Ein oder mehrere Geräte? Bitte um Empfehlungen

General
21

Hallo Tuxtom, hallo Andrew, hallo Forum,

Das ist korrekt. Bisher habe ich mein Heimnetzwerk mit der Fritzbox gemanaged und einfache Switches im Einsatz.

Danke, dass ich der Grund, warum ich nach Rat frage. Ich brauche Geräte für den Einstieg. Als Arbeits-PC benutze ich Linux, komme also durchaus mit der Konsole klar, aber ich bin kein Netzwerk-Profi, der mehrmals die Woche Netzwerke einrichtet oder wartet.

Ich bin aber bereit dazu und auch aus Fehlern zu lernen, aber es muss nicht gleich unrealistisch schwer sein – z.B. durch Konfig für Profis, das Netzwerk zum laufen zu bringen und zu halten.

Auch das ist ein guter Rat. Gibt es neben Unifi noch weitere Hersteller, die für den Einstieg nicht zu schwer sind?

Wäre TP-Link so eine Marke für den Einstieg?

Ok, das probiere ich dann mal.

Jetzt nochmal auf die Situation bezogen mit dem Schränkchen im Flur EG und der 1 LAN-Leitung ins OG, habe ich es jetzt so verstanden:

  1. DSL-Dose

— auf dem Schränkchen im Flur EG —

  1. Modem [Vigor167 - DrayTek]

  2. Firewall: OPNSense (mit Addon: Proxy & Antivirus, DNS/AdGuard, DHCP, NTP) + OpenVPN + Wireguard + IPSec + DynDNS + Netzwerkmonitor [NRG Systems IPU802]

  3. kleine managed Switch [vom selben Hersteller wie WLAN-AP: Unifi, TP-Link, ???]

  • Port 1: Firewall (2.)
  • Port 2: LAN-Kabel ins OG (durch Mauerdurchbruch)
  • Port 3: WLAN-AP (4.)
  • Port 4: Fritzbox 7490 (5.)
  • Port 5: Heizungssteuerung (6.)
  • Port 6: (Reserve)

  1. WLAN-AP [vom selben Hersteller wie WLAN-AP: Unifi, TP-Link, ???]

  2. Fritzbox 7490 (für DECT-Telefonie)

  3. Heizungssteuerung

— im OG Büro —

  1. große managed Switch [vom selben Hersteller wie WLAN-AP: Unifi, TP-Link, ???]
  • Port 1: LAN-Kabel aus dem EG (durch Mauerdurchbruch)
  • Port 2: Barebone (8.)
  • Port 3: NAS
  • Port x: PCs, …
  1. Barebone: überhaupt noch nötig? Wenn dann für die Dienste, die nicht auf der Firewall (2.) laufen sollen. Evtl. einen Netzwerkcontroller, falls nötig.

— im DG —

x. WLAN-AP [vom selben Hersteller wie WLAN-AP: Unifi, TP-Link, ???]

(falls Empfang aus dem EG zu schwach ist)

Und folgende Fragen sind mir noch nicht ganz klar:

a) für die managed Switches und WLAN AP wegen VLAN ist es ratsam, Geräte vom selben Hersteller nehmen. Für einen Anfänger Geräte von Unifi oder TP-Link. Gibt es noch weitere, empfehlenswerte Hersteller oder gar konkrete Gerätevorschläge?

b) Ein Rat war, die OPNSense möglichst standalone auf einer Hardware laufen zu lassen, ein anderer Rat war, diverse Dienste gleich über die OPNSense bzw. Addons zu machen. Was sind sinnvolle Zuordnungen, was auf dem Firewall-Gerät laufen soll und was lagere ich besser in einen Barebone weiter hinten aus?

VG

22

es gibt von so gut wie jedem Hersteller Modelle für Einsteiger, generell ist TP-Link eine Marke die kann von Anfängern bis Profi alles abdecken, selbst Profi Geräte können durchaus von Anfänger genutzt werden, man muss auch nicht immer 100% vom gegebenen umfang nutzen, ich nutze schon Jahre lang TP-Link, die Geräte habe mich noch nie im Stich gelassen, oft nutze ich auch nur einen kleinen Teil der verfügbaren Optionen.

man muss halt das Gerät finden was den benötigten umfang umsetzen kann, Hardware und Software technisch.

da ich mit TP-Link Jahre lang so zufrieden bin kann ich natürlich TP-Link empfehlen

ein Beispiel,

dieses gerät hab ich mir geholt weil ich mehr als 8 Port 2,5G Ports brauchte und nicht mehrere Switch benutzen wollte um alle Geräte an 2,5G anzubinden, das gerät ist ein Enterprise Modell wo ich nur ein Bruchteil von dem funktionsumfang benutze, der Faktor Hardware war mir dabei wichtiger als den riesigen Funktionsumfang, selbst Anfänger soweit sie sich mit gewissen Funktionen wie VLAN auskennen, können mit diesem Model zurecht kommen.

