Beiträge von senderversteller

  • Umstieg Fritz!Box zu Uniquiti - Überlegungen & Planung

    Hier habe ich meine Freude über die neue Hardware ja schon geteilt... aber ich brauche bitte die Unterstützung von allen denen, die bereits UniFi Router im Einsatz haben.

    Kurz zu meinem Thema:
    Bei mir sind aktuell mein Haushalt (FRITZ!Box 7590AX) mit den Haushalten meiner Eltern (FRTIZ!Box 5590 Fiber) und meiner Schwiegereltern (FRITZ!Box 7490) über VPN Site-to-Site per IPsec verbunden. Das ist sehr stabil und funktioniert einwandfrei.

    Das soll natürlich nach dem Umstieg zur Dream Machine genauso gut und stabil funktionieren. Hat da jemand Erfahrung mit so einer Konfiguration UDM-Pro <-> VPN mit IPsec(S2S) <-> FRITZ!Box in Hinblick auf Stabilität, Speed, Einschränkungen, etc.? Ich habe ChatGPT mal befragt, und das Ergebnis ist, dass es zwar grundsätzlich geht, aber nicht ganz so smooth wie bisher, da die IPsec Konfiguration auf den FRITZ!Boxen sehr beschränkt ist. Der Tunnel ist nicht so "robust" insbesondere bei Reconnect, hängt oder wird garnicht aufbaut. Grund dafür ist, dass die FRTIZ!Box dazu zwingt alte IPsec Standards (IKEv1) einzusetzen... WireGuard S2S fällt sowieso raus, weil die FB das nicht kann... hört sich nicht ganz so doll an, was die KI ausspuckt, wenn man auf stabile VPN Verbindungen setzt. Aber KI erzählt auch viel Mist.

    Also habe ich zwei Fragen:

    1. Hat jemand von den Usern mit UniFi Hardware konkrete Erfahrung bei S2S mit FRITZ!Boxen?
    2. Wäre jemand bereit, das mit mir mal auszuprobieren wie es funktioniert? Also meine FRITZ!Box mit seiner Dream Machine bzw. Cloud Gateway im VPN zu verbinden? Ich stelle mir da eine Facetime Session (oder auch Teams) vor, wo man das mal zusammen einrichtet und eine gewisse Zeit testet (Transferraten, Stabilität, etc.). Danach kann man das alles wieder zurück bauen. Sind ja einige hier, die passende Router haben... BenSisko  djiwondee  DucatistiPS  @PurpleWildflower90 
      Ich möchte das machen, bevor ich die ganzen Pakete hier aufpacke und mein ganzes Netzwerk auseinander nehmen... einfach weil die VPN Sache für mich wichtig ist, dass es gut funktioniert.

  • Ich hab was Neues

    Das ist bisschen wie an Weihnachten… im UniFi Universum angekommen.

    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

  • Umstieg Fritz!Box zu Uniquiti - Überlegungen & Planung

    Am meisten Kopfschmerzen macht mir der Anschluss der Glasfaser (Telekom) direkt an der UDM-Pro.

    Dazu muss erstmal ein Techniker kommen und meinen Klapp-TA zu einem aktuellen GF-TA umbauen, wo ich ein Glasfaserkabel mit Stecker (grüner LC Stecker) selbst stecken könnte. Aktuell gibt es keine mögliche Trennstelle von der ins Haus eingehenden Faser bis ins Telekom ONT Modem (das kommt ja weg).

    Anschließend das Anlernen des Zyxel SFP Modul als Modem. Dazu muss der Anschluss im System der Telekom erstmal modernisiert werden (GBGS = Gigabit Geschäftssystem).

    Ich hoffe ich setze unsere Anschluss damit nicht für längere Zeit offline… meine Familie jagt mich in die Wüste.

    Und dann hoffe ich, dass das Setup genauso stabil läuft wie bisher.

    Drückt mir die Daumen.

    Andy ich werde berichten, falls du das auch so oder so ähnlich vor hast.

  • Umstieg Fritz!Box zu Uniquiti - Überlegungen & Planung

    Ich hab's getan :saint:

    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Außerdem, ums gleich richtig zu machen, Fiber to the Router: Passendes SFP Modul für die UDM-Pro am Telekom GPON Anschluss.
    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Nachdem ich beim Switch etwas höher als ursprünglich geplant ins Regal gegriffen habe, wurde es "nur" die UDM-Pro und nicht die UDM-SE; denn ich brauche dann kein PoE am Router und der 2,5Gbits RJ45 WAN Port wäre auch für die Katz, weil die Glasfaser gleich an den Router kommt.

    Dafür hab ich mir die Etherlightning Patch Cable gegönnt, um den das bunte Lichtspektakel genießen zu können. Wenn eskalieren, dann macht dies das Kraut auch nicht fett 8o

  • Netzwerk sinnvoll segmentieren

    Zitat von djiwondee

    Schon klar, dass Du die FritzBox raushaben willst...

    Würde sagen, dass ich ambitionierter Netzwerkbastler bin 😆 Aber viel mehr Ahnung habe ich davon auch nicht - und staune immer wieder was so Leute wie Dennis Schröder und Co. alles machen. Aber ich hab sowas auch nie wirklich gelernt.

