Ich habe auch noch mal nachgehört, bei den Unifi APs ist der Dreh und Angelpunkt wohl das Fast Roaming, zur Konfiguration braucht's den Controller. Nicht herausfinden konnte ich, ob der dann auch für den Betrieb benötigt wird.

Auch konnte ich herausfinden, dass es aktuell Seitens Ubiquiti Lieferprobleme gibt (wie bei vielen anderen Herstellern auch) und deshalb keine Lieferzeiten angegeben werden können.

Was du da erzählst ist eine völlig veraltete Technik mit enormen Nachteilen. damit du dir auch sicher sein kannst, kann ich dir ja paar Stichworte geben, damit findest du schnell weitere Informationen und Belege. Ubiquiti hat das von dir beschriebene Zero handoff Roaming genannt. Dazu mussten alle APs den gleichen Channel verwenden, die Nachteile sind offensichtlich. Bei Unifi gibt es das schon seit langem nicht mehr. Ich denke Cisco und Co bieten ihre Varianten davon auch nicht mehr, das weiß ich aber nicht sicher.

die moderne Variante für Roaming ist 802.11r, auch das ist kein rundum Sorglospaket, je nachdem welche Clients alle im Netz sind, kann es sinnvoll sein darauf zu verzichten.
BlackDevil das ist das, was viele Anbieter (u.a. Unifi) als fast roaming bezeichnen. Der Controller ist dafür nicht erforderlich.

Ein Dienst, der den Controller erfordern könnte, ist neben den Statistiken und dem guest Portal Radius. Allerdings könnte man den RADIUS auch auf einer anderen Plattform laufen lassen.

Und wo werden die von mir angesprochenen Authentifizierungsdaten für alle 20 Accesspoints und 400 Clients gespeichert? Etwa in jedem Accesspoint riesen Tabellen? Genau für diesen Einsatzzweck sind die Controller gemacht worden.

Ich habe zwar keine UniFi6 AP hier, aber 3 von den UAP-AC-PRO welche laut Datenblatt 7W brauchen.

Alle im Einsatz befindlichen geben sich allerdings aktuell mit 3,52W laut Switch zufrieden. Dabei sind beide Radios aktiv und jeweils 4 bis 7 Clients damit verbunden.

Die Maximalleistung zu betrachten ist meiner Ansicht nach nicht zielführend, da selbige wohl nur mit hoher Auslastung, sprich sehr viel Traffic und verbundenen Clients zum tragen kommt. Viel interessanter dürfte der Verbrauch im Idle oder mit wenig Traffic/Clients sein, das dies wohl der Zustand sein wird in dem sich ein AP im heimischen Umfeld üblicherweise ausgesetzt fühlt.

In meiner nerdigen Planung habe ich einen UAP-AC-Pro je Stockwerk eingeplant. Jetzt könnte man mindestens die Hälfte davon entfernen. Während der Bauphase (Innenausbau, also ohne Innentüren) konnte ich mit dem AP im EG das komplette Haus vom Keller bis zum Dachgeschoss versorgen (Ok, sind nur 10,5x11,5m Grundfläche). Wobei die AP jeweils in der Mitte der Grundfläche angeordnet sind.

Zum ursprünglichen Thema:

Wer braucht schon ernsthaft L3 zuhause? Wer jetzt sagt "Ja" sollte nochmal in sich gehen ob er es "WIRKLICH" braucht

Wenn man den Luxus eines 10GE Anschluß haben kann spielt die Frage ob SFP+ oder nicht natürlich eine Rolle. Hier muss man bei Ubiquiti zu den Pro Geräten greifen, hat aber das Problem das selbst das USG-Pro nur SFP Ports hat.

Ich persönlich habe Erfahrungen mit MikroTik und Unifi und Cisco.

