VLANs über Mikrotik erstellen mit Unifi APs?

pc-bastler schrieb:
Es gibt immer viele Wege nach Rom, und behaupte nicht, daß meiner der kürzeste oder einfachste Weg ist.
Zum Vergrößern anklicken....

ja, das ist klar.

Es ging mir besonders darum, dass VLANs per se eben nicht diese Dinge ermöglichen, sondern das das alles auch ohne VLANs möglich ist und oft auch einfacher.

Einer der wesentlichen Einsatzbereiche ist u.a. clients so zusammen zu fassen, dass sich nur diese "Gruppen" (VLAN) untereinander sieht und so zu anderen VLAN gekapselt ist.

Als Privatanwender will man aber ja seine IoT Geräte auch bedienen, abfragen und einstellen. Also muss man ein Routing zwischen diesen VLAN ermöglichen, was dann den wesentlichen Sinn eines VLAN schon konterkariert.

Ich bleibe dabei. Für Privatanwender haben VLAN keine relevanten Vorteile / Nutzen. Es klingt halt cool "ich habe VLANs eingerichtet..."
 
Zuletzt bearbeitet:
Das Thema wird auch verkehrt herum aufgerollt. Eigentlich hat man zuerst ein Problem oder eine Fragestellung, und sucht dann nach Wegen das in Zukunft zu verbessern. Das Problem für TS seine Lösung muss erst noch gefunden werden.

Kann man ja als Hobby einfach ausprobieren, das macht sonst kaum jemand, sich einen Rackmount-Router hinzustellen, um ein paar Handys und Computer ins Internet zu befördern. VLANs sind herstellerübergreifend eine der simpelsten Sachen und brauchen nicht gleich eine Dreammachine, und am Ende bleibt die Frage was sich im Gegensatz zum aktuellen Stand verbessern soll. Ist es dann sicherer? Was ist "es" und was ist sicherer als vorher?

Aber ich gönn dem TS schon seine Dreammachine, so gut wie die Fritzbox ist die allemal.
 
Kleine Ergänzung:
Wenn mann unbedingt VLans im LAN haben will, geht das auch mit der FRITZ!Box - zumindest indirekt:
Man kann das GästeLan über Lan4 an der FRITZ!Box über Portbased Vlan (heißt das so?) an mehrere LAN Clients verteilen.
Dazu muss man halt nur ein zweites LAN Kabel von der FRITZ!Box in seinen Switch stecken.
Man spart sich also einen separaten Switch für das Gäste (W)LAN. Ich nutze das um ein paar Geräte explizit von meinem Internen LAN fernzuhalten.
Aber sonst bin ich bei Lisanet: In der Regel braucht man das eher nicht. :D
 
roedert schrieb:
Wie schon geschrieben, brauchst du einen VLAN-fähigen Router.
Zum Vergrößern anklicken....
Nein, braucht er nicht. Zumindest dann nicht, wenn der den Mikrotik-Switch mit RouterOS betreibt (der Switch kann zwischen RouterOS und SwitchOS umgeschaltet werden). RouterOS hat alles, was gebraucht wird, nicht nur VLANs, sondern auch NAT, DHCP, Firewall, DNS etc..

Die vier VLANs werden ab dem Mikrotik-Switch aufgespannt. Die Fritzbox steht außerhalb, macht die Firewall gegen das Internet und kümmert sich um die Telefonie. Das Gästenetzwerk der Fritzbox nutzen wir nicht (könnte man aber, hätte bei Fritz-WLAN-Accesspoints Vorteile), ebensowenig das WLAN der Fritzbox (da kriegt man nämlich keine VLANs rüber).

Das DHCP und den Adressbereich der Fritzbox nutzen wir für eines der vier VLANs (vermutlich Basic). Für die anderen drei VLANs nehmen wir jeweils ein NAT und einen DHCP-Server des Mikrotik-Switches, jedes VLAN mit einem eigenen Adressbereich. Die Firewall des Switchs schottet die VLANs gegeneinander ab oder ermöglicht Zugriffe zwischen diesen (z. B. Zugriff von Basic auf IoT möglich, aber nicht umgekehrt). Die Fritzbox kann das hierfür notwendige Routing (nicht automatisch, sondern muss konfiguriert werden), so dass alle VLANs ins Internet kommen, ohne dass dadurch die Mikrotik-Firewall umgangen wird.

Was ich nicht beurteilen kann, ob die Unifi-Accesspoints sich da einfügen und für jedes VLAN eine eigene WLAN-SSID (mit eigenem Passwort) aufbauen können. Ich habe kein Unifi-Gerät. Im Falle von Mikrotik-Accesspoints geht das, dann kann man vier vier VLANs vier SSIDs haben.