Omada ist ne tolle Sache aber wen ich bei mir zuhause nur 2 oder 3 Geräte habe, brauch ich nicht zwingend die Zentrale Steuerung von allen Geräten, ich finde das macht mehr sinn wen man sehr viele Geräte hat um diese zentral zu steuern, aber bei 2 bis 3 Geräten kann ich auch jedes gerät einzeln einrichten.

wen dir 1G und 8 Port reichen gibt es viele Modell die ausreichend sind z.b.

andere haben vielleicht nur Unifi Geräte und empfehlen diese dann natürlich, wichtig finde ich Preis/Leistung und Kompatibilität mit anderen Hersteller und da ist TP-link mit ganz oben dabei.

wie schon beschrieben, auf der OPNsense kannst du alle relevanten Dienste laufen lasen die Netzwerk bezogen wie DHCP, VLAN, Antivirus und Proxy, DynDNS, NTP-Server, AdGuard, VPN usw. für andere Sachen muss ein anderes gerät her, es ist nun mal eine Firewall und dort sollten keine Dienste laufen die ein Risiko darstellen, dafür hat man ein System wo man VM´s oder Docker Container laufen lassen kann.

1 „Gefällt mir“
23

Im Grund tun die sich bei der WebGUI des Controllers nicht viel mit Unifi, aber für Unifi gibt es mehr Hilfe in Form von Forum, Videos usw. - daher würde ich eher zu denen raten.
TP-Link Omada ist noch nicht so verbreitet.

Mache nicht den Fehler, alles gleichzeitig einrichten zu wolle.
Fang erst mal mit der Grundinstallation, einem LAN und WAN an und schaue, das es läuft, dann weitere Netze ( VLAN ) mit DHCP usw., dann Firewallregeln, später dann Adguard mit Unbound ( zu bevorzugen die Kombi ) und als letztes dann VPN, Monitoring usw.

Die OPNSense ist eine Profi-Firewall, entsprechend sind die Möglichkeit. Die wirst viel lesen und probieren müssen und eine gewaltige Lernkurve habe.

Mein Rat, so hab ich das auch gemacht, installiere die OPNSense erst mal und hänge die hinter deiner Fritzbox, so das die in Internet kommt, dann schliesst du deinen PC an OPNSense-LAN Anschluss und fängt an zu konfigurieren.
Die Konfig ist nicht in 2h gemacht, nehm dir da Zeit für.

Wenn Unifi oder Omada solltest du den Controller nutzen, der vereinfach die Konfiguration gewaltig. Im Falle von Unifi kann der ggf. sogar mit auf der OPNSense laufen, es gibt ein AddOn dafür, für Omada nicht.

Ansonsten passt der Aufbau.

Mein Rat noch:

  • male dir das Netzwerk so auf, wie du es bauen willst.
  • wenn du VLAN einrichten willst, erstelle dir eine Kommunikationsmatrix ( z.b. in Excel ) welche Geräte in welche VLAN sollen und welche VLAN zu welchen VLAN kommunzieren dürfen und welche nicht und welche ins Internet dürfen.
    Auf Blaue los zu konfigurieren geht nach hinten - das garantiere ich dir mit Ansage.

Hier noch ein Lesetip aus den OPNSense-Forum von einem dortigen, erfahrenen User für Umsteiger auf OPNSense, sehr gut zusammengefasst: Link

1 „Gefällt mir“
24

Hallo Andrew, hallo Tuxtom, hallo Forum,

Eure Ratschläge werde ich beherzigen, hatte ich zum Teil auch schon vor, da ich nicht sofort den Endausbau realisieren werde, sondern mit wenigen Geräten erst mal rumtesten, bevor ich das Heimnetzwerk tatsächlich umstelle und mir dann meine Frau auf’s Dach steigt …

Ich dachte zu Beginn als Geräte an eine Firewall, eine 8 Port managed Switch, einen Multi-SSID WLAN Accesspoint und als bereits vorhandenes Testgerät in meinem „Homelab“ mein altes Notebook, vielleicht noch ein Raspberry Pi als weiteres flexibles Testgerät, um prüfen zu können, ob die sich finden oder isoliert sind usw., später auch für Monitoringtests.

Die Auswahl passender Geräte ist schwieriger, als ich dachte. Wenn ich mir als Anfänger die ausführlichen Spezifikationen von Geräten anschaue, um die Geräte zu finden deren Funktionen ich brauche, aber nicht unnötig viel zu bezahlen, sind einige Bezeichnungen relativ klar, eine Reihe von anderen Begriffen aber uneindeutig oder ich habe es nicht erkannt, wofür was ist, trotz Suchmaschinenbefragung.

