[Unifi] seperates IoT Wlan mit VLAN etc.

  • HI,

    ich fang jetzt mal mit dem ersten Thema an was mich mit meinen Unifi APs beschäftigt - will für meine ganzen Sonoff / Xiaomi und wie sie alle heißen ein eigenes WLAN spannen.

    1. um besseren überblick zu haben
    2. um dan ganzen traffic und das pallaber nicht über die Hauptgruppe zu haben
    3. besser verwaltbarkleit

    So nun ist aber die Frage wie ich das machen mit VLAN und WLAN. Hat jemand sowas schon aufgebaut ?!

    Das Netz sollte nach möglichkeit gut geblockt sein - nur der OH2 Server aus dem Hauptnetz soll mit den Geräten sprechen können. Internet kann man sicher auch einschränken oder ganz aus machen.

    Support ME ! Buy me a Coffee :thumbup:


    Dont Touch ME

    LivingRoom: SilverStone Milo ML03 | Gigabyte B450 | Ryzen 3400G | 250GB NVME | 16GB DDR4-3200| Win10 64 bit | KODI 18 | Logitech Harmony Elite | SONOS Playbar + SUB
    BedRoom: PLAY:3
    Kitchen: PLAY:3
    BathRoom: Play:3

  • Moin,

    grundsätzlich ist das Thema VLAN ganz einfach. Wichtig ist, dass alle deine Komponenten auch VLAN unterstützen. Also Switche, APs und ein Router / Firewall die VLANs unterstützt für das Routing (Zugriff von einem in das andere).
    Das muss nicht alles von Unifi sein, vereinfacht aber die Verwaltung ;) Geht aber mit anderen Herstellern auch gut.

    ich haue mal eine kurz Erklärung rein, vlt. hilft das :)

    Spoiler anzeigen


    1. Schritt ist - neue Netzwerk(e) am Router / Firewall einstellen. Hier wird erstmal ein komplett neues Netzwerk angelegt, eigener IP Adress bereich, DHCP, DNS. Für dieses wird nun eine VLAN ID vergeben. Die ID erzeugt somit die Trennung von den Netzen. Jedem Packet, dass im Netzwerk umher schwirrt wird eine ID angefügt, wer die gleiche ID hat ist im gleichen Netz. So die technische grobe Grundlage.
    2. neues WLAN erstellen, hierbei wird ebenso die VLAN ID angegeben, somit gehört das WLAN dann zu dem anderen neuen Netzwerk.
    3. Switche konfigurieren - bei den Switchen müssen die einzelnen Ports eingestellt werden. Hier muss festgelegt werden, über welchen Port welches Netzwerk gehen darf.
    Grundlegend gibt es 3 Stati für die Ports - Tagged, Untagged & Exlude.

    E - dieses VLAN darf NICHT über diesen Port.
    T - NUR dieses VLAN mit der definierten ID darf über den Port
    U - das VLAN darf über den Port, wenn das Gerät das daran hängt aktiv diese ID mitteilt. Somit können mehrer VLANs über eine Schnittstelle wandern (Wichtig für den Port an dem der AccessPoint angeschlossen ist. Wenn er mehre WLAN ausstrahlen muss, brauch er dem entsprechend alle diese VLANs)
    4. ROUTING ! letztendlich musst du noch festlegen an der Firewall wer von welchem Netzwerk in welches wie kommunizieren kann! Das Routing also übernimmt dann die Firewall am Ende. Hier musst du sagen was geht unter den Netzwerken.


    So zu den technischen Grundlagen, ganz grob :D Mag vlt hier und da etwas viel klingen, ist aber ganz einfach wenn man das raus mit mit den 3 Stati.

    Hier noch eine kleine Bilder "Anleitung" von unifi dazu: https://help.ubnt.com/hc/en-us/artic…tching-Hardware

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Danke dir schon mal vorab - da es um ein reines getrenntes WLAN Netz geht lasse ich Switch Konfig etc erstmal außen vor.

    Es fängt schon damit an das, wenn ich im Unifi Controller, ein neues Netzwerk erstellen will - keine IP Range bzw. keine IP Eintragen kann ( das Feld gibt es einfach nicht) in meinem Primären LAN gibt es das.