Der Nachteil an der Lösung: Einsteigerfreundlich ist Mikrotiks RouterOS nicht. Da muss man schon wissen, was man macht. Man wird nicht an die Hand genommen und geleitet.

Ob sich das im Heimbereich lohnt? Nur, wenn man Spaß daran hat und etwas über Netzwerktechnik und -administration lernen möchte. Ansonsten lohnt der Aufwand nicht.
 
... wenn du eh Subnetze mit separaten IP-Bereichen hast, warum dann VLANs?

Oder warum nicht nur VLANs?
 
Johanna K schrieb:
Nein, braucht er nicht. Zumindest dann nicht, wenn der den Mikrotik-Switch mit RouterOS betreibt (der Switch kann zwischen RouterOS und SwitchOS umgeschaltet werden). RouterOS hat alles, was gebraucht wird, nicht nur VLANs, sondern auch NAT, DHCP, Firewall, DNS etc..

Die vier VLANs werden ab dem Mikrotik-Switch aufgespannt. Die Fritzbox steht außerhalb, macht die Firewall gegen das Internet und kümmert sich um die Telefonie. Das Gästenetzwerk der Fritzbox nutzen wir nicht (könnte man aber, hätte bei Fritz-WLAN-Accesspoints Vorteile), ebensowenig das WLAN der Fritzbox (da kriegt man nämlich keine VLANs rüber).

Das DHCP und den Adressbereich der Fritzbox nutzen wir für eines der vier VLANs (vermutlich Basic). Für die anderen drei VLANs nehmen wir jeweils ein NAT und einen DHCP-Server des Mikrotik-Switches, jedes VLAN mit einem eigenen Adressbereich. Die Firewall des Switchs schottet die VLANs gegeneinander ab oder ermöglicht Zugriffe zwischen diesen (z. B. Zugriff von Basic auf IoT möglich, aber nicht umgekehrt). Die Fritzbox kann das hierfür notwendige Routing (nicht automatisch, sondern muss konfiguriert werden), so dass alle VLANs ins Internet kommen, ohne dass dadurch die Mikrotik-Firewall umgangen wird.

Was ich nicht beurteilen kann, ob die Unifi-Accesspoints sich da einfügen und für jedes VLAN eine eigene WLAN-SSID (mit eigenem Passwort) aufbauen können. Ich habe kein Unifi-Gerät. Im Falle von Mikrotik-Accesspoints geht das, dann kann man vier vier VLANs vier SSIDs haben.

Der Nachteil an der Lösung: Einsteigerfreundlich ist Mikrotiks RouterOS nicht. Da muss man schon wissen, was man macht. Man wird nicht an die Hand genommen und geleitet.

Ob sich das im Heimbereich lohnt? Nur, wenn man Spaß daran hat und etwas über Netzwerktechnik und -administration lernen möchte. Ansonsten lohnt der Aufwand nicht.
Zum Vergrößern anklicken....
Macht es dann Sinn überhaupt noch die FB ausser für die Thermostate zu nutzen? Ist der Routermodus inkl. NAT genauso performant wie die der FB?
 
Moin,

wie schon geschrieben wurde kannst Du mit dem Mikrotik sowohl SwitchOS als auch RouterOS nutzen.
Klar, wenn Du alles von einem Hersteller nutzt ist es leichter aber letztendlich ist es egal.
Ein schönes Tutorial findest Du hier: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das setzt den Betrieb als Router voraus.

Ich habe mich für pfSense als zentralen Router entschieden und der Unity Controller läuft via Docker auf Unraid, davor sitzt die Fritzbox als "Borderrouter" und Telefonanlage. Deshalb war bei mir der Aufwand ein wenig geringer Über Mikrotik Bridge VLAN weiterleiten siehe den Beitrag von Aqui.

-teddy
 
MaKathi schrieb:
Macht es dann Sinn überhaupt noch die FB ausser für die Thermostate zu nutzen? Ist der Routermodus inkl. NAT genauso performant wie die der FB?
Zum Vergrößern anklicken....
Ja, ist sinnvoll. Zu der Performance kann ich nichts sagen, aber die FB wird benötigt für
  • Telefonie, z. B. DECT oder Telefon am Analoganschluss
  • Modem für DSL oder Glasfaser
  • Sicherheit zum Internet hin (s. u.)
Wenn man einen Glasfaseranschluss mit passendem sfp-Transceiver hat und keine Telefonie braucht, kann man im Prinzip ganz auf die FB verzichten,
aber ...

