Für Leute die mit UniFi anfangen wollen - mein Produkt des Jahres von Uniquiti >>> UniFi Dream Machine
Geiles Teil…alles drin (Controller, USG, 4 Port Switch, AP) was man so von UniFi braucht in einem normalen Haushalt. Einfach perfekt für die meisten und zu einem echt fairen Preis.
Klar, wer eine pfSense will für den reicht das nicht - aber für alle „nicht Netzwerk Freaks“ einfach nur perfekt!
-Chris-
Was man sonst so noch beachten muss, wenn man z.B. MagentaTV nutzt, dann muss IGMP V3 vorhanden sein. Das war in der Vergangenheit bei UniFi nicht besonders sauber gelöst, bzw. nicht vorhanden. Für die APs gibts eine Einstellung. Für den Switch muss man Umwege gehen.
Uli
Gesendet von iPhone mit Tapatalk
Ist teilweise bissi tricky mit MagentaTV (und auch manch anderen Anbietern) - aber laut zahlreichen Blogs/Posts funktioniert es mittlerweile gut und auch nicht mehr so umständlich wie früher.
Bin da aber auch nicht so ganz im Thema, hatte das nur 1x vor einiger Zeit.
-Chris-
Hi zusammen,
leider hab ich den Beitrag grade erst gesehen.
Soll jetzt kein Verkaufsthread werden aber ich stelle die Idee hier trotzdem mal zur Debatte:
Hatte Ende letzten Jahres mal die Idee in den Raum gestellt, unsere Firewalls (Watchguard) an Symcon User anzubieten zu einem Sonderpreis mit dem Gedanken: Macht deutsche Smart-Homes sicherer!
Ich arbeite für Watchguard Deutschland - Wir bieten UTM Firewalls für Small und Midsized Business an, unsere T15/T35 Serie wäre sicher ein optimales Gerät um diese Anforderungen abzudecken.
Wenn jemand interesse hat, einfach eine kurze PM und ich kann einen Kontakt zu einem Wiederverkäufer herstellen.
Ich selbst halbe meine Umgebung hier auch in VLANs eingeteilt und Route zwischen den Netzen mit einer entsprechenden Firewall.
Dabei habe ich VLAN in etwa so unterteilt:
Smarthome (IP Symcon, Homematic CCU, KNX Gateways)
Internes Netz über LAN (PCs, Drucker)
Internes Netz über WiFi - Gleiche Rechte wie im LAN aber mehr Übersicht im Traffic durch die Trennung
Guest-Wifi - VLAN für die SSID in der sich Gäste connecten können über ein Portal
Fragwürdige Geräte die mein Netzwerk nicht scannen sollen (Smart TVs, etc) - Hier ist zusätzlich ein Geoblocking aktiv
Dazu kommt dann das rein Firewall interne VLAN in dem die VPN einwahlen landen. Die VPN Einwahl (IKEv2) passiert on Demand, also wenn ich IPS View auf dem Handy öffne z.B. oder meine Kamera.
Die zentrale Routing Instanz(Gateway) ist in jeden VLAN die Firewall, somit stelle ich sicher, dass der gesamte Traffic im kostenfrei enthaltenen Reporting auch sichtbar ist. Dazu kommt, das VLAN A keinen Traffic in VLAN B senden kann, ohne eine Regel die es erlaubt.
Ist sicher overkill an einigen Stellen aber für mich ging es darum, herauszufinden, wie weit man Smarte Devices einschränken kann, ohne Funktionen einzubüßen oder das handling zu verschlechtern.
Der Rattenschwanz mit den VLANs ist sicher nicht zu unterschätzen, aber es gibt auch einen sehr guten Mittelweg aus meiner Sicht.
Anbei mal eine sehr grobe Skizze:
Hi Nocturne!
Ohne deinen Arbeitgeber „schmälern“ zu wollen - aber eine kleine T15 mit 3 Jahren Basic-Security (drunter braucht man von den Features eigentlich gar nicht anfangen - wenn man mit pfSense, Sophos, … vergleichen will) … für rund 750€ … da helfen auch keine 20% oder 30% „SmartHome-Rabatt“ 
…und steht vlt. nicht unbedingt im passenden Verhältnis zu einer kostenlosen pfSense, kostenlosen Sophos UTM Home (mit eingeschränkter Client-Anzahl, die aber für die meisten ausreicht), kostenlosen Sophos XG (großzügiges Hardware-Limit das für alle ausreicht) oder einer UniFi USG (z.B. schon in der neuen UniFi Dream Machine integriert) 
Ich persönlich bin auch kein Freund von WatchGuard - finde die arg „Altbacken“ und nicht unbedingt übersichtlich - ist aber sicher Geschmackssache. Werde auch in wenigen Wochen wieder eine neue Zweigstelle von WatchGuard zu Sophos UTM migrieren 
„Trotzdem“ Danke für das Angebot und die Übersicht deines Netzwerkes - hilft sicher dem ein oder anderen weiter!
