mischung von Komfort und Universalität in Bezug auf Einstellungen wohl von Unify. Mit dem U7 Pro könnte ich sogar ein kabelgebundenes 2.5 Gbit Backbone Netz erstellen.
ACL etc und einfache "Heimnetzaufgaben" sollte sich, wenn ich richtig sehe über den AP managen lassen. Einen zusätzlichen Router bzw die Dream Machine von Unifyin dem Falle bräuchte ich doch nicht?

Anders formuliert: Du degradierst die Vodafone Station zum reinen Cable-Modem. Dahinter setzt Du Dein Router.

anders würde ich es nie machen. Ich halte nicht viel von diesen Netzbetreiber Geräten. Momentan ist mein Router (Hersteller Arris) ein reiner Zugangspunkt zum Internet. Das Wlan wird über die TP Link Decos gemanaged und so soll es auch wieder sein.

 

[norKoeri]

ACL macht immer der Router. Du wärst der Kandidat für einen UniFi Cloud Gateway, also den Ultra mit einem Multi-Gig-Switch dahinter. Oder direkt einem der Max Modelle, wenn die Ports ausreichen.

Weil Vodafone Cable bereits völlig auf IPv6 setzt, aber UniFi noch immer schwach bei IPv6 ist – jede gebrauchte 5 €-FRITZ!Box zieht hier Kreise drum, habe aktuell einen IPv6-Test mit meiner Ultra am Laufen und bin nur am Stöhnen –, solltest Du in einem neuen Thread oder/und direkt/parallel im Ubiquiti-Networks-Fan-Forum fragen, ob/wie ein UniFi Cloud Gateway hinter der Vodafone Station in Deinem Bundesland geht. Also wie Du zu einem Cable-Modem kommst, ob Du die Vodafone Station lediglich in den Modus Bridge versetzen musst (wie genau?). Oder ob Du Tarif-Option xyz brauchst. Oder eine FRITZ!Box Cable und die im Modus Bridge. Und so weiter.

Nochmal anders formuliert: Du sucht lediglich nach einem neuen Router. Dahinter dann brauchst Du „nur noch“ irgendwelche WLAN-Punkte, die Multi-SSID können. So könntest Du sogar einen UniFi Cloud Gateway nehmen und dahinter dann D-Link DAP oder Zyxel NWA. Letztere bekommst Du gebraucht sehr günstig.

Daher würde ich mich eher erstmal auf den Router stürzen, also welche Software Du haben willst. Das könntest Du nämlich statt mittels UniFi auch über OpenWrt oder OPNsense selbst aufbauen.

Ich werde mich dann mit den Stichpunkten mal ein wenig einlesen.

Würde nicht lange einlesen sondern schnell drüber lesen, also beschränkt auf das Forum Heimnetz suchen. Das machst Du indem Du oben rechts auf „Suche“ klickst und „überall“ auf “dieses Forum“ änderst. Als Stichworte dann „VLAN IoT“ oder „IoT WLAN“, sortiert nicht nach Relevanz sondern Datum. Idealerweise auch noch von @Raijin. Kam immer auf das Gleiche raus.

 

[X-TR4]

Also wie Du zu einem Cable-Modem kommst, ob Du die Vodafone Station lediglich in den Modus Bridge versetzen musst (wie genau?). Oder ob Du Tarif-Option xyz brauchst. Oder eine FRITZ!Box Cable und die im Modus Bridge. Und so weiter.

ist das bei Vodafone mittlerweile so kompliziert?

Bei den Deco teilen habe ich garnichts in einen Bridge Modus versetzt.
Hier in PY, wo ich gerade lebe, nicht und bei meinen Eltern in DE (1u1 DSL mit Fritzbox) ebenfalls nicht und damals als ich Vodafone Kabel Zuhause hatte (dürfte bereits eine Vodafone Station gewesen sein) ebenfalls nicht.

Lediglich einen AP mit dem Router verbunden, bei letzterem WLAN deaktiviert und fertig.

Deco hat halt eine extrem beschränkte Funktion, aber in gewissem Maße kann ich jedem Gerät bestimmte Webseiten verbieten, Kindersicherung aktivieren oder Prioritäten managen. Sämtliche "Arbeit" übernimmt der Primäre Accespoint im Mesh. Ich dachte das wäre bei Unify ebenfalls möglich.

PS: Ein relativ Leistungsstarkes Synology NAS (918+) wäre vorhanden wenn das hilft, als Server um z.B. die Unify Software dauerhaft am laufen zu haben und ggfs für weitere Verwaltungsoptionen

 

[norKoeri]

ist das bei Vodafone mittlerweile so kompliziert?

Weil das auch noch in jedem Bundesland anders ist, bin ich nicht auf dem Laufenden.

Bei den Deco teilen habe ich garnichts in einen Bridge Modus versetzt.

In welchem Modus sind die, Access-Point oder Router? Falls Router müsstest Du Gast-WLAN haben. Das kann man so machen, sollte man aber nicht so machen … bei Vodafone Cable (und neuerdings bei 1&1 auch) schon gar nicht, weil eben alles über IPv6 laufen soll.

Webseiten verbieten, Kindersicherung aktivieren oder Prioritäten managen

Ja, das macht die Router-Software in Deinem Deco, weil Dein Deco sowohl WLAN als auch Router macht. Außerdem kann ein Deco in den Modus Router oder Access-Point geschaltet werden. TP-Link nennt das glaube ich „Bridge“. So ergibt sich das mit dem primären Knoten, dieser bleibt im Modus Router, alle anderen Knoten werden als Bridge geschaltet.

