Laden...

Eigenes Netzwerk hinter Router

Erstellt von JimStark vor 3 Jahren Letzter Beitrag vor 3 Jahren 1.341 Views
JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren
Eigenes Netzwerk hinter Router

Hi Leute,

hier sind ja bestimmt einige Experten die sich auch mit Netzwerktechnik auskennen.

Folgender Fall: ich habe einen WLAN-Router daheim mit dem alle Geräte verbunden sind.

Was ich möchte: ein eigenes "Firmennetz", d.h. da laufen ein paar Server, NAS, paar Clients. Die sollen auch Internet haben, vom WLAN Netz darf aber nicht darauf zugegriffen werden.

Würde es im einfachsten Fall reichen eine Kiste mit 2 Netzwerkkarten und pfSense hinzustellen und eine mit dem Router zu verbinden und an der anderen Netzwerkkarte einen Switch für die Firmengeräte oder bräuchte es dafür mehr? Der externe Zugriff auf Geräte im internen Netz wäre dann ja doppelt per Firewall abgesichert? Für VPN müsste ich den Port dann im Router und pfSense freigeben oder? Macht das Sinn? 😁 Das ganze soll möglichst einfach sein, vielleicht gibts auch passende Hardware für genau den Anwendungsfall?

Danke!

T
2.219 Beiträge seit 2008
vor 3 Jahren

Kannst du in deinem Router ggf. dem WLAN ein eigenes Netz verpassen?
Dann wäre z.B. WLAN und LAN durch eigene Netze direkt getrennt.
Oder soll es z.B. neben WLAN auch noch im gleichen Netz LAN Zugriffe geben?

Auch wäre wichtig was dein Router ggf. schon lösen kann.
Bei der Fritzbox konnte man theoretisch WLAN und LAN auf unterschiedlichen Netzen laufen lassen.
Bei anderen Routern müsstest du im Handbuch nachschauen oder den Hersteller fragen.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

16.806 Beiträge seit 2008
vor 3 Jahren

Ich hab sowas mit Ubiquiti-Geräten aufgesetzt:

Das Netzwerk ist (über den Switch) mit mehrere VLANs konfiguriert (Büro, Smart Home, Streaming Devices..).
Die jeweiligen Geräte sind dann pro Port einem VLAN zugeordnet. Einzelne Freigaben über die Firewall.
So kann jeder zB. drucken, aber der Drucker selbst kann nur auf das Internet zugreifen (für Updates). Selbstes Spiel für Netflix und Co.
Auch durch
Im Endeffekt also nichts anderes als ein "professionelles Netzwerk"; wahrscheinlich professioneller als die meisten Büros 😉

Heute aber würde ich eine Ubiquiti Networks UniFi Dream Machine Pro All-in-One verwenden (weil es mehrere Devices zusammen fasst).
Ubiquiti hat neben der Marke UniFi auch Heimanwender-freundlichere Geräte unter dem Namen AmpliFi.

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

@T-Virus
Ja, mit der Fritzbox kann ich auch ein Gast-WLAN einrichten. Also da wäre auch alles möglich. Ich möchte das aber gerne separat haben.

@Abt
Würde für meinen Fall dann ein "managed Switch" (wie der von dir verlinkte?) ausreichen? Ich stecke ihn in einen LAN-Port meiner FritzBox und kann da mein eigenes Netz konfigurieren?

16.806 Beiträge seit 2008
vor 3 Jahren

VLAN-Verwaltung geht prinzipiell nur mit Managed Devices (daher heisst es Managed).
VLAN-Regeln kann nicht jeder Switch, weil solche Regeln im Stack der Firewall laufen und i.d.R. ein normaler Switch keine Firewall hat.

Im Fall meiner Devices ist das auch so:

  • VLAN Setup erfolgt auf Head Unit Ebene (die USG)
  • VLAN-Set erfolgt auf Port-Ebene der Devices (kannst auch Port Profiles definieren zB wegen Bandbreite etc etc..)
  • VLAN-Zugriffsregeln in der Firewall (hier USG)

Bei Ubiquiti Geräten erfolgt das Setup immer über einen Controller, dessen Produktname hier "Cloud Key" ist und auch einfach per Netzwerkkabel angeschlossen wird; d.h. man schaltet sch nicht auf die Einzelgeräte sondern hat ein zentrales Device als Verwaltung.

