FHEM Forum

Verschiedenes => Off-Topic => Thema gestartet von: Mitch am 01 Dezember 2016, 13:36:36

Titel: Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 01 Dezember 2016, 13:36:36
Hallo Zusammen,

nachdem sich meine Familie, zu recht, über die schlechte Internet bzw. WLAN Performance beschwert hat und es auch durch IOT immer mehr Geräte werden, habe ich mal an ein Redesign meines Netzwerks gemacht.

Bis jetzt im Einsatz:
- Fritzbox 7490 (als VDSL Modem, DECT Telefonanlage, WLAN-Router)
- Fritz WLAN Repeater
- 3 "Billig" Switche (zur Verteilung in den Räumen)
- DLAN (zur Verteilung in die Räume)

Den ersten Schritt des Umbau habe ich bereits erfolgreich umgesetzt und mir einen Unifi AP AC Pro besorgt.
Dieser wurde zentral platziert und ersetzt nun den WLAN Repeater und die WLAN Funktion der Fritte.
Des Weiteren wurden die billigen Switche gegen gemanagete NetGear (hie ist mir Ubiquiti zu teuer) Switche getauscht und VLAN eingeführt (vor allem für den Gastzugriff).

Nun ist meine Idee, auch das Unifi Security Gateway einzusetzen.
Allerdings brauche ich die Fritte noch zwingend für die Telefonie.

Wenn jetzt das USG hinter der Fritte hängt, habe ich ja doppeltes NAT.

Nun meine Idee:
- Fritte bleibt als VDSL Modem und DECT Station
- USG dahinter als "exposed Host" (Fritte kann ja kein DMZ)

Ich hätte dann zwischen Provider und Fritte die externe IP und einen Adressraum (z.B: 192.168.100.x) zwischen Fritte und USG und dann einen Adressraum über DHCP (z.B. 192.168.10.x) zwischen USG und meinem internen Netz.
Somit NAT von intern auf Fritte über das USG und dann NAT vom "DMZ" ins Web über die Fritte.

d.h. alles Anfrage von Außen gehen direkt über die Fritte an das USG und dort dann, wenn gewünscht, über Portfreigabe an den entsprechenden internen Client, bzw. VPN vom Client an das USG und damit ins interne Netz.


Lange Rede, kurzer Sinn:
Ist das so praktikabel?
Tips, Änderungsvorschläge?
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 02 Dezember 2016, 06:56:32
Mhh, ich denke die Unifi-AP's können so eine Pseudo-Gast-WLAN? Mann kann doch User im Gast-WLAN haben, die dann keine Systeme im Netz erreichen außer das Default-GW und den DNS. Ich habe die auch gerade bestellt und stehe vor ähnlichen Anforderungen. Und auch ich brauche Onkel Fritz weiter für die Telefonie. Vorher hatte ich immer einen IPCop (http://www.ipcop.org/), der eigentlich genau das Richtige ist. Das Projekt lahmt zwar etwas oder ist scheintot, aber man kann auch die Fork IPFire (http://www.ipfire.org/) nehmen. Das Zeug z.B. auf einen Banana PI R1 rauf (soll inzwischen gehen) und fertig. Alternativ nimmt man ein Board von PC-Engines (http://wiki.ipfire.org/en/hardware/pcengines/start).
Doppeltes NAT ist grundsätzlich kein Problem. Selbst Port-Forwardings sind kein Problem. Das mache ich zum Testen von Netzszenarien in meiner VM-Welt gerne mal. Eine IP-Fire-VM hängt am Netzwerk und versorgt über VM-Netzwerke die Test-VM's.
Ich persönlich hoffe, dass mir die erst einmal die Gast-WLAN-Funktion von Unifi reicht...

alternative Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: CoolTux am 02 Dezember 2016, 07:07:59
Ich habe es genau so gemacht wie Du Mitch. Nur bei mir ist der Router/Firewall ein BananaPi Router. Aber im Grunde das selbe und kein Problem. Funktioniert bestens.
Auf dem Router läuft bei mir noch Squid und Squidguard. Filtert Werbung raus und alles weitere unerwünschte. Gerade für die Kinder. Ausserdem regelt es die Internetzeit der Kinder.
Sowohl von Innen nach draussen als natürlich auch von Aussen nach innen ist alles dicht, nur was benötigt wird wurde auf Packetebene freigegeben.
WhatsApp sperrt FHEM für meine Tochter ab 21 Uhr und wenn es nötig ist.


