Nätverk åt 6 hushåll

Ouch, dyr maskin. Såg den på Linustechtips häromdagen.
Vad skall du ha den till?

Endast dela ut nät till routrar?
För isåfall hade du nog kommit undan med en switch.

Hur har du planerat nätverket och varför?
Folk kan komma med bra idéer om sannolikt bättre lösningar då du sa att du inte var nätverkstekniker

Har du 6 (eller fler) publika ip adresser att dela ut? Om så är fallet så finns det bättre sätt.

Annars är det väl bara köra default setup på din UDMP och koppla varje hushåll på var sin port och så får de köpa egen routern. Det kommer funka men är kanske inte optimalt.

Du kan göra vlan på den och programmera ett vlan på varje port. Så gör du olika subnät bara. Eventuellt behöver du göra olika brandväggsregler för dem.

Om det är 6 hushåll, tänk på att en nätverkskabel bara kan vara 100 meter

Första frågan som dyker upp, tillåter er ISP att dela internet och ett enda abonnemang mellan sex hushåll? De sex hushållen bör ju ha sin egen privata VLAN'ade WAN-anslutning från ISP så att inte kreti och pleti kan sniffa trafik.

Om du har alla kablarna så de går till din DM så skapar du bara ett eget nät per hushåll och på portarna så väljer du bara port profil.

Annars hade du kunnat tagga ut dem med en switch men den biten låter det som om du slipper.

Helt rätt så kommer det krävas regler i brandväggen, annars så går det att ändå att snoka runt.

Tips till TS är att kolla in: https://www.youtube.com/watch?v=UGBobTInIBc&list=PL1fn6oC5ndU...

Den går igenom rätt så bra på hur du ska confa firewallen. För en nybörjare i UDM världen så kan även hela serien vara bra (har inte sett den själv dock )

Vi menar mellan de olika subnäten. Skapar man bara nätverken så kommer brandväggen tillåta trafik mellan dem

Absolut inte. Unifi låser ute allt från WAN så det är inga problem. Men inom LAN så går det att snacka mellan VLAN:en om man inte låser ner det med Firewall. Men om alla 6 hushåll sätter en egen router där deras kabel går in så är problemet "borta"

edit: jocke92 var före

edit2:

Låt säga att vi skapar 2 subnät
192.168.2.0/24 VLAN 2 (HUS 1)
192.168.3.0/24 VLAN 3 (HUS 2)

Som exempel så kan Hus1 gå till 192.168.3.1 för att nå UNIFI uit (eller vilken dator som helst på detta subnät) och tvärtom.
Det man vill göra är att låsa ner subnäten så att 192.168.2.0/24 inte når något på subnät 192.168.3.0/24.

Den youtube videon jag länkade till visar exakt hur du sätter dessa typer av regler i LAN IN och sen LAN LOCAL om du vill låsa ute alla Hus från Unifi webinterface eller SSH.

Kör de inte "block by default" låter ju skapligt konstigt annars, har dock dålig koll på Ubiquiti.

Nope, inget sådant om jag kommer ihåg rätt vilket faktiskt är märkligt. Men utan att veta så lär det finnas ruta att bocka i.

Jaså?
Jag har konfigurerar många nätverk med VLAN i mina dagar, men aldrig på en Ubiquiti (Kör en själv, men inte haft behov av VLAN hemma).
Är det just standard för dom?

Det brukar vara med huvudvärk att få olika VLAN att snacka med varandra än tvärtom.

Men om varje person kopplar in en egen router så bör det ju inte komma in någon trafik från första routern.

WAN > UDM > Routrar?
All trafik måste iaf passera UDM, bör det inte gå att snoka runt då? Sniffa viss trafik iaf.
VLAN:en måste blockeras från att kommunicera med varandra

Som standard så är alla portar på UDM:en satt till All så att alla nätverk existerar på samtliga portar. Man kan konfigurera så att en port enbart pekar mot ett subnät. Men jag skulle ändå föreslå firewall regler i detta fall. Dels för att förhindra att man råkar öppna upp alla subnät för en specifik port. Men även för att låsa ute dem så att de inte kan nå WebInterfacet.

Varför göra det svårt för sig ?

Varje hushåll kan använda sig av en egen router, något billigt som t.ex netgear, d-link eller liknande. Koppla sedan dessa routers till en huvudrouter där du tar in Internet. Det blir lite jobb med att konfigurerar själva nätet och den utrustning du ska använda.

Du måste hålla koll på varje router så det blir rätt med IP nummer etc. Varje hushåll kör sin router precis som man har vanligt Internet och man märker inget. Det som kan hända är att speciella tjänster kanske inte fungerar då det blir två routers som är seriekopplade för varje hushåll men det kan man enkelt lösa med att man skaffar en VPN tjänst och kör mjukvaran på datorn i fråga.

Det går ju att använda en router om man vill, VLAN behövs inte om man kan isolera respektive port på routern. Då kan man bara skicka trafik fram och tillbaka mot Internet och inte i det interna LANet.

Allt handlar ju om hur själva Internet-pipan ser ut idag. Är det en vanlig "hemma-anslutning" med en DHCP-tilldelning?

Klient-isolering går att göra på lite olika sätt sen (PVLAN, UNI-NNI osv.)