... die Fritzbox ist von Haus aus sicher konfiguriert, und es ist auch für Laien einfach, die Sicherheit beizubehalten (so man nicht nach Gutdünken Ports freigibt).

Der Mikrotik-Switch hingegen ist erst einmal komplett offen. Die Firewall muss an Hand von Regeln komplett konfiguriert werden. Und wenn man da etwas falsch gemacht hat, hat man womöglich sein ganzen LAN offen dem Internet ausgesetzt. Ohne wirklich gute Kenntnisse der Materie würde ich das Risiko nicht eingehen wollen. (Die Firewall muss zwar auch konfiguriert werden, um die VLANs voneinander abzuschotten, aber wenn man da was falsch macht und IoT kann dann auf Security zugreifen, ist der Schaden vergleichsweise gering.)

Daher würde ich in jedem Falle die FB mit im System lassen.

lisanet schrieb:
... wenn du eh Subnetze mit separaten IP-Bereichen hast, warum dann VLANs?
Zum Vergrößern anklicken....
Die separaten IP-Bereiche alleine schotten die Geräte nicht gegeneinander ab.
lisanet schrieb:
Oder warum nicht nur VLANs?
Zum Vergrößern anklicken....
Die Frage verstehe ich jetzt nicht.
 
Johanna K schrieb:
Die separaten IP-Bereiche alleine schotten die Geräte nicht gegeneinander ab.
Zum Vergrößern anklicken....

ist klar, aber du konfigurierst ohnehin die Firewall
Johanna K schrieb:
Die Frage verstehe ich jetzt nicht.
Zum Vergrößern anklicken....
VLANs separieren die Geräte, ganz ohne Firewall regeln.

es sieht für mich so aus, als ob du einige Geräte separieren willst, aber dennoch erlauben möchtest, dass sie aufs Internet zugreifen und dass du gleichzeitig trotzdem teilweise von einem aufs andere Subnetz zugreifen kannst. Daher ist es bei dir notwendig, die Firewall zu konfigurieren.

Wenn du das alles so tust, dann brauchst du aber keine VLANs.

wenn du lediglich Netzbereiche voneinander separieren willst, dann sind VLANs Doch ausreichend. Da brauchst du keine Subnetze. Alle Geräte in den VLANs Können ohne besondere Regeln in der Firewall direkt aufs Internet zugreifen, sind aber untereinander separiert.

Oder verstehe ich das jetzt alles falsch?
 
lisanet schrieb:
[zu separaten IP-Bereichen] ist klar, aber du konfigurierst ohnehin die Firewall
Zum Vergrößern anklicken....
Das reicht nicht aus, weil z. B. am Accesspoint Geräte verschiedener IP-Bereiche miteinander kommunizieren können, ohne über die Firewall des Switchs zu gehen. => VLANs werden hier benötigt.

Im Falle von Mikrotik kommt noch hinzu, dass verschiedene WLAN-SSIDs nur für verschiedene VLANs vergeben werden können. Ob das auch für Unifi gilt, weiß ich nicht.
lisanet schrieb:
VLANs separieren die Geräte, ganz ohne Firewall regeln.
Zum Vergrößern anklicken....
Sämtliche VLANs dürfen auf die Fritzbox, und da diese außerhalb der VLANs steht, wird an dieser Stelle der Schutz ausgehebelt. => Firewall-Regeln auf dem Switch sind notwendig.
 
Johanna K schrieb:
Das reicht nicht aus, weil z. B. am Accesspoint Geräte verschiedener IP-Bereiche miteinander kommunizieren können, ohne über die Firewall des Switchs zu gehen. => VLANs werden hier benötigt.
Zum Vergrößern anklicken....

wenn man je IP-Bereiche einen regulären WLAN-Router verwendet mit DHCP, anstattt Accesspoints dann sollte das doch problemlos gehen.Geräte am jeweiligen WLAN-Router kommen ins Internet, aber nicht zu den Geräten eines anderen WLAN-Routers, da dort die NAT-Firewall das verhindert (natürlich nur solange man kein Ports forwardet. Da braucht es dann auch keine Konfiguragtion einer Firewall auf dem Internet-Router.

Johanna K schrieb:
Im Falle von Mikrotik kommt noch hinzu, dass verschiedene WLAN-SSIDs nur für verschiedene VLANs vergeben werden können. Ob das auch für Unifi gilt, weiß ich nicht.
Zum Vergrößern anklicken....