Viele Grüße,
Chris
Moin,
glaube ich gern das der Vergleich zu kostenfreien Lösungen hinkt! Hier muss man einfach unterscheiden, was man will und wie man es aufbaut.
Ich persönlich finde, man sollte einfach mehr Sicherheit in den Bereich Smart-Home bringen, ob mit OpenSource oder einer bezahlten Lösung ist dabei egal. Aus meiner Sicht vernachlässigen viele Hersteller einfach den Security-Aspekt auf Grund von „Easy2Use“. Hier gibt es einfach Ansätze die diese Probleme verbessern können.
Genau wie für mich Username und Passwort kein ausreichender Schutz von Onlinezugängen ist. Bei einer Einwahl von Extern auf mein Smarthome, gehört für mich mindestens beim ersten wenn nich jedem Connect eine Multifaktor Authentifizierung dazu.
Wir machen ja nicht nur Firewalls… 
Was deine Vorliebe für die dunkle Seite angeht, kenne beide Produkte sehr gut. Da ist es wirklich eine Frage des Geschmacks!
Aber gern können wir das Thema per PN fortsetzen um den Thread hier im Topic zu halten.
100% Zustimmung - leider 
Ich hatte auch schon mal das ganze Netz mit VLAN auf Basis von Ubiquity aufgebaut.
Leider hatte ich mir auch einen dämlichen Fehlerpunkt mit PoE Switch eingebaut.
Es lief insgesamt sehr gut, ist aber auch ein sehr großer Administrationsaufwand.
Außerdem kann da nicht mal eben jemand eingreifen, und etwas richten, wenn man mal selbst verhindert ist.
Auch gibt es die Ersatzteile nicht im MediaMarkt. Ich empfehle also entsprechenden Ersatz vorrätig zu halten.
Es geht sicher etwas kaputt, wenn Du auf einer einwöchigen Dienstreise bist.
Was passiert, dann, wer kann eingreifen, wie reagiert die Familie.
Das Thema Sonos und App sowie Zugriffe aus IPS heraus ist etwas problematisch. Hier musst Du mal suchen.
Ich habe mittlerweile wieder zurückgebaut, denn manchmal ist die Einfachheit die bessere Lösung.
Gruß
Christian
Moin Chris, danke nochmal für dei e Einschätzung. Warum die XG wieder vergessen? Home reicht bei mir nicht, sind sind schon ü50 Clients im Spiel.
Dream Maschine Guck ich mir parallel mal an.
Gruß oekomat
Moin!
Als ich grad so die Punkte runtergeschrieben habe bzgl. „was ist doof an der XG“, ist mir aufgefallen, dass das alles keine Punkte sind die einen Firewall-Neueinsteiger und „normalen“ IT- und SmartHome-Anwender „stören“
Die XG verfolgt im Vergleich zur UTM oder pfSense halt einen etwas anderen Ansatz. Aber zum Absichern eines Privathaus ist die eigentlich (mittlerweile) echt ok 
Auch hat sich seit den ersten Releases echt viel getan! Aber man stolpert in der Arbeitswelt doch immer wieder über unbegreifliche Dinge
Kurz gesagt - FALLS einem die UniFi Dream Machine (oder auch die UniFi USG, falls der Rest der Dream Machine nicht benötigt wird) nicht zusagt…dann wäre die Sophos XG eine gute und kostenfreie Möglichkeit.
Für „Einsteiger“ und Privatleute würde ich trotzdem UniFi empfehlen - es gibt nichts einfacheres (und viel Infos/Videos dazu online) und das WLAN von UniFi ist wirklich TOP und 1A
Viele Grüße,
Chris
Ich denke auch, hab ja die APs schon im Einsatz i.V.m. einem Cloudkey.
Was mich noch zweifeln lässt, dass ich die ganze Geschichte wieder umstellen muss, falls Magenta TV mal Thema wird und/oder die Bastellösung mit dem Pi und VPN an Grenzen (Konfig/Sicherheit/Performance) stößt.
Gruß Oekomat
Wobei ich bei der DreamMachine schon 2 Schwachpunkte ausgemacht habe:
Aber ansonsten bin ich bei dir, 4 Geräte in einem zu einem recht vernüftigen Preis.
Hallo Oekomat,
das mit MagentaTV hinter einer Firewall ist ein nicht zu unterschätzendes Thema. Ich hatte bis Anfang des Jahres PCs/Tablets mit VLC zum Fernsehen von EntertainTV im Betrieb, die hinter einer IP-Fire standen. Die Videostreams habe ich über udpxy auf einem PI vor der Firewall bereit gestellt. Dies lief über Jahre extrem stabil. Am 9. Januar hat die Telekom dann die Entertain-Server wie lange angekündigt abgeschaltet. MagentaTV setzt nun eine andere Streamingtechnik ein (IGMPv3 mit SSM). Der alte udpxy kann das aber nicht mehr umsetzen. Ob der Nachfolger (GIGAPXY - jetzt ein kommerzielles Produkt) das kann, ist mir nicht bekannt. Einige experimentieren mit TvHeadend, aber das ist auch komplex und Resourcen aufwendig. Ich selbst habe für mich noch keine passende Lösung gefunden.
