Überholung meines Heimnetzwerkes

[geheim5000]

Hallo,
mein Heimnetzwerk ist über die letzten paar Jahre bisschen wild gewachsen, und ich will da wieder nen Grund reinbringen.

Dabei müssen auch manche konfigurationen garantiert neu gemacht werden.

Aktuelle Situation:

Fritzbox 6660 (Vodafone Kabel) >> Zyxcel GS1900-24E >> von dort geht es zu diversen Geräten:

DS918+ (Hauptnas) (hängt an einer USV)
DS220j (Backup Nas) (hängt an einer USV)
DS115j (2tes Backup NAS)
2x LG TV (nutzen DNLA zur DS918+)
Nvidia Shield
Playstation 2
Philips Hue
Homematic IP
PCs mit Windows (verschiedene, auch mal mit Windows 7, für irgendwelche alten Programme, nicht dauerhaft aktiv)
PC´s mit verschiedenen Linux Distros
TP-Link TL-SG105PE 5-Port >>> Ubiquiti Unifi 6 Lite Access Point >>> Wlan Geräte:
Laptop mit Linux Mint
Laptop mit Windows 10
Laptop mit Windows 11
diverse Android Geräte
Bei Besuch auch mal ein Apple Gerät

Soviel zur Hardware die im Einsatz ist.
DS918+ ist via Link Aggration verbunden (macht vermutlich keinen Sinn, wollte ich aber am Anfang mal testen, läut seit dem)

Wie wird mein Netzwerk verwaltet:
DHCP macht die 918+ (hatte da mal Probleme mit der FritzBox)
Pihole und Unifi Controller laufen auf einer VM auf der 918+
Docker experimentiere ich nur ein bisschen rum (bin ich noch nicht mit warm geworden)

Alles läuft mit IPv4 bei mir.

Groß was abgesichert habe ich bis auf den Standard nicht. Da sollte ich denke ich dringend was tun.


Was will ich in Zunkuft zusätzlich:
das mein Netzwerk abgesichert ist, und das die Smarthome Geräte nicht auf das restliche Netzwerk zugreifen sollen.

Das ich mein Netzwerk auch wieder in gange bringen kann wenn die DS mal abrauchen sollte.

Zugriff von unterwegs via VPN (dazu hatte ich ja schonmal einen Beitrag erstellt)

Ich will mit VM "spielen" evtl auch nochmal ein Versuch mit Proxmox wagen (evtl neue Hardware dazu benötigt)

Ich habe bei manchen Geräten schon länger mal Probleme mit Zugriffen, oder Fehlermeldungen. Deswegen vill einmal komplett von vorne Anfangen.

2 HP Mircoserver ML10_v2 würden auch noch ungenutzt rumstehen.


Bin aber definitiv auch bereit was zu investieren.

Danke schonmal für Ratschläge und/oder hilfe.

gruß

geheim5000

PS: wahrscheinlich wieder viel zu viel geschrieben

 

[plang.pl]

So weit sieht das doch alles ganz gut aus. Bei mir hängt auch alles hinter der Fritte an Switchen.
Die SmartHome Geräte noch ins Gast-(W)LAN und fertig. Wenn die irgendwie auf die DS müssen, kannst du diese ja mit einem Port ins Gast-LAN hängen und dort härtere Firewall Regeln erstellen.

 

[metalworker]

Ich würde an deiner stelle erstmal mit nem gutem Router oder eine Firewall anfangen.

Je nach dem . Wenn du nen Rack hast kannst das auch als Rack version verwenden.
Also Entweder sowas wie nen Mikrotik Router ( ich verkaufe übrigens grad einen ^^) .
Damit kannst VLAN , DHCP , DNS , VPN und co machen . Auch Firewall Regeln und alles.

Oder du ziehst es größer auf und holst dir nen MINI Pc mit mindestens 2 LAN Ports und haust dir da eine UMT Firewall ala OPnSense .
Bringt aber auch nur was wenn du dich tiefgreifend mit der Firewall beschäftigen willst. Für allles andere tut es der Gute Router auch.



Dann würde ich das Netzwerk aufteilen.
Du hast geschrieben du Nutz eine Unify Controler? Da also schon nen VLAN fähigen Switch .
Mache dir dort ein Nomales VLAN , ein GAST VLAN , ein Smarhome VLAN ,und eventuell noch ne DMZ falls du mit Internetdiensten arbeiten willst.

 

[Thorfinn]

Du hast z.Z. AVM, TP-Link, Zyxcel, Ubiquity - d.h. Netzwerkkomponenten 4 verschiedener Hersteller, deren Konfiguration du manuel koordinieren musst. Bei jeder Funktion musst du aufpassen, dass die 4 auch zusammen schnacken wie du das haben willst.
Das wäre mir zu viel Aggewars, zu Koordination, zu viele Fehlerquellen, zu viel Nerv. Ich bin keine 15 mehr.

