Netzwerk Rework - Meinungen erbeten -

Begonnen von Mitch, 01 Dezember 2016, 13:36:36

Vorheriges Thema - Nächstes Thema

Mitch

Hallo Zusammen,

nachdem sich meine Familie, zu recht, über die schlechte Internet bzw. WLAN Performance beschwert hat und es auch durch IOT immer mehr Geräte werden, habe ich mal an ein Redesign meines Netzwerks gemacht.

Bis jetzt im Einsatz:
- Fritzbox 7490 (als VDSL Modem, DECT Telefonanlage, WLAN-Router)
- Fritz WLAN Repeater
- 3 "Billig" Switche (zur Verteilung in den Räumen)
- DLAN (zur Verteilung in die Räume)

Den ersten Schritt des Umbau habe ich bereits erfolgreich umgesetzt und mir einen Unifi AP AC Pro besorgt.
Dieser wurde zentral platziert und ersetzt nun den WLAN Repeater und die WLAN Funktion der Fritte.
Des Weiteren wurden die billigen Switche gegen gemanagete NetGear (hie ist mir Ubiquiti zu teuer) Switche getauscht und VLAN eingeführt (vor allem für den Gastzugriff).

Nun ist meine Idee, auch das Unifi Security Gateway einzusetzen.
Allerdings brauche ich die Fritte noch zwingend für die Telefonie.

Wenn jetzt das USG hinter der Fritte hängt, habe ich ja doppeltes NAT.

Nun meine Idee:
- Fritte bleibt als VDSL Modem und DECT Station
- USG dahinter als "exposed Host" (Fritte kann ja kein DMZ)

Ich hätte dann zwischen Provider und Fritte die externe IP und einen Adressraum (z.B: 192.168.100.x) zwischen Fritte und USG und dann einen Adressraum über DHCP (z.B. 192.168.10.x) zwischen USG und meinem internen Netz.
Somit NAT von intern auf Fritte über das USG und dann NAT vom "DMZ" ins Web über die Fritte.

d.h. alles Anfrage von Außen gehen direkt über die Fritte an das USG und dort dann, wenn gewünscht, über Portfreigabe an den entsprechenden internen Client, bzw. VPN vom Client an das USG und damit ins interne Netz.


Lange Rede, kurzer Sinn:
Ist das so praktikabel?
Tips, Änderungsvorschläge?
FHEM im Proxmox Container

Muschelpuster

#1
Mhh, ich denke die Unifi-AP's können so eine Pseudo-Gast-WLAN? Mann kann doch User im Gast-WLAN haben, die dann keine Systeme im Netz erreichen außer das Default-GW und den DNS. Ich habe die auch gerade bestellt und stehe vor ähnlichen Anforderungen. Und auch ich brauche Onkel Fritz weiter für die Telefonie. Vorher hatte ich immer einen IPCop, der eigentlich genau das Richtige ist. Das Projekt lahmt zwar etwas oder ist scheintot, aber man kann auch die Fork IPFire nehmen. Das Zeug z.B. auf einen Banana PI R1 rauf (soll inzwischen gehen) und fertig. Alternativ nimmt man ein Board von PC-Engines.
Doppeltes NAT ist grundsätzlich kein Problem. Selbst Port-Forwardings sind kein Problem. Das mache ich zum Testen von Netzszenarien in meiner VM-Welt gerne mal. Eine IP-Fire-VM hängt am Netzwerk und versorgt über VM-Netzwerke die Test-VM's.
Ich persönlich hoffe, dass mir die erst einmal die Gast-WLAN-Funktion von Unifi reicht...

alternative Grüße
Niels
fhem @ ZBOX mit 1,6MHz Celeron, 4GB RAM & 120GB SSD mit Debian Bullseye # MiLight # Homematic via CCU3 # W&T WebIO # Rademacher DuoFern # ESPeasy # logdb@mysql # configdb@mysql # Shelly @ MQTT2 # go-eCharger mit PV-Überschussladung via DOIF

CoolTux

Ich habe es genau so gemacht wie Du Mitch. Nur bei mir ist der Router/Firewall ein BananaPi Router. Aber im Grunde das selbe und kein Problem. Funktioniert bestens.
Auf dem Router läuft bei mir noch Squid und Squidguard. Filtert Werbung raus und alles weitere unerwünschte. Gerade für die Kinder. Ausserdem regelt es die Internetzeit der Kinder.
Sowohl von Innen nach draussen als natürlich auch von Aussen nach innen ist alles dicht, nur was benötigt wird wurde auf Packetebene freigegeben.
WhatsApp sperrt FHEM für meine Tochter ab 21 Uhr und wenn es nötig ist.


