Dein Video kommt gerade Recht, das Cloud Gateway Ultra liegt schon eine Weile bereit, allerdings habe ich vor dem Umstieg von der Fritzbox auf Unifi noch etwas Bammel,aus Angst, dass dann erstmal gar nichts mehr geht. Vielleicht kannst Du mal ein Video machen, wie man das Schritt für Schritt möglichst schmerzarm erledigen kann.
Vielen Dank für das Tutorial! Konnte wieder viel dazu lernen. Jedoch habe ich eine Frage, dein Gateway "Default" ist doch 192.168.1.1, bei Minute 23:31 hast du aber 192.168.0.1 eingetragen?
Hallo, Das Video ist super gemacht, danke dafür. Aber zur Info sei gesagt das wenn man preshared Key nutzt, das zwar eine schöne Sache ist. Aber dann nur noch reines WPA2 zur Verfügung steht was garnicht mehr sicher ist. Mit WPA3 kann man das wiederum nicht machen. Ausserdem stellt Unifi gerade eine neue Early Access zur Verfügung wo die Zonenbasierte Firewall implementiert ist, und wohl kurz über lang dann wohl Offiziell ausgerollt wird. Diese Firewallregeln sind dan wieder ganz anders.
Danke für den Hinweis bzgl. preshared Key und WPA2/3. Die zonenbasierte Firewwall erfordert ein wenig Umdenken, vor allem vorher selbst erstellte Regeln werden nicht immer korrekt konvertiert. Zudem gibt es noch einige Bugs in der Early Access wie "... wurde von gelöscht firewall-regel am Zugriff auf xxx gehindert."
Sehr gutes Video! Danke! Eine Verständnisfrage habe ich allerdings: Wenn ich diverse VLANs wie im Video dargestellt erstelle und keinerlei Firewall Regeln definiere, dann können alle Geräte weiterhin miteinander kommunizieren? Sie werden nur im jeweils zugewiesenen Netzwerk dargestellt, verhalten sich in der Kommunikation aber als wären Sie alle im selben Netzwerk und erst mit den Firewall Regeln werden Begrenzungen eingeführt? Ich war bislang davon ausgegangen, dass mit einer Zuweisung zu unterschiedlichen VLANs bereits eine gewisse Trennung bzw. Sperrung der Kommunikation untereinander geschieht?
Bezüglich Traffic Rules sollte noch erwähnt werden, dass diese (annähernd) zuverlässig nur per IPv4 (IPv4 only) funktionieren, im Dual-Stack (IPv4+IPv6, egal ob öffentlich IPv4 oder CGNAT) nahezu gar nicht. Ebenso funktioniert auch die Traffic Identification im Dual-Stack nicht zuverlässig (Stand: vor Network EA v9.x). Wie es mit der aktuellen EA Version (v9.x) von Network aussieht, will ich selbst erst noch testen.
Nachteil beim Pre Shared Key, verbinde ich mit dem iPhone im Gast-Netzwerk und mit dem Laptop im Default-Netzwerk dann passt alles. Ist das iPhone mal ausserhalb vom Wlan und verbindet sich wieder mit dem Wlan dann bekommt es den Key vom Default-Netzwerk. Da habe ich noch keine Lösung. Die IP´s wie 192,168,20,1 ...80,1 usw. würde ich mit in die Liste nehmen, sonst kommt man vom Gastnetzwerk trotzdem auf die Login Seite. IP Adressen kann man in Einstellungen, Profile, in IP Gruppen zusammenfügen und dann das Gateway blockieren. Müssen unbedingt die Ports bei den IP´s angegeben werden? Leider ist das Thema DNS Shield Vordefiniert nicht erklärt worden. Finde im Netz keine Infos dazu. Ansonsten sind ein paar sehr gute Infos dabei. Danke. Seltsam, der Kommentar wurde schon ein paar mal gelöscht?!
Wäre so auch eine DMZ denkbar, wenn ich eine eigene Webseite hosten wollte oder eine Kamera vom Internet erreichbar machen will? Eine Route direkt in ein VLAN welches keinen weiteren Zugriff auf das restliche Netzwerk erlaubt?
Würde ich generell auch in (jeweils eigene) VLANs verfrachten und Kameras NIEMALS vom Internet erreichbar machen. Wenn die Webseite öffentlich erreichbar sein soll, dann mit Port forwarding, nur privat stets per VPN. In eine DMZ würde ich nur einen Honeypot/Tarpit betreiben.
@@Lonaril Hallo, danke für die Info, Kamera nicht öffentlich machen ... da ist sowas wie eine Webcam drunter zu verstehen, also nix was Personen zeigt oder Rückschlüsse auf den Ort zulässt. (Stallkamera ;-) Mir geht es eher darum, dass jemand der den Link und die Zugangskontrolle überwindet nicht auf das übrige Netz zugreifen kann.
@@user1491 Achso, eine Live-Cam (Webcam ist eher ein veralteter Begriff für solchen Zweck), also bewusst. Würde ich dennoch in ein eigenes VLAN hängen, als in eine DMZ.