Sind folgende Zuordnungen der Spezifikationsbeschreibungen zu den Anforderungen richtig?
Legende woher die Beschreibung ist: [UI:] = UniFi, [TP:] = TP Link, [NG:] = Netgear

• Managed Switch
    ◦ Mehrere VLAN über eine managed Switch betreiben
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] Inter-VLAN routing between networks on same switch
            • [TP:] VLAN	Supports up to 32 VLANs simultaneously (out of 4K VLAN IDs)
            • [TP:] WLAN-Sicherheit:	Wireless Isolation Between Clients	(WLAN Accesspoint)
    ◦ Sicherheit und Monitoring allgemein
        ▪ Bezeichnungen aus den Beschreibungen:
            • Verschlüsselungstechnologien wie IPsec oder SSL/TLS
            • Port Mirroring (SPAN) für Logging und Sniffing
                ◦ [UI:] Port mirroring
            • SNMP-Monitoring (SNMP (Simple Network Management Protocol))

• VLAN
    ◦ Ports innerhalb eines VLANs können nicht miteinander kommunizieren [Private VLAN Edge (PVE) bzw. Private VLANs (PVLANs) – Isolated (I)-Ports]
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] Port isolation
            • [UI:] Device isolation with ACLs
    ◦ Allen Arten von Ports können innerhalb eines VLANs miteinander kommunizieren  [Private VLANs (PVLANs) – Promiscuous (P)-Ports]
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] Network isolation with ACLs

• Zugangskontrolle
    ◦ Port Based Network Access Control (Netzwerkzugriffskontrolle)
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] 802.1X control
            • [UI:] MAC address blocking
            • [UI:] Port restricted by MAC
            • [TP:] WLAN-Funktionen:	MAC Authentication		(WLAN Accesspoint)
            • [NG:] MAC address filtering with access control		(WLAN Accesspoint)

• Bandbreite & Traffic beschränken, oder Port bevorzugen können [Quality of Service (QoS)]
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] Egress rate limit
            • [UI:] Advanced QoS:	 	Per-user rate limiting		(WLAN Accesspoint)
            • [TP:] Quality of Service:	Rate Limit
            • [TP:] Quality of Service:	Support 4 priority queues
            • [TP:] WLAN-Funktionen:	QoS(WMM)			(WLAN Accesspoint)
            • [NG:] Bandwidth management				(WLAN Accesspoint)

• Multi-SSID WLAN Accesspoint
    ◦ Aktuelle Verschlüsselung (WPA2- oder WPA3)
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] Wireless security 	WEP, WPA-PSK, WPA-Enterprise (WPA/WPA2, TKIP/AES) 	(WLAN Accesspoint)
            • [NG:] WiFi Protected Access (WPA/WPA2/WPA3), 802.11i	(WLAN Accesspoint)
    ◦ Multi-SSID
        ▪ Bezeichnungen aus den Beschreibungen:
            • [UI:] BSSID: 	Up to 8 per radio			(WLAN Accesspoint)
            • [TP:] WLAN-Funktionen:	Multiple SSIDS:24(8 on each band)	(WLAN Accesspoint)
    ◦ Seamless / Mesh (nahtloser Übergang der WLAN-Geräte zwischen Accesspoints)
        ▪ Bezeichnungen aus den Beschreibungen:
            • [TP:] WLAN-Funktionen:		Mesh		(WLAN Accesspoint)
    ◦ MAC-Adressfilterung (ja / nein) individuell für jede SSID zu konfigurieren
        ▪ Bezeichnungen aus den Beschreibungen:
            • ???

• Mir unklar, aber klingt relevant
    ◦ Bezeichnungen aus den Beschreibungen:
        ▪ [UI:] Static routing between local networks
        ▪ [UI:] MIMO: 2.4 GHz = 2 x 2, 5 GHz = 2 x 2	(WLAN Accesspoint)
        ▪ [UI:] VLAN 	802.1Q				(WLAN Accesspoint)
        ▪ [UI:] Guest traffic isolation 	Supported		(WLAN Accesspoint)
        ▪ [UI:] Concurrent clients 	250+			(WLAN Accesspoint)
        ▪ [TP:] MAC-Adresstabelle 	8k
        ▪ [TP:] WLAN-Sicherheit:	Maximum number of MAC Filter: 4,000	(WLAN Accesspoint)

Falls ich etwas wichtiges noch übersehen habe, bitte gerne darauf hinweisen.

Vielen Dank schon mal für alle Hinweise und Ratschläge!

Quellen für die gesichteten Gerätespezifikation:

25

Hallo nochmal,

wie zwingend benötigt man die Controller-Hardware Unifi CloudKey+ bzw. TP Link OC200?

Erleichter es nur die Konfiguration und das Monitoring, oder ist der Controller zwingend nötig für Betrieb der Switches und WLAN-AP?