Grüße



Grüße
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Muschelpuster

#3
Zitat von: CoolTux am 02 Dezember 2016, 07:07:59Ausserdem regelt es die Internetzeit der Kinder.
WhatsApp sperrt FHEM für meine Tochter ab 21 Uhr und wenn es nötig ist.
Oh, das läuft bei mir ja auch noch auf der roten Tupperdose - ebenso das BPjM-Modul  :o
Müsste man ja mit bedenken. Aber Squid ist im IPFire auch drin.
Ich bleibe definitiv erst mal dabei, nur das WLAN zu erneuern, auch wenn Ihr mir hier schon wieder diverse Anreize gebt.

eingeschränkte Grüße
Niels
fhem @ ZBOX mit 1,6MHz Celeron, 4GB RAM & 120GB SSD mit Debian Bullseye # MiLight # Homematic via CCU3 # W&T WebIO # Rademacher DuoFern # ESPeasy # logdb@mysql # configdb@mysql # Shelly @ MQTT2 # go-eCharger mit PV-Überschussladung via DOIF

Mitch

Danke euch!

@Muschelpuster, ja, mit den UniFi AP kann man ein Gast WLAN aufbauen und habe ich auch.
Man braucht aber zwingend eine VLAN-fähigen Switch dazu.
Hier wird es ganz gut beschrieben, so ähnlich ist auch mein Aufbau: http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/

IPCop haben wir bei uns im Büro auf der Demo-VM-Umgebung auch laufen. Schau ich mir nochmal an.

@CoolTux, welche Router/Firewall SW benutzt Du denn? pfSense?
Die Möglichkeit z.B: WhatsApp zu sperren wäre interessant, würde mich aber in der Gunst meiner Tochter sehr weiter runter fallen lassen  ;D

Vorteil der fertigen Unifi Lösung UGS wäre halt die Integration in den UnifController.
Leider kann man an der Firewall vom USG (noch) nicht wirklich viel einstellen.
FHEM im Proxmox Container

Hauswart

#5
Gibt es nicht mit dem Guest Control die Möglichkeit zum Trennen der Netze? Bzw. dass die Gäste-SSID zumindest nicht mehr auf den normalen IP-Range zugreifen kann?

Möchte nämlich eigentlich ungern noch zwei managed Switches zwischen Fritzbox und Unifi AP hängen...
1. Installation:
KNX, Tasmota (KNX), Sonos, Unifi

2. Installation:
HM-CFG-USB, Unifi (, SIGNALduino 868, MySensors, SIGNALduino 433)

CoolTux

Zitat von: Mitch am 02 Dezember 2016, 11:42:48
@CoolTux, welche Router/Firewall SW benutzt Du denn? pfSense?
Die Möglichkeit z.B: WhatsApp zu sperren wäre interessant, würde mich aber in der Gunst meiner Tochter sehr weiter runter fallen lassen  ;D

Ich habe ein selbst geschriebenes iptables Script. Es ist sehr flexibel weil ich mit Unterverzeichnisen arbeite wo dann die Regeln pro VLAN unterteilt sind.
Meine Kinder wachsen damit auf das für sie der Internetzugang geregelt wird. Sie kennen es nicht anders. Und je älter sie werden desto mehr Freiheiten bekommen sie. Wichtig ist das man offen darüber spricht. Ich erklären ihnen was bei ihnen läuft und was nicht und warum das so ist.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Mitch

#7
Zitat von: Hauswart am 02 Dezember 2016, 12:31:05
Gibt es nicht mit dem Guest Control die Möglichkeit zum Trennen der Netze? Bzw. dass die Gäste-SSID zumindest nicht mehr auf den normalen IP-Range zugreifen kann?

Möchte nämlich eigentlich ungern noch zwei managed Switches zwischen Fritzbox und Unifi AP hängen...

Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)

Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Ausser, Du nutz nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.

