Beratung zur Netzwerksegmentierung erbeten und HW-Empfehlung für EFH

saveLAN

Member
Hallo,

ich muss wegen Umzug mein Heimnetzwerk neu aufbauen. Wir sind in ein Haus gezogen und es reicht ein Access-Point nicht mehr aus.
In der alten Wohnung nutzte ich eine Fritzbox 7490 und einen Fritz-WLAN-Repeater und betrieb ein Haupt- so wie ein Gast-Netz.
Im Haus wird wird der Internetzugang (O2 VDSL100) aktuell über die Fritzbox 7490 hergestellt. Sie ist auch für die Telefonie zuständig.
Bis auf die beiden Fritz Geräte ist an Netzwerkhardware noch nichts vorhanden und muss alles neu gekauft werden.

Im Haus müsste schlussendlich folgendes vernetzt werden:
• 13 Doppelnetzwerkdosen (zum Großteil wäre auch nur ein Port ausreichend)
• 2 Außen-IP-Kameras (PoE)
• 3 Access-Points für WLAN

Ich habe zwar eine Vision wie ich mir das Netzwerk am Ende vorstellen würde, allerdings bin ich überfordert welche Hardware ich wirklich benötige und wie ich es am einfachsten und sichersten lösen kann (KISS). :D

Ich hätte gerne separate VLANs für:
• Hauptnetz (VLAN10)
◦ ESXi-Server
◦ PCs
◦ Laptops
◦ NASs
◦ Handys/Tablets
◦ Außen-IP-Kameras (PoE)

• Netz ohne Internet (VLAN20)
◦ PCs (alte Betriebssysteme)
◦ Laptops (alte Betriebssysteme)

• IoT-Netz (VLAN30)
◦ Streaming-Boxen (Fire-TV, Shield)
◦ Kinder-Spielzeuge
◦ usw.

• Gast-Netz (VLAN40)
◦ alle Geräte die weder zum IoT-Netz oder Hauptnetz gehören

Die erste Frage ist hier natürlich, ob die Netzaufteilung aus eurer Sicht überhaupt Sinn macht?

Dann bräuchte ich zwangsläufig auch ein Routing, weil das VLAN20 auf das NAS im VLAN10 zugreifen können soll, mehr aber auch nicht.
VLAN30 und VLAN40 sollen strickt getrennt werden.

Mit den 3 Access-Points würde ich gerne drei SSIDs bereitstellen:
• SSID10 (VLAN10)
• SSID30 (VLAN30)
• SSID40 (VLAN40)

An den Netzwerkdosen wäre es schön, wenn der Switch die entsprechenden Geräte per Regel in die entsprechenden Netze einreihen würde. Nur wie macht man das am besten und einfachsten?
Mir würde hier als einfache Lösung nur der MAC-Filter einfallen, aber wäre das eine überhaupt sinnvolle Lösung?

Das größte Problem dürften allerdings die Außenkameras sein. Ich bin hier vielleicht etwas paranoid, aber ich möchte nicht, dass man durch Abschrauben der Kamera und anstecken eines LAN-Kabels in meinem Hauptnetz ist. Einen MAC-Filter halte ich an dieser Stelle als zu unsicher.
Somit würde nach meinen Recherchen hier nur ein Radius-Server als Lösung bleiben, allerdings finde ich das im Heimnetz absoluten Overkill.
Gibt es hier ggf. sinnvollere Lösung oder muss ich mich mit dem Gedanken an den Radius Server anfreunden?

Und falls die Vision von der Topologie und den VLANs überhaupt so sinnvoll wäre, welche Hardware würdet ihr mir empfehlen?
 