Grüße



Grüße
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 02 Dezember 2016, 07:38:22
Zitat von: CoolTux am 02 Dezember 2016, 07:07:59Ausserdem regelt es die Internetzeit der Kinder.
WhatsApp sperrt FHEM für meine Tochter ab 21 Uhr und wenn es nötig ist.
Oh, das läuft bei mir ja auch noch auf der roten Tupperdose - ebenso das BPjM-Modul (http://www.bundespruefstelle.de/bpjm/Aufgaben/Listenfuehrung/bpjm-modul.html)  :o
Müsste man ja mit bedenken. Aber Squid ist im IPFire auch drin.
Ich bleibe definitiv erst mal dabei, nur das WLAN zu erneuern, auch wenn Ihr mir hier schon wieder diverse Anreize gebt.

eingeschränkte Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 02 Dezember 2016, 11:42:48
Danke euch!

@Muschelpuster, ja, mit den UniFi AP kann man ein Gast WLAN aufbauen und habe ich auch.
Man braucht aber zwingend eine VLAN-fähigen Switch dazu.
Hier wird es ganz gut beschrieben, so ähnlich ist auch mein Aufbau: http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/

IPCop haben wir bei uns im Büro auf der Demo-VM-Umgebung auch laufen. Schau ich mir nochmal an.

@CoolTux, welche Router/Firewall SW benutzt Du denn? pfSense?
Die Möglichkeit z.B: WhatsApp zu sperren wäre interessant, würde mich aber in der Gunst meiner Tochter sehr weiter runter fallen lassen  ;D

Vorteil der fertigen Unifi Lösung UGS wäre halt die Integration in den UnifController.
Leider kann man an der Firewall vom USG (noch) nicht wirklich viel einstellen.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Hauswart am 02 Dezember 2016, 12:31:05
Gibt es nicht mit dem Guest Control die Möglichkeit zum Trennen der Netze? Bzw. dass die Gäste-SSID zumindest nicht mehr auf den normalen IP-Range zugreifen kann?

Möchte nämlich eigentlich ungern noch zwei managed Switches zwischen Fritzbox und Unifi AP hängen...
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: CoolTux am 02 Dezember 2016, 12:33:33
Zitat von: Mitch am 02 Dezember 2016, 11:42:48
@CoolTux, welche Router/Firewall SW benutzt Du denn? pfSense?
Die Möglichkeit z.B: WhatsApp zu sperren wäre interessant, würde mich aber in der Gunst meiner Tochter sehr weiter runter fallen lassen  ;D

Ich habe ein selbst geschriebenes iptables Script. Es ist sehr flexibel weil ich mit Unterverzeichnisen arbeite wo dann die Regeln pro VLAN unterteilt sind.
Meine Kinder wachsen damit auf das für sie der Internetzugang geregelt wird. Sie kennen es nicht anders. Und je älter sie werden desto mehr Freiheiten bekommen sie. Wichtig ist das man offen darüber spricht. Ich erklären ihnen was bei ihnen läuft und was nicht und warum das so ist.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 02 Dezember 2016, 12:43:59
Zitat von: Hauswart am 02 Dezember 2016, 12:31:05
Gibt es nicht mit dem Guest Control die Möglichkeit zum Trennen der Netze? Bzw. dass die Gäste-SSID zumindest nicht mehr auf den normalen IP-Range zugreifen kann?

Möchte nämlich eigentlich ungern noch zwei managed Switches zwischen Fritzbox und Unifi AP hängen...

Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)

Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Ausser, Du nutz nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.

Oder steh ich da gerade auf dem Schlauch?

