blurrrr
Well-known member
Also wenn Du schon "große Umgebungen mit vielen Aussenstellen" zum Gespräch bringst... Es gibt Gründe, warum verantwortungsbewusste Admins i.d.R. versuchen die Cloud zu vermeiden. Hat die Cloud ein Problem, hat die "große Umgebung mit vielen Aussenstellen" ein Problem (jetzt mal nicht nur auf die AP-Thematik bezogen). "Kann ich nu auch nix dran ändern, ist ja alles in der Cloud" will da sicherlich kein Kunde hören. Es gibt durchaus Szenarien, wo sowas laufen "muss" bzw. dann auch ordentlich ins Geld geht, da sollte man evtl. nicht so lapidar was von "egal, alles in die Cloud... und wenn es nicht geht, dann geht es halt nicht" sagen. Vielleicht mal so als "kleiner" Einstiegspunkt: BCM.
Was das Thema an sich angeht und somit @Tim01 :
Unifi bietet auch Router+APs an, ist relativ trendy (gibt also viel Info-Material dazu) und wohl auch relativ einfach einzurichten (viel Klickibunti). Auf der anderen Seite gäbe es noch (recht günstig) Mikrotik, bieten auch Router+APs an. Dort wird man allerdings mit Möglichkeiten überhäuft und nutzt - als Otto-Normal-Verbraucher - vielleicht nur 1%. Nebst dem geht es da auch eher technisch zu, da sollte man also eigentlich schon eher wissen, was genau man macht. Wenn es allerdings nur ein kleiner Router zum "rumspielen und ein bisschen einarbeiten/üben ist" sein soll, können die Dinger für wenig Geld schon ziemlich viel (s. https://mikrotik.com/products/group/ethernet-routers). Software kannst Du Dir auch über eine Demo anschauen (s. https://mikrotik.com/software).
Die Sophos UTM Home hätte ich damals noch empfohlen, allerdings ist das Ding abgekündigt (EOL Juni 2026), Nachfolger wäre die Sophos XG Home (s. https://www.sophos.com/de-de/free-tools/sophos-xg-firewall-home-edition), da braucht man allerdings auch die passenden APs dazu, die kosten dann schon etwas mehr. Die Software muss allerdings auch wieder auf eigener Hardware installiert werden, ist jetzt also auch nicht grade anfängerfreundlich.
Was initial erstmal anzuraten wäre: Zettel + Stift (wie so oft) und erstmal relativ genau skizzieren, was wo wie an Netzwerken und Arten von Zugängen vorhanden sein soll. Zettel und Stift muss es natürlich nicht sein, kannst auch einfach mal in diesen Thread schauen: https://forum.heimnetz.de/threads/software-zum-erstellen-von-netzwerk-plaenen-uebersichten.2352/. Wenn das halbwegs fertig/übersichtlich ist, weiss man dann schon wieviele SSIDs ausgestrahlt werden sollen und an welchen Punkten sie ins Netzwerk geleitet werden (das ist auch nicht unwichtig). Mit den Fritz!Box-Geschichten bist Du halt auf 2 Netze beschränkt (LAN+Gastnetz), dafür ist WLAN mit dabei und auch leicht erweiterbar.
Wenn Du jetzt allerdings hingehst und sagst: "Ok, hab's verstanden, ich muss hier aufbohren, also mach ich jetzt etwas mit Firewall" wäre das gesamte Konzept nochmal zu überdenken, denn die AVM-Produkte taugen dann halt schon wieder weniger (kommt aber auch nochmal drauf an). "AVM = 2 Netze und nach vorne nur alles zusammen raus." das sollte man dabei verinnerlichen. Wenn Du nun hingehst und z.B. etwas in Richtung Firewall (zur genauen Paket-Steuerung ("wer darf wie wohin")) dazu nimmst, wird (aus Richtung Internet gesehen) wohl noch immer die Fritz!Box ganz vorne stehen:
Internet <-> Fritz!Box
Dahinter kommt dann die Firewall:
Internet <-> Fritz!Box <-> Firewall
Dahinter wird wohl ein Switch zur Verteilung kommen (Falls die Firewall nicht genügend Ports hat)...