![Schluss mit HomeMatic - Meine Gründe! | verdrahtet.info [4K]](http://i.ytimg.com/vi/D5lYX08XdqY/mqdefault.jpg)
Dein Video kommt gerade Recht, das Cloud Gateway Ultra liegt schon eine Weile bereit, allerdings habe ich vor dem Umstieg von der Fritzbox auf Unifi noch etwas Bammel,aus Angst, dass dann erstmal gar nichts mehr geht. Vielleicht kannst Du mal ein Video machen, wie man das Schritt für Schritt möglichst schmerzarm erledigen kann.
gutes Video👍
Vielen Dank für das Tutorial!
Konnte wieder viel dazu lernen.
Jedoch habe ich eine Frage, dein Gateway "Default" ist doch 192.168.1.1, bei Minute 23:31 hast du aber 192.168.0.1 eingetragen?
Hallo, Das Video ist super gemacht, danke dafür. Aber zur Info sei gesagt das wenn man preshared Key nutzt, das zwar eine schöne Sache ist. Aber dann nur noch reines WPA2 zur Verfügung steht was garnicht mehr sicher ist. Mit WPA3 kann man das wiederum nicht machen. Ausserdem stellt Unifi gerade eine neue Early Access zur Verfügung wo die Zonenbasierte Firewall implementiert ist, und wohl kurz über lang dann wohl Offiziell ausgerollt wird. Diese Firewallregeln sind dan wieder ganz anders.
Danke für den Hinweis bzgl. preshared Key und WPA2/3.
Die zonenbasierte Firewwall erfordert ein wenig Umdenken, vor allem vorher selbst erstellte Regeln werden nicht immer korrekt konvertiert. Zudem gibt es noch einige Bugs in der Early Access wie "... wurde von gelöscht firewall-regel am Zugriff auf xxx gehindert."
Sehr gutes Video! Danke! Eine Verständnisfrage habe ich allerdings: Wenn ich diverse VLANs wie im Video dargestellt erstelle und keinerlei Firewall Regeln definiere, dann können alle Geräte weiterhin miteinander kommunizieren? Sie werden nur im jeweils zugewiesenen Netzwerk dargestellt, verhalten sich in der Kommunikation aber als wären Sie alle im selben Netzwerk und erst mit den Firewall Regeln werden Begrenzungen eingeführt? Ich war bislang davon ausgegangen, dass mit einer Zuweisung zu unterschiedlichen VLANs bereits eine gewisse Trennung bzw. Sperrung der Kommunikation untereinander geschieht?
Ja genau.
Bezüglich Traffic Rules sollte noch erwähnt werden, dass diese (annähernd) zuverlässig nur per IPv4 (IPv4 only) funktionieren, im Dual-Stack (IPv4+IPv6, egal ob öffentlich IPv4 oder CGNAT) nahezu gar nicht. Ebenso funktioniert auch die Traffic Identification im Dual-Stack nicht zuverlässig (Stand: vor Network EA v9.x). Wie es mit der aktuellen EA Version (v9.x) von Network aussieht, will ich selbst erst noch testen.
Danke für den Tipp mit den Preshared Keys, dann kann ich meine 5 WiFi’s wieder einstampfen 😂
Gerne 😁
Nachteil beim Pre Shared Key, verbinde ich mit dem iPhone im Gast-Netzwerk und mit dem Laptop im Default-Netzwerk dann passt alles. Ist das iPhone mal ausserhalb vom Wlan und verbindet sich wieder mit dem Wlan dann bekommt es den Key vom Default-Netzwerk. Da habe ich noch keine Lösung.
Die IP´s wie 192,168,20,1 ...80,1 usw. würde ich mit in die Liste nehmen, sonst kommt man vom Gastnetzwerk trotzdem auf die Login Seite.
IP Adressen kann man in Einstellungen, Profile, in IP Gruppen zusammenfügen und dann das Gateway blockieren.
Müssen unbedingt die Ports bei den IP´s angegeben werden?
Leider ist das Thema DNS Shield Vordefiniert nicht erklärt worden. Finde im Netz keine Infos dazu.
Ansonsten sind ein paar sehr gute Infos dabei. Danke.
Seltsam, der Kommentar wurde schon ein paar mal gelöscht?!
Danke für deinen Kommentar und Hinweis. 👍
Wäre so auch eine DMZ denkbar, wenn ich eine eigene Webseite hosten wollte oder eine Kamera vom Internet erreichbar machen will? Eine Route direkt in ein VLAN welches keinen weiteren Zugriff auf das restliche Netzwerk erlaubt?
Würde ich generell auch in (jeweils eigene) VLANs verfrachten und Kameras NIEMALS vom Internet erreichbar machen. Wenn die Webseite öffentlich erreichbar sein soll, dann mit Port forwarding, nur privat stets per VPN. In eine DMZ würde ich nur einen Honeypot/Tarpit betreiben.
@@Lonaril Hallo, danke für die Info, Kamera nicht öffentlich machen ... da ist sowas wie eine Webcam drunter zu verstehen, also nix was Personen zeigt oder Rückschlüsse auf den Ort zulässt. (Stallkamera ;-) Mir geht es eher darum, dass jemand der den Link und die Zugangskontrolle überwindet nicht auf das übrige Netz zugreifen kann.
@@user1491 Achso, eine Live-Cam (Webcam ist eher ein veralteter Begriff für solchen Zweck), also bewusst. Würde ich dennoch in ein eigenes VLAN hängen, als in eine DMZ.