05 UniFi-Plan¶
Ziel¶
Neue VLANs parallel zum Bestand anlegen. Bestehende WLANs, VLANs, Firewall-Regeln und Switchports bleiben unverändert, bis Export, Review und Freigabe vorliegen.
Vor jeder UniFi-Änderung¶
- UniFi Konfiguration exportieren.
- Sites, Networks, WLANs, Firewall-Regeln, Portprofile und Switchport-Zuordnungen sichern.
- Export-Dateien lokal ablegen und nicht mit Secrets anreichern.
- Wartungsfenster und Rollback festlegen.
Neue UniFi-Netzwerke¶
| VLAN | Name | Gateway/Subnetz | DHCP |
|---|---|---|---|
| 10 | LS_Mgmt |
10.222.10.1/24 |
10.222.10.100-10.222.10.199 |
| 20 | LS_Proxmox |
10.222.20.1/24 |
aus |
| 30 | LS_Storage_Backup |
10.222.30.1/24 |
aus |
| 40 | LS_Server_Core |
10.222.40.1/24 |
10.222.40.150-10.222.40.220 |
| 50 | LS_DMZ_ReverseProxy |
10.222.50.1/24 |
aus |
| 60 | LS_Monitoring |
10.222.60.1/24 |
aus |
| 70 | LS_AI_Services |
10.222.70.1/24 |
aus |
| 100 | LS_Clients_LAN |
10.222.100.1/24 |
10.222.100.50-10.222.100.220 |
| 110 | LS_Clients_WLAN |
10.222.110.1/24 |
10.222.110.50-10.222.110.220 |
| 120 | LS_Guest_WLAN |
10.222.120.1/24 |
10.222.120.50-10.222.120.240 |
| 130 | LS_IoT |
10.222.130.1/24 |
10.222.130.50-10.222.130.240 |
| 140 | LS_Printer |
10.222.140.1/24 |
10.222.140.50-10.222.140.120 |
| 150 | LS_Media_AirPlay |
10.222.150.1/24 |
10.222.150.50-10.222.150.180 |
| 160 | LS_SmartHome |
10.222.160.1/24 |
10.222.160.50-10.222.160.180 |
| 170 | LS_BuildingTech |
10.222.170.1/24 |
10.222.170.50-10.222.170.180 |
| 180 | LS_Cameras_Security |
10.222.180.1/24 |
10.222.180.50-10.222.180.180 |
| 220 | LS_Lab_Test |
10.222.220.1/24 |
10.222.220.50-10.222.220.220 |
| 230-239 | LS_Project_* |
je /24 |
je Projekt |
| 250 | LS_Legacy_Transit |
10.222.250.1/24 |
aus |
Remote Access wird nicht als UniFi-VLAN gefuehrt. VPN-Netze bleiben Bestandteil der UniFi-VPN-Konfiguration.
Phase-1-Start 2026-05-24¶
Vor der Umsetzung wurden UniFi Integration-API- und Classic-API-Exporte unter .backups/phase0_discovery_20260524_201636 abgelegt. Es wurden keine bestehenden WLANs, Portprofile, Switchports oder Firewall-Regeln geaendert.