Cisco ist meiner Meinung nach Wahnsinn im privatumfeld. Preislich wie konfigurationstechnisch.
Mikrotik hat sehr gute Komponenten und auch die Software ist fut und umfangreich. Genau da liegt aber auch der Hase im Pfeffer begraben. Die Software ist so umfangreich das jemand der eine FritzBox gewohnt ist, vermutlich erstmal nicht weit kommt und entnervt das Handtuch wirft. Die mangelnde (nicht vorhandene) Doku tut ihr übriges dazu. Für manches muss mann dann doch immer wieder die Console bemühen und das dürfte für manche ein NoGo sein. Ist shcließlich nicht jeder der geborene Netzwerkadmin.

Ubiquiti macht manches da besser mit der "klickbunti" (Warum wird das übrigens immer abwertend benutzt?) Oberfläche. Auch hier ist Einarbeitung nötig und Wissen über Netzwerke von Vorteil, aber man kommt schneller zurecht finde ich.
Der große Haken bei Ubiquiti ist die Art und weise wie man dort schaltet und waltet. Userwünsche werden zwar erhört jedoch nicht bzw kaum/sehr spät umgesetzt. Dafür kann es einem passieren das man mit 6 Monaten Vorlauf einen durchaus umfangreichen EOL vor den Latz geknallt bekommt. Bei Updates Funktionen gestrichen werden, etc.


Letztlich kommt es darauf an was man wirklich! braucht und wie fit man in Sachen Konfiguration ist. MikroTik kann einem den Nerv rauben. Das können alle anderen aber mindestens genauso gut.

Zumindest im Falle von MikroTik kann man aber (wen nsie denn funktionieren) die Online Demos von RouterOS mal antesten um ein Gefühl dafür zu bekommen:

https://mikrotik.com/software

Ich wollte das KNX-IP Interface (und weitere Gebäudetechnik) gerne in einem sauber getrennten Netz haben. So, dass z.B. Mails rausgesendet werden können (bringt das IP-Interface von MDT von Haus aus mit), aber kein allgemeiner Zugriff aus dem regulären Netzwerk möglich ist (KNX im IP-Netz ist komplett ungeschützt und ohne Authentifikation am Interface).

Wie ließe sich sowas denn mit einem L2-Manged Switch und VLANs realisieren? Vielleicht habe ich da was entscheidendes übersehen…

Wenn du einen L3 Switch in meiner Liste entdeckt hast, bitte ich um Info, der ist mir dann irrtümlich reingerutscht.
Ich hatte nur L2 im Fokus, da ich für einen L3 keinen Usecase kenne.

Walter

Du routest am Router.

Der Mikrotik. Wobei man das wahrscheinlich auch noch kontrovers diskutieren könnte, weil das Routing dort mindestens teilweise über die CPU läuft.

In einem gewöhnlichen privaten WLAN gibt es für jede SSID nur 1x Zugangsdaten, die sind natürlich im AP, in einem professionelleren Umfeld gibt es einen RADIUS Server (wer hat den in diesem thread schon mal erwähnt? Genau!) und der läuft nebenbei bei den wirklich professionellen Lösungen nicht auf dem Controller, bei Unifi geht das aber.

nachdem du es besser weißt, kannst du bitte mal mindestens ein System mit Roaming durch den Controller verlinken?


vophatechnicus Mein Problem mit „klickibunti“ war recht schnell, dass viele dann doch recht übliche Funktionen fehlen und die Bedienung nicht besonders intuitiv ist. Vom Konzept finde ich das prinzipiell aber genial! Beispielsweise ist die Firewall unnötig aufwendig gelöst und noch dazu gefährlich, by default gibt es keine Trennung der VLANs

wknx

der Router vermittelt zwischen den VLANs, wenn du so willst, dann ist ein L3 Switch auch nur eine Art Switch + Router in einem

Genau diese Frage beschäftigt mich auch schon länger.
Es gibt vermutlich viele Möglichkeiten, es richtig zu machen, und vermutlich noch mehr Möglichkeiten, es falsch oder suboptimal zu machen.
Eine übersichtliche Gegenüberstellung der "empfohlenen" Varianten habe ich bisher noch nirgends gefunden, bin aber für jeden Link zu einer möglichen Lösung dankbar.

