Netzwerk - welche Switch und welche Access Point verwendet ihr?

Die Trennung der Wohnungen ist eine Frage des Routers, nicht der Switche. Wenn du an der FB einfach nur zwei Switche anschliesst, dann liegen die in der selben IP Range, bilden also EIN Netz. Nichts getrennt. Du kannst höchstens EG auf das Standard LAN und OG auf das Gastnetz legen, dann sind die getrennt. Dann hast aber kein eigenes Gastnetz mehr.

Die Kombi aus DM und Fremdswitchen ist nicht sinnvoll, da das Management der VLANs auf die Unifi Switche ausgelegt ist. Ob das anderweitig überhaupt tut, kann ich dir nicht sagen.

Wenn du möglichst wenig ändern möchtest, wäre ein neuer, leistungsfähigerer Router / Firewall die sinnvollste Lösung.

Eine Option wäre Pfsense oder Opnsense auf einer Hardware mit mehreren LAN Ports. Sinnvollerweise ein Fertigprodukt um nicht basteln und raten zu müssen (hoffe ich bekomme keinen Ärger, wenn ich hier einen Produktvorschlag verlinke, bin mit Voleatech in keiner Weise verbunden. Aber das hier wäre m.E. ausreichend: Netgate 2100 pfSense+ Firewall - Voleatech Premier Partner DE).

Dann jede Etage an einen eigenen LAN Port der Pfsense / Opnsense und das Gastnetz (oder eins pro Wohnung, auch ne Option) obendrauf. Das erfordert aber ein profundes Wissen über FW und VLANs, das bei dir ja (noch) nicht vorhanden zu sein scheint. Riskant.

Alternativ gibts da sicher was von Fortinet, Zyxel, Sonicwall, Microtik und anderen. Wie simpel oder komplex die aber für dich sind, kann ich nicht bewerten, da ich die nicht im Detail kenne.

Fritzboxen oder deren Verwandte (u.a. Speedports) können das was du willst aber auf jeden Fall nicht leisten, da die eben nur EIN LAN und EIN Gastnetz haben, du aber DREI Subnetze brauchst.

Danke für die sehr ausführliche Doku.

Eigentlich wäre mir das vollkommend ausreichend.
Ich muss mich diesbezüglich einlesen, bis jetzt hat es ausgereicht : Mein LAN Port LAN1 der Fritzbox, LAN Gäste: Port LAN4 der Fritzbox.
Über VLAn habe ich mir bis jetzt keinen Kopf gemacht bzw. nicht einmal wusste was es ist, bzw dass es es gibt.

Die Möglichkeiten der DM reizen aber schon.
Mir wäre wichtig, auch bei dem separaten Netzt der Gäste, sie die Nutzungsbedingungen akzeptieren lassen durch die Vorschaltseite.
Allerdings sollten die TVs durch die Vorschaltseite nicht beeinträchtigt werden, denn sie sind ins selbe Netz eingebunden.

Wie ich verstanden habe, DM kann so was bewerkstelligen, wie auch immer, soweit bin ich nicht

Was mich interessiert ist: der Vorteil der SE ist dass die 8 Ports von ihr POE rausgeben (ist es das richtige Wording?)
die PRO kann das nicht, ist aber auch günstiger.
Da wir bereits festgestellt haben, dass die 24 Ports des Unify Switches mir eher nicht ausreichen (jedes Zimmer beider Wohnungen+ Keller sind mit je 2 LAN Dosen ausgestattet) wäre es nicht eine Lösung:
DM PRO+ 2x POE Switches die ich ganz normal in zwei der 8 möglichen Ports der Pro verbinde?
Danke

PS:
Was passiert mit der ganzen HA Umgebung, die über WLAN eingebunden ist?
Ich habe Haufen Shellys überall verteilt, fürs Licht und Rolladen.
Ich ahne böses, was deren Einbindung ins neue WLAN angeht

Jetzt bin ich verwirrt. Du wolltest doch die Netze der beiden Wohnungen trennen plus ein Gastnetz haben? Das sind doch DREI Netze?

Warum brauchst dann überhaupt was Neues?