    Ich werde, wenn ich mich durchgerungen habe auf den großen "Bestellen"-Knopf für die UniFi Hardware zu klicken (ca. 1000 EUR), erstmal klein mit einem VLAN anfangen - und dann nach und nach das Ausbauen/Segmentieren. Nur um nicht sofort alles zu wollen und dann nur gefrustet zu sein, weil gar nix mehr geht.

    Thema Pi-Hole/Unbound: Ich betreibe Unbound nicht als Resolver, sondern gleich im Hyperlocal Mode. Dazu wird die Root-Zone Datei einmal täglich neu auf Unbound geladen und er tut so, als wäre er ein DNS Root-Server. Es werden also im ersten Hop auch nicht die Root-Server befragt, sondern gleich die TLD-DNS-Server (Root-Zone liegt ja lokal vor). Ich möchte damit möglichst alle DNS-Leaks vermeiden und niemandem (Google, CloudFlare, Telekom, ...) irgendwelche Spuren geben, wo wir wann rumsurfen. Das ist etwas paranoid, aber ich hab Spaß dran :saint:

    Zitat von djiwondee

    Meine Antwort wird Dir nicht wirklich weiter helfen. Zumindest beim WireGuard VPN kann ich direkt die IP des pi-holes Raspis eintragen und der wird auch genutzt:

    Das mit WireGuard als iPhone - WireGuard (VPN) - UDM-SE - Pi-Hole wird schon funktionieren, da habe ich keine Bedenken.

    Ich hab mir nur überlegt wie man das Pi-Hole, das auf der selben Hardware (selber LAN Port) läuft wie z.B. Home Assistant, isolieren kann und jedem VLAN zur Verfügung stellen kann - während HA nicht von jedem beliebigen Gerät erreichbar sein muss... wobei: HA so zentral ist, dass es eigentlich auch von überall erreichbar sein muss.

    Ich sag ja, die Grenzen sind schwimmend - und ich möchte nicht am Ende nur noch am Regeln verwalten sein.

  • Netzwerk sinnvoll segmentieren

    Das Video ist schon sehr gut, Danke. Habe mir von Jan Pörtner schon viele Videos zu UniFi Hardware angesehen - aber ausgerechnet dieses nicht 🫣

    Die Einstellmöglichkeiten sind schon sehr gut, so dass ich vermutlich auch die Site-to-Site IPSec VPN Verbindungen mit den FRTIZ!Boxen bei meinen Eltern und Schwiegereltern gut herstellen und mit Zugriffsregeln gut ausgestalten kann.

    Ich würde gerne bei Pi-Hole und Unbound als netzwerkweiten DNS für alle VLANs bleiben (anstatt auf die Filter von UniFi zu setzen). Pi-Hole läuft bei mir unter Proxmox auf einem Mini-PC als LXC, d.h. der LAN-Port an dem der Mini-PC hängt, muss aus jedem VLAN erreichbar bleiben... und damit sind auch alle anderen Services, die auf dem Proxmox Server laufen für jedes VLAN erreichbar. Wie könnte man das isoliert lösen?

  • Netzwerk sinnvoll segmentieren

    Hallo zusammen,

    da ich mich, dank einem anderen Thread, intensiv mit der Anschaffung von UniFi Hardware beschäftige, u.a. mit dem Ziel mehr Kontrolle und Einsicht in das eigene Netzwerk zu bekommen, spielt das Thema Netzsegmentierung auch immer mit rein.

    Wie man hier und da liest, werden verschiedene VLANs aufgespannt eben um Hardware und Netze zu segmentieren. Unabhängig von der Verbindungsart (LAN/WLAN) liest man auch immer wieder IoT Geräte vom Heimnetz zu trennen, dazu noch ein Gäste-WLAN, ein Kameranetzwerk, und was einem noch so einfällt.

    Die Fragen die ich mir stelle:
    - Was ist der grundlegende Gedanke dahinter? Sicherheit? Überblick? ...?
    - Wie sieht eine sinnvolle Segmentierung in einem typischen Smarthome Haushalt (wie ihn hier viele betreiben) aus? Also z.B. wenn IoT Netzwerk, was kommt da rein... wo zieht man die Grenze? Ist ein Server oder ein NAS der z.B. unter anderem HA hostet noch Heimnetz oder schon IoT?
    - Wenn man ein Kameranetz hat, das muss ja seine Daten auch dem IoT Netzwerk bereitstellen.
    - Speziell auf die UniFi Hardware, aber trotzdem eher allgemein: Wie steuert man sinnvoll den gegenseitigen Zugriff der unterschiedlichen VLANs untereinander? Dinge aus dem Bereich IoT müssen ja nicht nur aufs Internet zugreifen, sondern ggf. auch auf Geräte im Heimnetz. Einen gegenseitigen Vollzugriff wird man ja nicht machen, sonst würde auch die Segmentierung weniger Sinn machen.

    Für mich verschwimmen die Grenzen da ziemlich schnell. Aktuell kenne ich nur FRITZ!Box mit seinem Netzwerk und dem Gast-(W)LAN und den bekannten Einschränkungen. Ich möchte erstmal die Basis hinter so einer Taktik verstehen. Kann da bitte jemand bisschen Licht ins Dunkel bringen, wie er es gelöst hat und warum genau so?