In der Management Konsole selbst konfigurierst Du dann die Features, die Du willst.
Du siehst aber prinzipiell nicht, auf welchem Device nachher das Setup erfolgt. Siehst halt "Firewall" im Menü und der Controller kümmert sich dann, dass es auf der USG eingerichtet wird.

Denke, dass das Ubiquiti viel mehr kann als Du (oder auch ich) brauchen.
Daher: reicht locker - vermutlich eher zuviel.

Die Fritzbox wird an WAN angeschlossen; hast also nacher Dein "Fritzbox-Netz" und Dein sicheres "Unifi Netz".
Die Fritzbox kannst nicht managen; aus Netzwerk-sicht also ausserhalb Deiner Config.

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

Hi Abt,

dazu nochmal eine Frage:
In den "UniFi Security Gateway Pro" stecke ich einfach meinen Internetanschluss/Glasfaser z.B. im Keller (Modem ist ja dabei?!)?
Den "Ubiquiti – Unifiswitch" stelle ich im Erdgeschoss auf und schließe ihn an den USG.

Wenn ich jetzt verschiedene Netzwerke möchte, könnte ich an den Unifiswitch jeweils einen unmanaged Switch geben und damit die Clients verbinden.
Den unmanaged Switches (Port im Unifiswitch) kann ich dann jeweils ein eigenes VLAN zuweisen oder?

Das heißt ich Konfiguriere mir das alles zentral an dem USG, also ich kann es mir mit diesen Unifiswitches wie ich will erweitern aber trotzdem zentral managen ?
Könnte ich dann noch einen Unifiswitch im 2. Stock anschließen und nochmal eigene Netzwerke aufbauen oder Netzwerke aus dem Erdgeschoss zuweisen?
Und ich könnte jedem einzelnen VLAN, vom USG aus, ein VPN einrichten?

Danke schonmal!

16.806 Beiträge seit 2008
vor 3 Jahren

In den "UniFi Security Gateway Pro" stecke ich einfach meinen Internetanschluss/Glasfaser z.B. im Keller (Modem ist ja dabei?!)?

Jo, das nennt sich WAN.
Sogar die kleine USG hat 2 WAN-Slots, sodass Du prinzipiell auch mit zwei Internet-Anschlüssen zeitgleich kommunizieren kannst, zB wegen Connection Backup.

Wenn ich jetzt verschiedene Netzwerke möchte, könnte ich an den Unifiswitch jeweils einen unmanaged Switch geben und damit die Clients verbinden.
Den unmanaged Switches (Port im Unifiswitch) kann ich dann jeweils ein eigenes VLAN zuweisen oder?

Gibt kein festes Gesetz, das Dir da was vorschreibt.

Ich nutze generell nur Unifi Switches und hab auf jedem Slot ne Port-Rule.
Auf nen unmanaged Port (also Unifi-Switch-> Unmanaged Switch) kannst halt keine wirklichen Regeln mehr machen, ausser auf den Gesamt-Unmanaged-Switch).

Das heißt ich Konfiguriere mir das alles zentral an dem USG, also ich kann es mir mit diesen Unifiswitches wie ich will erweitern aber trotzdem zentral managen ?

Nein, man konfiguriert immer am Controller, und der Controller setzt die Settings dann auf die Devices um.
Du kannst Dich zwar auch mit SSH direkt auf die Devices verbinden und alles manuell konfigurieren; aber für den Automatismus gibts die Controller.

Und ich könnte jedem einzelnen VLAN, vom USG aus, ein VPN einrichten?

Multi Site-to-Site geht aber Multi VPN glaube ich nicht.
Aber weiß ich nicht genau, musst selbst mal in die Anleitungen schauen.

Unifi ist mittlerweile extrem gut dokumentiert und gibt auch viele YouTube Videos.

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

Danke für deine Antwort!!

Ich nutze generell nur Unifi Switches und hab auf jedem Slot ne Port-Rule.
Auf nen unmanaged Port (also Unifi-Switch-> Unmanaged Switch) kannst halt keine wirklichen Regeln mehr machen, ausser auf den Gesamt-Unmanaged-Switch).

Wie würdest du das dann machen:
Angenommen ich habe im Erdgeschoss 3 Zimmer mit jeweils 10 Clients, für jedes Zimmer möchte ich ein eigenes Netzwerk (VLAN).
Ich denke für jedes Zimmer sollte es dann auch ein extra Switch sein oder?
Ein Erdgeschoss Unifiswitch und daran 3 weitere Unifiswitches oder ist das übertrieben ? 😁 Oder lieber alles Ports einzelnen festlegen?

