Vereinsnetzwerk mit über 200 Geräten — UniFi, pfSense, sauber segmentiert
Ein Sportverein mit Geschäftsstelle, Restaurant, Mitgliederbereich und Außenanlagen kämpfte mit einem gewachsenen WLAN-Chaos aus drei verschiedenen Routern. Wir haben das Ganze einmal komplett auf eine UniFi-Infrastruktur mit pfSense-Firewall umgestellt — und seitdem ist Ruhe im Karton.
Wie das angefangen hat.
Der Verein hat etwa 1.800 Mitglieder, eine eigene Geschäftsstelle, ein vereinseigenes Restaurant mit WLAN für Gäste und mehrere Außenflächen mit Vereinsheim, Tennisplätzen und einer kleinen Schießanlage. Über die Jahre war an verschiedenen Stellen jeweils das günstigste FritzBox-Setup hingestellt worden, das gerade verfügbar war. Drei separate Internet-Anschlüsse, kein einheitliches WLAN, doppelte SSIDs, willkürliche Passwörter.
Ich war ursprünglich für eine ganz andere Sache gerufen — die Mitglieder-Datenbank lief nicht mehr richtig. Beim Vor-Ort-Termin hab ich gefragt, ob ich mir das WLAN mal anschauen darf. Drei Stunden später war klar: das musste neu gedacht werden.
Was wirklich auf dem Tisch lag.
Die eigentliche Herausforderung war nicht die Technik, sondern die Trennung der Welten. Im selben Gebäude bewegen sich:
- Mitarbeiter der Geschäftsstelle mit personenbezogenen Daten (DSGVO-relevant!)
- Mitglieder, die das WLAN für ihre privaten Geräte nutzen
- Restaurantgäste, die kurz mal eine Karte nachschlagen wollen
- Bezahl-Terminals, Kassensysteme und IP-Telefonie
- Eine Sport-Auswertungssoftware, die im Wettkampfbetrieb nicht ausfallen darf
Alle vorher im selben flachen Netzwerk. Ein verseuchter Laptop eines Gastes hätte theoretisch Zugriff auf den Mitgliederserver gehabt. Das war kein hypothetisches Szenario — beim ersten Audit habe ich aus dem Gast-WLAN heraus die Druckerwarteschlange der Verwaltung gesehen.
Wie ich's angegangen bin.
-
01
Bestandsaufnahme mit Heatmap
Bevor irgendetwas bestellt wurde, bin ich an einem Samstag durchs gesamte Gelände gelaufen — mit einem WLAN-Analyzer auf dem Laptop und einem Plan in der Hand. Daraus ist eine Heatmap entstanden, die genau zeigt, wo Funklöcher sind, wo Nachbarnetze stören und wo wir mit weniger Hardware auskommen, wenn die Antennen klug stehen.
-
02
pfSense als zentrale Firewall, UniFi für alles dahinter
Auf einem stromsparenden Mini-PC läuft pfSense als zentrale Firewall mit klar getrennten Regeln pro VLAN. Dahinter eine UniFi UDM-Pro für das Management aller Access-Points, Switches und VPN-Endpunkte. Diese Trennung gibt uns volle Kontrolle über das Routing und gleichzeitig den Komfort des UniFi-Cockpits.
-
03
Sechs VLANs nach klarer Logik
VLAN 10 = Verwaltung (gepanzert, kein Internet ohne Proxy). VLAN 20 = Mitglieder-WLAN. VLAN 30 = Gäste (komplett isoliert, nur Internet). VLAN 40 = Kassen und Bezahl-Terminals. VLAN 50 = IoT (Drucker, Klimaanlagen). VLAN 60 = Sport-Wettkampf-Netz. Inter-VLAN-Routing nur dort, wo es wirklich gebraucht wird, alles andere wird auf der Firewall geblockt.
-
04
WLAN-Ausleuchtung und PoE-Verkabelung
Sieben U6-LR-Access-Points im Hauptgebäude, drei U6-Mesh auf den Außenflächen. Alle PoE-versorgt über zwei zentrale Switches — kein Steckernetzteil mehr im ganzen Gebäude. Wo die Leitungen fehlten, habe ich gemeinsam mit einem Elektriker des Vereins 480 Meter Cat-7 nachgezogen, alles sauber dokumentiert mit Patch-Plan.
-
05
Captive-Portal für Gäste mit DSGVO-konformer Anmeldung
Restaurantgäste landen auf einer kleinen Begrüßungsseite mit Vereinslogo, akzeptieren die Nutzungsbedingungen und sind danach für 12 Stunden online. Keine Datensammlung, kein Tracking — nur ein Logbuch der MAC-Adressen für eventuelle Behördenanfragen, gemäß TMG.
-
06
Übergabe mit Wartungsvertrag
Die Geschäftsstelle hat ein einseitiges Handout mit den drei wichtigsten Handgriffen bekommen („So lege ich einen neuen Mitarbeiter im VLAN 10 an"). Für alles andere gibt es einen kleinen Wartungsvertrag mit Remote-Zugriff über WireGuard und garantierter Reaktionszeit innerhalb von vier Stunden.
Was am Ende rauskam.
Stand heute, 14 Monate später: kein einziger Notruf, keine ungeplante Downtime. Die Sport-Auswertungssoftware hat die letzten zwei Vereinsmeisterschaften verlässlich mitgeschrieben. Das Gast-WLAN ist im Restaurant zum Verkaufsargument geworden („Hier ist das WLAN endlich gut" steht in zwei Google-Bewertungen).
Die Geschäftsstelle hat einmal selbst ein neues iPad ins Verwaltungs-VLAN gehängt — mit der Schritt-für-Schritt-Anleitung. Genau so sollte das laufen.
Womit's gebaut wurde.
- UniFi UDM-Pro als Controller, VPN-Server und IDS/IPS. Cloud-Key-frei, alle Logs lokal.
- pfSense Community Edition auf Protectli Vault als Firewall mit Snort-Regelsatz und HAProxy für interne Reverse-Proxies.
- UniFi Switch 24 PoE+ als zentraler Verteiler, ein Etagen-Switch im Restaurant.
- UniFi U6-LR und U6-Mesh Access-Points — Wi-Fi 6, getestet mit bis zu 240 gleichzeitig assoziierten Clients.
- WireGuard für Remote-Zugriff durch zwei festgelegte Vorstandsmitglieder.
- Restic-Backup der pfSense- und UDM-Konfigurationen wöchentlich verschlüsselt auf einen externen S3-kompatiblen Speicher.
Was ich daraus mitnehme.
Vereine sind technisch unterschätzt: da hängen Spielergebnisse, Mitgliederdaten, Bezahlsysteme und Kameras am gleichen Strang wie das Smartphone vom Gast aus der Nachbarstadt. Sauber trennen ist hier kein Luxus, sondern eine Pflicht — und mit UniFi plus pfSense bekommt man das auch im überschaubaren Budget eines gemeinnützigen Vereins hin.
Wenn dein Verein, dein Hotel oder dein Mehrfamilienhaus gerade an einem ähnlichen Punkt steht, lohnt sich vor dem Hardware-Kauf ein Vor-Ort-Termin. Falsche AP-Positionen kann man nachher nicht wegkonfigurieren.
Lass uns zwanzig Minuten drüber reden.
Du erklärst, was du brauchst — ich melde mich mit einer ehrlichen Einschätzung. Kein Pitch, kein Ticket-System.