Da bin ich bei dir
😂 das glaube ich dass das denen zu bunt ist.
Es ist aber benutzerfreundlich gestaltet finde ich. Und dann noch die ganze Spielerei mit den Statistiken, für den, der das brauch...
Wer das kann braucht kein Unifi...

Das stimmt, man muss es halt können

Ich war beim Router der 800er Serie.
Ist aber auch schon ein paar Tage her, ich hab es noch dunkel in Erinnerung, alleine bis man in der Richtigen Config Ebene ist.
Aber vermutlich erst es halt so, das ich vieles einzelnen getippt hab, obwohl es auch als ein gemeinsamer Befehl gegangen wäre.

Bin aber voll bei dir, die Erfahrung macht es, unter Unix arbeite ich auch zu 99% in der Konsole weil es halt schneller ist, versteht der Windows User auch nicht direkt.

Zumindest Omada bietet ja CLI an, so fern man keinen Controller einsetz. Bei Unify weiß ich es gar nicht.


Wie gbglace schon geschrieben hat, für die Anforderungen des TE reicht die Grafische Oberfläche, macht das ganze zwar etwas Zeiaufwendiger aber deutlich einfacher.

Ich habe mich aufgrund einer Empfehlung im Forum "Hardwareluxx" für Router + Switch von Mikrotik entschieden, APs sind von TP-Link.
Ich habe sehr lange mit Unify geliebäugelt, aber habe mich letztlich aufgrund des doch relativ hohen Preises dagegen entschieden.
Eine Basiskonfiguration des Mikrotik Routers ist mit einem Assistenten möglich, empfohlen wird aber die manuelle Schritt für Schritt Konfiguration da man dadurch mehr versteht.
Das Ganze ist dann für einen Laien wie mich doch recht kompliziert, ich habs sogar geschafft, dass mir mein Provider meine Leitung ausgeschalten hat da ihre Server sonst mit Anfragen überflutet worden wären. War letztlich ein falsches Flag im Einrichtungsassistenten ("Bridge All Ports").
Nachdem ich das verstanden habe war die Einrichtung kein großes Problem mehr, meine Motivation weitere Settings zu probieren war aber für eine gewisse Zeit im Keller...
Ich würde mich aber dennoch erneut für Mikrotik entscheiden, die Möglichkeiten sind endlos, der Preis sehr gut und wenn man Interesse daran hat sich damit zu beschäftigen kann man das Ganze denke ich auch erlernen. Für Anfänger, die keine Zeit oder Lust haben sich einzulernen sind andere Möglichkeiten sicher besser.

Mein Problem ist immer, dass ich mich in ein paar Jahren auch noch damit auskennen muss.

Und wenn ich das nicht regelmäßig verwende, muss ich mich dann wieder einlernen.

Dem kann ich nur zustimmen, man kann sich in vieles Reindenken, nichts ist unmöglich. Aber ich bin auch eher son "set n forget" Typ und dann, 3 Jahre später, selbst mit Backup/Doku, sitze da --- ähhh, mhh, was hab ich da gemacht, wie ging das noch?

Aber zum Thema, ich behaupte Grundverständnis von Netzwerk zu haben, aber bei wilden Setups muss ich auch recherchieren oder Freunde fragen, bekommt man dann hin, aber nicht mal eben. Insbesondere wenn es auch sicher sein soll. Daher bin ich auch von anfänglich großen Ideen mit etlichen Netzen auf eine doch eher kleinere Aufteilung gegangen. Habe auch das Unifi Zeug (UDM, Switch + APs) und komme damit gut zurecht als Privatperson.

bei mir genauso - aus dem gleichen Grund. (Bin halt ein richtiger ITler mit Ahnung vom Wäsche waschen und kein fader Netzwerktechniker / Sysadmin )

Kommen wir zum Thema zurück. Er braucht einen Router/Firewall. Das hat er nicht. Das braucht er aber. Opnsense ist eine flexible Lösung, die sehr günstig ist, leicht über die GUI zu konfigurieren ist und dank der gigantischen Verbreitung überall Hilfe dafür zu finden ist.

VLANs braucht er eigentlich nur fürs wlan. Man sollte sein Heimnetz so simpel wie möglich halten, siehe letzte Beiträge. Auch die Ehefrau oder Kinder sollten es im Notfall verwalten können, oder zumindest einfach am Laufen halten.

Bei mir geht es von der fritzbox auf eine OPNSense, von dort auf ein "VLAN" für das heimnetz und ein VLAN für IoT Geräte. Da jedes VLAN von der opnsense auf den Switch über einen separaten physikalischen Port angeschlossen ist, gibt es die VLANs eigentlich nur zur Zuordnung der Ports auf dem Switch. Das sind ein paar Klicks in der GUI des Switch. Mehr will ich nicht konfigurieren müssen. Die DMZ ist direkt an der Firewall angeschlossen.

Da die IP Adressen alle über dhcp Reservierungen in der opnsense verteilt werden, könnte ich im Fehlerfall die FritzBox aus der opnsense ausstecken und mit dem Switch verbinden und alle Geräte würden sofort wieder einigermaßen funktionieren. (die IoT Geräte müssten noch umgesteckt werden, die DMZ funktioniert dann natürlich nicht mehr. )

Je komplizierter es wird, desto unsicherer, da man nur blöde Fehler einbaut.

Warum braucht er einen Router Firewall, er hat doch ne Fritze.
was ist jetzt schon wieder DMZ für eine Box?

