Das USG ist für einen ambitionierten Endanwender zusammen mit dem Unifi-Controller ähnlich komfortabel zu konfigurieren wie eine FritzBox, aber deutlich mächtiger von den Fähigkeiten. Mikrotik habe ich selber noch nicht benutzt, aber vom Lesen der Doku wird man in deren Weboberfläche sicher mehr erschlagen als bei Unifi.
Ein USG ist ja ein Edgerouter mit angepasster Firmware, die es an den Controller anbindet. Wenn man sonst Unifi-Produkte benutzt und als Router einen EdgeRouter, muss man die VLANs/Netze doppelt pflegen. Der EdgeRouter hat auch einen deutlichen stärkeren Fokus auf Kommandozeilen-Konfiguration, wenngleich sich viele Standard-Dinge in der Weboberfläche einstellen lassen. Das USG kann im Prinzip alles, was ein Edgerouter kann.

Wenn man gerne an seinem Netzwerk bastelt und gerne etwas ausprobiert, kommt man mit einem USG irgendwann an die Grenzen dessen, was man mit dem Controller konfigurieren kann. Dann muss man das USG umständlicher in einer JSON-Datei auf dem Controller konfigurieren als das z.B. mit einem EdgeRouter auf der Kommandozeile möglich wäre.

Meine Empfehlung für den Einstieg in Prosumer- oder einfache Enterprise-Router wäre: Nimm einfach ein USG. Wenn Netzwerk Leidenschaft ist oder werden könnte: EdgeRouter, Mikrotik und/oder eine der oben schon genannten Firewall-Appliances.

Ich habe bisher zwar noch keinen USG aber den Unifi AP und den Controller auf nem MacMini laufen (Der läuft als AirPrint-Server ohnehin)

Ich bin selbst Informatiker und würde dir zu den Unifi-Produkten raten. Die Konfiguration ist super einfach und es funktioniert danach problemlos wirklich stabil. Gäste-Netzwerk mit Coupons welche nur x Stunden gültig sind, sind mit ein paar Klicks konfiguriert und ausgedruckt. Ich bin da der selben Meinung wie mein Vorposter: Optimal für den Semi-Professionellen Bereich. Ein guter Mix aus Möglichkeiten / Qualität / Preis / Einfachheit.

Hallo Andreas,

danke für deine Antwort.
Die Unifi Produkte haben ein Gäste-Wlan. Hier werden die IP-Bereiche eingeschränkt, auf die Gäste zugreifen können. Man kann sogar ein Ticket System (einmal Spühlmaschine ausräumen=2h Wifi) aktivieren. Aber ehrlich:
Wenn ich Gäste habe unterhalte ich mich mit denen. Sie brauchen dann kein WLan. Es ist sehr selten, dass jemand das GästeWlan nutzt und dann gebe ich das Passwort raus.
Der IP-Bereich ist eingeschräkt. Aber ehrlich: Die können auch einfach zum Touchscreen gehen. Wir reden ja hier von meinen Gästen. Die dürfen das Licht schalten. Und wenn die mein Haus umprogrammieren ... Ganz ehrlich: Ist das ein Punkt den wir betrachten müssen? Wie auch immer. Sie können es ja nicht.

Gar nicht. Im Gegenteil: Meine Alexa steuert mein Licht und Kodi kann Meldungen von der Haussteuerung anzeigen. Wie unpraktisch, das zu verhindern.

Nicht? Dann packe ich halt alle Geräte mit eingeschränkten Rechten ins Gäste-WLAN.

Ich sehe noch immer nicht, was ich verpasse.

Gruß,
Hendrik

Also bei uns kommt es immer wieder vor, dass Gäste gerne WLAN hätten. Zumeist sind das die Kinder der Gäste, aber auch jene welche bei uns übernachten. Ich habe dann mal nach einiger Zeit nachgeschaut und war erschrocken wie viele Personen mittlerweilen Zugang zu meinem Netzwerk haben. Eigentlich nicht Personen, sondern Geräte... Und Geräte wechseln vl. mal (unfreiwillig) den Besitzer. Auf Dauer wird das alles unübersichtlich.

FireTv, Alexa, und all diese anderen Things of Internet (Staubsauger, Geschirrspüler,...) telefonieren nach Hause und viele von diesen Things bekommen auch keine Sichheitsupdates trotz Lücken. Vieles davon kann man nicht beeinflussen (Alexa funktioniert halt nicht wenn es nicht nach Hause telefoniert), aber dass Geräte _unkontrolliert_ Zugriff auf das lokale Netzwerk haben sollte m.M.n nach unbedingt verhindert werden. Haussteuerung ist in Ordnung, dann aber über ein kontrolliertes Gateway.