16.806 Beiträge seit 2008
vor 3 Jahren

Nem Netzwerk is völlig egal, auf welchem Stockwerk oder in wie vielen Räumen die Kabel liegen.
Die Idee von Port-VLANs ist nicht unbedingt die Raumtrennung, sondern primär die Zugriffskonfiguration.

Virtual Local Area Network

D
261 Beiträge seit 2015
vor 3 Jahren

(Modem ist ja dabei?!)?

Der USG-PRO4 hat m.W. kein Modem verbaut. Was für eins brauchst du denn?

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

Hi dannoe,

ja da hast recht, da bräuchte ich noch ein externes. Danke für die Info.

Ich denke ich werde es mit der UniFi Dream Machine Pro mal anfangen aufzubauen.
Wie ich dann die Netze voneinander trenne überlege ich mir noch, wahrscheinlich sollten unmanaged Switches an dem UniFi Switch ausreichen.

Danke euch!

463 Beiträge seit 2009
vor 3 Jahren

Also wenn ich mir deine Anforderungen so durchlese - deinen Wissensstand berücksichtige, wäre es doch das einfachste inm deiner Fritz!Box einfach den sogenannten Gastzugang auf LAN Port 4 zu aktivieren. 1 Klick und ab sofort ist LAN Port 4 von LAN1-3 und WLAN losgelöst. Steck dort einen Switch an und gut ist...

463 Beiträge seit 2009
vor 3 Jahren

Kleiner Nachtrag noch dazu:
Ich habe bei vielen meiner Kunden in letzter Zeit dies so eingerichtet. Gerade mit HomeOffice ist so eine optimale Trennung zwischen privat und geschäftlich ohne Aufwand vorhanden - diese Sicherheit kommt natürlich auch den Firmen zugute, da der Rechner isoliert im Netzwerk steht und Trojaner, Viren, Angriffe aus dem Heimnetzwerk erst mal pauschal geblockt werden. Das dies keine professionelle Firewall ersetzt sollte aber auch jeden klar sein.

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

wäre es doch das einfachste inm deiner Fritz!Box einfach den sogenannten Gastzugang auf LAN Port 4 zu aktivieren.

Das stimmt, das reicht aber leider irgendwann nicht mehr aus. Aber ich denke mit dem von Abt vorgeschlagenen Ubiquiti System ist sowas am einfachsten zu bewerkstelligen.

16.806 Beiträge seit 2008
vor 3 Jahren

Also Stefans Hinweis mit dem Wissenstand is schon durchaus sinnvoll.

Klar, das Ubiqui-Zeug ist der Fritzbox-Spielzeughardware Welten überlegen; aber auch weil anderen Business-Fokus.
Aber ein Managed Switch mit VLAN macht mit nem unmanaged switch halt einfach wenig sinn; da solltest Dich echt nochmal einlesen.

Weil so gibst 500€ für Hardware aus, dessen Potential / Sinn Du nicht nutzt bzw. halt nicht nutzen kannst.

T
2.219 Beiträge seit 2008
vor 3 Jahren

@JimStark
Wenn du jetzt schon planen musst auf dicke Hardware zusetzen, dann wäre die Fritzbox jetzt eh schon mit deinen Anforderungen überlastet.
Wirklich viele Details hast du auch bisher nicht genannt, weshalb es auch nicht möglich ist dir wirkliche Empfehlungen zu geben.

Was ist bei dir den z.B. "ein eigenes "Firmennetz", d.h. da laufen ein paar Server, NAS, paar Clients."
Wenn du hier über eine Standort Vernetzung redest, dann wäre die Fritzbox und dein WLAN am Ende der Kette angesiedelt.
Wie dein Standort dann genau Vernetzt ist, wäre für die Fritzbox egal.

Wie Stefan schreibt, kannst du dein WLAN Netz einfach in LAN 4 packen und gut ist.
Dann laufen diese auch beide über getrennte Netzte.
Wenn du dann noch eine Trennung willst, müsstest du dir ernsthaft Gedanken um einen zweiten Internetanschluss machen.
Eine physische Trennung über zwei Netzwerkkarten zu erzwingen, hätte hier nur Mehrkosten sowohl bei Hardware als auch bei Stromkosten.