@CoolTux, Danke. Ich glaube ich bin da schon zu spät bei meinen Kindern  :), wobei meine große Tochter hier doch sehr vernünftig ist. Einzig ein guter Seitenfilter wäre gut.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 02 Dezember 2016, 13:17:39
Zitat von: Mitch am 02 Dezember 2016, 12:43:59
Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)
Gut, das lässt mich wieder etwas entspannter atmen  :)

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Die zwei DHCP-Server wären ja in 2 verschiedenen VLANs, oder? Das macht ja nichts. Problematischer ist, dass vermutlich beide Ports die gleiche MAC haben. Dann muss man zwingend SpanningTree ausschalten, weil das sonst zuschlägt und man schön Fehlersuche üben kann.

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Ausser, Du nutzt nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.
Richtig. Das ist ja auch erst einmal nicht schlimm, solange die Policys auf den APs den Zugriff auf jegliche Systeme verhindern. Ist sicher nichts, was man im Firmenumfeld machen würde, aber für den Heimgebrauch ist das für meinen Geschmack völlig ok.

Zitat von: Mitch am 02 Dezember 2016, 12:43:59Einzig ein guter Seitenfilter wäre gut.
Basis ist schon mal das BPjM (http://www.bundespruefstelle.de/bpjm/Aufgaben/Listenfuehrung/bpjm-modul.html). Das ist nicht wirklich detailliert, holt aber den gröbsten Schmutz raus.

einfache Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Hauswart am 02 Dezember 2016, 14:18:54
Zitat von: Mitch am 02 Dezember 2016, 12:43:59
Du kannst schon eine Gäste-SSID einrichten, auch mit Captive Portal, und dann Guest Policies drauf legen und dort IP Ranges ein- und ausschließen. (siehe Bilder)

Aber wie bekommst Du den Fritte Gast Port in Dein Netz? Du musst ja LAN 1und LAN4 an den AP bringen und damit hast Du auch zwei DHCP Server im Netz.
Ausser, Du nutz nicht das GastLAN der Fritte, aber dann haben ja die Gast Clients die gleiche IP Range wie alle andern.

Oder steh ich da gerade auf dem Schlauch?
Genau, ich nutze nur einen LAN 1-3 Anschluss und Gäste-WLAN und Intern-WLAN sind im gleichen IP-Range. Finde ich zwar auch schlecht, da ich gerne das Gäste-Netz in einem IP-Range hätte, aber kenne keine andere Lösung (ohne VLANs bzw. managed Switches). Mit Guest Policies verbiete ich dann alle internen IPs und das Gäste-WLAN ist "isoliert". Muss nur noch die Captive Portal Lösung irgendwie anpassen, dass Gäste-Nutzer nicht mehr die blöde Seite mit Akzeptieren bestätigen müssen.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 02 Dezember 2016, 14:43:55
Zitat von: Muschelpuster am 02 Dezember 2016, 13:17:39
Die zwei DHCP-Server wären ja in 2 verschiedenen VLANs, oder? Das macht ja nichts. Problematischer ist, dass vermutlich beide Ports die gleiche MAC haben. Dann muss man zwingend SpanningTree ausschalten, weil das sonst zuschlägt und man schön Fehlersuche üben kann.

Ja genau. So mach ich das ein VLAN für intern, ein VLAN für Gäste und am WE will ich noch alle IOT Sachen in ein eigenes VLAN packen.

Zitat von: Hauswart am 02 Dezember 2016, 14:18:54
Genau, ich nutze nur einen LAN 1-3 Anschluss und Gäste-WLAN und Intern-WLAN sind im gleichen IP-Range. Finde ich zwar auch schlecht, da ich gerne das Gäste-Netz in einem IP-Range hätte, aber kenne keine andere Lösung (ohne VLANs bzw. managed Switches). Mit Guest Policies verbiete ich dann alle internen IPs und das Gäste-WLAN ist "isoliert". Muss nur noch die Captive Portal Lösung irgendwie anpassen, dass Gäste-Nutzer nicht mehr die blöde Seite mit Akzeptieren bestätigen müssen.