    Support ME ! Buy me a Coffee :thumbup:


    Dont Touch ME

    LivingRoom: SilverStone Milo ML03 | Gigabyte B450 | Ryzen 3400G | 250GB NVME | 16GB DDR4-3200| Win10 64 bit | KODI 18 | Logitech Harmony Elite | SONOS Playbar + SUB
    BedRoom: PLAY:3
    Kitchen: PLAY:3
    BathRoom: Play:3

  • Switche MUSST du mit konfigurieren. den AP hast du ja nicht einfach direkt an den Controller geklemmt ;)
    Ohne das Unifi Gateway kannst du nichts eintragen, denn der Controller verwaltet nur, das Gateway wäre für DHCP usw zuständig und auch für das Routing der VLANs. Wenn du kein Gateway von denen hast oder willst, musst du das an deinem Router / Firewall manuell einrichten. Eine FritzBox z.B. kann so etwas aber nicht.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Mhhh das heist wenn ich die APs nur an unmanaged Switchen habe und nur ein VLAN aufs WLAN legen will geht das nicht ? Mh das ist blöd dann könnt ich ja aber dennoch ein separates WLAN für IOT machen mit anderen IP Adressbereich und allem was dazu gehört - nur eben ohne VLAN richtig ?

    Support ME ! Buy me a Coffee :thumbup:


    Dont Touch ME

    LivingRoom: SilverStone Milo ML03 | Gigabyte B450 | Ryzen 3400G | 250GB NVME | 16GB DDR4-3200| Win10 64 bit | KODI 18 | Logitech Harmony Elite | SONOS Playbar + SUB
    BedRoom: PLAY:3
    Kitchen: PLAY:3
    BathRoom: Play:3

  • Nein, wenn eine extra WLAN SSID ausgesendet wird sollte diese auch in einem Separaten Netzwerk landen und das muss nunmal irgendwo her kommen und hin gehen. unmanaged Switche schmeißen halt die VLAN Pakete weg.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Ok dann muss ich mir wohl überlegen ob ich den kleinen Switch von unifi hol.

    Aber andere frage das default lan von den unifi APs ist aktuell meiner Meinung nach unbenutzt - die APs sind in meinem default LAn mit zb 192.168.20.xx in den APs selber die das Netzwerk : LAN konfiguriert als 192.168.6.1 das ja aber eigentlich niemand nutzt weder wlan Geräte noch feste da alle im 192.168.20.x sind / DHCP gibt Router aus und DNS macht ein rasp. - dann könnte ich ja für iot das Netz nehmen und darauf ein wlan spannen und einen der APs das DHCP in dem Netz übernehmen lassen ?

    Support ME ! Buy me a Coffee :thumbup:


    Dont Touch ME

    LivingRoom: SilverStone Milo ML03 | Gigabyte B450 | Ryzen 3400G | 250GB NVME | 16GB DDR4-3200| Win10 64 bit | KODI 18 | Logitech Harmony Elite | SONOS Playbar + SUB
    BedRoom: PLAY:3
    Kitchen: PLAY:3
    BathRoom: Play:3

  • du kannst nur ein DHCP gleichzeitig haben, mehrer geht nicht. Daher gibt es etwas wie die VLANs um das ganze zu trennen.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Ja würde es immer noch gerne Umsetzen - leider noch keinen Unifi Switch sondern stand heute immer noch nur mehrere APs - finds auch irgendwo doof ist ich nen switch brauch nur um ein getrenntes WLAN für meine Sonoffs und Shellys etc zu bauen.

    Support ME ! Buy me a Coffee :thumbup:


    Dont Touch ME

    LivingRoom: SilverStone Milo ML03 | Gigabyte B450 | Ryzen 3400G | 250GB NVME | 16GB DDR4-3200| Win10 64 bit | KODI 18 | Logitech Harmony Elite | SONOS Playbar + SUB
    BedRoom: PLAY:3
    Kitchen: PLAY:3
    BathRoom: Play:3

  • Ja würde es immer noch gerne Umsetzen - leider noch keinen Unifi Switch sondern stand heute immer noch nur mehrere APs - finds auch irgendwo doof ist ich nen switch brauch nur um ein getrenntes WLAN für meine Sonoffs und Shellys etc zu bauen.

