Interessant, Danke! Jetzt wäre noch spannend, wie die einzelnen Trafficregeln in Unify eingerichtet werden für dieses Beispiel. Das ist nämlich dann wirklich komplex! Wäre klasse, wenn es dazu dann ein ausführliches Video gibt!
Danke für das Video. War für mich schon mal der richtige Ansatz. Schön wäre es, wenn du im nächsten Schritt ein wenig in die Tiefe gehst(Konfiguration). Wenn ich z.B. meine Kameras im eigenen VLAN habe, wie komme ich von meinem Managementnetz an die Kameras? Umgekehrt, wie verhindere ich, dass die z.B. Kameras auf ein anderes VLAN zugreifen können? Ansonsten hast du genau meinen Geschmack getroffen. Mach weiter so.
Danke für das Video, hast du dir gut überlegt, aber warum der Drucker 'kein Sicherheitsrisiko' ist verstehe ich beim besten Willen nicht - zumindest ausgehend von meinem HP ;-). ich würde den in iot oder smarthome packen, da du ja einstellen kannst das main und vielleicht die kinder eben auf dieses immer zugreifen können.
Vielen Dank 👍und ja, ich habe das Thema Drucker (da sind auch noch 2-3 andere Punkte) noch nicht ganz zu Ende gedacht. Grundsätzlich war erstmal der Gedanke das Gerät wie dargestellt in die Infrastruktur zu packen. Aber Du hast natürlich Recht, am Ende ist es auch eines der Geräte die im Zweifel zu einem Einfallstor werden können. Die Zugriffseinstellungen für z.B. IoT wären da eigentlich nicht anders als im Defaultnetz. Ich habe jetzt ja schon regeln definiert wer auf den Drucker zugreifen darf... Diese müssten ja nur in ein anderes VLAN verweisen...
Und wie läuft das wenn meine SmartHome Zentrale z.b. iobrocker zugriff auf meine kameras haben soll. Können die vlans untereinander den "sprechen"? Und wie ? Lg ps. Danke für das Video. Weiter so....
Vielen Dank 👍- Ja es gibt die generelle Möglichkeit das über "Firewall" Regeln bzw. bei UniFi gibt es da noch die etwas vereinfachten Traffic Regeln zu lösen. Darüber kann man recht gut definieren welches Gerät z.B. auf Deine Kameras zugreifen darf aber nicht umgekehrt.
Das hast du ja sehr professionell bei dir aufgebaut, fast schon wie in einem Unternehmen - Respekt. Was mich aber interessieren würde ist, wenn du mal nicht verfügbar bist und etwas funktioniert nicht, blickt da noch jemand anderer durch und kann toubleshooten ? Bei mir wäre der "Woman Acceptance Factor" (WAF) bei so einem Konstrukt weit unter Null. Unternehmen haben ja IT-Abteilungen, die sich um sowas kümmern, wenn was nicht läuft.
Vielen Dank 👍 Ja ich muss gestehen, das mit dem Durchblick für andere in der Familie ist etwas schwierig. Ich habe die Hoffnung, das unser Sohn da beizeiten hilft. Aber man kann auch durchaus präventive Maßnahmen ergreifen wie z.B. keine automatischen Updates. Damit vermeidet man schon gut 50% aller bösen Überraschungen. Aber der WAF wäre auch bei einer einfacheren Installation mit FritzBox nur solange vorhanden wie keine Fehler auftreten... 🤷♂️
Danke für das Video, ich habe es bei mir ähnlich aufgesetzt. Was ich anders gemacht habe, ist z.B. das Default LAN. Hier kommt eigentlich nichts rein, auch nehme ich die VLAN ID 1 aus meinen Trunks raus. Der ganze Datenverkehr läuft nur tagged. Die Verwaltung von Geräten wie Switche, APs usw. läuft über ein separates Management VLAN, wo nur von einer Admin Station/VLAN zugegriffen werden kann. Das "Extern" VLAN ist bei mir das DMZ VLAN wo Server drinnen stehen, die man von Außen braucht, bzw. "Frontend" Server die dann dedizierte Punkt zu Punkt Verbindungen in andere VLANs herstellen
Vielen Dank für Deine Rückmeldung 👍 Vielleicht schwenke ich nochmal ein wenig um auf Deine Idee, die ich recht gut finde nur mit VLANs zu arbeiten, die Infrastruktur in ein "echtes" Management VLAN zu überführen und das Default LAN bis auf das Gateway leer zu lassen. - Da muss ich nochmal drüber nachdenken 😊
Kleiner Verbesserungsvorschlag: Das Default VLAN sollte eher in eine DMZ oder eine Quarantäne münden. Das default VLAN hat ja den Sinn, das dort Geräte landen die nix mit VLAN's anfangen können oder noch nicht konfiguriert sind und die sollten dann besser nicht zwischen den Servern und Management Interfaces der Netzkomponenzen landen. Gerade die gehören ja bestens abgesichert. Zugegeben, ist eher ein Thema im LAN, als im WLAN aber es minimiert Fehler und wer weiß wohin sich das Netz noch entwickelt...