Internet <-> Fritz!Box <-> Firewall <-> Switch
Was bis hier schon mal auffällt: Es ist noch kein einziges Wort bzgl. WLAN gefallen. Das liegt daran, dass man sich eben gut überlegen muss, welche Posten man mit welchen Gerätschaften bestücken möchte. Hersteller wie AVM bieten halt etwas "aus einem Guß". Da gibt es nicht viel zu überlegen, es ist alles verhältnismässig einfach und aufeinander abgestimmt. Das gleiche gilt wohl auch für Unifi, auch wenn ich damit eher weniger Berühungspunkte habe. Fakt ist aber, dass vielleicht nicht alles gefällt und man ggf. auch etwas unabhängiger sein möchte. So könnte man z.B. auch Produkte "mischen" (daher auch die o.g. Strecke erstmal so, wie sie derzeit aussieht).
Nun könnte man z.B. sagen:
Router -> bleibt die Fritz!Box, wird ggf. auch direkt vom Provider gestellt und gewartet
Firewall -> nimmt man etwas, was Dir persönlich zusagt (Du musst damit ja auch umgehen (können))
WLAN -> nimmt man evtl. einfach etwas unabhängiges (mit zusätzlichem Controller), was "X" SSIDs abbilden kann (X ist dann die gewünschte Anzahl der WLANs)
Ein "mögliches" aber recht verbreitetes Konstrukt wäre z.B.:
Internet <-> Fritz!Box <-> pfSense <-> Switch <-> Unifi-APs
Die Fritz!Box sorgt dabei "nur" für den Internetzugang und braucht - im besten Fall - als zusätzliche Info noch die Netze hinter der pfSense (Firewall). Damit ist die Fritz!Box fertig (ggf. kann man dort noch WLAN für Gäste aktivieren, womit die Gäste auch nur direkt ins Internet kommen). Die Firewall hinter der Fritz!Box ist dann für Deine internen Netze der Dreh- und Angelpunkt. Dort kannst Du beliebig viele (es gibt Begrenzungen, da musst Du Dir aber erstmal keine Gedanken zu machen) virtuelle Netzwerke anlegen (VLAN). Diese Netzwerke lassen sich dann auch entsprechend verteilen (über VLAN-fähige Switche und WLAN-Accesspoints).
Das könnte dann z.B. so aussehen:
Ist jetzt auch nur ein Beispiel, welches ich hier noch so rumliegen hatte. Das "+MGMT" ist dabei nochmal ein zusätzliches Management-Netzwerk, welches hier primär für die Provisionierung der WLAN-APs gedacht ist. Kann man aber auch anders sehen und es als generelles Management-Netzwerk sehen, welches Zugriff auf die Verwaltungsoberflächen der APs und der Firewall gewährt.
Allerdings... wird man sich mit der Materie schon irgendwo ausführlicher beschäftigen müssen, die Frage die sich primär stellt ist eigentlich eher, ob Du dazu gewillt bist bzw. dazu überhaupt Zeit hast. Es nutzt halt auch so garnichts, wenn man sich sowas in die Hütte stellt, aber keine Zeit hat, sich damit auch mal entsprechend zu beschäftigen.
Alternativ könnte man halt auch hingehen und sagen: Jut, alles egal, noch 2 Fritz!Boxen dazu (die kennst Du ja) und man trennt Netze und WLAN dann in so einer Konstellation:
Code:
FB
/ \
FB2 FB3Daher erstmal nur als Tip: Skizzier Dir erstmal Deine Wunschvorstellung (ruhig etwas ausbaufähig) und dann kann man sich das nochmal anschauen
Zuletzt bearbeitet:
