Neugestaltung Netzwerk

[Sveni]

Hallo zusammen,

ich lese hier schon eine Weile immer mal mit und konnte auch schon ein paar Dinge herausnehmen, die mir geholfen haben.
Nun habe ich mich mal angemeldet, da ich hoffe, hier ein paar Meinungen bzw. Empfehlungen zu bekommen.

Mein derzeitiger Ist-Zustand:

• Anschluss: DSL 50/10, kein Provider-IPv6 (intern IPv6 gewünscht, extern aktuell IPv4).
• Router/Modem: Fritz!Box 7590 AX (soll als Modem/DECT bleiben), da ich DECT noch nutzen muss.
• Server: ASUS NUC (Proxmox) mit ein paar VMs und Diensten, die ich vor dem Online-Stellen erst einmal eine Weile teste.
• Wohnzimmer per LAN: Synology DS920+, zwei Drucker (einmal Tinte, einmal Laser), eine Xbox und ein MacBook via Dock
• Weitere Geräte: LG-TV, Hue Bridge, mehrere HomePods Mini, 4 iPhones, 3 iPads, diverse Smart-Home-Geräte
• Derzeit habe ich im Wohnzimmer einen ungemanagten 8-Port-Switch, über den ein Uplink vom Flur von der Fritz!Box kommt.

---

Derzeit ist noch alles in einem Netz aber da würd eich gern ändern. Für die Segmentierung habe ich mir Folgendes vorgestellt, bin aber offen dafür, dass es vielleicht zu kleinteilig sein könnte oder so passt. Vielleicht habt ihr ja auch noch eine Verbesserung bring mich auf eine andere Idee.

Mein Plan sieht Folgendes vor:

• VLAN 10 – Main: eigene Geräte (MacBook, iPhones/iPads)
• VLAN 20 – Kinder: iPhone, iPad, Konsolen
• VLAN 30 – IoT und TV
• VLAN 40 – Services für Drucker, NAS
• VLAN 50 – Gäste
• VLAN 60 – Management für Firewall, Switches und APs

Im Flur würde ich einen 8-Port (4x PoE, 4x ohne) Managed-Switch hinstellen und via Uplink ins Wohnzimmer zu einem weiteren 8-Port-Managed-Switch (ohne PoE) gehen, an dem die Geräte im Wohnzimmer hängen und getaggt werden.

Sollte ich etwas anderes für DECT finden, würde ich die aktuelle Fritz!Box (7590 AX) gegen ein Modem und einen AP tauschen, den ich via PoE an den Switch hängen würde. Im Flur denke ich , würde die Ausleuchtung für die Wohnung ausreichen – meine derzeitige Fritz!Box schafft es ja auch.

---

Und nun kommt der Punkt, bei dem ich mir absolut unschlüssig bin: die Wahl der richtigen Geräte. Hier habe ich die Wahl, alles von UniFi zu nutzen (also Dream Machine, Switch und AP) oder doch eine OPNsense aufzusetzen auf eine Protectli und dann freie Switches und einen AP von UniFi zu nehmen.
Es gibt ja einige, die mit UniFi voll zufrieden sind, aber auch das Gegenteil hört man.

PS: Beruflich bin ich der Art "Turnschuh Admin"

Ach so: Beim WLAN würde ich gleich auf Wi-Fi 6 gehen, wenn es preislich passt vielleicht auch gleich auf Wi-Fi 7.

---

Meine geplante Aufteilung:
Untereinander soll kein VLAN etwas vom anderen wissen. Nur VLAN 10 und VLAN 20 sollen auf das Service-Netz kommen.
Für VLAN 60 will ich nur ein Gerät zulassen, das für das Management genutzt wird.

Und nun ich ich gespannt was ihr davon haltet.

 

[blurrrr]

Hi

Und nun kommt der Punkt, bei dem ich mir absolut unschlüssig bin: die Wahl der richtigen Geräte. Hier habe ich die Wahl, alles von UniFi zu nutzen (also Dream Machine, Switch und AP) oder doch eine OPNsense aufzusetzen auf eine Protectli und dann freie Switches und einen AP von UniFi zu nehmen.
Es gibt ja einige, die mit UniFi voll zufrieden sind, aber auch das Gegenteil hört man.

Naja, das musst Du schon mit Dir selbst ausmachen. Hat beides so seine Vor- und Nachteile. Du "könntest" z.B. mit Unifi anfangen und wenn Dir das nicht zusagt, auch einfach einzelne Komponenten austauschen (z.B. die Firewall, oder den Switch). Über die Accesspoints habe ich jedenfalls bisher nichts schlechtes gehört (bin aber auch nicht so im Unifi-Thema). Da Du sowieso ein PVE-Host laufen hast, könnte darauf z.B. auch eine VM zwecks Controller für die APs laufen, das "muss" nicht auf der Firewall laufen.

Ich persönlich habe diverses laufen (nur kein Unifi), darunter wären Produkte von Sophos (Firewalls + APs, damals noch Astaro) in div. Kombinationen (u.a. auch privat), pfSense, OPNsense, Mikrotik und noch ein paar andere.

Eine der wesentlichen Punkte wäre - aus meiner Sicht - dass "Du" die Dinge administrieren musst (und nicht irgendwer, der mal irgendwo irgendwann irgendwas gesagt hat). Es nutzt auch nichts, wenn Du Dir irgendwelche komplizierten Produkte beschafft, womit Du mitunter nur schwerlich klar kommst. Gilt ebenso für das Feature-Set. Als kleines Beispiel: Mikrotik z.B. bietet zig Features an, so dass auch ISPs (eher im Ausland) sowas für ihre Infrastruktur nutzen. OSPF/BGP z.B. sind direkt integriert, bei OPNsense/pfSense müsste man da erst noch ein passendes Modul nachinstallieren. Frage: Brauchst Du das Zuhause? Also ich persönlich nicht Heisst jetzt ja nicht, dass die Produkte schlecht wären, aber Du kriegst halt schon das komplette Feature-Set um die Ohren geschmissen. Zudem ist die Mikrotik-UI schon gewöhnungsbedürftig, hat aber den Vorteil, dass man die Dinge auch direkt in der CLI erledigen kann. Ist - aus meiner Sicht - halt doch eher etwas für sehr technik-affine (und für Leute die gerne basteln und ausprobieren). Läuft allerdings auch durchaus stabil und bietet u.a. auch WLAN-Management (via CAPsMAN), so dass sich die Mikrotik-APs auch provisionieren lassen.

OPNsense/pfSense sind - so wie ich das bisher sehe - im privaten Bereich doch eigentlich am häufigsten verbreitet, die Communies diesbezüglich sind auch entsprechend groß (hier gibt es auch ein paar Anleitungen dazu). Bieten auch schon ein recht großes Feature-Set, AP-Provisionierung gehört meines Wissens nach nicht dazu, macht aber auch nichts, das Thema kann man ja durchaus auch einzeln behandeln (z.B. mit Unifi-APs und einer Controller-VM). Einer der wesentlich Vorteile (aus meiner Sicht) ist bei OPNsense/pfSense allerdings, dass Du beim Unterbau freie Hand hast. Du kannst Dir ein fertiges Stück Blech kaufen, oder Dir selbst etwas basteln, ganz wie Du möchtest. 1G, 10G, 25G, 40G oder 100G ist alles kein Problem, liegt allein in Deiner Entscheidung, welche Hardware Du verbaust/kaufst. Bei fertigen Appliances ist das mit dem "nachrüsten" meist eher "so eine Sache".

Der Vorteil an diesen "einzelnen" Produkten wäre halt, dass Du sie auch alle problemlos austauschen kannst, da es keine Abhängigkeiten dazwischen gibt. Ich persönlich würde auch diesen Weg gehen. Gefällt Dir die Firewall irgendwann nicht mehr, kannst Du sie einfach austauschen. Gleiches gilt für Switche und APs. Kannst Du natürlich in einem rein Unifi-basierten Setup auch machen, z.B. die APs austauschen, allerdings wird man diese dann vermutlich nicht mehr so schön steuern können in der Weboberfläche der Firewall. Das ist halt schon alles recht integriert und durch den Einsatz anderer Produkte fällt diese Integration dann raus. Kann man natürlich auch machen, aber vermutlich "könnte" die ein oder andere Person stören (hängt halt von Dir ab).

Zu Deinem Konstrukt: Kannst Du schon so machen, allerdings sollten ggf. auch die ein oder anderen Kleinigkeiten berücksichtigt werden. Wenn z.B. derzeit der Fernseher via DLNA (o.ä.) auf die Syno zugreift, um von dort Medien abzuspielen, wird das - sofern die Geräte dann in unterschiedlichen Netzen stehen - nicht mehr so einfach funktionieren. Da sollte man sich also ggf. im Vorfeld schon etwas zu überlegen. Gleiches gilt z.B. auch für die Drucker (bzw. die Art wie sie eingebunden sind). Oftmals ist es ein Problem von Broadcasts, welche halt standardmässig nur im eigenen Subnetz funktionieren. Dafür gibt es zwar auch Lösungen, aber vorerst soltle man das mal im Hinterkopf behalten. Ebenso die Nutzung des NAS - das wird im Netzwerk dann auch erstmal nicht mehr gefunden bzw. unter Windows nicht mehr unter Netzwerk angezeigt (anderes Netzwerk). Da kann man aber ggf. auch einfach auf IP-basierte Netzlaufwerke umschwenken (sofern das nicht eh schon so läuft). Broadcasts kann man auch in andere Netze weiterreichen, ist aber noch ein anderes Thema. Der bisherige Plan ist auf jeden Fall erstmal ein Plan. Bleib erstmal dabei und wenn dann die Problemchen auftauchen, muss man halt schauen, wie man sich derer annimmt bzw. für welche Lösungswege man sich diesbezüglich entscheidet.

 

[the other]

Moinsen,
ich habe hier auch seit einigen Jahren ein ähnliches Konstrukt laufen.
Von der reinen Fritzbox kommend, wollte ich ebenfalls das LAN etwas unterteilen und da kam dann das Thema VLANs um die Ecke.
Dadurch dann ins Thema Router, Firewall, VLANs einlesen müssen (da hier genau Null Basiswissen vorhanden, viel Idee - wenig Ahnung eben ). Hängen geblieben bin ich dann mit einer zunächst folgenden Kombi:
Fritzbox macht weiter den "Internetrouter".
pfsense dahinter (mit eigenem NAT, kann aber auch ohne) macht dann das eigentliche LAN. Hier dann auch die erwähnte Unterteilung in (aktuell 7) VLANs. Mag viel erscheinen für den privaten Gebrauch, macht für mich so aber bisher Sinn.
Als switche nutze ich aktuell noch vor allem cisco sg 350 / 350 mit je nur 10 / 8 Ports sowie einen Zyxel switch für die schnelleren Clients (MultiGB LAN).
Für wifi nutze ich 3 unifi APs (1 x im Keller AP lite, im 1. OG AP pro, im DG AP lite - alle nur mit max WLAN5). Damit ist das 3 stöckige Haus versorgt inkl Balkon und Innenhof am Haus. Die controller software lief bis vor Kurzem auf dem cloudkey Stick von unifi, ist jetzt aber auf den proxmox Server in eine LXC umgezogen.

Warum damals pfsense und nicht unifi Router/Firewall? Als ich damit angefangen habe, war ich mir nicht sicher, ob ich dabei bleiben werde oder doch alles zu kompliziert wird und ich einfach hinschmeiße, daher die pfsense ce auf einem günstigen APU board. Außerdem waren die damaligen unifi Router Produkte (so ca. 2020) nix für mich.
Allerdings hat sich da zuletzt ja auch jede Menge getan und im Heimbereich ist natürlich der Gedanke, alles an Netzwerkstruktur über EINE Oberfläche verwalten zu können sehr reizvoll. Auch die sehr gute GUI (finde ich jedenfalls) hilft.

Am Ende aber: es ist Geschmackssache, Glaubensfrage, persönliche Entscheidung...die einen mögen so, die anderen eben anders. Alles aus einer Hand kann super sein, kann aber auch echt blöd sein, wenn du damit nicht warm wirst. Alles unterschiedlich erweitert den Horizont, ist aber auch aufwändiger. Kann bzgl Sicherheitsbugs doof sein, alles aus einer Hand und zentral...kann bei gutem Produkt aber auch sehr erleichternd sein...
Ohne jetzt groß in der unifi Routerwelt zu Hause zu sein: ich denke die pfsense kann doch nochmal etwas mehr an Optionen. Frage ist natürlich, ob du das (von mir mal so behauptete PLUS) dann auch brauchst.
Ich selber habe mittlerweile auf die pfsense + gewechselt, bin weiterhin sehr zufrieden und habe nicht vor auf unifi zu wechseln. Kenne deren Router aber auch nicht genug, um mir da eine echte Meinung zu bilden. Je nach Entwicklung im globalen Bezug schaue ich mir dagegen die opnsense nochmal genauer an...als Alternative.

