01 Ziel-IP- und VLAN-Plan¶
Zieladressraum: 10.222.0.0/16
Prinzip: ein VLAN pro Sicherheitszone, Subnetze als /24, großzügige Abstände für spätere Erweiterungen.
Standard je VLAN¶
| Bereich | Nutzung |
|---|---|
.1 |
Gateway |
.2-.19 |
Infrastruktur/Netzwerkgeräte |
.20-.99 |
statische Server/Geräte |
.100-.199 |
DHCP Standardbereich |
.200-.239 |
Reservierungen |
.240-.254 |
Sonderfälle, VIPs, temporäre Migration |
Zielplan¶
| VLAN | Name | Subnetz | Gateway | DHCP | Zweck |
|---|---|---|---|---|---|
| 10 | Management | 10.222.10.0/24 |
10.222.10.1 |
10.222.10.100-10.222.10.199 |
UniFi, Switches, APs, iLO, Management |
| 20 | Proxmox-Hypervisor | 10.222.20.0/24 |
10.222.20.1 |
aus | Proxmox Hosts, Cluster-Mgmt |
| 30 | Storage-Backup | 10.222.30.0/24 |
10.222.30.1 |
aus | NAS, PBS, Backup, Storage |
| 40 | Server-Core | 10.222.40.0/24 |
10.222.40.1 |
10.222.40.150-10.222.40.220 |
AD, DNS, DHCP, interne Dienste |
| 50 | DMZ-ReverseProxy | 10.222.50.0/24 |
10.222.50.1 |
aus | NPM, veröffentlichte Dienste |
| 60 | Monitoring-Logging | 10.222.60.0/24 |
10.222.60.1 |
aus | Wazuh, Zabbix, Grafana, Prometheus |
| 70 | AI-Services | 10.222.70.0/24 |
10.222.70.1 |
aus | Open WebUI, Ollama/GB10, SearXNG, Agent Runtime, LiteLLM, MCPHub |
| 100 | Clients-LAN | 10.222.100.0/24 |
10.222.100.1 |
10.222.100.50-10.222.100.220 |
kabelgebundene Clients |
| 110 | Clients-WLAN | 10.222.110.0/24 |
10.222.110.1 |
10.222.110.50-10.222.110.220 |
private WLAN Clients |
| 120 | Gäste-WLAN | 10.222.120.0/24 |
10.222.120.1 |
10.222.120.50-10.222.120.240 |
Internet-only Gäste |
| 130 | IoT | 10.222.130.0/24 |
10.222.130.1 |
10.222.130.50-10.222.130.240 |
Meross, Shelly, Echo, Kühlschrank |
| 140 | Drucker | 10.222.140.0/24 |
10.222.140.1 |
10.222.140.50-10.222.140.120 |
Canon, Dymo, AirPrint |
| 150 | Medien-AirPlay | 10.222.150.0/24 |
10.222.150.1 |
10.222.150.50-10.222.150.180 |
Apple TV, Sonos, TVs, Plex Clients |
| 160 | SmartHome | 10.222.160.0/24 |
10.222.160.1 |
10.222.160.50-10.222.160.180 |
Home Assistant, KNX, Hue, HomeKit |
| 170 | Gebäudetechnik | 10.222.170.0/24 |
10.222.170.1 |
10.222.170.50-10.222.170.180 |
Solar, Heizung, Wallbox, Klima |
| 180 | Kameras-Security | 10.222.180.0/24 |
10.222.180.1 |
10.222.180.50-10.222.180.180 |
Kameras, Tür, Chime |
| 220 | Lab-Test | 10.222.220.0/24 |
10.222.220.1 |
10.222.220.50-10.222.220.220 |
Tests, Spielwiese, PXE-Test |
| 230 | Projekte-Kunden-01 | 10.222.230.0/24 |
10.222.230.1 |
je Projekt | isolierte Kundensegmente |
| 231 | Projekte-Kunden-02 | 10.222.231.0/24 |
10.222.231.1 |
je Projekt | isolierte Kundensegmente |