Zuletzt bearbeitet:
Mahlzeit!
• 13 Doppelnetzwerkdosen (zum Großteil wäre auch nur ein Port ausreichend)
Musste Dir schon gut überlegen... Bei einem "Haus" finde ich 13 Doppeldosen schon etwas wenig, aber musst Du selbst wissen. Ist halt die Frage, ob dann 1x 24-Port-Switch reicht, oder ob es besser 2 werden. Das wäre das eine Thema, das andere Thema wäre dann wohl das Thema Firewall (mit so einer Fritzbox kannst Du weder VLANs, noch Firewall-Regeln verwalten).
Die erste Frage ist hier natürlich, ob die Netzaufteilung aus eurer Sicht überhaupt Sinn macht?
Da mach Dir mal keine Sorgen, bist Du erstmal in der Lage, verschiedene Netze/VLANs/Firewall-Regeln zu erstellen, wird vermutlich sowieso nochmal alles über den Haufen geschmissen und neu überdacht ☺️
An den Netzwerkdosen wäre es schön, wenn der Switch die entsprechenden Geräte per Regel in die entsprechenden Netze einreihen würde.
Das wäre dann einfach eine "untagged"-Konfiguration (Port-based: Pakete kommen "ohne" VLAN-Tag an einem bestimmten Port an und werden in ein vorgegebenes VLAN geschubst).
Mir würde hier als einfache Lösung nur der MAC-Filter einfallen, aber wäre das eine überhaupt sinnvolle Lösung?
Nö, denn wenn Du etwas anderes ansteckst (z.B. ein Ersatz-Gerät), wird das alles nicht mehr funktionieren, deswegen wird das einfach am "Port" festgemacht.
Das größte Problem dürften allerdings die Außenkameras sein. Ich bin hier vielleicht etwas paranoid, aber ich möchte nicht, dass man durch Abschrauben der Kamera und anstecken eines LAN-Kabels in meinem Hauptnetz ist.
Weil die Cams in einer greifbaren Höhe montiert sind? Man macht ja vieles, aber das vielleicht grade nicht...... und selbst WENN... eigenes VLAN mit Zugriff auf nix und jut ist.
Einen MAC-Filter halte ich an dieser Stelle als zu unsicher.
ein Radius-Server als Lösung bleiben
Da trifft jener hier...
nach meinen Recherchen
Da Du wohl nicht sonderlich gründlich recherchiert hast und es Dich dermaßen in den Fingern juckt.... Lies Dir mal jenen hier durch: https://de.wikipedia.org/wiki/Port_Security insbesondere folgende Passage:
Aktuelle Switches sind jedoch in der Lage, diesen Angriff zu erkennen und den Port innerhalb kürzester Zeit abzuschalten
Bedeutet schlussendlich: Port z.B. eine bestimmte MAC-Adresse angelernt (die MAC musst Du dann ggf. von der Cam entfernen). Verbindet sich dann eine andere MAC mit diesem Port, wird der Port sofort abgeschaltet. Das ganze dann noch in Kombi mit einem eigenen VLAN (wo eh nix raus kann, wenn Du die Firewall-Regeln korrekt setzt), Netz ggf. dazu noch ohne DHCP-Dienst (Cams sollten im besten Fall sowieso statisch konfiguriert werden), da brauchste Dir mal gar keine Sorgen zu machen.
Einen MAC-Filter halte ich an dieser Stelle als zu unsicher.
Da Du ja ganz offensichtlich keine Ahnung von der Thematik hast, lass Dir gesagt sein, dass in Konzernen die MAC-based Portsecurity durchaus ihren Einsatz findet (eben mit o.g. Portabschaltung), damit kein Mitarbeiter einfach ein mitgebrachtes Gerät anschliessen kann. Im Konzern kriegen die Admins dann eine Mail über diesen Vorfall, wissen genau in welchem Büro an welchem Port das ganze passiert ist. Wenn Du meinst, dass das "unsicher" ist... jedem seine Meinung, aber mit der realen Welt hat das dann herzlich wenig zu tun. Radius kann man natürlich auch machen (wenn man grade sonst nix zu tun hat), ist dann nur noch die Frage, ob die Cams das dann auch können, denn die müssen sich dann am Radius auch anmelden können.