Default Vlan, als Vlan 1 sollte an keinem Port anliegen, da es Vlan hopping ermöglicht. DMZ ist ein Bereich der von außen erreichbar ist, z.b für Dienste die aus dem Internet erreichbar sein sollen.
Vielen Dank 👍 Ja ich denke ich werde das Default LAN in Quarantäne schicken und ein separates Management VLAN aufsetzen in das die Infrastruktur Komponenten gehören.
Sehr gut. Bei mir ist das noch etwas stiefmütterlich. Ich habe nur Gast-WLAN, der Rest ist in einem Netz. Ich habe auch nur eine FB 7590 und glaube nicht, dass ich das mit der so umsetzen kann. Wichtig zu erwähnen finde ich aber, für Nicht-Gast-WLANs auch immer den MAC-Filter zu aktivieren, denn mit den Smartphones ist es zu einfach, die Zugangsdaten weiterzugeben. Dann hat man z.B. bei der FB noch die Option, alle Gast-Geräte zu isolieren, dass die auch nicht untereinander sprechen dürfen. Das finde ich auch wichtig. Beim Haupt VLAN müsste man noch einstellen können, dass das auf die anderen VLANs routen darf, aber nicht umgekehrt. Jetzt brauche ich nur noch passende Hardware, ein VLAN-Switch mit Access Point oder sowas. Kannst du da was empfehlen?
Vielen Dank für Deine Rückmeldung. 👍 Ich habe vor einigen Monaten unser Netzwerk komplett auf UniFi umgestellt. Die FB nutze ich nur noch als Telefonzentrale hinter einem UniFi Gateway. Mit einer FB als Hauptrouter dürften VLAN nur schwer umsetzbar sein. Soweit ich das kenne hat die FB nur ein Default und ein Gast Netzwerk. Das war mit ein Grund die FB auszuphasen.
Vielen Dank! Ich stehe an der Schwelle, von der Fritzbox auf UNIFi-Gateway zu wechseln, habe aber Befürchtungen, dass in der Umstellungsphase einiges nicht läuft und der gesamte Datenverkehr (zeitweilig) zusammenbricht. Wie könnte man schrittweise oder geräteweise umsteigen? Das heißt, beide Netze laufen parallel und ich übernehme einzelne Geräte vom alten Netz un das neue. Dazu ein Video wäre sehr hilfreich.
Hallo, grob habe ich das schon mal in dem Video th-cam.com/video/So9CBbGXDZU/w-d-xo.html beschrieben wie man einen Umstieg von der FritzBox zum UniFi Gateway hinbekommt. Meine Empfehlung lautet da, das Unifi Gateway in das Netzwerk der FB einzubinden, entsprechend zu konfigurieren und dann stückweise umzuziehen. Zum Schluss hängt man dann das Unifi Gateway an den DSL oder GF Anschluss. Danach sind noch ein paar Anpassarbeiten zu machen, ganz übergangslos geht es leider nicht, aber dann sollte es laufen. Mit vernünftiger Vorbereitung ist das gut zu schaffen 😊
Wie können deine Kinder Drucken oder ihre Daten auf der NAS sichern? Schade das die FritzBox VLans nicht kann und langfristig auch nicht können wird. Somit sind deutlich mehr Geräte (switch gatway accesspoint) die dann auch Strom ziehen um das um zu setzen. Leider hat unifi und co kein all in one Gerät.