Wenn du pro Wohnung einen eigenen 24 Port PoE Switch nimmst braucht die DM natürlich keine PoE Ports intern. Aber die 24 Port PoE sind auch teurer als 24 Port ohne PoE. Must halt ausrechnen. Und es hängt an der horizontalen Verkabelung, was mehr Sinn ergibt.

Also an der Frage, gehen die Leitungen aus allen Zimmern zentral ins UG (damit dann alle Switches im UG), oder sind die Zimmer horizontal verkabelt und die brauchst pro Etage einen Switch direkt auf der Etage?

Für deine TVs kannst mit so einer Lösung ein komplett eigenes VLAN bauen. Die Accesspoints von Unifi können 4 SSID ausstrahlen, damit auch in 4 Subnetze (VLAN) routen. Kabelgebunden gehen auch noch mehr VLANs, da kannst dich austoben.

Ein Wort der Warnung zu TV und Unifi WLAN: Magenta TV hat massive Problem über Unifi WLANs, das liegt daran wie Unifi Multicasts handhabt.

Hi Frank, sorry für die Verwirrung.
Im Laufe der Kommunikation hier ist einiges bestimmt überschlagen.

Also.
Ich bewohne EG und KG. Dafür brauche ich Netz1.
DG wird vermietet und benötigt ein eigenes Netz 2.
Im DG, das es vermietet wird, hätte ich gern eine Vorschaltseite als Absicherung.
Die TVs sollten trotzdem ohne Vorschaltseite gehen (obwohl man mit denen auch viel böses anstellen kann).

Der Router mit beiden Switches ist im Keller platziert und alle LAN Kabel von DG, EG und KG kommen im Netzwerkschrank zusammen zum jeweiligen Switch.

Switch welches EG und KG versorgt hangt an LAN 1der Friotzbox,
Switch welches DG versorgt hängt an LAN4 (Gästenetz) der Fritzbox.

In den beiden Wohnungen sind TP LInks Accesspoints verteilt, die im EG WLAN 1 (SSID 1) aufspannen und im DG spannen die DG eigene Accesspoints WLAN2 (SSID 2) auf.

Die Fritzbox im Keller strahlt auch WLAN 1 nur quasi wegen der besseren Abdeckung im Keller. Im EG und OG sind das die APs mit je eigenen SSID.

Daher ist mit Virtual LAN i.M. noch kein Begriff.

Im Moment habe ich nur das Problem, dass ich in der APP von TP Link APs ausgesperrt bin (jedenfalls kann ich mit keinem Passwort auf die Geräte zugreifen) und müsste sie einzeln reseten.
Wenn ich schon dabei bin könnte ich auch ganz andere APs einsetzen.
Das zweite Problem ist die Vorschaltseite im DG, die die Nutzung der TVs beeinträchtigt, bzw unmöglich macht.

Ich möchte halt unter keinen Umständen dafür belangt werden, was die Gäste im Internet anstellen. (ist einem Bekannten von mir passiert, eine reichlich unangenehme Situation, obwohl er nix dafür kann)

So…
Jetzt sollte es richtig dargestellt worden sein

Oh Boy.

Ok, verstanden (denke ich :-D).

Stell dir ein VLAN einfach als virtuelle Kabel vor. Beispiel: Ein Switch hat 5 Ports. Port 1 kommt das Internet rein. Port 2+3 werden (in Software, auf dem Router) als VLAN 1 definiert, Port 4+5 als VLAN2.

Hängst du nun je ein Gerät an Port 2+3, so können die sich sehen, bekommen ihre IP aus den selben Subnetzen und können (in dem Beispiel) ins Internet. Selbes gilt für die Geräte an Port 4+5 untereinander (die haben eine eigene, andere IP Adresse wie die in VLAN1) und ins Internet.

ABER: Geräte aus 2+3 können nicht mit 4+5 reden und umgekehrt, denn da müsste ein ROUTER die Pakete zwischen den Netzen weiterleiten. Wenn dieser Router (DM) nun auch ne Firewall ist, kann der Verker zwischen allen Teilnehmern und Subnetzen (VLAN) sehr granular erlaubt oder eben geblockt werden.

VLANs “zerteilen” deinen physischen Switch also in mehrere virtuelle “Subswitche” und damit eigene Netze, könnte man sagen.