EDIT: Und vergiss auch nicht, aus welchem Szenario Du ursprünglich kommst.... ebenso wenig, dass Du von "KISS" gesprochen hast... ;)
 
Weil die Cams in einer greifbaren Höhe montiert sind?
Ja leider ist das so. Die kann ich ohne Leiter abnehmen, wenn sie mal montiert und gekauft wären.
Da Du ja ganz offensichtlich keine Ahnung von der Thematik hast, lass Dir gesagt sein, dass in Konzernen die MAC-based Portsecurity durchaus ihren Einsatz findet (eben mit o.g. Portabschaltung), damit kein Mitarbeiter einfach ein mitgebrachtes Gerät anschliessen kann.
Das wäre ja super.
Kannst du mir vielleicht einen 24er POE-Switch nennen der diese Funktion hat?
Bzw. wie heißt dieses Feature in den Datenblättern?
Radius kann man natürlich auch machen (wenn man grade sonst nix zu tun hat), ist dann nur noch die Frage, ob die Cams das dann auch können, denn die müssen sich dann am Radius auch anmelden können.
Also die Kameras würde ich von Axis kaufen. Da habe ich in den Datenblättern schon geschaut und die würden "802.1 x" unterstützen.
 
Najo, da landest Du mitunter schon im Enterprise-Segment... keine Ahnung, wie es bei Netgear und Co. mit einem Port-Shutdown aussieht, bei den besseren Geräten (nicht-Consumer) von HPE und Cisco sollte sowas eigentlich standardmässig gehen... Dazu sei halt zu sagen, dass sehr viele (wenn nicht fast alle) managed Switche Port-Security unterstützen, nur das mit dem Port-Shutdown ist nicht immer gegeben.

Wäre wohl am einfachsten, wenn Du generell erstmal nach einem Wunsch-Switch schaust und dort mal in die Anleitung guckst, denn da wird es dann - wenn möglich - entsprechende Hinweise auf die Konfiguration geben :)

Standard wäre eben jener hier: https://de.wikipedia.org/wiki/IEEE_802.1X
 
Moinsen,
ciscos bieten das schon bei den SOHO Geräten an, nennt sich Port Security. Switch "lernt" wer da am Port ran darf, wenn ok, dann ok, wenn andere / nicht gelernte /erlaubte MAC...BEEP, kein Zugang. Geht gut für Accessport (deine IP Cams), für Uplink (bei Cisco Trunk genannt) Ports, die zB alle VLANs transportieren zwischen den switchen oder zwischen Router und switch, gibt es nochmal andere Möglichkeiten, da eignet sich bei vielen Geräten die MAC Filterung nicht.
Ob ein RADIUS für den Hausgebrauch sinnig ist....ist halt viel Einarbeitung und Pflege nötig. Klar, der kann dann die Geräte auch selber in das passende VLAN stecken oder ganz draußenlassen, ist aber IMHO overkill (für das Heimnetz).

Allgemein: die VLAN Aufteilung ist immer nach individuellen Bedürfnissen abzustimmen. Sicher gibt es einige best practices, einige Erfahrungswerte, aber es muss am Ende für dich praktikabel sein. Es bringt am Ende nämlich nix, wenn du alles so und so verteilst auf diverse VLANs, dann aber den gegenseitigen Zugriff wieder in der Firewall erlaubst...also Stift und Zettel und Gedanken spielen lassen...
Immer dabei sein sollte: VLAN1 (ist es eh) als default VLAN, VLAN Gäste, VLAN IoT, ggf. VLAN Kinder, VLAN Privat, ggf. VLAN homeoffice...plus was du noch willst.

Hier als Gerätschaften zB:
Router Fritzbox.
Dahinter Firewall/Router fürs Heimnetz pfsense
daran ein Cisco switch sg350 12 Port, dahinter 2 weitere Cisco sg 250 8 und 10 Port.
Für WLAN unifi AP (pro und lite).

8 VLANs, alle laufen über ein Kabel zwischen Firewall----switch----switch-----AP und transportieren die für den produktiven Datenverkehr benutzten VLANs 2-7 auf VLAN1 über den Uplink/Trunk Port.