Die beste Anleitung, die ich zu dem Thema kenne ist diese hier: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Das Gastnetz der Fritzbox für IoT Geräte zu verwenden scheidet aus mehreren Gründen aus.
1.) Die Fritzbox kann kein VLAN Tag dranhängen, daher kann man es nur über 2 getrennte Netzwerkkabel zum Switch bringen.
2.) Die Fritzbox kann die Netze nur komplett trennen, auch gewünschtes Routing dazwischen lässt sie nicht zu, per NAT über externe HW geht eine Verbindung zwar, ist aber auch wieder nur ein Workaround.

Ziel ist es ja, potentiell unsichere IoT Geräte von wichtiger Infrastruktur zu trennen, aber irgendwie erreichen will man sie ja dann doch noch.

Die Alternative, eine Routerkaskade zur Bildung einer DMZ wird zwar in der c't immer wieder empfohlen, hat aber auch Nachteile, obwohl es auch da Anleitungen gibt, wie man z.B. doppeltes NAT vermeiden kann. Ein Vorteil wäre halt, es geht auch mit der Fritzbox.

Wenn man jedoch bereit ist, auf die Fritzbox ganz (oder zumindest als Router) zu verzichten, dann sehen die Lösungen schon wesentlich besser, aber auch wesentlich komplexer aus.

1.) Modem: z.B. Draytek Vigor 165, oder auch das vom Provider
2.) Router / Firewall: pfSense z.B. auf APU-Board, UniFi Security Gateway (USG), MikroTik, ...
3.) L2-Switch
4.) APs
5.) Fritzbox oder Gigaset nur mehr als DECT Basisstation

Wenn Router, Switch und AP mit VLAN umgehen können, dann kann man jetzt ein (oder mehrere) echte IoT Netzwerke abkoppeln, mit allen Vorteilen.
Im oder zwischen den Switches und auch zu den APs wird das VLAN getaggt, zu den Endgeräten nicht.
Die meisten APs können mindestens 3 weitere SSIDs (für jedes VLAN eine) aussenden, wobei das auch eine Performance Frage ist. Es sollte jedenfalls reichen, die meisten IoT Geräte werden ohnehin direkt am Kabel hängen.

Frage an die Experten: Wie viele VLANs sind für IoT Geräte sinnvoll?
Einige Geräte wollen sicher miteinander reden (z.B. PV + Heizung), die restlichen könnte man ja auch nochmals voneinander trennen,
also z.B. in mittel-sichere, weniger-sichere und noch-weniger-sichere Geräte.

Da fällt mir ein, dass ich bei meiner AP-Liste nicht auf VLAN-Fähigkeit geachtet habe, ich werde sie wohl nochmals prüfen müssen.
Irgendwie bin ich jetzt irrtümlich davon ausgegangen, dass das bereits Standard wäre.

Ich bin sicher, dass ich (als bekennender Laie) hier auf viele wichtige Punkte noch vergessen habe, aber es ist jeder eingeladen, Fehler in meinem Wissensstand zu korrigieren und Lücken zu schließen. Vor allem ein Bild mit einer guten und erprobten Netzwerk Struktur würde mir sehr helfen.

Walter

Ich denke man muss nicht mit Kanonen auf Spatzen schießen.

Um VLANs nutzen zu können braucht man ein Routing zwischen den VLANs.
Das kann man mit einem VLAN fähigen Router machen. Funktioniert aber für den Threadstarter nicht, da du evtl. 10Gbit/s Internet hast, d.h. dein Router muss diese 10Gbit/s verarbeiten können. Einerseits von den Netzwerkanschlüssen, andererseits von der Prozessor-Leistung. Das kann aber kein APU-Board, kein UnFi bla blabla oder sonst etwas. Somit baust du dir deinen eigenen Flaschenhals ein. Alternativ geht es über ein L3 Switch mit 10GBit/s. Der kostet aber. Die Frage ist auch wozu überhaupt? Es gibt viele einfacherere Möglichkeiten ein im privaten Umfeld vollkommen ausreichendes Sicherheitskonzept zu erstellen. (getrennte Subnetze, Ports des Switches an eine MAC Adresse binden)