Das mache ich über Traffic Regeln. Unser Sohn kann damit aus seinem VLAN mit zugelassenen Geräten z.B. auf den Drucker zugreifen oder aber auch auf seinen Speicherbereich auf dem NAS. Ja, das war mit einer der Gründe auf UniFi zu gehen. Klar es sind mehr Geräte und der Aufwand wird etwas größer, aber man gewinnt auch eine ganze menge an Flexibilität und kann sich sein Netzwerk individuell gestalten. Beim Stromverbrauch kann ich Dich beruhigen, der liegt üblicherweise bei den Komponenten im unteren einstelligen Wattbereich.
Ich muss gestehen, dass ich mit den Pre Shared Keys nicht so wirklich auskenne 🤷♂️ Muss ich mich bei Zeiten mal mit beschäftigen. Danke für den Hinweis
@@hausundtechnikKann man bei Unify auch einzelnen Devices eine eigene PPSK geben? Wenn ja, dann könnte man die ja auch nach belieben wieder entziehen und so einzelne Geräte / User rauswerfen. PPSKs haben auch den Vorteil, dass sie den Overhead im WLAN nicht so aufblasen. OK, das ist im Heimnetz aber eine eher akademische Diskussion.
@@andreaskoch7480 Ich bin mit den PPSK noch nicht so vertraut, aber grundsätzlich bietet UniFi das an. Der Punkt wäre allerdings, daß ich ja die unterschiedlichen SSID habe um Geräte voneinander zu trennen und nicht nur um separate WLAN Passwörter zu haben... Ich glaube da muss ich tiefer eintauchen. 👍
![HmIP-HCU1 - Lohnt sich die neue 299Euro teure Zentrale??? | verdrahtet.info [4K]](http://i.ytimg.com/vi/ruPgvFHf5nU/mqdefault.jpg)
Interessant, Danke! Jetzt wäre noch spannend, wie die einzelnen Trafficregeln in Unify eingerichtet werden für dieses Beispiel. Das ist nämlich dann wirklich komplex! Wäre klasse, wenn es dazu dann ein ausführliches Video gibt!
Vielen Dank und ja das Thema Traffic Regeln habe ich noch auf meiner ToDo Liste stehen 🙂
Perfekt auf das Video freue ich mich schon.
Klasse Video mach weiter so.
Danke für das Video. War für mich schon mal der richtige Ansatz. Schön wäre es, wenn du im nächsten Schritt ein wenig in die Tiefe gehst(Konfiguration). Wenn ich z.B. meine Kameras im eigenen VLAN habe, wie komme ich von meinem Managementnetz an die Kameras? Umgekehrt, wie verhindere ich, dass die z.B. Kameras auf ein anderes VLAN zugreifen können? Ansonsten hast du genau meinen Geschmack getroffen. Mach weiter so.
Vielen Dank 👍 Ja ein Video zu entsprechenden Traffic Regeln steht noch auf meiner Todo Liste.
Danke für das Video, hast du dir gut überlegt, aber warum der Drucker 'kein Sicherheitsrisiko' ist verstehe ich beim besten Willen nicht - zumindest ausgehend von meinem HP ;-). ich würde den in iot oder smarthome packen, da du ja einstellen kannst das main und vielleicht die kinder eben auf dieses immer zugreifen können.
Vielen Dank 👍und ja, ich habe das Thema Drucker (da sind auch noch 2-3 andere Punkte) noch nicht ganz zu Ende gedacht. Grundsätzlich war erstmal der Gedanke das Gerät wie dargestellt in die Infrastruktur zu packen. Aber Du hast natürlich Recht, am Ende ist es auch eines der Geräte die im Zweifel zu einem Einfallstor werden können.
Die Zugriffseinstellungen für z.B. IoT wären da eigentlich nicht anders als im Defaultnetz. Ich habe jetzt ja schon regeln definiert wer auf den Drucker zugreifen darf... Diese müssten ja nur in ein anderes VLAN verweisen...