 

[Sveni]

Ich danke euch für die sehr ausführliche Einschätzung der ganzen Sache. Wenn ich es soweit richtig herausgelesen habe, seid ihr eher der Meinung, das Ganze auf Hardware außerhalb des UniFi-Universums zu machen.
Ich bin gerade allerdings sehr hin- und hergerissen, ob ich der Einfachheit halber in die UniFi-Welt eintauchen soll oder mich lieber selbst um alles kümmern will.

Vielleicht gibt es ja noch jemanden, der einen konkreten Anwendungsfall hat, bei dem es sich definitiv lohnt, die UniFi-Welt zu verlassen? Natürlich irgendetwas in Richtung Heimnetz, nichts Enterprise-mäßiges.

 

[the other]

Moinsen,

Wenn ich es soweit richtig herausgelesen habe, seid ihr eher der Meinung, das Ganze auf Hardware außerhalb des UniFi-Universums zu machen.

Nö, so pauschal explizit nicht meine Meinung fürs Heimnetzwerk.
Wenn du dich da nicht lange mit einzelnen web Oberflächen rumärgern willst (die Netzwerk basics sind ja schon nicht wenig), dann würde ich eher zur unifi Komplettlösung tendieren. Die Dinger können eigentlich ne Menge heute, wüsste auch Anhieb jetzt nicht, was dir da fehlen sollte.
Als Router schon ne Idee?
Die kompakten cloud gateways oder eher die rack Modelle? Willst du bei 1 Gbit LAN bleiben oder schon mal in die Zukunft schauen und 2,5 Gbit oder gar mehr (auch wichtig für die Wahl der APs > WLAN 6 / 7?)? Muss der Router selbst auch PoE Ausgänge haben?

 

[blurrrr]

seid ihr eher der Meinung, das Ganze auf Hardware außerhalb des UniFi-Universums zu machen.

Würde ich so nicht sagen... Für die einen passt es, für die anderen eben nicht. Schau Dir halt alles mal etwas genauer an (Screenshots/Videos/etc.) - auch in Bezug auf Deine angedachten Vorhaben (z.B.VLAN-Konfiguration) - danach entscheidest Du für Dich, womit Du besser zurecht kommen würdest. Ist eigentlich egal wie die Entscheidung ausfällt, Lehrgeld wird man vermutlich immer mal bezahlen, von daher würde ich einfach mal sagen: Mach erstmal so, wie "Du" es für richtig/angenehmer/bequemer/wie-auch-immer hälst. Du musst es schliesslich auch selbst einrichten. In Sachen VLAN ist es auch eher so, dass es da kein "Die können aber besser VLAN!" gibt.

Was halt eher "negativ" ist, wäre die Herstellerabhängigkeit in Bezug auf Funktionen. Bist Du in der Unifi-Welt und willst Accesspoints von einem anderen Hersteller, kann man das Management der anderen Accesspoints über die Unifi-Firewall sicherlich vergessen. Vermutlich ebenso die Anzeige der Accesspoints in der Weboberfläche. Alternativ kann man sich aber auch einfach direkt daran gewöhnen, dass das eine eben das eine ist und das andere eben das andere. Ich habe hier zwar derzeit auch noch Firewall und APs aus einem Guss (Sophos), aber irgendwelche bunten Bildchen bzgl. der APs hatte ich da nie (weil es schlichtweg auch nie interessiert hat).

Auch da muss man sich mal ganz realistisch die Frage stellen: Wie oft schaltet man sich dann auf, um tolle Bildchen der Accesspoints und/oder seines Netzwerkes zu bewundern? Ja... mag sein... am Anfang vielleicht häufiger, aber später sicherlich nicht mehr. AUf meine Firewall logge ich mich nur zwecks Update ein, auf die APs garnicht (die werden alle automatisch von der Firewall provisioniert), gibt für mich keinen Grund für bunte Bildchen, vielleicht ist das bei Dir ja anders. Primär kommt es ja sowieso nur darauf an, dass es funktioniert