| 232 | Projekte-Kunden-03 | 10.222.232.0/24 |
10.222.232.1 |
je Projekt | isolierte Kundensegmente |
| 233-239 | Projekte-Kunden-Reserve | 10.222.233.0/24+ |
.1 |
je Projekt | Reserve |
| 250 | Legacy-Transit | 10.222.250.0/24 |
10.222.250.1 |
aus | temporäre Migration/Bridging |
Empfohlene statische Ziel-IPs¶
| Dienst/Gerät | Ziel-VLAN | Ziel-IP |
|---|---|---|
| UDM/Gateway | 10 | 10.222.10.1 |
| USW Pro Aggregation | 10 | 10.222.10.2 |
| UniFi Switches | 10 | 10.222.10.11-10.222.10.19 |
| UniFi APs | 10 | 10.222.10.21-10.222.10.29 |
Proxmox pve |
20 | 10.222.20.10 |
| Synology Linden NAS | 30 | 10.222.30.10 |
| UNAS Pro | 30 | 10.222.30.11 |
| LANDC1 | 40 | 10.222.40.10 |
| LANDC2 | 40 | 10.222.40.11 |
| SMTP Relay | 40 | 10.222.40.25 |
| Gitea | 40 | 10.222.40.31 |
| Wiki/Docmost | 40 | 10.222.40.32 |
| Vaultwarden | 40 | 10.222.40.33 |
| NetBox | 40 | 10.222.40.34 |
| n8n | 40 | 10.222.40.35 |
| Radius | 40 | 10.222.40.36 |
| Open WebUI | 70 | 10.222.70.10 |
| Ollama/GB10 | 70 | 10.222.70.11 |
| SearXNG | 70 | 10.222.70.12 |
| Open Terminal | 70 | 10.222.70.13 |
| Agent Runtime / LiteLLM / MCPHub | 70 | 10.222.70.20 |
| UP AI Port | 70 | 10.222.70.21 |
| Nginx Proxy Manager | 50 | 10.222.50.10 |
| Wazuh | 60 | 10.222.60.10 |
| Zabbix | 60 | 10.222.60.11 |
| Grafana | 60 | 10.222.60.12 |
| Prometheus | 60 | 10.222.60.13 |
| Canon iR-ADV | 140 | 10.222.140.20 |
| Dymo Label Drucker | 140 | 10.222.140.21 |
| Plex | 150 | 10.222.150.10 |
| Apple TV Wohnzimmer | 150 | 10.222.150.20 |
| Home Assistant Eberhardt | 160 | 10.222.160.10 |
| Home Assistant Stein | 160 | 10.222.160.11 |
| Zehnder Comfo Connect | 170 | 10.222.170.57 |
| HKKNX | 160 | 10.222.160.12 |
| KNX Gateway | 160 | 10.222.160.20 |
| Hue Bridge | 160 | 10.222.160.21 |
Hinweise¶
- Bestehende
10.200.x.0/24Netze bleiben zunächst dokumentierte Alt-/Sondernetze. 10.222.0.0/16wird nicht pauschal geroutet oder freigegeben; jedes VLAN erhält eigene Regeln.- DHCP-Reservierungen werden erst nach NetBox-Abgleich und UniFi-Export final gesetzt.
- Remote Access wird nicht als eigenes UniFi-VLAN geplant. VPN-Pools werden separat in der UniFi-VPN-Konfiguration dokumentiert.
- Stand 2026-05-25: alle Ziel-Gateway-IPs aus dem Plan, inklusive
10.222.100.1, antworten auf ICMP.LS_Clients_LANVLAN100ist angelegt, nachdemStarlinkauf VLAN301verschoben wurde. - Stand 2026-05-25:
LS_AI_ServicesVLAN70wurde in UniFi parallel angelegt. Die UDM-Shell-Sicht bestaetigtbr70 10.222.70.1/24; die fruehere ICMP-Unsicherheit aus Alt-Netz/PVE ist damit kein VLAN-Anlage-Blocker mehr. Vor produktiver AI-Migration bleiben Testclient, Firewall und DNS-FQDNs Pflicht.