Hallo,
ich habe viel gelesen und versucht mir selbst soweit zu helfen.
Meine aktuelle Ausgangslage ist wiefolgt:
WAN / Internet
:
: DSL
:
.-----+-----.
| Gateway |
'-----+-----'
Fritzbox 7590AX ----------
|----------------------------------|LAN-Switch|> Unmanaged
| 192.168.88.0/24 ----------
LAN | |-----------NvidiaShield
| |-----------FritzRepeater
.-----+------.
| LAN-Switch | > Unmanaged
'-----+------'
|
...-----+------... (Proxmox-Server/PC/Drucker)
Soweit so simple. Ich möchte schonlange eine echte OPNSense haben und mein Netzwerk in VLANs teilen und auch etwas mehr Kontrolle über den Verkehr haben.
Nun ergibt sich die Gelegenheit einen Switch und den Repeater zum Selbstkostenpreis loszuwerden. Nun würde ich im ersten Schritt einen AP kaufen und diesen an die FritzBox anschließen. Auf der FB würde ich das WLAN komplett deaktivieren. Die NVidiaShield bleibt per Kabel verbunden.
Schritt 1
WAN / Internet
:
: DSL
:
.-----+-----.
| Gateway |
'-----+-----'
Fritzbox 7590AX --------------
|----------------------------------|Unify U7 Lite|
| 192.168.88.0/24 --------------
LAN | |-----------Gäste-WLAN
| |-----------Privat WLAN
| |-----------IoT-WLAN
|
|-----------------------NvidiaShield
|
.-----+------.
| LAN-Switch | > Unmanaged
'-----+------'
|
...-----+------... (Proxmox-Server/PC/Drucker)
Im letzten Schritt würde ich später eine OPNSense FW kaufen (4-5Port) und ein Vigor167. Dies soll dann die FB komplett ersetzen
Schritt 2
WAN / Internet (Vigor167)
:
: DSL
:
.-----+-----.
| Gateway |
'-----+-----'
OPNSense --------------
|----------------------------------|Unify U7 Lite|
| --------------
LAN | |-----------Gäste-WLAN 10.10.20.0/24
| |-----------Privat WLAN 10.10.30.0/24
| |-----------IoT-WLAN 10.10.40.0/24
|10.10.10.0/24
|-----------------------NvidiaShield
|
.-----+------.
| LAN-Switch | > Unmanaged
'-----+------'
|
...-----+------... (Proxmox-Server/PC/Drucker)
Nun kommen mir ein paar Fragen.
Der AP kann VLANs, das ist schon mal okay. Muss ich den Switch ersetzen durch einen Managed Switch? Vermutlich erst, wenn ich das Netzwerk nochmal teilen wollen würde in bspw. (LAN-Clients und Infrastruktur) oder?
Weiterhin kann ich in OPNSense einstellen, das auch einem Port ein konkretes VLAN liegt? An der FW wären dann per Kabel angeschlossen: WAN, NVidia Shield (V10), U7 Lite(V20, V30, V40) und der Switch (V10).
Wohnung ist eine 80qm Wohnung mit Balkon aus "Mischwänden" (alles so drin war man damals so hatte). Ich hoffe dafür reicht ein AP, aber da bin ich mir nicht sicher.
Falls noch Fragen sind, dann versuche ich die noch zu beantworten und ich hoffe die Diagramme helfen etwas :)
Solange Du am Switch keine VLANs (oder nur eins) brauchst, muss der nicht managebar sein. Falls Du einzelne LAN-Geräte brauchst, die VLANs benötigen bzw. einen Trunk-Port, kannst Du die natürlich auch direkt an der OpnSense anschließen (die meisten Geräte haben ja mehr als zwei Ports).
Ein Kandidat dafür wäre der Proxmox-Server: Sowie Du auf dem Services laufen lässt, die z.B. für IoT-Geräte sind (z.B. Home Assistant) oder sogar vom Internet aus erreichbar sein sollen, willst Du den Server eigentlich per Trunk anbinden, um die VMs dort individuell den VLANs zuordnen zu können. Aber wie gesagt, wenn das das einzige Gerät ist, das es benötigt, kann es ja auch direkt an die OpnSense angeschlossen werden.
Man kann sowohl ein einzelnes VLAN auf einen Port legen als auch alle VLANs durchschalten (Trunk).
Für 80qm brauchst Du wahrscheinlich zwei APs, es sei denn, ein großer, zusammenhängender Teil braucht kein WLAN (z.B. Bad, Küche oder HWR). Hängt auch von den Wänden ab.
Ah okay das hilft mir schon mal weiter.
Dann müsste ich vermutlich doch den Switch gegen einen managed Switch tauschen. An dem Switch an dem der Proxmox (ich würde deiner Empfehlung folgen und den auf Trunk schalten) und der PC von mir hängen, sollen andere VLAN genutzt werden.
DSL + GW ist im Flur und der Switch inkl Server ist im Arbeitszimmer und so viele Kabel kann ich nicht mehr legen. Sozusagen Flur eines ins Wohnzimmer wo die Shield steht und ein Kabel was in das Arbeitszimmer. Beide sind aktuell an die FB angeschlossen.