Wenn ich wie oben geschrieben WLAN-Router anstatt Accesspoints verwende, kann ich ja auch auf jedem dieser Router eine eigene SSID vergeben. Ganz ohne VLANs

Johanna K schrieb:
Sämtliche VLANs dürfen auf die Fritzbox, und da diese außerhalb der VLANs steht, wird an dieser Stelle der Schutz ausgehebelt. => Firewall-Regeln auf dem Switch sind notwendig.
Zum Vergrößern anklicken....

hhmm, dann liegt das aber auch irgendwie an der Hardware.

Mein Router läuft auf openwrt und das ist VLAN-fähig. Wenn ich da VLANs einrichte, dann können die Geräte der VLANs nicht auf andere VLANs zugreifen. Da muss ich dann auch nicht für die VLANs eigene IP-Bereiche verwenden

So ist zumindest mein Kenntnisstand.

Darum ist mir der parallele Einsatz von VLANs und eigenen IP-Bereichen nicht so ganz verständlich. Klar, kann man das machen. Aber ich sehe da momentan keine Vorteile, sondern nur mehr Konfigurationsarbeit.

Das alles unabhängig, dass ich das Ganze für Privatanwender so oder so als overkill ansehe.
 
Tommac187 schrieb:
Ich nutze Unifi und da geht das gar nicht anders. Jeder ip Bereich hat eine VLan ID.
Zum Vergrößern anklicken....
aha, okay.

Dann muss es ja irgendeinen Vorteil geben, warum die das machen.

Mich würde das wirklich interessieren, was es da gibt. Vielleicht ist da was bisher an mir total vorbei gegangen. Ich muss das echt recherchieren.
 
lisanet schrieb:
Wenn ich wie oben geschrieben WLAN-Router anstatt Accesspoints verwende, kann ich ja auch auf jedem dieser Router eine eigene SSID vergeben. Ganz ohne VLANs
Zum Vergrößern anklicken....
So wie ich das verstehe, ist nicht eine SSID pro Accesspoint gewünscht, sondern jeder Accesspoint soll alle vier SSIDs zur Verfügung stellen, und jede SSID soll ein eigenes Subnetz bilden, egal an welchem Accesspoint die Geräte hängen. Dann braucht es VLANs, und das NAT findet am besten auf dem Switch statt.
Johanna K schrieb:
Sämtliche VLANs dürfen auf die Fritzbox, und da diese außerhalb der VLANs steht, wird an dieser Stelle der Schutz ausgehebelt.
Zum Vergrößern anklicken....
Ergänzung dazu: Vermutlich braucht es gar nicht die Fritzbox, um den Schutz auszuhebeln. Die Pakete können das VLAN dort verlassen, wo das NAT erfolgt, also im Switch, und vermutlich können sie ohne passende Firewallregel dort auch in das andere VLAN rein (bei letzterem bin ich mir nicht mehr ganz sicher, aber definitiv kommen sie da an die Administrationsoberfläche des Switchs, was beim Gäste-LAN auch nicht erwünscht ist).
lisanet schrieb:
Mein Router läuft auf openwrt
Zum Vergrößern anklicken....
Openwrt mag sich da anders verhalten als Mikrotiks RouterOS.
lisanet schrieb:
Das alles unabhängig, dass ich das Ganze für Privatanwender so oder so als overkill ansehe.
Zum Vergrößern anklicken....
Ohne Zweifel, ja, es sei denn, man macht das, weil es einem Spaß macht.

P. S.: Ich habe mal an einem Mikrotik Accesspoint ein Gäste-WLAN eingerichtet - daher meine Erfahrungen.
 
Hi,
Wir haben im AFU ebenfalls Mikrotik Router in Betrieb, für 2,5Ghz Usereinstiege, und 5Ghz Linkstrecken.
Franz
 
Zuletzt bearbeitet:
Tommac187 schrieb:
Dann sind sie aber trotzdem noch im gleichen Netzwerk/ip Bereich wenn man keine VLans verwendet
Zum Vergrößern anklicken....

Wieso? Ich kann doch Router A mit 192.168.1.x und Router B mit 192.168.2.x konfigurieren.
 
Johanna K schrieb:
So wie ich das verstehe, ist nicht eine SSID pro Accesspoint gewünscht, sondern jeder Accesspoint soll alle vier SSIDs zur Verfügung stellen, und jede SSID soll ein eigenes Subnetz bilden, egal an welchem Accesspoint die Geräte hängen. Dann braucht es VLANs, und das NAT findet am besten auf dem Switch statt.
Zum Vergrößern anklicken....