Die Fritze reicht nicht aus, da:
- die Fritzbox keine zwei getrennte Netze beliebig einrichten kann. Das höchste der Gefühle ist der Gastzugang mit eingeschränkten Einstellungsmöglichkeiten. Auf jeden Fall kein Routing zwischen den Netzen.
- er will nicht das AVM WLAN nutzen, sondern andere AP. Nachvollziehbar, da AVM keine WLAN AP mit PoE für die Deckenmontage im Prorgamm hat. Und somit kann er den WLAN Gastzugang nicht nutzen.
- die Fritzbox unterstützt nur eine rudimentäre DNS Filterliste (max. 500 Einträge), die nicht einmal automatisch aktualisiert wird. Zudem gibt es keinerlei Statistiken, was wie geblockt wurde.
- Die Fritzbox kann kein Geoblocking
- Die Fritzbox kann keine Trafficanalyse
- Naja, sie kann am Ende eben auch kein VLAN, auch wenn man das bei kleinen Netzen gar nicht bräuchte, aber die Fritzbox kann nur leider auch nicht mehrere beliebige Netz aufspannen.

Ich betreibe bei mir zu Hause einen Server, auf welchen ich ohne VPN von unterwegs zugreifen kann. Dieser befindet sich in einem separaten Netzwerk, von welchem kein Zugriff auf das LAN gestattet wird. (Demilitarisierte Zone, DMZ) Aber natürlich will ich über den Router vom LAN auf die DMZ zugreifen können. Dafür ist der Router ja da.


Was er mit einer Fritzbox maximal machen könnte wäre:
Das LAN für das Heimnetz eben, VLAN1, und dann das Gäste LAN über Port 4 der Fritzbox auf einen manged Switch bringen und dort der VLAN ID 2 zuordnen. Beide VLANs an die WLAN AP schicken und VLAN 1 auf die SSID Heimnetz und VLAN 2 auf die SSID Gäste bringen. Aber dann gibt es eben kein Routing dazwischen, er hat kein getrenntes Netz für IoT Geräte.... (siehe die Liste oben)

Er könnte das Gäste LAN auf einen managed Port bringen, dort dem Gäste LAN bspw. VLAN-ID 2 zuordnen und

Ich war jetzt ein paar Tage nur stiller Leser, mal schauen, wohin die Reise geht . Und zudem gab es noch einige ungeplante, dringendere Themen am Bau .

​
Genau das ist auch für mich ein wichtiger Punkt. Ich hatte schon ab und zu in der Arbeit ungewollte Kontakte mit Mikrotik-Hardware, da bin ich in der Regel ans Ziel gekommen (auch wenn es nie komplexe Fragestellungen waren), aber gefühlt musste ich da jedes Mal wieder bei Null beginnen.

Klar ist OPNsense / pfsense und DMZ vom Sicherheits​aspekt her ein guter Ansatz, aber eigentlich hatte ich gehofft, das ganze ohne noch ein separates Gerät hin zu bekommen (auf dem dann die Firewall läuft).

Ich tendiere gerade dazu zu sagen ich kaufe mir Hardware, mit der die grundlegende Funktionalität geht und mit der ich dann, wenn ich mal Zeit habe, das Konzept noch verfeinern kann. D.h. Fritz!Box mit Gäste-WLAN auf Port 4, den und einen weiteren Port auf den Switch leiten und dann hart auf zwei unterschiedliche VLANs mappen, die ich dann sowohl im Ethernet als auch im WLAN habe und von den WiFi APs mit unterschiedlichen SSIDs angeboten werden. Dann kann ich ggf. später immer noch eine Firewall hinzufügen - quasi der umgekehrte Weg zu deinem Fallback.

OK soweit

aber warum soll IoT in ein eigenes Netz, den Geräten kann man doch in der Fritze einzeln anklicken, das die nicht ins Internet dürfen.

Oder warum trennt Ihr das IoT vom sonstigen häuslichen LAN?

Es gibt einige wichtige Gründe, warum es ratsam sein könnte, IoT-Geräte nicht direkt im Heimnetzwerk zu verwenden, sondern zusätzliche Sicherheitsmaßnahmen zu ergreifen.

Sicherheitsbedenken:

1. IoT-Geräte sind oft schlecht gesichert, was sie anfällig für Hacking und Angriffe macht. Wenn man sie direkt ins Heimnetzwerk integriert, könnten Angreifer Zugriff auf das gesamte Netzwerk erhalten.
2. Privatsphäre: Einige IoT-Geräte sammeln Daten über Gewohnheiten und Aktivitäten.
3. Unzureichende Updates und Aktualisierungen
4. Netzwerkstabilität: Ineffiziente oder fehlerhafte IoT-Geräte könnten die Stabilität des Hauptnetzwerks beeinträchtigen.
5. Kindersicherung: Die Isolierung von IoT-Geräten kann auch als Kindersicherung dienen. Wenn man IoT-Geräte in einem separaten Netzwerksegment platziert, kann man den Zugriff für bestimmte Geräte oder Nutzer einschränken.

​

Aber sie müssen ja ins Internet, sonst wären es ja keine IoT Geräte mehr. Sie sollen aber halt nicht auf alles aus dem Internet zugreifen können.

Man möchte mit den IOT Geräten aber interagieren. Was nützt es mir mein iPhone und mein AppleTV in verschiedenen Netzen zu haben wenn dort zB Airplay nicht mehr funktioniert weil die Teile sich gegenseitig nicht mehr finden. Bei DLNA das gleiche.

Eigenes IOT Netz erachte ich erstmal nur dann als sinnvoll falls diese Geräte ausschließlich über die Cloud kommunizieren...
Ansonsten muss man sehen. Smartphones, Laptops etc sollten Softwaretechnisch ja immer auf dem aktuellen Stand sein. Da würde ich mal behaupten hält sich das Risiko für irgendetwas in Grenzen.

Das geht doch meist viel besser über die entsprechenden Einstellungen der Geräte selbst...

Man muss halt Wissen was man vor hat und was man erreichen will...