Das gesamte Netzwerkgeraffel unter eine Administration zu stellen kann Vorteile haben.
Ubiquity UniFy wird oft gelobt ob der weniger steilen Lernkurve. Mikrotik kann alles und ist günstig, (man kann das aber so richtig fies verbasteln). TP-Link, Zyxcel ZON, ... younameit.
und wenn du jetzt Angst hast, dass wenn die NAS als Manager ausfällt, du kein Netz mehr hast: Ruhig Blut:

• A) die Managementsoftware kann ja auch auf einem Desktop laufen
• B) die Komponenten laufen eh weiter.

Das einzige was dir bei Ausfall des Managers fehlt sind gemanagte Sachen,

• ein Ticketsystem für den Gästezugang (mit Bezahlfunktion) was eher interessant ist, wenn man ein Hotel betreibt
• load distribution, seamless handovers - Das hast du jetzt nicht, man vermisst es erst, wenn du es einmal genossen hast. (das ist quasi das fentanyl des wifi).

 

[metalworker]

ein SND mit Manager ist natürlich dann die Edel Variante .

Hab ich Zuhause und in der Firma auch . Wir nutzen TP Link OMADA .
Damit kannst dann echt viel anstellen.

 

[geheim5000]

@plang.pl
Das klingt schonmal gut.
Ein Gast Wlan habe ich aktuell gar nicht (habe das über Unifi nicht hinbekommen)
Mit Vlans kenne ich mich aktuell noch gar nicht aus, ich denke das wäre aber das richtige für die Smart Home Geräte (sind Via Lan angeschlossen)

@metalworker
Kabelrouter sind halt nicht so viele verfügbar in D.
Müsste also dann mit 2 Routern arbeiten.
Ich habe tatsächlich ein Rack im Keller wo ich alle Geräte unterbringe.
OPN Sense hatte ich mir schonmal angeschaut, aber erstmal entschieden gehabt, das es ein bisschen Overkill ist.
Unifi Controller ist ja nur Software. Der Zyxcel ist aber Vlan fähig usw.

@Thorfinn
Sag ja ist alles gewachsen, darum auch verschiedene Geräte.
AVM macht bei mir nur noch Internet und Telefon (Ok für TVheadend stellst noch die Kabel Streams bereit)
Zyxcel macht die Lan Verteilung
Den TP Link nutze ich nur für POE, mehr macht der nicht. Wird also als "dummer" Switch genutzt
Unifi wurde mir als Access Point empfohlen, weswegen es der Geworden ist, und bisher lief es Problemlos (macht bei mir aktuell nur Wlan)

Bzgl Ausfall, es läuft halt auch der DHCP usw. dadrüber, Klar ist Privatbereich und ich bekomme es auch wieder in gange.
Da meine DS die letzten Tage einmal ausgefallen ist, habe ich mir dadrüber gedanken gemacht.

Aber das gleiche Problem hätte ich wohl auch wenn alles auf dem Router läuft.

Im Prinzip ist aber alles nicht Zeitkritisch. sondern im Fall der Fälle nur nervig

 

[Monacum]

Ein Gast Wlan habe ich aktuell gar nicht (habe das über Unifi nicht hinbekommen)

Irgendwo ist ja das eine WiFi erstellt worden – und da kann man auch ein weiteres WiFi erstellen, bei dem man entsprechend andere Rechte vergeben kann, also etwa

• Keine Kommunikation der Geräte untereinander
• Festgelegte IP-Adressen
• Beschränkung der Bandbreite des WiFi
• Zeitplan

Das entspricht dann in etwa dem Gäste-WiFi der Fritz!Box.

 

[geheim5000]

Genau das habe ich mal probiert gehabt.
Ich weiß nicht warum aber beide Wlan Netze hatten Zugriff untereinander, egal wie ich es eingeschränkt hatte.

Muss ich mich nochmal eingehend mit beschäftigen.

 

[metalworker]

Also 2 Router zu verwendne ist grundsätzlich kein Problem.
Hab ich bei mir Daheim auch so.

Ich würde es daher so machen.
Den Kabelrouter lassen , danach einen ordentlichen Router nehmen , oder ne Firwall.
Die büchse macht dir dann alles mit DNS,DHCP , VPN und co.
Und normalerweise steigen die teile selten aus. Die kannst viele Jahre laufen lassen.

Dann einen VLAN fähigen POE Switch nehmen .

 

[geheim5000]

Also meinst aus den 2 Switchen die ich verwende einen machen?

 

[himitsu]

SmartHome Geräte noch ins Gast-(W)LAN

Gast?
Meinst wirklich "Gast", aus Sicht der FritzBox,
oder Gast als zweites/getrenntes Netzwerk?