Ja, mit den Policies "isolierst" Du die schon, ich weiß nur nicht, was genau da im Hintergrund gemacht wird. Aber für AtHome sollte das schon reichen.
Captive Portal kannst Du ja im Unifi AP oder der Fritte ausschalten, dann kommt auch keine Seite mehr.
Wobei ich rechtlich die Abfrage drinnen habe (eigenes Captive Portal über den Unifi AP), dann bin auf der sicheren Seite, wenn doch mal was sein sollte.

Eigentlich schon schlimm, dass man sich zum einen Gedanke darüber machen muss, was Besuch im Web macht, um im Falles eines z.B: illegalen Downloads, keine Ärger zu bekommen.
Auf der anderen Seite sein Netz nach Außen so abschotten muss, weil es einfach zu viele Viren, hacker und sonstige Schwachmaten gibt.

Ich frage mich echt, wie das ältere Leute, oder auch Leute die da nicht so fit sind mache?  ???
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Hauswart am 06 Dezember 2016, 12:11:45
Zitat von: Mitch am 02 Dezember 2016, 14:43:55
Captive Portal kannst Du ja im Unifi AP oder der Fritte ausschalten, dann kommt auch keine Seite mehr.
Ich meine aber ohne Captive Portal trennt er das Gäste WLAN nicht vom internen Netz? Dann ziehen die IP-Einschränkungen nicht?
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 06 Dezember 2016, 12:21:45
Doch, Guest Policies (u.a. Das CP) und Access Control sind zwei unterschiedliche Dinge im Unifi.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Hauswart am 06 Dezember 2016, 13:12:15
Zitat von: Mitch am 06 Dezember 2016, 12:21:45
Doch, Guest Policies (u.a. Das CP) und Access Control sind zwei unterschiedliche Dinge im Unifi.
In dem Fall muss ich das nochmal testen, ich meinte ohne CP ging die Access Control auch nicht.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 23 Dezember 2016, 22:43:53
Moin,

Ich habe heute meine Unifi's zu Hause in Betrieb genommen. Ist ja echt genial das Zeug! Am längsten hat es gedauert den Controller auf einem eigens dafür angeschafften Raspberry an's Fliegen zu bekommen. Und das auch nur, weil die HowTo's alle veraltet sind und die Unifi-Anleitung dazu etwas versteckt ist. Danach war auch das easy: Raspian aufsetzen, Unifi-Paketquellen hinzufügen, und ein schnödes apt-get install unifi - fertig war auch das (inklusive Mongo-DB).
Ähm sorry - back to topic - die Begeisterung hat mich abschweifen lassen:
Das Gästenetz kann per Default nur über das Default-Gateway in die große böse Welt des Internets. Lokale Zugriffe sind geblockt. Dazu gibt es eine Liste verbotener Netze, die mit den privaten Ranges schon gefüllt ist (10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/16).
Darüber kann man auch noch wieder Ausnahmen erlauben. Ich habe es getestet und es funktioniert wie es soll. Nun ist meine Krativität in Sachen von Netzwerkacks überschaubar, aber für den Heimgebrauch ist das völlig ausreichend. Wenn die Profis rein wollen, dann kommen sie auch rein. Alleine dadurch, dass ich Android im Hause nicht vermeiden konnte ist Google auf jeden Fall schon mal willkommen  ;) Und auch Apple stehen alle Türen offen, wobei mein Vertrauen hier noch am Größten ist. Kritischer sehe ich da meine dienstliche 10er Windose die bei Bedarf auch fleißig meine WLAN-Daten zu Mikkisoft übermitteln. Aber wenn man mir wirklich schaden will, dann wird sich auch keiner mit einem Notebook vor meine Tür stellen, die borgen sich gleich meine Rechner, die schon im LAN sind  :'(
Aber ich schweife schon wieder ab, also Schluss  8)

abschweifende Grüße
Niels

Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 24 Dezember 2016, 10:33:40
Das freut mich Niels.
Ich bin auch sehr zufrieden mit dem AP.

Gestern kam mein USG und nun kämpfe ich da ein bisschen.
Es läuft soweit, nur gehen jetzt meine Portweiterleitungen und VPN nicht mehr  :-[

Ich habe die Ports eingerichtet und in der Fritzbox das USG als "exposed Host" definiert.
Geht leider nicht.