Oder steh ich da gerade auf dem Schlauch?

@CoolTux, Danke. Ich glaube ich bin da schon zu spät bei meinen Kindern  :), wobei meine große Tochter hier doch sehr vernünftig ist. Einzig ein guter Seitenfilter wäre gut.
FHEM im Proxmox Container

Muschelpuster

#8
Zitat von: Mitch am 02 Dezember 2016, 12:43:59
Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)
Gut, das lässt mich wieder etwas entspannter atmen  :)

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Die zwei DHCP-Server wären ja in 2 verschiedenen VLANs, oder? Das macht ja nichts. Problematischer ist, dass vermutlich beide Ports die gleiche MAC haben. Dann muss man zwingend SpanningTree ausschalten, weil das sonst zuschlägt und man schön Fehlersuche üben kann.

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Ausser, Du nutzt nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.
Richtig. Das ist ja auch erst einmal nicht schlimm, solange die Policys auf den APs den Zugriff auf jegliche Systeme verhindern. Ist sicher nichts, was man im Firmenumfeld machen würde, aber für den Heimgebrauch ist das für meinen Geschmack völlig ok.

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Einzig ein guter Seitenfilter wäre gut.
Basis ist schon mal das BPjM. Das ist nicht wirklich detailliert, holt aber den gröbsten Schmutz raus.

einfache Grüße
Niels
fhem @ ZBOX mit 1,6MHz Celeron, 4GB RAM & 120GB SSD mit Debian Bullseye # MiLight # Homematic via CCU3 # W&T WebIO # Rademacher DuoFern # ESPeasy # logdb@mysql # configdb@mysql # Shelly @ MQTT2 # go-eCharger mit PV-Überschussladung via DOIF

Hauswart

Zitat von: Mitch am 02 Dezember 2016, 12:43:59
Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)

Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Ausser, Du nutz nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.

Oder steh ich da gerade auf dem Schlauch?
Genau, ich nutze nur einen LAN 1-3 Anschluss und Gäste-WLAN und Intern-WLAN sind im gleichen IP-Range. Finde ich zwar auch schlecht, da ich gerne das Gäste-Netz in einem IP-Range hätte, aber kenne keine andere Lösung (ohne VLANs bzw. managed Switches). Mit Guest Policies verbiete ich dann alle internen IPs und das Gäste-WLAN ist "isoliert". Muss nur noch die Captive Portal Lösung irgendwie anpassen, dass Gäste-Nutzer nicht mehr die blöde Seite mit Akzeptieren bestätigen müssen.
1. Installation:
KNX, Tasmota (KNX), Sonos, Unifi

2. Installation:
HM-CFG-USB, Unifi (, SIGNALduino 868, MySensors, SIGNALduino 433)

Mitch

Zitat von: Muschelpuster am 02 Dezember 2016, 13:17:39
Die zwei DHCP-Server wären ja in 2 verschiedenen VLANs, oder? Das macht ja nichts. Problematischer ist, dass vermutlich beide Ports die gleiche MAC haben. Dann muss man zwingend SpanningTree ausschalten, weil das sonst zuschlägt und man schön Fehlersuche üben kann.

Ja genau. So mach ich das ein VLAN für intern, ein VLAN für Gäste und am WE will ich noch alle IOT Sachen in ein eigenes VLAN packen.

Zitat von: Hauswart am 02 Dezember 2016, 14:18:54
Genau, ich nutze nur einen LAN 1-3 Anschluss und Gäste-WLAN und Intern-WLAN sind im gleichen IP-Range. Finde ich zwar auch schlecht, da ich gerne das Gäste-Netz in einem IP-Range hätte, aber kenne keine andere Lösung (ohne VLANs bzw. managed Switches). Mit Guest Policies verbiete ich dann alle internen IPs und das Gäste-WLAN ist "isoliert". Muss nur noch die Captive Portal Lösung irgendwie anpassen, dass Gäste-Nutzer nicht mehr die blöde Seite mit Akzeptieren bestätigen müssen.

Ja, mit den Policies "isolierst" Du die schon, ich weiß nur nicht, was genau da im Hintergrund gemacht wird. Aber für AtHome sollte das schon reichen.
Captive Portal kannst Du ja im Unifi AP oder der Fritte ausschalten, dann kommt auch keine Seite mehr.
Wobei ich rechtlich die Abfrage drinnen habe (eigenes Captive Portal über den Unifi AP), dann bin auf der sicheren Seite, wenn doch mal was sein sollte.