Zurück zu deiner Umgebung:
Die bestehenden AP resetten und neu einrichten ist die günstigste Lösung. Ich habe keine Ahnung, wieviele SSID die TP Link ausstrahlen können, aber durch die Begrenzung auf 2 Netze ist das auch egal. In dem Fall ändert sich nix.

Wenn du unbedingt Geld ausgeben willst UND in das Unifi Ökosystem einsteigen magst, ergibt das nur Sinn wenn man das ganz oder gar nicht macht. Da alles im Keller rauskommt ist die preislich günstigste Lösung
DM SE (für 8x POE) + 2 x 24 Port Non-PoE Switches + x-Mal Unifi Wifi6 AP (je nach Bedarf, aber einer pro Etage sollte reichen).

Marginal einfacher zu managen ist DM (ohne SE) + 2 x 24 Port MIT PoE + AP, aber das dürfte teurer sein als die erste Lösung.

Alle anderen Teillösungen sind mit Unifi nicht sinnvoll. Dann lieber den PFsense / OpnSense Pfad beschreiten, dann kannst den Rest beibehalten (musst aber immer noch die TP Link neu einrichten ;-))

Mit der Unifi Lösung kannst Keller, EG, DG / Gäste (Mieter) und Fernseher in separate, virtuelle LANs (VLAN) legen. Damit haben Gäste / Mieter ein Portal, die Fernseher nicht. Bleibt die Frage, ob die Fernseher der Gäste / Mieter auch ein eigenes “Gästefernsehvlan” bekommen oder mit in das Gästenetz sollen? Ersteres wird tricky, denn wenn die ein (weiteres) VLAN / SSID für die Fernseher bekommen, das ohne Portal geht, dann hindert sie nichts das auch für ihre anderen Geräte zu nutzen und das Portal zu umgehen. Da müsstest dann auf MAC Adressen filtern und dann wirds rechtlich schwierig.

Um das zusammenzufassen: Die Idee eine DM zu empfehlen kam ja aus der Ecke, das gesamte Netz an einer Stelle zu managen. Wenn das restliche Netz/WLAN ein Sammelsurium bleibt, dann ist die DM die maximal falsche Lösung.

Als Modem-Ersatz kann man in der FitzBox auch die UDM als Exposed Host festlegen.

Wenn ein Gerät ( z.B. TV ) sich ins UniFi-Gast-WLAN einlogt, kann man es auch im Controller freischalten. ( captive portal umgehen )

Wenn die 4 SSID’s nicht reichen kann man auch verschiedene VLAN’s auf eine SSID legen ( siehe PPSK ).

Solange die SSID und das zugehörige PW auf den neuen AP übernommen werden, sollten die sich einfach ans neue WLAN anmelden.

Und ein algemeiner Zettel zum Mietvertrag reicht nicht?

es ist Kurzzeitvermietung. Dann soll jeder Gast eine Zettel nicht nur ausgelegt bekommen sondern auch unterschreiben…
Ich hatte auf die Erungenschaft des 21 Jahrhunderts gehofft:-)

@Frank, ich glaube ich habe es verstanden.
Ausser, lässt sich mein Vorhaben in “irgendwie annährend ans Ziel” auch mit der vorhandenen Hardware umsetzen?
Hier ist die Spec zu den TP-Links, allerdings steht da nix über die Anzahl der möglichen SSIDs drin-> ergo wahrscheinlich nur 1

Du machst mich fertig…
Weiter oben schreibst du

Also heisst die Antwort zu Problem 1: JA. Musst halt alle AP resetten.
Zu Problem 2: Keine Ahnung ob man auf den TP Link ggf Geräte “vorautorisieren” kann, so dass die TVs direkt ins Netz kommen → Handbuch, Google, ChatGPT.

Edit: Nach ein bisschen Recherche vermute ich nun, du nutzt die Portalfunktion der Fritzbox? Scheint, dass die keine Ausnahmen kennt für Gäste. Entweder alle Portal, oder keiner. Also wäre die Antwort auf Problem 2: Nein.