Was da nicht reichen soll ist mir auch nicht ganz klar.
Wenn du dir sorgen um die Auslastung der Box oder Leitung machst, dann bist du mit einer Fritzbox mit max. GBit/s Anschlüssen eh schon falsch beraten.
Oder wo genau soll es da nicht mehr reichen?

Die Kosten für einen Hardware, die Abt vorgeschlagen hat würde ich mit einer einfachen Netztrennung auf IP Ebene lösen.
Da muss man sich keine extra Hardware ins Haus holen.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

16.806 Beiträge seit 2008
vor 3 Jahren

Wie Stefan schreibt, kannst du dein WLAN Netz einfach in LAN 4 packen und gut ist.

Nein, kann er nicht.

Die sollen auch Internet haben, vom WLAN Netz darf aber nicht darauf zugegriffen werden.

Klarer kann man es nicht ausdrücken: er will einfach getrennte Netze aus Sicherheitsaspekten.

Der Gastzugang der Fritzbox ist eine vereinfachte Umsetzung des IP-Client Modells zur Trennung zweier Netze auf logischer Ebene.
Das ist weder ein Permission Management (die nur mit managed Switches zusammen mit VLAN sauber lösbar ist) noch ein Routing-Management-Tool.

Der Gast-Zugang sorgt dafür, dass die Clients nur ins Internet können; aber nicht untereinander kommunizieren und nicht mit dem Hauptnetz.
Das Hauptnetz kann aber mit einzelnen Clients im Gast-Netz kommunizieren.

Es ist ein Gast-Zugang. Nicht mehr, nicht weniger.

Wenn du dann noch eine Trennung willst, müsstest du dir ernsthaft Gedanken um einen zweiten Internetanschluss machen.

Das ist absoluter, absoluter Quark. Genau deswegen gibts VLAN und Firewalls.
Sorry, das ist einfach absoluter Quark.

Eine physische Trennung über zwei Netzwerkkarten zu erzwingen, hätte hier nur Mehrkosten sowohl bei Hardware als auch bei Stromkosten.

Auch hier, absoluter Quark.

Er will sein Home Office "sicherer" aufsetzen; steuern welche Geräte mit welchen kommunizieren dürfen, und welche nicht; welche ins Internet dürfen, welche nicht.
Genau dafür gibt es VLANs, Port-Management und Firewalls.

Hier die Grundlagen dazu: Configuring VLANs (Tagged and Untagged) in UniFI - YouTube
Das ist mit eine Fritzbox >>>>nicht<<<< umsetzbar.

Aber ja, die Anschaffung von UI-Hardware is teuer, wenn man nicht alle Features nutzt.
Die Fritzbox ist aber halt auch einfach nur ein Spielzeug für "Standard-Heim-Anwender".

JimStark Themenstarter:in
309 Beiträge seit 2020
vor 3 Jahren

Danke für eure Nachrichten.

Ich habe beim neuen Post vergessen zu erwähnen dass es nicht mehr um den Sachverhalt aus dem Anfangspost geht. Das war nur für mich privat 😁

Folgender Sachverhalt:
Es geht um ein Gebäude mit mehreren Büros. Da in den Büros unterschiedliche Firmen sind, sollen die Netzwerke natürlich getrennt werden + WLANs, Gast WLANs,...

Das alles ist zwar im kleinen Maßstab, aber ich möchte es gleich richtig machen und es darf auch mehr kosten.

Ich habe mich bei den Ubiquiti Geräten etwas eingelesen und glaube das ist das sinnvollste.
Also zentral Dreammachine über die ich alles manage, dann ein oder zwei Ubiquiti Switches. Dann kann ich meine VLANs konfigurieren wie ich es brauche.
Ich schätze das wird mit dem Ubiquiti Ökosystem am einfachsten sein.

Danke trotzdem an euch

T
2.219 Beiträge seit 2008
vor 3 Jahren

@Abt
Bei meinem Post ging ich noch fälschlicherweise von der gleichen Situation wie im Ausgangspost aus.
Den Gastzugang nutze ich auch nur bei mir um meinen Freifunk Router von meinem Netzwerk zu trennen, klang in der Art erstmal ähnlich.

Mit VLAN hab ich halt auch nichts zu tun,da fehlt mir auch die Erfahrung.
Da sich die Situation jetzt auch Richtung Büro Vernetzung geändert hat, kann ich leider auch nicht wirklich mitsprechen.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.