Du versuchst halt alles über IP-Bereiche (Layer 3) einzuschränken. "Normalerweise" macht man das mit VLANs schon auf Layer 2. Unifi AP kosten nicht mehr als andere, der USG kostet einmalig 100 Euro. Bis hierhin sind die Kosten kein Argument _gegen_ diese Hardware und diese Lösung und meiner Meinung nach somit die Diskussion auch etwas müßig.. Managed Switches kosten hingegen leider etwas mehr. Ich würde in diesem Fall trotzdem so vorgehen wie es der Mainstream macht. Einfach, weil es _einfach_ ist, funktioniert und man schnell zu einer funktionierend Lösung kommt. (Lass dir das von jemanden gesagt sein, der fragt ob Electronic-Dosen bei Netzwerkanschlüssen wirklich notwendig sind, obwohl diese 3€ mehr kosten ))

Technisch halb korrekt. Es "kommunizieren" alle Funk Geräte in einem Bandbereich (also alle die sich stören können). Das ganze nennt sich CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance)
- für Laien gesagt probiert eine Station (Laptop oder AP) was zu senden (paar bits) und prüft gleichzeitig was in der Luft ankommt. Wird da ein Fehler festgestellt hört die Station auf zu senden und wartet ne Zeit lang. So werden auch Interferenzen festgestellt. Also macht es keinen Unterschied ob sich die gewählten Kanäle halb oder ganz überlappen !
So nun das 1,6,11 Muster. Diese Kanäle ( genauer die Frequenzen) liegen in einem solchen Abstand, dass die Wellen in der Luft sich nur sehr geringfügig beinflussen. Dies liegt an der "menge" an Wellen die für einen Kanal genutzt werden (20 MHz Bandbreite ist diese Angabe). Wer sich da einlesen will - qam64 ist ein Stichwort fur Google.
Mit dem Muster haben wir dann in einer Idealen Welt ein sauberes Signal.

​​​​​

Naja Sicherheitstechnische Dinge trennt man "Normalerweise" auf Layer 1 sprich KABEL Auf Layer 3 erst zu trennen im selben kabel geht für den Laien (da eine Kommunikation mit IP nicht möglich ist ohne Router) ABER du kannst auf L2 kommunizieren (also so wie kommunikation innerhalb eines Netzes stattfidnet). VLANs lösen dieses Problem indem sie eine Art Netz ID in den L2 integriert. Aber solange die Daten auf dem Kabel liegen und jemand Zugriff auf diesen Trunk hat kann er alles sehn mit ein wenig KnowHow..
VLANS setzt man nur in Gesicherten Vertrauenswürdigen Umgebungen ein (also z.B. vom Switch zum AP. Aber nicht vom Switch zur Netz dose in der Stube).
Viele sehen hakt VLANS als Sicherheitsmechanismus an - dem ist nicht so. Es ist, richtig eingesetzt, ein Werkzeug dieses Ziel zu erreichen

Eben doch weil eben nur der Kanal geprüft wird auf dem die Station sendet und nicht noch die benachbarten Kanäle. Stationen die eben teilweise in andere Kanäle hineinreichen verschlechtern damit eben genau dieses Verhalten was du beschreibst.
Bei Kanal 11 wird Kanal 11 geprüft ob dort grad gesendet wird, nicht aber was auf Kanal 9,10,12,13 passiert

Nein ein "Kanal" hat eine gewisse Breite und spannt sich über mehrere Kanäle (20 MHz oder 40MHz ist üblich ). Die "nummern" sind die Mittelpunkte der Kanäle. So überlappt der Kanal 1 die Mittelpunkte bis Kanal 5. Sendet jemand auf Kanal 4 stört dies die Übertragung auf Kanal 1 und die Station die es zuerst merkt zieht sich zurück.

L1 wären doch die Bits, das Kabel wäre der inoffizielle L0 :-)

Kanal 11 bleibt Kanal 11 auch wenn er mit Modulation und je nach Bandbreite in andere Kanäle hineinragt. Die Station kann nich vorher erst nen Haufen Frequenzen durchtesten sondern testet eben tatsächlich nur ihren eigenen.... Eine Überlappung auf 9, 10 oder 12,13 ist wie gesagt nicht zu erkennen, zumindest nicht im Vorfeld. Woher auch der Performance Verlust letztendlich rührt wieso teilweise überlappende Kanäle höheren Verlust bedeuten als wenn auf den gleichen Kanälen gefunkt wird..

Chapeau - aber die "Bits" auf L1 ist die Spannung also kann man das Kabel dort sehen. Ich gebe dir aber recht das Kabel kann da drunter angesehen werden auf L0.

EPIX du hast jetzt die Wahl der Qual mit der Hardware ... Mit pfSense kann ich helfen, L2-HP-Switch auch und mit MikroTik ein wenig ... Gib Bescheid wenn du dich entschieden hast.

Ja eben ... Wie soll ich dir das erklären ..

Kanal 11 hat den Bereich 2449,5 MHz - 2474,5 MHz.
Kanal 8 hat den Bereich 2434,5 MHz - 2459,5 MHz.

​​​​​​Dies bedeutet sie überlappen sich im Bereich 2449,5 MHz - 2459,5MHz.

Dies heißt auch dass ein Signal auf Kanal 8 mit in die Überlappung einstreut. Da die Station die zu senden versucht Kanal 11 überwacht, überwacht diese auch die Überlappung. Somit sieht sie diese Störung und zieht sich zurück. (Station auf 8 sieht es natürlich auch aber der schnellere zieht sich zurück )

EPIX wie Dariusz sagte - du hast die große Wahl . Egal wie du dich entscheidest hier sind genug die dir helfen können egal womit. Zu PFSENSE ist anzumerken du brauchst eine Hardware. Bei den USG und Mikrotik bekommst eine fertige Hardware dazu

Richtig, obwohl es dort ähnlich MikroTik, auch Komplett-Systeme zum kaufen gibt.
Ich muss aber zugeben, dass ich, wenn ich heute damit beginnen würde, möglicherweise komplett mit MT arbeiten würde ...