Homenetzwerk Umstrukturierung

[Bib]

Hallo, ich bin gerade dabei, mein altes Fritzbox-Homenetzwerk ein wenig umzustrukturieren.

Aktueller Stand:

Internet per LAN
|
pfSense
|
managed-Switch (aktuell keine VLANs)
|
Fritzbox für WLAN und DECT sowie Endgeräte


Internet per LAN hat 192.168.1.1

pfSense hat 192.168.2.1 - aktuell alles hinter der pfsense im selben Subnet x.2.x

____________________________________________

Was macht hier Sinn? Gäste-WLAN mit eigenem Subnet und per Firewall vom Home-Netz getrennt?
Home-Netz weiterhin alles im selben Netz?

Ich habe 2 Ubiquiti Unifi AC Pro WLAN-APs bestellt. Die Fritzbox soll zukünftig nur noch für Telefonie da sein.

Die pfSense läuft aktuell in einer VM (ESXi) - ich weiß, ist nicht so optimal... Außerdem habe ich noch einige andere Server als VM am laufen - Openhab, Asterisk, Unifi-Controller, Plex+LMS, ...


Kann mir vielleicht jemand ein paar Tipps geben, was ich hier noch optimieren könnte oder ein paar Ideen, was sinnvoll ist?

 

[Gen8 Runner]

Habe hier eine ziemlich ähnliche Konstellation und hatte kein Bock mehr auf etwas halbgares.

Daher habe ich nun:
Internet per LAN -> PFSense -> Switch (mit VLAN) -> Unifi AP's

Für die Unifis folgende WLAN aufgespannt:
- WLAN für alle üblichen Geräte
- Gäste WLAN mit eigenem Subnet (war mir wichtig, da dort auch die China-Gadgets drin sind, Staubsauger, Smarte Steckdosen etc.)
- VOIP WLAN für meine WLAN Telefone (Grandstream WP820, aber auch Spezialfall, da Telefonie nicht wie der Rest getunnelt per VPN ins Internet soll, sondern direkt über den Provider laufen soll, um bestmögliche Sprachqualität zu haben)

An Equipment ist also nur da:
- PFSense (auch virtualisiert auf ESXI)
- POE Switch
- Unifi AP's
- WLAN VOIP Telefone

Das war's. Solange deine Kombi läuft und du erstmal zufrieden bist, ist doch alles gut. Würde dann auf Zwang nix ändern.
Wenn aber eh Hardware-Neuanschaffung geplant ist, wäre zu überlegen komplett anders zu strukturieren, sodass man nicht so viele verschiedene Geräte verwalten muss. Und Gäste WLAN...Wie oft sind wirklich Gäste im eigenen WLAN unterwegs? Wurde in den letzten drei Jahren nicht ein einziges mal nach dem WLAN Passwort gefragt (aber besser haben, als brauchen, insbesondere für China-Gadgets).

Für AVM gibt's übrigens auf Ebay meist noch ziemlich gutes Geld. Also eventuell einfach mal durchrechnen, ob sich bei wirklichem Wunsch nach Wandel, so die Investition zu kleinem Geld umsetzen lassen würde.

 

[Bib]

Das mit den Smarthome-Geräten ist so eine Sache, die sollen ja auch irgendwie von Openhab aus gesteuert werden können... Wenn die in einem eigenen Subnet sind, dann geht das ja nur, wenn die Cloud-Anbindung haben, aber ich passe eigentlich sehr auf, dass alles über API oder MQTT im lokalen Netzwerk bleibt. Wobei Internetzugang benötigen die trotzdem oft (Xiaomi Robo-Sauger z.B.)

 

[KurantRubys]

Routing ins VLAN zu den Endgeräten Bei mir ist/war der Aufbau ähnlich:

Telekom ONT > pfSense auf einem alten ThinClient (mit PPPoE Einwahl über die pfSense) > VLAN1 für intern, VLAN3 für IoT und VLAN20 für Video

VLAN1 und 3 haben eigene SSIDs, VLAN 3 ist für Gäste und Smart Home. In dem Netz hängt auch der Home Assistant Pi, das ganze Netz darf auch ins Interwebz. Bis auf Roborock und Küchenmaschine war aber eh alles auf Tasmota gefasht und ging per MQTT an den Pi. Aus dem Netz gibts dann noch ein Routing für den Pi ins Kamera VLAN für RTSP, das darf auch nur dahin zurück und mit RTSP und OnVif zum NAS. Im internen Netz ne 7590 als "TK-Anlage".

 

[Bib]

Routing ins VLAN zu den Endgeräten heisst, dass ich für jedes Endgerät im China-Gadget-Netz eine eigene Firewall-Regel in der pfsense benötige?

Noch eine Frage zu den Ubiquiti APs - wenn ich darauf mehrere VLANS für untersschiedliche SSIDs haben will, muss ich dann in der pfsense und am Switch (netgear, nicht ubiquiti) die VLANs für den Port, an dem der AP hängt, freischalten oder reicht es, wenn ich das ganz normale Standard VLAN lasse? Ich hab aktuell noch nichts dergleichen konfiguriert, momentan ist alles im selben VLAN bzw. ohne... Ich kenne es aber von meiner Arbeit, da haben wir die Sophos UTM mit den zugehörigen APs im Einsatz, da bekommen die APs kein extra VLAN, die hängen alle ganz normal im Management VLAN bzw. im normalen lokalen Netz ohne VLAN und können darüber alle anderen VLANs zugewiesen bekommen.

Wenn das hier auch so ist, dann muss ich also im Switch kein extra VLAN definieren, dass kann ich dann alles direkt im unifi-Controller zuweisen, ohne Hand an den Switch legen zu müssen - die APs hängen weiterhin nur in meinem normalen Standard-VLAN? Aber woher bekommt der AP oder Controller dann den anderen VLAN-Datenstrom? Muss der am neuen VLAN mithören können oder wie funktioniert das?

 

[KurantRubys]

Ich hab bei mir das ganze schlich und einfach fürs ganze Netz eingetragen, kannst du natürlich auch Endgeräte-spezifisch machen, je nach Anzahl der Geräte.
Also LAN > IoT allow all und IoT > LAN deny all. Dann lässt pfSense nur die Rückmeldungen auf Anfragen aus dem LAN zurück aus dem IoT Netz. Theoretisch kannst du das auch noch auf Geräte einschränken, also z.B. nur LAN > Host A in IoT allow all oder da auch noch nen Port definieren, sofern du den raus bekommst. Wobei viel von dem Kram eh über mDNS läuft, das kann unter Umständen spaßig werden. Google Cast über mDNS hat bei mir z.B. nie zuverlässig funktioniert und das Tradfri Gateway hat mit aktivieren des mDNS Daemons sofort seinen Dienst eingestellt.

Bzgl. VLANs, die müssen natürlich entsprechend am Switch hinterlegt werden. Bei mir läuft die "Standard" SSID übers Default VLAN, der Rest liegt getagged am Switchport an. Im Controller gibts du beim anlegen des "Wireless Networks" dann die VLAN ID mit an.