Im Gast-(W)LAN der FritzBox haben die SmartHome doch nur Zugang zum Internet, aber nicht untereinander, oder irre ich mich da?
OK, alles mit Cloud ist dann kein Problem,
aber sollen/müssen Geräte auch daheim untereinander reden, z.B. MQTT ... tja

 

[geheim5000]

Das Homematic IP System ist tatsächlich Cloud basierend (leider). Wenn ich irgendwann mal viel Zeit habe, stelle ich es denke ich auf Homematic um. (Lokal)

Philips Hue ist bei mir allerdings ohne Cloud eingerichtet. Heißt ein Gast Wlan wie von der FritzBox geht da nicht

 

[metalworker]

ja genau gibt da ja keinen Grund bei dir 2 verschiedene switche zu haben,
außer die Port reichen nicht .

und HomeMatic IP geht auch ohne Cloud , brauchst halt eine CCU oder sowas Pimatic.
Hab ich bei mir auch im Einsatz , also nur den Controler kaufen .

 

[himitsu]

Die einfache Lösung, ohne was konfigurieren zu müssen ... einfach ein zweiter Router (gibt genug Mini-WLAN-Router ... z.B. im PI einen AccessPoint+Bridge einrichten, mal außen vor gelassen)

 

[Synchrotron]

Das Thema Switch sehe ich tatsächlich als die größte Baustelle. Der ist unmanaged, kann also nur das, was seine „Verdrahtung“ ihm vorgibt.

Kommt jetzt darauf an, ob du da 1x aufräumen willst. Dann ein neuer, gemanagter Switch. Ich würde wegen der Zukunftssicherheit heute wenigstens teilweise 10GbE mit vorhalten.

Ansonsten den heutigen Switch eventuell separieren und nur für IoT nutzen, und für die Computer einen zweiten Switch anschaffen.

 

[metalworker]

Das Thema Stromverbauch sollte man auch nicht ganz vergessen.
Also übertreiben sollte man es auch nicht . Wenn man es nicht braucht

 

[blotto82]

Gastnetz von der Fritz!Box auf einen Unifi AP zu lenken braucht mindestens einen Managed Switch und VLAN.
Dann kann man einen Port am Switch mit VLAN belegen und dort den Port 4 von der Fritz!Box anklemmen.
Ist zwar einmal kurz gefummel, aber danach geht es gut, gerade wenn man keine DreamMachine oder anderen Unifi Router hat.
Hast du eine Lösung für Kabel und DynDNS? Weil dann würde ich WireGuard von der Fritz!Box ausprobieren.
Bin damit sehr zufrieden, geht schnell und zuverlässig.

 

[geheim5000]

Das Thema Switch sehe ich tatsächlich als die größte Baustelle. Der ist unmanaged, kann also nur das, was seine „Verdrahtung“ ihm vorgibt.

Kommt jetzt darauf an, ob du da 1x aufräumen willst. Dann ein neuer, gemanagter Switch. Ich würde wegen der Zukunftssicherheit heute wenigstens teilweise 10GbE mit vorhalten.

Ansonsten den heutigen Switch eventuell separieren und nur für IoT nutzen, und für die Computer einen zweiten Switch anschaffen.

Welcher ist unmanaged? Alle die ich im Einsatz habe, sind voll managebar. Unmanaged habe ich nicht im Einsatz.

Die einfache Lösung, ohne was konfigurieren zu müssen ... einfach ein zweiter Router (gibt genug Mini-WLAN-Router ... z.B. im PI einen AccessPoint+Bridge einrichten, mal außen vor gelassen)

Wlan brauch ich da ja nichtmal (trifft alles im Keller zusammen, Wlan aber über Access Point in der Wohnung)

@metalworker
genau das ist es was ich dann umsetzen möchte, mittels Pi/CCU. Mir fehlt dazu quasi nur das Funkmodul und bissl Zeit.

@blotto82
Wie geschrieben, alle Switche die ich im Einsatz habe sind managed, und der Große (Zyxcel GS1900-24E) kann auch Vlan.
Bisher nur noch nichts mit Vlan gemacht

Für Kabel und DynDns, meinst wegen IPv6? Hab ne vollwertiege IPv4.
Wireguard geht auf meiner leider noch nicht, da Vodafone das neue Update noch nicht ausgerollt hat auf der 6660

 

[Synchrotron]

Zum Zyxcel GS1900-24E: Stimmt, habe eine schlechte Quelle benutzt. Dann VLANs anlegen, um das Netzwerk zu segmentieren.

Mehr-als-Gigabit hätte ich in jedem Fall auf meiner Wunschliste.

 

[Andy+]

VLANs anlegen, um das Netzwerk zu segmentieren.

Was ist der Vorteil davon?