Eigentlich schon schlimm, dass man sich zum einen Gedanke darüber machen muss, was Besuch im Web macht, um im Falles eines z.B: illegalen Downloads, keine Ärger zu bekommen.
Auf der anderen Seite sein Netz nach Außen so abschotten muss, weil es einfach zu viele Viren, hacker und sonstige Schwachmaten gibt.

Ich frage mich echt, wie das ältere Leute, oder auch Leute die da nicht so fit sind mache?  ???
FHEM im Proxmox Container

Hauswart

Zitat von: Mitch am 02 Dezember 2016, 14:43:55
Captive Portal kannst Du ja im Unifi AP oder der Fritte ausschalten, dann kommt auch keine Seite mehr.
Ich meine aber ohne Captive Portal trennt er das Gäste WLAN nicht vom internen Netz? Dann ziehen die IP-Einschränkungen nicht?
1. Installation:
KNX, Tasmota (KNX), Sonos, Unifi

2. Installation:
HM-CFG-USB, Unifi (, SIGNALduino 868, MySensors, SIGNALduino 433)

Mitch

Doch, Guest Policies (u.a. Das CP) und Access Control sind zwei unterschiedliche Dinge im Unifi.
FHEM im Proxmox Container

Hauswart

Zitat von: Mitch am 06 Dezember 2016, 12:21:45
Doch, Guest Policies (u.a. Das CP) und Access Control sind zwei unterschiedliche Dinge im Unifi.
In dem Fall muss ich das nochmal testen, ich meinte ohne CP ging die Access Control auch nicht.
1. Installation:
KNX, Tasmota (KNX), Sonos, Unifi

2. Installation:
HM-CFG-USB, Unifi (, SIGNALduino 868, MySensors, SIGNALduino 433)

Muschelpuster

Moin,

Ich habe heute meine Unifi's zu Hause in Betrieb genommen. Ist ja echt genial das Zeug! Am längsten hat es gedauert den Controller auf einem eigens dafür angeschafften Raspberry an's Fliegen zu bekommen. Und das auch nur, weil die HowTo's alle veraltet sind und die Unifi-Anleitung dazu etwas versteckt ist. Danach war auch das easy: Raspian aufsetzen, Unifi-Paketquellen hinzufügen, und ein schnödes apt-get install unifi - fertig war auch das (inklusive Mongo-DB).
Ähm sorry - back to topic - die Begeisterung hat mich abschweifen lassen:
Das Gästenetz kann per Default nur über das Default-Gateway in die große böse Welt des Internets. Lokale Zugriffe sind geblockt. Dazu gibt es eine Liste verbotener Netze, die mit den privaten Ranges schon gefüllt ist (10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/16).
Darüber kann man auch noch wieder Ausnahmen erlauben. Ich habe es getestet und es funktioniert wie es soll. Nun ist meine Krativität in Sachen von Netzwerkacks überschaubar, aber für den Heimgebrauch ist das völlig ausreichend. Wenn die Profis rein wollen, dann kommen sie auch rein. Alleine dadurch, dass ich Android im Hause nicht vermeiden konnte ist Google auf jeden Fall schon mal willkommen  ;) Und auch Apple stehen alle Türen offen, wobei mein Vertrauen hier noch am Größten ist. Kritischer sehe ich da meine dienstliche 10er Windose die bei Bedarf auch fleißig meine WLAN-Daten zu Mikkisoft übermitteln. Aber wenn man mir wirklich schaden will, dann wird sich auch keiner mit einem Notebook vor meine Tür stellen, die borgen sich gleich meine Rechner, die schon im LAN sind  :'(
Aber ich schweife schon wieder ab, also Schluss  8)

abschweifende Grüße
Niels

fhem @ ZBOX mit 1,6MHz Celeron, 4GB RAM & 120GB SSD mit Debian Bullseye # MiLight # Homematic via CCU3 # W&T WebIO # Rademacher DuoFern # ESPeasy # logdb@mysql # configdb@mysql # Shelly @ MQTT2 # go-eCharger mit PV-Überschussladung via DOIF