Erfolgreich parallel angelegt (HTTP 201):
| VLAN | Name | Hinweis |
|---|---|---|
| 30 | LS_Storage_Backup |
neu |
| 50 | LS_DMZ_ReverseProxy |
neu, Ziel-DMZ; alte DMZ VLAN 40 bleibt unveraendert |
| 60 | LS_Monitoring |
neu |
| 110 | LS_Clients_WLAN |
neu |
| 120 | LS_Guest_WLAN |
neu |
| 130 | LS_IoT |
neu |
| 140 | LS_Printer |
neu |
| 150 | LS_Media_AirPlay |
neu |
| 160 | LS_SmartHome |
neu |
| 170 | LS_BuildingTech |
neu |
| 180 | LS_Cameras_Security |
neu |
| 220 | LS_Lab_Test |
neu, Phase-2-Testnetz |
| 230-239 | LS_Project_* |
neu, Projekt-/Kundenreserve |
| 250 | LS_Legacy_Transit |
neu, temporaer |
Bewusst nicht angelegt wegen bestehenden VLAN-ID-Konflikten:
| Ziel-VLAN | Zielname | Bestehende UniFi-Nutzung |
|---|---|---|
| 10 | LS_Mgmt |
Lanstyle Core-Mgmt auf 10.200.10.0/24 |
| 20 | LS_Proxmox |
DRK_Corosync auf 10.200.20.0/24 |
| 40 | LS_Server_Core |
alte DMZ_ReverseProxy auf 10.0.40.0/24 |
| 100 | LS_Clients_LAN |
Starlink unmanaged |
Diese Konflikte muessen vor weiterer produktiver Umsetzung fachlich entschieden werden. Bis dahin bleiben die betroffenen Zielsegmente nur geplant.
Phase-1-Nachzug 2026-05-25¶
Nach Loeschung der alten Testnetze im Controller wurden die frei gewordenen Ziel-VLANs 10, 20 und 40 angelegt. Das zuvor angelegte LS_VPN_Remote VLAN 190 wurde wieder entfernt, weil VPN direkt durch UniFi verwaltet wird und kein separates VLAN benoetigt.
Aktueller Controller-Stand:
| VLAN | Name | Status |
|---|---|---|
| 10 | LS_Mgmt |
angelegt |
| 20 | LS_Proxmox |
angelegt |
| 40 | LS_Server_Core |
angelegt |
| 100 | LS_Clients_LAN |
nach Starlink-Verschiebung auf VLAN 301 angelegt |
| 190 | LS_VPN_Remote |
entfernt |
Bei der Nachpruefung antworteten die Gateways 10.222.10.1, 10.222.20.1 und 10.222.40.1 noch nicht auf ICMP. Das ist fuer Phase 1 kein Abbruchkriterium, muss aber vor Phase-2-Abnahme mit Testport/Testclient geklaert werden.
Phase-1-Abschluss 2026-05-25¶
Starlink wurde im Controller auf VLAN 301 verschoben. Danach wurde LS_Clients_LAN auf VLAN 100 angelegt.
Gateway-Check nach Anlage von VLAN 100: alle geplanten Ziel-Gateways 10.222.10.1, 10.222.20.1, 10.222.30.1, 10.222.40.1, 10.222.50.1, 10.222.60.1, 10.222.100.1, 10.222.110.1, 10.222.120.1, 10.222.130.1, 10.222.140.1, 10.222.150.1, 10.222.160.1, 10.222.170.1, 10.222.180.1, 10.222.220.1, 10.222.230.1 und 10.222.250.1 antworten auf ICMP.
VLAN 220 wurde mit Testclient/Testpfad validiert und gilt fuer Phase 2 als funktionsfaehiges Lab-Testnetz. Produktive Migrationen wurden weiterhin nicht durchgefuehrt.
Phase-2-Gateway-Check¶
Erste ICMP-Tests zeigen, dass noch nicht alle neu angelegten Gateways aus jedem Pruefpfad erreichbar sind. Phase 2 ist deshalb gestartet, aber noch nicht abgenommen.
| Pruefpfad | Ergebnis |
|---|---|
| Lokal | 10.222.220.1, 10.222.230.1 erreichbar; mehrere andere Gateways noch ohne Antwort |
Proxmox Host 10.0.0.220 |
10.222.220.1 erreichbar; 10.222.30.1 und 10.222.50.1 ohne Antwort |
Naechster Schritt: Testport oder Test-SSID eindeutig dem VLAN 220 zuordnen, Testclient/LXC verbinden und DHCP, DNS, Internet, Inter-VLAN-Firewall und mDNS gezielt pruefen.