Bei UniFi können die Access-Points nur WLAN aber kein Router. Und deren (WLAN-)Router können ausschließlich nur Router. Daher brauchst Du im UniFi-Universum sowohl einen Router als auch einen Access-Point, also zwei verschiedene Produkt-Modelle. Anders formuliert: Wenn Du haufenweise UniFi UAPs kaufst – z. B. U7 Pro –, fehlt Dir ein Router. Wenn Du haufenweise UCG kaufst – z. B. Cloud Gateway Ultra –, erzeugst Du Router-Kaskaden. Anders formuliert: Du braucht einen Router und viele WLAN-Access-Points.

 

[X-TR4]

Ja, das ist mein Problem mit TP Link (Deco)
Man durchläuft einen Assistenten und das war's. Es ist nicht im Detail nachvollziehbar was da läuft.

Positiv ist, es funktioniert einfach, und ist eben einfach aufzubauen.

Also ich halte dann fest, ich brauche noch einen Router als Zentrale bzw Übergang zum Internet, sollte ich auf Unify setzen. Idealerweise dann gleich einen der eine entspr. Anzahl 2.5 Gbit Uplinks für die einzelnen APs bietet.

IPV6 möchte ich der Übersicht halber in meinem eigenen Netz nicht haben. Was der Vodafone Router nach aussen hin macht wäre mir Egal

 

[norKoeri]

Irgendwie in der Deco-App kann man den aktuellen Modus sehen und nachträglich manuell umstellen … jedenfalls früher war das laut anderen Foristen so.

ich brauche noch einen Router als Zentrale bzw Übergang zum Internet, sollte ich auf Unify setzen

Jein. Der Router ist das Herz-Stück von Deiner Idee alles zu trennen. Solltest Du also auf UniFi setzen, dann brauchst Du einen Router von denen. Welchen Switch und welche Access-Points Du dann nimmst, ist quasi egal – die müssen nur Multi-SSID tauglich sein.

Idealerweise dann gleich einen der eine entspr. Anzahl 2.5 Gbit Uplinks für die einzelnen APs bietet.

Jein. Weil Dein Internet kein Multi-Gig bietet, braucht der Router eigentlich gar kein Muti-Gig, weder im WAN noch LAN. Problem ist, dass keiner der UCG selbst auch PoE, also Strom für die Access-Points liefert. Du brauchst dann noch PoE-Injektoren. Oder nimmst einen PoE-Switch mit Multi-Gig.

IPV6 möchte ich der Übersicht halber in meinem eigenen Netz nicht haben. Was der Vodafone Router nach aussen hin macht wäre mir Egal

OK, das ist dann liebe formuliert asozial, denn bei Vodafone Cable teilen sich mehrere Kunden ein Segment. Und Vodafone hätte schon gerne IPv6. IPv4 wird kompliziert über DS-Lite und eben einen geteilten AFTR abgewickelt.

Ich würde mir nicht so einen Streß machen, das einfach sauber machen. Musst nur einen Thread eröffnen, Bundesland und Name der Vodafone Station angeben (also was unten auf dem Produktschild steht – und schon bekommst Du die Anleitung Schritt für Schritt das sauber zu machen.

Alternativ wenn Du gar kein IPv6 haben willst, lass Dich bitte auf Dual-Stack umstellen. Ich meine allerdings, dass dazu eine FRITZ!Box Cable nötig ist. Dann darfst Du soviel IPv4-Verkehr veranstalten, wie Du lustig bis. Aber auch das bitte ohne Router-Kaskade, denn die macht einfach nur eines, und das ist Ärger.

Unify

Ganz nebenbei, das ist ein andere Firma, ehemals Siemens Enterprise (Deutschland), heute Teil von Mitel (Kanada). Die stellen VoIP-Telefone her. Was Du meinst, schreibt sich „UniFi“ mit i am Ende und großem F. Das ist die Produkt-Serie bei Ubiquiti Networks (UBNT). Theoretisch könntest Du auch zu AmpliFi greifen, eine andere Produkt-Serie bei UBNT, die ebenfalls drei WLANs bietet, aber genauso aufgebaut ist wie TP-Link Deco-Mesh. Nur ist die Zukunft jener Modellserie äußerst ungewiss.

 

[X-TR4]

OK, das ist dann liebe formuliert asozial, denn bei Vodafone Cable teilen sich mehrere Kunden ein Segment. Und Vodafone hätte schon gerne IPv6

irgendwie kann ich noch nicht folgen oder habe tatsächlich in den letzten Jahren was verpasst?

Mein Heimnetz hatte bisher immer IPv4, das dürfte Vodafone doch nicht interessieren? Nach außen geht es doch dann über NAT (macht der Vodafone Router)
Ich meine damals (2020/21) hatte ich nach außen bereits IPv6 aber das war für mein Netz im Haus ziemlich egal.
Anm: in PY habe ich tatsächlich noch eine IPv4 Adresse

Ich hab hier zig Billig Geräte wie Steckdosen die vermutlich überhaupt kein IPv6 können.
Für mich gilt im übrigen das gleiche, da ich bisher in der iPv4 Welt mit Subnetting etc lebe, die mMn für zuhause vollkommen ausreicht - gut, kann man sich anlesen

Weil Dein Internet kein Multi-Gig bietet, braucht der Router eigentlich gar kein Muti-Gig, weder im WAN noch LAN.

ich habe dafür tatsächlich Anwendungsfälle: VR Brille über WLAN bzw Transfer von Daten zum NAS