Wegen einem zusätzlichen AP. Müsste ich den Switch (welcher weg kommt) aus Skizze 1 durch einen M Switch ersetzen, wenn ich an diesen einen weiteren AP hängen würde? Der AP vergibt ja die "Labels" des VLANs. Reißt der uM Switch diese wieder ab? Sorry ich glaube die Thematik habe ich noch nicht ganz durchschaut, wann ein M Switch wirklich gebraucht wird und wann nicht.
Auf jeden Fall vielen Dank für die Hilfe.
Quote from: Pinockel on June 21, 2025, 06:51:59 PMWegen einem zusätzlichen AP. Müsste ich den Switch (welcher weg kommt) aus Skizze 1 durch einen M Switch ersetzen, wenn ich an diesen einen weiteren AP hängen würde?
Nicht zwingend.
Ein VLAN-fähiger Switch ist eigentlich nur erforderlich, wenn dieser ein VLAN terminieren muss. Wenn du daran also ein nicht VLAN-fähiges Gerät hängst, das mit einem VLAN verbunden werden muss.
Doch ist es die sauberere Lösung, wenn nicht jedes Gerät sämtliche VLANs an sein Interface bekommt, die es nicht braucht. Und solche Switche bekommt man schon für 30 Euro.
Und ob 2 APs nötig sind, um die Wohnung auszuleuchten, würde ich erst mal austesten. Das hängt davon ab, wie die Wohnung aussieht, wo der AP platziert werden kann und welche Bandbreite du erreichen möchtest.
Ich versorge hier auch ca. 80 m² mit einem gut platzieren AP. An dessen "Versorgungsgrenze" hängt noch eine Repeater hinter zwei tragenden Wänden, der den Rest versorgt.
Für Internet und Video-Streams vom DLNA Server (auch über Repeater) reicht das.
Wenn du nicht sowieso schon mit mehreren Unifi Geräten unterwegs bist und deshalb deren zentralen Controller schätzt, finde ich als standalone AP auch das Flaggschiff von Mikrotik sehr nett. Evtl. deckt der deine ganze Wohnung ab.
Kann nebenbei als 5-Port Switch dienen.
https://mikrotik.com/product/hap_ax3
Router OS ist gewöhnungsbedürftig, aber ziemlich gut, auch für Layer 2. Ich könnte helfen, wenn nötig.
Danke für die ganzen Antworten und die Klarstellung zum Switch.
Ich war nicht ganz untätig und habe mir mal eine VM mit OPNSense installiert und experimentiert. Dazu habe ich auf der FB ein paar statische Routen eingetragen 192.168.10.0,192.168.20.0,192.168.30.0, welche auf die IP Adresse der OPNSense VM gehen (dort wäre dies der WAN Port). Auf der OPNSense habe ich das outbound NAT ausgeschalten um doppeltest NAT zu vermeiden.
Eine virtuelle Bridge, routet dann auf die LAN Ports der OPNSense. Dann habe ich einen Container mal in dieses Netz verschoben und die OPNSense hat so reagiert wie gewollt und auch die Regeln konnte ich anpassen, um zu erreichen was ich wollte (Netztrennung etc.). Somit könnte ich erstmal meine ganzen Proxmox LXC und VMs durch die virtuelle OPNSense routen.
Damit ich jetzt weiterkomme, werde ich einen Switch gegen einen 2.5 Gigabit M Switch tauschen, um auch Hardwaregeräte ins VLAN zu kriegen, welche dies nicht direkt unterstützen (zB mein ZigbeeStick slzb-06). Als Switch habe ich mir den Ubiquiti UniFiSwitch Flex Mini Desktop 2.5G Smart Switch ausgesucht, auf Grund des Preises von 50€. Danach ist der Sprung auf direkt über 100€. 2.5 GBit würde ich bei einem Neukauf mitnehmen wollen, weil auch mein Proxmox Server eine 2.5 GBit Karte hat. Ich würde dann bei den anderen Komponenten auch darauf achten, dass 2.5 unterstützt wird.
Gibt es dazu irgendwelche Meinungen? Festgelegt bin ich nicht auf Ubiquiti aber ich könnte diesen NetworkServer für die Verwaltung im Proxmox hosten. Denke das sollte klappen.
Danke für den Tipp mit dem hap_ax3. Kannte ich noch nicht, aber ich denke ein reiner AP würde mir reichen, weil ich im Flur keinen Switch brauchen werde und der Stromverbrauch auch etwas höher ist als bei einem AP.
Danke und VG
Hallo Pinockel,
ich habe ein ähnliches vorhaben auch klein angefangen und nun mittlerweile ca. 100 Clients in meinem Omada Setup von TP-Link.
Die Geräte sind meist nur halb so teuer (Die AP auf jeden Fall) und bin damit eigentlich super zufrieden.
Ich haben einen TL-SG3428XMP und 7 verschieden AP´s am laufen mit 7 eigenen SSID´s und eigenen VLANS. Ich erreiche damit eine stabile Abdeckung von ca 35.000 m² (davon aber auch 30.000 m² freie Fläche.)
Funktioniert bin glücklich und fand es fast selbst erklärend :)
PS: Habe dazu das Sicherheitssystem von TP-Link VIGI, läuft super mit Omada zusammen.
Gruß Luca