26

Controller-Hardware brauchst du garnicht, du kannst die Software auch als VM/LXC unter Proxmox oder auf einem RasPi laufen lassen - ich hab den auch als LXC laufen

Die Hardware macht eher Sinn in großen Umgebungen, aber zuhause nicht.

Der Controller bzw. die Software dient in erster Linie mal dazu, ein zentrale Konfigurationsschnittstelle zu haben, das erleichtert die Einrichtung gewaltig. Bei Unifi bin ich mir gerade garnicht sicher, ob man die AP’s udn Switch überhaupt ohne Netzwerkkontroller konfigurieren kann, bei OMADA geht das, die Geräte haben ne eigene WebGUI.

Ich würde aber davon abraten, das ohne Controller zu machen.

Wenn ich mich nicht gewaltig irr, wird der Controller aber für Roaming bei WLAN benötigt, ich bin gerade aber nicht ganz sicher.

1 „Gefällt mir“
27

Gerade dafür ist der Controller auch in kleineren Umgebungen sinnvoll

1 „Gefällt mir“
28

Danke für Eure Antworten.

Dann muss ich mir nur noch überlegen, ob ich mit meinem künftigen Netzwerk gleich auf 2,5 Gbit setze, oder bei 1 Gbit bleibe.

Bei 1 Gbit ist der preisliche Unterschied zwischen Unifi und TP-Link deutlich.

Unifi ca. 509,- Euro
(Controller: Unifi CloudKey+, Switch: Unifi Standard 24, WLAN: Unifi AC Lite)

TP-Link ca. 245,- Euro
(Controller: TP Link OC200, Switch: TP Link TL-SG2008, WLAN: TP Link EAP245)

Bei 2,5 Gbit liegen beide preislich deutlich näher beieinander.

Unifi ca. 844,- Euro
(Controller: Unifi CloudKey+, Switch: Unifi Pro Max 24, WLAN: Unifi U7 Pro)

TP-Link ca. 771,- Euro
(Controller: TP Link OC200, Switch: TP Link TL-SG3428X-M2, WLAN: TP Link EAP660 HD V2)

Vielleicht gibt es auch noch einen günstigeren Unifi-Controller, da der Unifi CloudKey+ auch für Kameras geeignet ist und eine HDD verbaut hat, was der TP Link OC200 wohl nicht kann, somit etwas höherwertiger ist.

29

Wozu einen Hardware Controller kaufen? Das ist nach meiner meinung für zu hause nicht notwendig, einfach den Software Controller Installieren.

30

Eben, den kann man sich für zuhause schenken, notfalls, wenn keine Proxmox vorhanden, reicht auch locker ein RasPi 3+ dafür

der kleinere wurde aus dem Programm genommen,

31

Danke für Eure Tips und Antworten.

Nach längerem hin und her überlegen, und nachdem ich gemerkt habe, dass meine aktuelle Fritzbox seit 2017 bei mir läuft, kam ich zum Schluss, dass hoffentlich die bessere Hardware auch Richtung 10 Jahre ihren Dienst machen wird, ich somit nicht zu sehr auf meine jetzige Hardwarelandschaft schauen sollte, sondern 10 Jahre nach vorne schauen.

Dort erwarte ich, dass auch im Heimsegment man Wifi 7 Geräte standardmäßig haben wird, und um die Leistung ausnutzen zu können, muss auch das LAN schneller als 1 GBit/s sein.

Da es kaum 5 GBit Geräte gibt, sondern entweder 2,5 oder 10 GBit, habe ich mich für 2,5 GBit entschieden.

Im Hinblick auf mein enges Zeitbudget (ach wie schön war die Studentenzeit …) habe ich mich für UniFi entschieden, womit ich (hoffentlich) schneller ein funktionierendes und besser strukturiertes Heimnetzwerk hin bekommen, dafür aber auf die eine oder andere Spezialfunktion, die mit TPLink machbar wäre, vorerst verzichten muss.

Bestellt sind eine managed Switch Unifi Pro Max 24, ein U7-PRO Wifi-7 Access-Point, zwei Raspberry Pi (einen für die Controller-Software und später weitere Dienste), den von Dennis empfohlenen Barebone HUNSN RJ42 für die Firewall, und als NAS eine Synology DS923+ mit 10GBit-Erweiterungskarte.

Damit werde ich hinter meiner Fritzbox zunächst ein „Testlab“ erstellen, lernen und wenn ich glaube, fit genug zu sein, dann das Heimnetzwerk umstellen und die Fritzbox dann nur noch für DECT-Telefonie benutzen.

Aber das ist noch ein längerer Weg, ich bin sicher, dafür werden noch weitere Fragen ans Forum folgen.

Vielen Dank nochmal an alle, die in meinem Thread geschrieben haben und bis vermutlich bald im nächsten Beitrag …