VPN geht auf die Fritte, aber dann bin ich quasi nur in dem Netzt zwischen Fritte und USG.

Aufbau ist im Moment: Fritte <-> USG <-> Heimnetz
mit verschiedenen IP Ranges (192.168.100.0 <-> 192.168.1.0)
Mit VPN komme ich also auf 192.168.100.x, aber nicht auf 192.168.1.x

Jemand eine Idee?
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 24 Dezember 2016, 13:35:07
Also ich weiß nicht, ob IPSEC VPN Server in einem NAT-Netzwerk via Portforwarding funktionieren. Ein Exposed Host ist IMHO nichts Anderes. Da würde ich mal meine Suche ansetzen.Richtig wäre wohl, wenn Onkel Fritz komplett in Rente geht.

fragliche Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 24 Dezember 2016, 13:46:26
Ja stimmt.
Mit Exposed Host und Co habe ich es nicht hinbekommen.
Leider ist VPN auf dem USG noch nicht so toll implementiert. Muss da noch manuell OpenVPN installieren.
Also Notlösung habe ich jetzt im Monet OpenVPN auf dem NAS und gehe darüber.

Ziel ist es sowieso, die Fritte nur noch als DECT Station zu betreiben.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Wuppi68 am 24 Dezember 2016, 13:56:19
Zitat von: Mitch am 24 Dezember 2016, 13:46:26
Ziel ist es sowieso, die Fritte nur noch als DECT Station zu betreiben.

nimm dafür am besten ein "einfaches" modernes Telefon ala Gigaset Voip, die haben meistens sogar einen weiteren Analog Port :-)
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 24 Dezember 2016, 15:01:21
Also wenn Fritz eines kann, dann ist es nette Features auf den Phones umzusetzen. Da würde ich nicht zu Gigaset wechseln, auch wenn die durchaus stabiler sind.
Ich vermute mal, dass Onkel Fritz auch die SIP-Anmeldung für die Telefonie vornimmt. Packt man das nun in die NAT-DMZ, könnte man da ein Problem haben, wenn der Provider kein STUN o.ä. unterstützt. Meine Recherche zu Kabel D war da eher ernüchternd. Oder ist das USG auch ein SBC?

umgedrehte Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 25 Dezember 2016, 22:46:12
So, habe heute OpenVPN auf dem USG installiert.
Nun geht alles wie gewünscht.

Leider ist OpenVPN nicht nativ auf dem iPhone verfügbar und man muss den kleinen Umweg über eine extra App gehen, aber Ubiquiti will hier in kürze nachbessern.

Gigaset und Co. will ich nicht hatte ich früher, sind alle schei....
Ich mag die FritzFons einfach  ;D
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Muschelpuster am 25 Dezember 2016, 23:05:18
Ich finde es ja erst mal cool, dass die OpenVPN machen und nicht wie viele große Hersteller die 'einfach nur VPN' ignorieren.

erfreute Grüße
Niels
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 26 Dezember 2016, 12:10:04
Naja, die "machen" ja kein OpenVPN, man muss das schon "zu Fuß" installieren, aber es geht eigentlich einfach und schnell.
Am längsten dauert es, das Certificate zu erstellen.

Ich glaube USG kann nicht als SBC agieren, bin mir aber nicht sicher, habe noch nicht alles ausgetestet.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 26 Dezember 2016, 17:10:03
Das Ding gefällt mir immer besser...jetzt habe ich noch Content filtering und blocking Ads mit dnsmasq service und Squidguard.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Hauswart am 11 Januar 2017, 15:42:41
So gleiches Projekt habe ich nun auch vor mir.

Fritzbox 7390 => USG => Heimnetz.

