irgendwie komme ich mit den Fachbegriffen bei den Herstellern nicht ganz klar:

ich habe:
Kabelmodem Cisco EPC... ohne jede Zugriffsmöglichkeit
Managed Switch mit VLAN-Möglichkeit
Fritzbox 7390
Synology mit DHCP, DNS, usw

ich möchte:
- via VPN auf mein Netzwerk zugreifen können
- eine Firewall um mein Netzwerk zu schützen
- mein Netzwerk selbst verwalten

(ich glaube) ich brauche:
einen "eigenen" Router mit Firewall, VPN, DHCP Server

jetzt habe ich von uniquiti den EdgeRouter angeschaut, der scheint alles zu erfüllen
bei Mikrotik bin ich beim RouterBOARD 2011L gelandet -scheint auch zu passen...

es müssten beide passen - oder?
Gibt es eine einfachere / bessere Lösung?
Stimmt meine Ansicht, oder bin ich irgendwie am Holzweg

Zum Einrichten: ich bin nicht der "Netzwerkfreak" - also sollte es halbwegs "menschlich" sein...

So als Idee, ich habe das bei mir so umgesetzt ...


Netzwerk Topologie 20170905.jpg

d.h. du hast pfsense auf einen einen Rechner und machst dort die DHCP und VPN...
Wie "schwierig" ist pfsense zu konfigurieren? Ich habe eher den Eindruck es ist eher etwas für Profis...

Bei mir hat das Kabemodem zwar eine publicIP aber nach "innen" (intern) routet es auf 192.168.1.xxx.

Mein Verständisprobel ist auch wie ich das Kabelmodem dazubringe alles auf einen 2. Router bzw Firewall/VPN Server weiterzuleiten - ev. muss ich da mit dem Betreiber reden (VPN-Pass-Through?)

von 0 auf 100, ähnlich oder leichter als MikroTik ...

Dann ist das kein reines Kabelmodem, sondern ähnlich der Fritzbox ... Falls du es nicht auf Bridge ändern kannst, dann auch kein Problem, dann ist auf deiner Firewall / Eingang (WAN) zB 192.168.1.2 und Firewall / Ausgang (LAN) dann zB 192.168.3.0/24 oder 10.0.0.0/24 ... nennt sich double-NAT.

Entweder auf "bridge" setzen (Durchfluss) oder "Pass-Trough" / die für den VPN-Tunnel notwendigen PORTS und Protokolle freischalten (lassen).

hört sich ganz gut an!
Irgendwie würde ich aber eher in Richtung "fix&fertig" tendieren - an einen RB2011UiAS-RM bzw UB-EdgeRouter könnte ich rel. günstig kommen und könnte so das Aufsetzen usw eines APU sparen

Hi,
das Thema privates Netzwerk "sanieren" beschäftigt mich in letzter Zeit auch.
Bis Ende letzten Jahres lief alles über die ELWMS ( Eier-Legende-Woll-Milch-Sau ) Fritz!Box 7362SL. Da ich immer wieder Stress mit dem Wlan hatte und ich gerne auch ein 5Ghz Netz haben wollte, habe ich nach einigen Beiträgen hier im Forum einen Ubiquiti UAP-AC Pro angeschafft. Seit dem ist das Wlan wieder Top. Die Möglichkeiten über die Unifi-Software das Ganze zu verwalten gefallen auch.

Mir stellt sich nun die Frage, wie man sinnvoll das Ganze nun nach und nach erweitert. Mein Plan aktuell ist nun als nächstes das Unifi-Security-Gateway anzuschaffen. Die Fritzbox möchte ich auf DSL-Modem und DECT-Basis Funktion reduzieren.

Was ich schon rausgefunden habe ist, dass die FB wohl nicht einfach nur als Modem funktionieren kann, hier im Endeffekt dann ein Double-NAT stattfindet. Ein dediziertes DSL-Modem möchte ich mir ungern hinstellen, da ich die DECT-Funktion der FB nutze und hier auch die Daten raus ziehe für Edomi.

Taugt die Kombination:
Fritzbox + Unifi-Security-Gateway + Unifi Switch (POE für Dahua IP Cam) + Unifi APs ? Ferner soll dann noch eine Synology DS718+ einziehen.

Gibt es hier etwas zu beachten? Ist ein Reverse-Proxy auf Basis von Nginx in der Konstellation noch sinnvoll, oder übertrieben? Das ganze soll ein vernünftiges Setup im Privat-Bereich werden. Daher auch möglichst alles aus einer Hand und über eine zentrale Stelle (Unifi-Software) zu verwalten. Aktuell ist nur ein Unifi AP im Einsatz, sollte es auf dem Gebiet bessere Alternativen geben, wäre jetzt noch Zeit umzudenken :-)

Gruß, Sven

Wenn ich mich nicht irre, dann gibt es hier irgendwo ein UBNT Thread in dem viele solcher Fragen besprochen werden ... ich selbst habe mich damals dagegen entschieden - hauptsächlich weil deren APs nur 4 virtuelle APs in Dualband zur Verfügung stellen, ich wollte mehr.