Stand 2026-05-25: Gateway-Check ist gruen, VLAN 220 ist getestet. Naechster Schritt ist nicht mehr VLAN-Anlage, sondern Dienst- und Firewall-Abhaengigkeiten fertig abnehmen.
AI-VLAN Nachzug 2026-05-25¶
Nach fachlicher Entscheidung fuer ein eigenes AI-Segment wurde LS_AI_Services als VLAN 70 per UniFi Integration API angelegt.
| VLAN | Name | Status | Hinweis |
|---|---|---|---|
| 70 | LS_AI_Services |
angelegt | Detail-API und UDM-Shell bestaetigen br70 10.222.70.1/24; produktiv noch nicht genutzt |
Backup-/Ablagepfad lokal: .backups/unifi_create_ai_vlan70_20260525_183057. Es wurden keine Ports, WLANs oder Clients auf VLAN 70 umgestellt. Die Gateway-Sicht wurde spaeter read-only auf der UDM bestaetigt.
WLAN-Konzept¶
| SSID | VLAN | Zweck |
|---|---|---|
| internes WLAN | 110 | private Clients |
| Gäste WLAN | 120 | Internet-only |
| IoT WLAN | 130 | IoT Geräte |
| Medien/SmartHome optional | 150/160 | nur wenn Geräte nicht sinnvoll per Portprofil getrennt werden können |
Portprofile¶
| Profil | Native VLAN | Tagged VLANs | Nutzung |
|---|---|---|---|
TRUNK_CORE_ALL |
10 | alle benötigten Ziel-VLANs | Core/Aggregation |
TRUNK_PROXMOX |
20 | 30,40,50,60,70,150,160,220,230-239,250 | Proxmox Uplink |
ACCESS_MGMT |
10 | - | Switches/AP/iLO |
ACCESS_STORAGE |
30 | - | NAS/Backup |
ACCESS_CLIENT_LAN |
100 | - | PCs |
ACCESS_PRINTER |
140 | - | Drucker |
ACCESS_SMARTHOME |
160 | - | KNX/Hue |
ACCESS_BUILDING |
170 | - | Heizung/Solar/Wallbox |
ACCESS_CAMERA |
180 | - | Kameras/Tür |
mDNS/Bonjour¶
- mDNS nicht pauschal zwischen allen VLANs spiegeln.
- Freigaben gezielt zwischen Clients-LAN/WLAN und Drucker/Medien/SmartHome.
- Gäste-WLAN erhält kein mDNS ins interne Netz.
- Nach jeder Änderung testen: AirPrint, AirPlay, HomeKit, Sonos, Home Assistant Discovery.
Offene UniFi-Discovery¶
- Classic API Export Stand Phase 0:
3WLANs,0klassische Firewall-Regeln,1Portprofil. - Switchport-Zuordnungen und Portprofile vor produktiver Umschaltung nochmals als frischen Export sichern.
- API-Zugang aus Vaultwarden referenzieren:
Secret liegt in Vaultwarden: Lanstyle / UniFi API Token. - Keine Tokens in Exporten, Markdown oder Git speichern.
Phase-3-Vorbereitung UniFi¶
Fuer die erste produktnahe Testmigration wird weiterhin kein bestehender Client-Port veraendert. Empfohlen:
- vorhandenes VLAN
220als isoliertes Testnetz verwenden. - einen einzelnen, eindeutig beschrifteten Testport oder eine temporaere Test-SSID nur nach Freigabe auf VLAN
220legen. - Testclient pruefen: DHCP, DNS zu LANDC1/LANDC2, Internet, Block gegen interne VLANs, erlaubte Admin-Flows aus Management.
- mDNS nicht global aktivieren; AirPrint/AirPlay/HomeKit erst mit dedizierten Testpaaren pruefen.
- Nach Test Port/SSID wieder dokumentiert in Ausgangszustand setzen oder fuer weitere Tests markiert lassen.