Interessant, Danke! Jetzt wäre noch spannend, wie die einzelnen Trafficregeln in Unify eingerichtet werden für dieses Beispiel. Das ist nämlich dann wirklich komplex! Wäre klasse, wenn es dazu dann ein ausführliches Video gibt!

Vielen Dank für dieses Video! Ich möchte genau dieses Thema in mein Heimnetz integrieren und du hast mir eigentlich alle Fragen beantwortet.

Super! Besten Dank von einem neuen Ubiquiti-Anwender. Abo dagelassen…

Danke für das Video. War für mich schon mal der richtige Ansatz. Schön wäre es, wenn du im nächsten Schritt ein wenig in die Tiefe gehst(Konfiguration). Wenn ich z.B. meine Kameras im eigenen VLAN habe, wie komme ich von meinem Managementnetz an die Kameras? Umgekehrt, wie verhindere ich, dass die z.B. Kameras auf ein anderes VLAN zugreifen können? Ansonsten hast du genau meinen Geschmack getroffen. Mach weiter so.

Danke für das Video, hast du dir gut überlegt, aber warum der Drucker 'kein Sicherheitsrisiko' ist verstehe ich beim besten Willen nicht - zumindest ausgehend von meinem HP ;-). ich würde den in iot oder smarthome packen, da du ja einstellen kannst das main und vielleicht die kinder eben auf dieses immer zugreifen können.

Hallo, sehr gut erklärt. Wie trennst du die IoT Geräte im VLan untereinander ab? Mit den "Private Pre-Shared Keys" brauchst du nur eine Wlan SSID. Gruß Michael

Sehr gut. Bei mir ist das noch etwas stiefmütterlich. Ich habe nur Gast-WLAN, der Rest ist in einem Netz. Ich habe auch nur eine FB 7590 und glaube nicht, dass ich das mit der so umsetzen kann. Wichtig zu erwähnen finde ich aber, für Nicht-Gast-WLANs auch immer den MAC-Filter zu aktivieren, denn mit den Smartphones ist es zu einfach, die Zugangsdaten weiterzugeben. Dann hat man z.B. bei der FB noch die Option, alle Gast-Geräte zu isolieren, dass die auch nicht untereinander sprechen dürfen. Das finde ich auch wichtig. Beim Haupt VLAN müsste man noch einstellen können, dass das auf die anderen VLANs routen darf, aber nicht umgekehrt. Jetzt brauche ich nur noch passende Hardware, ein VLAN-Switch mit Access Point oder sowas. Kannst du da was empfehlen?

VLAN ist für mich noch ein Buch mit 7 Siegeln, will aber auf Unify wechseln. Danke für den ersten Einblick. 1) Wo würde man den Netzwerkdrucker einbinden (VLAN) und wie stellt man sicher, dass sowohl die Kinder als auch Main-Lan dort drucken können? (Der Drucker ist auch Scanner und muss Dokumente am NAS ablegen dürfen) 2) iot: Shelly-Geräte kommunizieren auch gern untereinander, kann man es so konfigurieren, dass diese Geräte untereinander dürfen und auch mit der Steuerzentrale und dem Internet. Andere iot sollen nicht untereinander kommunizieren dürfen (oder erfordert dies ein weiteres iot-WLAN?) 3) smart-home-server: Kinder, Main, iot wollen sich dorthin verbinden. Der Server verbindet sich (abgesehen von der DMZ) mit allen VLAN, oder? (Schließlich lässt sich alles monitoren und steuern) (Main für Backup auf NAS, Adminnetz zur Prüfung welche Geräte online sind (Presence), Drucker Toner, usw. ) Hat dann so ein Server zwangsläufig mehrere Netzwerkinterfaces, als Standbein für die diversen VLAN?

Und wie läuft das wenn meine SmartHome Zentrale z.b. iobrocker zugriff auf meine kameras haben soll. Können die vlans untereinander den "sprechen"? Und wie ? Lg ps. Danke für das Video. Weiter so....

Das hast du ja sehr professionell bei dir aufgebaut, fast schon wie in einem Unternehmen - Respekt. Was mich aber interessieren würde ist, wenn du mal nicht verfügbar bist und etwas funktioniert nicht, blickt da noch jemand anderer durch und kann toubleshooten ? Bei mir wäre der "Woman Acceptance Factor" (WAF) bei so einem Konstrukt weit unter Null. Unternehmen haben ja IT-Abteilungen, die sich um sowas kümmern, wenn was nicht läuft.

Interessant wäre nun ja, wie das Setup funktioniert - also wie reden die VLANs untereinander. Die IOT Geräte müssen ja z.B. für Home Assistant erreichbar sein. Und wie sieht das mit Diensten auf einer Virtualisierungsumgebung aus (z.B. Proxmox). Können hier die unterschiedlichen VMs dann unterschiedliche VLANs bedienen, obwohl sie physikalisch an einem Netzwerkport stecken?

Kleiner Verbesserungsvorschlag: Das Default VLAN sollte eher in eine DMZ oder eine Quarantäne münden. Das default VLAN hat ja den Sinn, das dort Geräte landen die nix mit VLAN's anfangen können oder noch nicht konfiguriert sind und die sollten dann besser nicht zwischen den Servern und Management Interfaces der Netzkomponenzen landen. Gerade die gehören ja bestens abgesichert. Zugegeben, ist eher ein Thema im LAN, als im WLAN aber es minimiert Fehler und wer weiß wohin sich das Netz noch entwickelt...

Danke für das Video, ich habe es bei mir ähnlich aufgesetzt. Was ich anders gemacht habe, ist z.B. das Default LAN. Hier kommt eigentlich nichts rein, auch nehme ich die VLAN ID 1 aus meinen Trunks raus. Der ganze Datenverkehr läuft nur tagged. Die Verwaltung von Geräten wie Switche, APs usw. läuft über ein separates Management VLAN, wo nur von einer Admin Station/VLAN zugegriffen werden kann. Das "Extern" VLAN ist bei mir das DMZ VLAN wo Server drinnen stehen, die man von Außen braucht, bzw. "Frontend" Server die dann dedizierte Punkt zu Punkt Verbindungen in andere VLANs herstellen

Vielen Dank! Ich stehe an der Schwelle, von der Fritzbox auf UNIFi-Gateway zu wechseln, habe aber Befürchtungen, dass in der Umstellungsphase einiges nicht läuft und der gesamte Datenverkehr (zeitweilig) zusammenbricht. Wie könnte man schrittweise oder geräteweise umsteigen? Das heißt, beide Netze laufen parallel und ich übernehme einzelne Geräte vom alten Netz un das neue. Dazu ein Video wäre sehr hilfreich.

Wie können deine Kinder Drucken oder ihre Daten auf der NAS sichern? Schade das die FritzBox VLans nicht kann und langfristig auch nicht können wird. Somit sind deutlich mehr Geräte (switch gatway accesspoint) die dann auch Strom ziehen um das um zu setzen. Leider hat unifi und co kein all in one Gerät.

Warum arbeitest du bei den WLANS nicht mit "Private Pre-Shared Keys" ? Anstelle der ganzen SSIDS

Dein Beispiel mit dem Netz 192.154.1.0/24 ist leider kein RFC1918 Netz. Sowas sollte man, grade in Beispielen, nicht zeigen und natürlich auch nicht nutzen. Genau dafür sind die privaten Netze gedacht, die nicht geroutet werden.