Das was du brauchst ist einfach ein 24-Port Switch mit ein paar 10Gbit/s SFP+ Slots mit einer schönen Weboberfläche für rudimentäre Einstellungen. An einen SFP+ schließt du dann deinen Router an, an die anderen ... bisher nichts. Ist auch nicht so schlimm. Der Switch kann die 10Gbit/s verarbeiten, d.h. du kannst mit 10 Geräten, die je mit 1Gbit/s angebunden sind, gleichzeitig je 1Gbit/s vom Internet übertragen.
Von einem einzelnen Server im Internet wirst du sowieso in aller Regel nicht mehr als 1Gbit/s empfangen, da die Server in den Rechenzentren auch meist nur mit 1Gbit/s angebunden sind. D.h. am meisten profitieren wirst du von den 10GBit/s wenn du sehr sehr viele Teilnehmer hast die gleichzeitig mit verschiedenen Servern kommunizieren. Nun kann man sich überlegen, ob dies bei dir der Fall sein wird. Also ob du so viele Kinder im Haus hast, dass dieser Fall eintritt.

Spannend wird es dann eher schon, wenn dein Computer 10Gbit/s und deine NAS 10Gbit/s noch unterstützt. Dann stellt sich aber die Frage ob du das wirklich über ein CAT7 Kabel machen willst oder nicht über ein energetisch effizienteres Glasfaserkabel.

Auch wichtig bei solchen Geschwindigkeiten wird dann schon eher das WLAN, welche AP nutzt du und wie verteilst du diese, da du dann viele brauchst, damit du auch den schnellen Funkstandard, der aber meist durch keine Wand mehr durch geht nutzen kannst.

Dann habe ich also nichts übersehen. Es braucht zusätzliche Hardware (denn der haushaltsübliche "Internet-Router" deckt das nicht ab), oder ein (L3)Switch mit Routing-Funktion. Im Fall von der Mikrotik CRS-Serie habe ich beides in einem Gerät vereint.

Du musst nicht zwingend den kompletten Internet-Traffic durch den Router schieben. Ich habe eine Konfiguration ähnlich wie von Dir beschrieben: FritzBox als DSL-Router. An der hängt dann eine Bridge (im Mikrotik CRS). Nur zwischen dieser "externen" Bridge und internen Bridges wird geroutet und gefiltert. Für den meisten Traffic verhält sich diese Konfiguration dann genau wie Deine Switch-Konfiguration und der restliche Traffic ist überschaubar. CPU-Last ist unauffällig, das Einsammeln der Statistiken per SNMP macht sich da deutlich stärker bemerkbar.

Ich würde Switch + APs von Mikrotik nutzen.
Hat einfach ein super Preis / Leistungsverhältnis.

Es ist zwar etwas Übung mit Winbox notwendig und man muss die Sache mit Bridge und VLANs kapieren, aber dann funktioniert alles perfekt.

Um etwas gleichwertiges bei Aruba zu finden müsste man dann beim 2540 schauen. Der ist aber x-fach so teuer und um einiges lauter.

Ubiquiti kommt mir nicht mehr ins Haus.
Mittlerweile ist der Unifi Controller einfach nur noch mit Funktionen voll gestopft. Teilweise gehen die Funktionen dann auch nur wenn man auch Security Gateway Besitzer ist.

Vielen Dank für das verständliche Feedback, hast du auch konkrete Empfehlungen zu Switch und Access Points?

In wie fern wird es durch die Verzicht auf die FritzBox oder ähnliche Hardware einfacher? Einen Router der direkt am Internet hängt würde ich selbst nicht konfigurieren wollen. Sehe da einfach zu großes Fehlerpotenzial, hast Du selbst bereits auch aufgeführt. Mit der FritzBox gab es in der Vergangenheit zumindest nie ernsthafte Sicherheitsprobleme.

Mit der Kombination FritzBox und Mikrotik CRS kannst Du 1,2,3 und 5 in nur zwei Geräten abbilden.

Mit extrem viel Glück auch noch 4, sofern keine separierten WLANs erforderlich sind die über das Gast-WLAN hinaus benötigt werden. Für größere Flächen ggf. auch mit der AVM-Mesh-Lösung. WLAN-Fans werden damit aber eher nicht glücklich…