Ist eventuell alles etwas OffTopic, zeigt aber welche Dinge bei Netzwerksparierungen über Firewalls alles beachtet werden muessen. Vor allem wenn spezielle Protokolle wie IGMPv3 mit Source Specific Multicast (SSM) eingesetzt werden sollen.
Gruss
Bernd
Ich habe nur unifi im Einsatz
Unifi USG Pro als Router (Modem zum DSL Anschluss ist Draytec Vigo 130)
2x Unifi 24 fach Non POE Switch
1x Unifi 16-fach POE Switch
2x Wlan Access Points UAC AC Pro
An Vlans habe ich
Privat
Multimedia
IOT
IOT Secure
Guest
sowie das Management Lan wo die o.g Unifi Geräte drin hängen.
Die Unterscheidung von IOT Secure und IOT habe ich gemacht weil ich mit KNX eine internetunabhängige Homeautomatisierung habe, die komplett abgetrennt sein kann. Aber dennoch für den ein oder anderen Datenaustausch IP basiert ist. (Dazu gehören z.B auch das KNX10 für die Heizung sowie diverse andere KNX Gateways. Aber auch 1-Wire usw.)
Auf der anderen Seite gibt es aber auch Geräte wie z.B Netatmo die zwingend einen Internetzugang benötigen. Auch meine Discovergy Smartmeter sind hier drin.
In Multimedia befinden sich dann TV´s diverse Set-Top Boxen und Sonos
Privat is klar, NAS, Drucker PC´s etc. Quasi mit Berechtigung auf alles zuzugreifen.
Gruss
Guter Ansatz, ich bin gerade daran, bei einem Bekannten auch das komplette Netzwerk in seinem Haus / Büro aufzuteilen um da eine Trennung des System rein zu bekommen.
Er nutzt zum Glück nur Unifi-Geräte, das vereinfacht es schon gewaltig.
Ich werde aber nach aktuellem Stand 10 VLan einrichten, weil er noch sein Büro und das seiner Frau mit im Haus hat, die sollen unbedingt komplett abgeschotten vom Rest sein.
Genauso kommen die Smart-Home-System ( KNX, etc. ) in ein VLan, wie auch das Telekom-Zeug ( VoIP-Telefone, Sprechanlage ) und auch die Kameras in je ein eigenes.
Spassig ist nachher eher die Einrichtugn der Firewall-Freischaltungen zwischen den Netzen.
Ich kann nur jedem raten, der das machen will, das vorher auf „Papier“ zu dokumentieren und erst aufzubauen. Wir haben es aufgezeichnet in Form einer Mindmap, dann die IP-/Vlan-Listen erstellt und dann erst konfiguriert.
Hallo Chris,
hab mich mal mit den Sophos XG als Alternative zu den USG beschäftigt. Bei Kleinanzeigen gibt’s die Appliances ja schon relativ günstig - da kann ich doch die Home Edition drauf installieren und los geht’s… Dass das UniFi SG in einigen Punkten NAT/VPN, hab ich schon von anderen Seiten gehört/gelesen.
Ich glaube ich suche mal nach Demos / Videos wie einfach die Einrichtung bzw. Verwaltung ist und entscheide mich dann.
Vielleicht hat der ein oder andere praktische Erfahrungen mit beiden Systemen?!
Gruß oekomat
Du kannst die Sophos XG auch erstmal in einer virtuellen Maschine oder auf einem Test-Computer installieren.
Wenn du zufrieden bist kannst du dir überlegen wie du es final gern hättest - gibt da zB nette MiniPC‘s mit mehreren Netzwerkkarten
-Chris-
Dann brauch ich aber 2 Lan Ports oder?
Zum nur drin rumklicken und anschauen nicht. Aber Netzwerkkarten sind in einer VM ja kein Problem und bei alten Computern hat man immer genug Netzwerkkarten rumliegen
Auch kannst du ja mit VLANs arbeiten - aber für die finale Lösung würde ich min. 2 Netzwerkkarten empfehlen.
-Chris-
Sophos haben wir bei meinem Ex-AG bei Kunden eingesetzt, wenn der Kunde die unbedingt haben wollte.
Ein Grund war z.b. das Licenzmodell, die sidn gut aber zu teuer.
Unifi haben wird zwar für WLan*s eingesetzt inkl. PoE-Switch, aber bei Firewall haben wir auf einen anderen Hersteller gesetzt, der deutlich günstiger ist und sich flexibler konfigurieren lässt - für den Otto-Normaluser aber eher ungeeignet ist, weil das doch viel KnowHow verlang, die zu konfigurieren.
Für die Home-Version egal, die hat aber meines Wissens immer noch die Beschränkung auf max. 50 IP-Adressen, oder wurde das zwischenzeitlich geändert ?
Mit 50 IP-Adressen kann bei einer Familie mit mehreren Smartphones, Tables, TV etc schnell knapp werden.
WEnn ich für den Hausgebrauch ein Firewall wähle müsste, würde ich eher in Richtung pfSense auf einer eigenen Hardware gehen.