    Kannnst probieren, ob Du die VLANs mit Deinem unmanaged switch zum laufen bringen kannst. Was bei so einem switch passiert ist leider nicht wirklich definiert. Ich glaube mich erinnern zu koennen, dass mein alter unmanaged Gbps switch die Frames mit VLAN Tag einfach auch weitergeleitet hat, ging also "prima".
    Ausser das ich halt auch "IoT" ethernetgeraete an verschiedene VLANs anschliessen wollte (nicht nur APs), und dann brauchst Du halt einen VLAN faehgigen switch, weil der es Dir erlaubt pro port festzulegen, welches VLAN auf dem port "native" betrieben wird - also one VLAN tag im Frame auf dem port gesendet/empfangen wird. Auf PCs kann man auf diese "konfigurierbares native VLAN pro port" natuerlich auch verzichten, wenn man sich damit auskennt, wie man VLANs konfiguriert.

    VLANs sind halt quasi das Ethernetequivalent zu SSIDs um Benutzer/Geraetegruppen voneinenander zu isolieren. Ist ja nicht so, als ob da mal jemand gesagt hat "wir designen jetzt mal richtig praktische, einfache Loesungen fuer Heimnetze", das ist halt alles historisch gewachsen aus Profinetzen, hauptsaechlich Arbeitsbeschaffungsmassnahme fuer Netzwerkoperator, und jetzt halt fuer Programmierer von Controllern wie dem von UniFi.

  • Wenn du keine Kabelgebundene Hardware hast, brauchst du den Switch nicht aber dafür die USG (Firewall).

    Dann könntest du mit dem Aps mehrere getrennte Netzwerke und Vlan benutzen.

    Habe seit gut 6 Monaten auf ubiquiti gewechselt und meine Netzwerke getrennt.

    Wenn du Hilfe brauchst, könnte ich dir auch weiter helfen.

  • Ja würde es immer noch gerne Umsetzen - leider noch keinen Unifi Switch sondern stand heute immer noch nur mehrere APs - finds auch irgendwo doof ist ich nen switch brauch nur um ein getrenntes WLAN für meine Sonoffs und Shellys etc zu bauen.

    Mahlzeit,

    von wie vielen Netzwerkgeräten sprechen wir denn bei dir?
    Was nutzt du für einen Router bzw. Firewall?
    Wenn der Router VLAN-fähig ist, lass ihn DHCP-Server in jedem VLAN sein.
    Um einen Layer2-Switch wirst du nicht herumkommen (außer dein Router kann VLANs und hat 8 Ports).
    Aber solche Switches bekommt man schon für kleines Geld (< 30€ für 8 Ports) -> hier z.B.

  • @goscho hat es ja schon angedeutet.
    Von welcher HW sprechen wir bei dir.

    Ich nutze einen L2 Switch von Netgear.
    An den sind unter anderem alle UNIFI APs sowie ein Cloud Key und ein USG angeschlossen.
    Das Netz ist bei mir in unterschiedliche VLANs aufgeteilt (am Switch).
    Den VLANs sind wiederum verschiedenen WLANs zugeteilt.
    Alle IOT Geräte hängen in einem separatem VLAN/WLAN
    Innerhalb dessen können sie untereinander und (bei Bedarf) mit dem INET kommunizieren.
    Der Zugriff auf mein restliches Heim-Netz ist genau diesem VLAN verweigert.
    Lediglich mein OH2 Server kann aus seinem eigenem VLAN auf die einzelnen Geräte im IOT VLAN zugreifen.

    Ich habe verstanden, dass du das gleiche Ziel verfolgst.
    Gerade wenn du viel China HW für dein SmartHonme betreibst, solltest du dein Ziel umsetzen.
    Denn die Dinger sind die reinste Sicherheitslücke...

    Die Segementierung in die verschiedenen VLANS müsste zu Beginn im Switch vorgenommen werden.
    Hast du einen? Dieser sollte managed sein.
    Spare nicht an der HW für dein Netz!

    Wie weit kennst du dich mit VLANs aus?
    Hier kann findet man einen leichten Einstieg:
    https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
    https://www.admin-magazin.de/Das-Heft/2012/…virtueller-LANs

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!