Also irgendwie verstehe ich das Ganze immer weniger.

a) 1 WLAN-Modul in einem AccessPoint kann tatsächlich 2 SSID haben? 1 WLAN-Modul in einem AccessPoint kann mehrere VLANs bedienen? Das habe ich bislang noch nicht gehört. Hast du da mehr Infos? Welche Router / APs können das?

b) Ein VLAN wird doch gebildet indem die IP-Pakete mit eben einer VLAN-ID getagged werden. Der Switch verteilt das dann. Eine NAT arbeitet auf IP-Adress-Basis, nicht auf den VLAN-IDs.

Johanna K schrieb:
Ergänzung dazu: Vermutlich braucht es gar nicht die Fritzbox, um den Schutz auszuhebeln. Die Pakete können das VLAN dort verlassen, wo das NAT erfolgt, also im Switch,
Zum Vergrößern anklicken....

???

Ein Switch hat keine NAT. Für ein NAT braucht es einen Router, der die IP-Adressen der verbundenen clients mit der externen IP seines WAN-Interfaces versieht und so tagged, dass die zurückgkommenden Antwort-Pakte wieder den richtigen client finden.

Ein Switch verteilt keine IP-Adressen an die an ihn angeschlossenen Geräte und kann daher keine NAT haben. Verteilt er IP-Adressen ist es ein Router/DHCP

Johanna K schrieb:
und vermutlich können sie ohne passende Firewallregel dort auch in das andere VLAN rein (bei letzterem bin ich mir nicht mehr ganz sicher, aber definitiv kommen sie da an die Administrationsoberfläche des Switchs, was beim Gäste-LAN auch nicht erwünscht ist).
Zum Vergrößern anklicken....

Das VLAN wird im Switch verteilt. Der sorgt dafür, dass die Pakete nur im jeweiligen VLAN sind. Da braucht es keine Firewall.


Johanna K schrieb:
Openwrt mag sich da anders verhalten als Mikrotiks RouterOS.
Zum Vergrößern anklicken....

Ein Router mit openwrt kann auf dem im Router enthaltenen Switch eben VLANs anlegen. Das habe ich erwähnt, wie oben geschrieben wurde, dass eine Fritzbox keine VLANs anlegen kann.

Wenn die FB keine VLANs beherrscht, dann benötigt man natürlich ein weiteres Gerät, wie einen managed switch, der dann VLANs auf seinen Ports bedient. Und wenn da die Fritzbox keine VLAN beherrscht, dann können die Pakete dort ins andere VLAN geroutet werden. Stimmt. Aber das liegt dann einzig und alleine an den mangelnden Fähigkeiten der Fritzbox. Die im Netz vorhandenen Geräte sollten natürlich immer die Funktionalität haben, die man abbilden will.

Dann verstehe ich die Konfiguration (VLAN + jeweiliger IP-Bereich) also so, dass es ein workaround ist, um die mangelnden Fähigkeiten der Fritzbox zu umgehen. Richtig?

Wie eingangs gesagt, deine Ausführungen verwirren mich immer mehr und ich weiß mittlerweile nicht mehr, ob mir jetzt irgendwo Wissen fehlt, es nur zu spät ist, das zu verstehen, oder das alles echt nur wegen der eingeschränkten FB ist....
 
Zuletzt bearbeitet:
Tommac187 schrieb:
sogar 4

ja, sogar mit der gleichen SSID und unterschiedlichen Passwörtern für die gleiche SSID.

Unifi Dream Router + U6+ zb
Zum Vergrößern anklicken....

Danke.

Dann muss ich mich wirklich noch tiefer damit befassen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

picknicker1971
Ubiquiti/UniFi NAS vorgestellt
Antworten
6
Aufrufe
586
tocotronaut
tocotronaut
picknicker1971
Access Point Ubiquiti UniFi U6-Pro an Router?
Antworten
3
Aufrufe
405
RealRusty
RealRusty
M
Unifi & AVM WLAN Frage?
Antworten
3
Aufrufe
405
Not-knowing
N
thobie
ePub-Erstellung mit QXP 2018
Antworten
11
Aufrufe
433
thobie
thobie
Opa_Bommel
Fritzbox Gastnetzwerk über UniFi-Accespoints
2
Antworten
30
Aufrufe
2.651
OmarDLittle
O
Franken
Kontaktabzug erstellen mit BUs
Antworten
9
Aufrufe
609
BEASTIEPENDENT
BEASTIEPENDENT
Zurück
Oben Unten