Deswegen werkelt bei mir eine Sophos UTM9 auf einem APU. Je nach AP bis zu 16 SSID mit eigenen VLAN etc. Konfigurierbar über die Firewall. Nicht gerade ein Schnäppchen, aber geil!

das könntes du sparen wenn du einen UBNT EdgeRouter mit POE verwendest....(IMHO)

Die UBNT EdgeRouter unterstützen soweit ich weiß nur passives POE. Ich denke das wird nix...
Außerdem lassen sie sich nicht in den Unify-Controller einbinden.

Was mache ich denn bei einer Installation in einem Einfamilienhaus mit mehr als 4 "virtuellen APs"?

OK, das Thema passives POE habe ich übersehen - da hast du Recht...
Aber DHCP Server machst du dann auf der Syno, oder kann der Unify Switch das übernehmen?

Bezüglich Verwaltung bin ich eher überrascht - ich dachte Unify/Ubiquiti ist alles eine Platform - naja so kann man sich irren
Danke jedenfalls für deine Hinweise

Paar Stichpunkte zu den Themen die mir auffallen:
- Unifi ist kompatibel in sich. Aber ubiquiti ist nicht nur unifi - die edge Serie ist für Netzbetreiber und "Pro's" gemacht.
- Ein reiner Switch hat keinerlei Software drauf (kein DHCP DNS etc). Der ist eh zu schwach dafür. Da du aber VLANs haben möchtest und keinen Zugriff auf deinen Netzprovider Router hast brauchst du eh einen eignen (denn iwer muss ja die VLANs Routen). Das ist dann zwar Double NAT macht aber nicht sonderlich große Probleme.
- Wenn ich so deine Gedanken lese, empfehle ich dir nur einen Mikrotik wenn du bereit bist dich einzufuchsen. Ich fürchte du würdest die Firewall regeln nicht mit allen Haaren am Kopf überleben Wenn du allerdings bereit bist dich da einzuarbeiten bekommst nen mächtiges Gerät. Dann nimm aber den rb3011 - der hat genug Power und verschluckt sich nicht bei einigen VPN Sessions. Sprich der hat einen OpenVPN Server und auf den Kannst dich verbinden. Dafür muss aber dein äußerer Router Portweiterleitung unterstützen.
(PFSENSE vs Mikrotik - ich hab bei mir beides im Einsatz und finde Pers. Mikrotik einfacher aber das sage ich als Informatiker und Netzwerkadmin)
-Das Stichwort Reverse Proxy ist gefallen - nützt dir nichts ohne festen Endpunkt im Internet. Das bedeutet ja dass dein Gateway ausm LAN einen Tunnel zu einem Server im Internet aufmacht und dein Endgerät dann auch zu diesem Server .

Was ich mich Frage, du sprichst von einem MODEM (Cisco) und einem ROUTER (Fritze) - hast du das wirklich beides und in dieser Konstellation? Wenn ja kannst du ja die Fritze weg hauen und deinen Router (Mikrotik ) ran klemmen und per PPPoE oder was dein Betreiber nutzt einwählen. Dann sparst dir Doppel NAT und den Ärger mit Portweiterleitung. .

Nette Architektur hast du da - sieht man selten In der Form einer Planung und Doku. Einzig was das Bild stört - "L3 Firewall". Von deiner Beschreibung her behaupte ich Du hast mindestens L4 (achtet auch auf die TCP/UDP Pakete) oder eher L7 (Application Firewall - z.b. du filterst mit Squid guard und co. nach Inhalt der Pakete )

Danke für deine Infos...'
Die Fritz mach nur noch Telephon..., Wlan machen die UAC-Pro Unifi
das Modem ist ein Kabelmodem des Betreibers Cisco 320x und sozusagen "Gottgegeben"

Ich haben eine managed Swich (Planet SGSW-24040P) der VLAN kann (zumindest schaut's für mich so aus)

Grundsätzlich bin ich schon bereits mich reinzuhängen - aber irgendwie rennt mir immer die Zeit davon da ich zeitaufwändige Hobbies (Hund / Marathonlauf/Berg/Motorrad/...) habe und andererseits auch ständig Baustellen im/am/uns Haus habe...
Daher tendiere ich zu einfacheren Lösungen - das wäre dann (soweit ich dich verstehe) der Ubiquiti (oder eher das Gateway USG??)...

Jeder Rat/Meinung ist willkommen

Mir fehlt in deiner Bescheibung des Ist Zustandes imo noch der Router Du sprichst nur von einem Modem ?