Und wie läuft das wenn meine SmartHome Zentrale z.b. iobrocker zugriff auf meine kameras haben soll. Können die vlans untereinander den "sprechen"? Und wie ? Lg ps. Danke für das Video. Weiter so....
Vielen Dank 👍- Ja es gibt die generelle Möglichkeit das über "Firewall" Regeln bzw. bei UniFi gibt es da noch die etwas vereinfachten Traffic Regeln zu lösen. Darüber kann man recht gut definieren welches Gerät z.B. auf Deine Kameras zugreifen darf aber nicht umgekehrt.
Das hast du ja sehr professionell bei dir aufgebaut, fast schon wie in einem Unternehmen - Respekt.
Was mich aber interessieren würde ist, wenn du mal nicht verfügbar bist und etwas funktioniert nicht, blickt da noch jemand anderer durch und kann toubleshooten ?
Bei mir wäre der "Woman Acceptance Factor" (WAF) bei so einem Konstrukt weit unter Null. Unternehmen haben ja IT-Abteilungen, die sich um sowas kümmern, wenn was nicht läuft.
Vielen Dank 👍
Ja ich muss gestehen, das mit dem Durchblick für andere in der Familie ist etwas schwierig. Ich habe die Hoffnung, das unser Sohn da beizeiten hilft.
Aber man kann auch durchaus präventive Maßnahmen ergreifen wie z.B. keine automatischen Updates. Damit vermeidet man schon gut 50% aller bösen Überraschungen. Aber der WAF wäre auch bei einer einfacheren Installation mit FritzBox nur solange vorhanden wie keine Fehler auftreten... 🤷♂️
Danke für das Video, ich habe es bei mir ähnlich aufgesetzt. Was ich anders gemacht habe, ist z.B. das Default LAN. Hier kommt eigentlich nichts rein, auch nehme ich die VLAN ID 1 aus meinen Trunks raus. Der ganze Datenverkehr läuft nur tagged. Die Verwaltung von Geräten wie Switche, APs usw. läuft über ein separates Management VLAN, wo nur von einer Admin Station/VLAN zugegriffen werden kann. Das "Extern" VLAN ist bei mir das DMZ VLAN wo Server drinnen stehen, die man von Außen braucht, bzw. "Frontend" Server die dann dedizierte Punkt zu Punkt Verbindungen in andere VLANs herstellen
Vielen Dank für Deine Rückmeldung 👍 Vielleicht schwenke ich nochmal ein wenig um auf Deine Idee, die ich recht gut finde nur mit VLANs zu arbeiten, die Infrastruktur in ein "echtes" Management VLAN zu überführen und das Default LAN bis auf das Gateway leer zu lassen. - Da muss ich nochmal drüber nachdenken 😊
Kleiner Verbesserungsvorschlag: Das Default VLAN sollte eher in eine DMZ oder eine Quarantäne münden. Das default VLAN hat ja den Sinn, das dort Geräte landen die nix mit VLAN's anfangen können oder noch nicht konfiguriert sind und die sollten dann besser nicht zwischen den Servern und Management Interfaces der Netzkomponenzen landen. Gerade die gehören ja bestens abgesichert.
Zugegeben, ist eher ein Thema im LAN, als im WLAN aber es minimiert Fehler und wer weiß wohin sich das Netz noch entwickelt...
Default Vlan, als Vlan 1 sollte an keinem Port anliegen, da es Vlan hopping ermöglicht. DMZ ist ein Bereich der von außen erreichbar ist, z.b für Dienste die aus dem Internet erreichbar sein sollen.
Vielen Dank 👍 Ja ich denke ich werde das Default LAN in Quarantäne schicken und ein separates Management VLAN aufsetzen in das die Infrastruktur Komponenten gehören.
Sehr gut. Bei mir ist das noch etwas stiefmütterlich. Ich habe nur Gast-WLAN, der Rest ist in einem Netz. Ich habe auch nur eine FB 7590 und glaube nicht, dass ich das mit der so umsetzen kann. Wichtig zu erwähnen finde ich aber, für Nicht-Gast-WLANs auch immer den MAC-Filter zu aktivieren, denn mit den Smartphones ist es zu einfach, die Zugangsdaten weiterzugeben. Dann hat man z.B. bei der FB noch die Option, alle Gast-Geräte zu isolieren, dass die auch nicht untereinander sprechen dürfen. Das finde ich auch wichtig. Beim Haupt VLAN müsste man noch einstellen können, dass das auf die anderen VLANs routen darf, aber nicht umgekehrt. Jetzt brauche ich nur noch passende Hardware, ein VLAN-Switch mit Access Point oder sowas. Kannst du da was empfehlen?