Schade, dass IPSec VPN dann nicht mehr geht. OpenVPN bin ich nicht so Freund von.
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Mitch am 11 Januar 2017, 16:01:25
IPSec ist aber auf der Roadmap und soll noch in der ersten Jahreshälfte kommen
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Darkentik am 11 Januar 2017, 16:49:11
@Mitch: So wie du deinen Netzaufbau beschrieben hast, habe ich mein zukünftiges Netzwerk auch geplant.
# Fritzbox als DSL Router mit DECT für Telefonie - WLAN aus, weil es derbe zu Hängern kommt beim Verbinden und die Qualität, wenn es mal verbunden ist, auch sehr zu wünschen übrig lässt.
# dahinter dann meinen Debianrouter mit:
-- iptables oder schon den Nachfolger nftables
-- DHCP, DNS = IP Bereiche so wählen, dass man logisch virtuelle Netze in der Firewall abgreifen kann
-- Dateiserver mit Samba
-- Mediaserver mit twonkymediaserver
-- VPN mit OpenVPN
-- Apache2, MySQL, Ampache etc...das übliche halt.

# dahinter dann mein LAN

Ich hätte dann also 1 WAN Netz mit Fritte und Debianrouter(eth0) und ein LAN mit Debianrouter(eth1) und allen anderen Geräten, quasi wie ne DMZ.
Das USG scheint dir ja echt Freude zu bereiten.  8)

ZitatOpenVPN bin ich nicht so Freund von.
@Hauswart: Und was sind deine Gründe?
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: TWART016 am 08 Februar 2020, 01:46:27
Hallo,

ich weiß der Beitrag ist schon ein wenig alt. Aber vielleicht könnt ihr mal über eure Erfahrungen in den letzten Jahren berichten.

Ich habe jetzt auch eine USG, bisher noch hinter einer Fritzbox. Ist die USG an erster Stelle zu empfehlen? Glasfaserabschlusspunkt ist extern und kommt noch vor der Fritzbox. Die Fritzbox brauche ich weiterhin für Telefonie.

Dann frage ich mich noch wie ich das Netzwerk aufteilen soll. 3 VLAN's oder 8? Folgende Geräte habe ich:
- NUC mit ESXi und ettlingen VM's (FHEM, Docker mit Unifi Controller, Logitech Media Server, Nextcloud, MQTT, Reverse Proxy)
- 3 Managed Switche, Homematic LAN Gateway, AP, bald NAS
- PC, NB, Smartphones, Tablets
- Multimedia: AVR, TV, Pi's mit Squeezeplay für LMS, Telekom Media Receiver (hatte da immer wieder von Problemen mit VLANs gelesen), PS / XBOX
- Sprachassistenten ghome und alexa
- IoT: Sonoff, Shelly, Staubsaugerrobotor

Ich habe gelesen dann manche Gerät nicht mit mehreren Netzen zurechtkomt. Hat damit jemand Erfahrung. WOL über mehrere VLANs ist auch ein Thema.

VPN möchte ich auch haben. Was hat sich da bewährt? VPN-On-Demand mit iPhone wäre ideal.

Wo sind bei der USG3 die Schwächen? Malware-Erkennung? Content-Filtering? z.B. hatte ich Pi-Hole als Werbeblocker angedacht. Gibt es da was besseres? Oder für Kategorien sperren.

Was habt ihr im Internet veröffentlicht? Ich habe definitiv ein VPN vor. Für eine NAS allerdings eine Veröffentlichung. Wie habt ihr das in der USG umgesetzt?

Habt ihr Einsteigertipps für die USG?


Gruß
TWART016
Titel: Antw:Netzwerk Rework - Meinungen erbeten -
Beitrag von: Gisbert am 08 Februar 2020, 10:40:42
Hallo Mitch,

ich habe folgenden Aufbau:
- Fritzbox: Telefonie, kein Wlan, exposed host zu USG-3
- USG-3
- 2 billige Netgear-Switche, Preislage 30~35€
- 2 Unifi AP-LR
- Unifi-Controller auf dem gleichen Server wie Fhem

Ich habe 4 WLANs und 2 VLANs, IoT-Devices kommen nicht ins Internet. Ich komme von außen per VPN auf meinen Fhem-Server.

Läuft sehr reibungslos.
Ich neige dazu die als Testing bezeichneten Versionen fürr den Controller, USG-3, AP einzusetzen, auch das läuft rund.

Viele​ Grüße​ Gisbert​