Unmanaged Switch für Lan möglich ?

[joeko]

hallo,
ich lese immer wieder das ich für opnsense einen managed switch brauche. nun möchte ich das lan netz nur erweitern und brauche keine weitere unterteilung da ich an meinem sbc 6 nics habe. das könnte ich wohl über bridge machen oder per switch wobei der bridge modus wohl nicht so gut sein soll.

könnte ich für meinen fall also unmanaged 2.5 gb switche verwenden ?

[Patrick M. Hausen]

Natürlich kann man problemlos unmanaged Switche verwenden, wenn man nur mehr Ports für LAN haben möchte. Einen managed Switch braucht man, sobald VLANs ins Spiel kommen, z.B. im Zusammenspiel mit Access Points mit mehreren SSIDs, einem Gäste-WLAN, etc. pp.

Wenn du das alles nicht hast, wird so gut wie jeder Switch funktionieren.

[joeko]

ich könnte also an den lan port einen unmanaged switch hängen und an diesen u.a einen unify 6 lite ap sowie pc etc hängen ?
der ap hat ja mehrere ssid`s

[meyergru]

Jein. Wie Patrick schon schrieb, hängt das davon ab, ob Du die LANs / WLANs logisch trennen willst. Das geht nur per VLAN, dazu brauchst Du einen managed Switch.

Wenn es Dir mit unterschiedlichen SSIDs nur darum geht, dass Du Deinen Gästen nicht Dein eigenes WLAN-Passwort geben willst, dann brauchst Du das nicht. Andererseits ist das dann aber irrelevant, weil sie mit dem Gäste-Passwort trotzdem Zugriff auf alle Rechner in Deinem LAN haben.

[joeko]

also die geräte die im lan sind sollen nicht getrennt voneinander sein. wenn der unify ap mit seinen ssids problemlos an den switch angeschlossen werden können ist das gut so.

eine richtige trennung würde ich entweder über einen freien lan port oder über den gast wlan zugang der fritzbox einrichten

[meyergru]

Über diese Aussagen würde ich nochmal gründlich nachdenken.

Bei den Unifi-APs ist eine Trennung nur per VLAN möglich und da die auch nicht mehrere LAN-Anschlüsse haben, ginge es dann nur, indem Du die APs nicht über den Switch, sondern direkt an die OpnSense anschließt. Dann brauchst Du aber ggf. doch wieder Bridges, falls die VLANs auch an Nicht-WLAN-Anschlüssen anliegen sollen.

Wie der Mix mit der Fritzbox da reinpasst, verstehe ich auch nicht, die kann nämlich Gast-WLAN 1. nur, wenn sie selbst der Router ist (d.h. die unselige Konstellataion "OpnSense hinter Fritzbox") und 2. können die Geräte dann nicht mehr über die OpnSense verwaltet werden, was einen gehörigen Verlust an Flexibilität bedeutet, mal ganz abgesehen davon, dass dann nur 2 SSIDs gehen.

Meine Erfahrung ist, dass managebare Switches nicht mehr viel teurer sind und wenn auch nur die entfernte Wahrscheinlichkeit für einen Bedarf für VLANs besteht, sicher die zukunftsfähigere Alternative. Alles andere führt dann nämlich zu Bastellösungen, die mal schlechter, mal überhaupt nicht so funktionieren, wie man das vorher unterstellt.

[Patrick M. Hausen]

Wenn du die SSIDs auch in der OPNsense trennen willst, dann muss der AP direkt an die Firewall mit VLANs oder zwischen den beiden muss ein managed Switch sein.

Genau das ist der Punkt: ein unmanaged Switch stellt dir ein Netz zur Verfügung.

Wenn du die SSIDs nicht netzwerk-seitig trennst, wozu dann mehrere? Erzähl doch mal genauer, was du eigentlich machst.

[joeko]

ich möchte privat ein lan aufbauen in dem auch unsere handys integriert und abgesichert sind durch die opnsense.
an einem anderen port am sbc hängt außerdem eine nextcloud. an der fritzbox läuft ein gäste wlan in dem der besuch, alexa oder saugroboter sich einloggen kann ohne auf den rest zugreifen zu können.

die ssids am ap im lan müssen nicht getrennt voneinander im lan sein und es sind nur wenige geräte im lan bzw wlan. ich kann natürlich auch den ap an einen anderen port hängen, geht auch problemlos nur imazing fürs iphone geht dann nur über usb.
spricht da was dagegen ?

[Patrick M. Hausen]

Hast du die OPNsense hinter der Fritzbox? Als LAN Client kann die Fritzbox nämlich keinen Gastzugang. Und wozu die unterschiedlichen SSIDs des AP da sind, begreife ich auch nicht.

Könntest du das ganze mal in ein Diagramm packen?

[joeko]

die opnsense ist hinter der fritzbox. die fritzbox hat schon seit jahren das gast wlan auch jetzt läuft ein tablet darüber.

das ganze ist noch im aufbau aber vorher habe ich auch ipfire so laufen gehabt.

[joeko]

Und wozu die unterschiedlichen SSIDs des AP da sind, begreife ich auch nicht.

die ssids hat der unify ap schon für die beiden 2.4 und 5 netzte. weiter habe ich nicht eingerichtet.

[Patrick M. Hausen]

Na dann kannst du den AP und den LAN-Port der Sense natürlich beide an den unmanaged Switch hängen. Das ist dann alles LAN. Eine Trennung irgendwelcher Geräte voneinander ist nicht möglich.

Unterschiedliche SSIDs für 2,4 und 5 GHz kommt mir zwar merkwürdig vor, aber du wirst deine Gründe haben. Ich bevorzuge einen nahtlosen Übergang, wenn ich z.B. auf den Balkon gehe und den Bereich mit stabilem 5 GHz Empfang verlasse.

[joeko]

hmm, ich habe keine ssids für 2,4 und 5 ghz eingerichtet. die waren von anfang an da

[meyergru]

Es stimmt: Wenn man die Default-Einrichtung bei Unifi nicht ändert, dann gibt es da zwei SSIDs (und zwei WLANs). Ist aber wie bei jedem anderen AP: Man sollte im Unifi Network Controller ein WLAN einrichten, das dann über alle WiFi-Bänder mit der selben SSID hinweg wirkt. SSIDs zu trennen ist eher sinnvoll, wenn man Gruppen von Netzwerkgeräten trennt, das ist meist ein 1:1-Mapping zu den entsprechenden (Ethernet-)VLANs.

Zumeist sind die Regeln bzw. benötigten Berechtigungen ja auch unabhängig davon, ob das jeweilige Gerät nun per Ethernet oder per WLAN dranhängt.

[joeko]

ich habe den ap nur über die handy app eingerichtet. weiß garnicht ob ich da neue ssid anlegen kann. hast du den controller extra installiert ?