Vielen Dank für Deine Rückmeldung. 👍 Ich habe vor einigen Monaten unser Netzwerk komplett auf UniFi umgestellt. Die FB nutze ich nur noch als Telefonzentrale hinter einem UniFi Gateway. Mit einer FB als Hauptrouter dürften VLAN nur schwer umsetzbar sein. Soweit ich das kenne hat die FB nur ein Default und ein Gast Netzwerk. Das war mit ein Grund die FB auszuphasen.
Vielen Dank! Ich stehe an der Schwelle, von der Fritzbox auf UNIFi-Gateway zu wechseln, habe aber Befürchtungen, dass in der Umstellungsphase einiges nicht läuft und der gesamte Datenverkehr (zeitweilig) zusammenbricht. Wie könnte man schrittweise oder geräteweise umsteigen? Das heißt, beide Netze laufen parallel und ich übernehme einzelne Geräte vom alten Netz un das neue. Dazu ein Video wäre sehr hilfreich.
Hallo,
grob habe ich das schon mal in dem Video th-cam.com/video/So9CBbGXDZU/w-d-xo.html beschrieben wie man einen Umstieg von der FritzBox zum UniFi Gateway hinbekommt.
Meine Empfehlung lautet da, das Unifi Gateway in das Netzwerk der FB einzubinden, entsprechend zu konfigurieren und dann stückweise umzuziehen. Zum Schluss hängt man dann das Unifi Gateway an den DSL oder GF Anschluss. Danach sind noch ein paar Anpassarbeiten zu machen, ganz übergangslos geht es leider nicht, aber dann sollte es laufen.
Mit vernünftiger Vorbereitung ist das gut zu schaffen 😊
Wie können deine Kinder Drucken oder ihre Daten auf der NAS sichern?
Schade das die FritzBox VLans nicht kann und langfristig auch nicht können wird.
Somit sind deutlich mehr Geräte (switch gatway accesspoint) die dann auch Strom ziehen um das um zu setzen.
Leider hat unifi und co kein all in one Gerät.
Das mache ich über Traffic Regeln. Unser Sohn kann damit aus seinem VLAN mit zugelassenen Geräten z.B. auf den Drucker zugreifen oder aber auch auf seinen Speicherbereich auf dem NAS.
Ja, das war mit einer der Gründe auf UniFi zu gehen. Klar es sind mehr Geräte und der Aufwand wird etwas größer, aber man gewinnt auch eine ganze menge an Flexibilität und kann sich sein Netzwerk individuell gestalten. Beim Stromverbrauch kann ich Dich beruhigen, der liegt üblicherweise bei den Komponenten im unteren einstelligen Wattbereich.
Warum arbeitest du bei den WLANS nicht mit "Private Pre-Shared Keys" ? Anstelle der ganzen SSIDS
Ich muss gestehen, dass ich mit den Pre Shared Keys nicht so wirklich auskenne 🤷♂️ Muss ich mich bei Zeiten mal mit beschäftigen. Danke für den Hinweis
@@hausundtechnikKann man bei Unify auch einzelnen Devices eine eigene PPSK geben? Wenn ja, dann könnte man die ja auch nach belieben wieder entziehen und so einzelne Geräte / User rauswerfen.
PPSKs haben auch den Vorteil, dass sie den Overhead im WLAN nicht so aufblasen. OK, das ist im Heimnetz aber eine eher akademische Diskussion.
@@andreaskoch7480 Ich bin mit den PPSK noch nicht so vertraut, aber grundsätzlich bietet UniFi das an. Der Punkt wäre allerdings, daß ich ja die unterschiedlichen SSID habe um Geräte voneinander zu trennen und nicht nur um separate WLAN Passwörter zu haben... Ich glaube da muss ich tiefer eintauchen. 👍