Danke Frank,

lieb von Dir, dass Du dir Zeit nimmst anstatt wie manchmal in den Foren üblich ist: “bemühe mal Tante Google”…

Wenn ich nun richtig bin, würde nicht einmal ein AP, welches unterschiedliche SSIDs aufspannen kann, eine Lösung fürs getrennte Betretung des WLANs mit Vorschaltseite und WLANs fürs TV ohne Vorschaltseite sein,
weil für die Fritzbox das Gästenetzt nur 1 Netz ist und der Splitt zur SSID 1 und SSID 2 würde erst in der Wohnung selbst am AP erfolgen, was die Fritzbox gar nicht mitbekommt. (ich lasse das Problem mit Einwahl der Gäste ins TV-WLAN aussen vor).

Weiter oben wurde ein Neatgear EX7300 erwähnt, nicht lieferbar.
Sein kleiner Bruder EX6250 scheint laut Auskunft Perplexity mehrere SSIDs erzeugen zu können, bringt mich aber hier nicht weiter.

Vielleicht kann jemand diese Info nutzen:

Antwort

The Netgear EX6250 WiFi Mesh Range Extender can create up to four independent SSIDs. This includes two default SSIDs (one for the 2.4 GHz band and one for the 5 GHz band) and two additional guest network SSIDs, which are disabled by default but can be enabled if needed24.This capability allows you to set up separate networks for different purposes, such as guest access or IoT devices, providing flexibility in network management. However, keep in mind that the extender’s primary function is to extend your existing WiFi network, and it also supports a “One WiFi Name” feature for seamless integration with your router’s SSID[2]

Dein Problem in dem Szenario 2 sind nicht die AP, sondern die Fritzbox. Die Portalfunktion ist entweder an oder aus. Daher wäre das nur entweder mit einem weiteren VLAN für die Fernseher (kann die Box nicht) oder mit der Ausstrahlung deiner SSID für das EG auch im UG, an die du dann nur die Fernseher anmeldest. Geht aber auch nicht, weil die Fritzbox die SSID für Gäste und das Portal “zusammenfasst” auf das GästeWLAN (Das VLAN ist bei der Box an physische LAN Ports sowie die Gäste-SSID gebunden, da ist das Teil unflexibel).

Kruder Workaround: Einen weiteren AP ins OG der aber am LAN des EG hängt. Da dann die Fernseher anmelden. Damit die Gäste damit keinen Unfug treiben (LAN ausstecken und in den eigene Rechner stecken) müsstest den LAN Port und den AP irgendwie sichern. Oder wenn im Raum unter den Gästefernsehern ein AP im EG hängt, ist der ggf stark genug um duch die Decke zu strahlen. Dann die Fernseher da anmelden.

Das könnte in der Tat möglich sein. Wenn die Bude leer steht gehe ich hoch, und prüfe wie von oben die Verbindung nach unten ausschaut.
Nur, gehe ich irgendwelche Risiken ein, wenn die TV als Gäste-Endgeräte in meinem persönlichen WLAN angemeldet sind?
Smart TVs sind keine vollwertige Rechner, kann man damit aber u.U. auch Unfug anstellen?
(Ich denke hier primär an Download urheberechtlich geschützten Inhalte, Tauschbörsen etc.
Der Fall meines Bekannten bestand darin, dass ihm vorgeworfen wurde, dass von seiner IP 2x je 20 sek irgendwelche Filme irgendwo zum Downloaden angeboten wurden. Seine Gäste nutzen einfach sein Gäste WLAN der Fritzbox, die in die Mietwohnung durch die Decke strahlt.)

Ein Spitzbube könnte einfach das Netzwerk aus dem Fernseher ziehen und an seinen Hacker Laptop anschließen.

Ich habe für Gäste einen Freifunk Router installiert.

Rausziehen des WLANs aus dem Fernseher wird schwierig
Soweit ich das verstehe, nutzt er ja WLAN für die Fernseher. Klar, ein offener LAN Port darf für die Gäste nicht verfügbar sein

Klingt als ob er sein Gäste WLAN komplett ohne PW angeboten hat? Schlechte Idee, böse Welt…

Rechtsberatung bitte beim Rechtsanwalt einholen.

ich meinte die technischen Risiken. Aber das hast Du bereits im vorherigen Post angeschnitten.