Vorteil der ciscos: können für den Hausgebrauch alles nötige (und viel mehr), regelm. Updates.
Nachteil: Qualität kostet Geld, zu Beginn sehr komplexe Konfigurationsmöglichkeiten

Firewall pfsense / opensense
Vorteil: kann alles und viel mehr für deine Bedürfnisse
Nachteil: erfordert ebenfalls VIEL ZEIT für die Einarbeitung und Pflege.

Bedenke immer: je komplexer dein Heimnetz, umso mehr Arbeit...kurz- wie auch langfristig...Lernen, Updates, Konfigurieren, Kontrollieren, Protokollieren...auch mit KISS wird es viel. Soll dich nun nicht abbringen, aber einfach sagen: hier sind ein paar tolle Geräte, die ich dir vorschlage, Rest ist easypeasy...nähhh. Soviel Realitätsflash muss ich dir leider antun. ;)
 
Moinsen,
und weil es noch nicht genug an Info ist...🤪🫣wenn du einen O2 Anschluss hast...ist der dann mit echtem DUAL Stack (IPv4 und 6) oder mit DSlite (kein echtes IPv4). Weil: wenn es mit DSlite ist, dann kommt noch etwas mehr Lese- und Lernarbeit auf dich zu...das Thema IPv6 ist auch nicht langweilig... ;)

Aber: alles ist machbar. Mit genug Motivation, ohne Druck und mit Zeit und Geduld ist jedes der auf dich zu kommenden Themen zu stemmen. Fragen kannst du jederzeit hier stellen, dafür ist so ein Forum AFAIK da. Und...ich hab das auch hinbekommen. Ohne IT knowhow vorher, ohne beruflichen Hintergrund...einfach mit Interesse, viel und noch mehr Nachlesen und besonders in den richtigen Foren Fragen stellen. Wird nur nichts über Nacht... :) Die basics müssen erst rein in den Kopf...zumindest einige. 😬

Viel Erfolg!(y)
 
ciscos bieten das schon bei den SOHO Geräten an, nennt sich Port Security. Switch "lernt" wer da am Port ran darf, wenn ok, dann ok, wenn andere / nicht gelernte /erlaubte MAC...BEEP, kein Zugang.
Das ist schon mal super und müsste meine Sicherheitsbedürfnisse locker decken.
Eine Art Port-Off-Detection gibt es bei Switchen aber nicht? Also ich meine damit, dass ein Port nur so lange aktiv ist wie das Kabel gesteckt ist. Beim Verbindungsabbruch deaktiviert der Switch den Port und die Verbindung wird erst wieder möglich, wenn der Port von "innen" freigeschaltet wird.

Ob ein RADIUS für den Hausgebrauch sinnig ist....ist halt viel Einarbeitung und Pflege nötig. Klar, der kann dann die Geräte auch selber in das passende VLAN stecken oder ganz draußenlassen, ist aber IMHO overkill (für das Heimnetz).
Ja, danke dir. Das bestätigt auch meine Vermutung.
Kann ich dann im Switch gewisse MAC-Adressen definieren die z.B. ins VLAN10 kommen egal an welchen Port sie angeschlossen werden und alle nicht bekannten MAC-Adressen kommen an den Netzwerkdosen immer ins Gast-Netz(VLAN40)?

daran ein Cisco switch sg350 12 Port, dahinter 2 weitere Cisco sg 250 8 und 10 Port.
Den großen SG350 benötige ich wegen der Port Security oder?
Weil laut Datenblätter könnte teoretisch auch ein SG220 schon mit VLANs umgehen, aber der reicht mir leider nicht oder?
Hier wäre nämlich auch ein 24 Port POE noch gut bezahlbar!

Für WLAN unifi AP (pro und lite).
Hier lohnt der Aufpreis für Cisco dann deiner Meinung nach nicht oder ist ggf. Unifi hier sogar besser? :)
 
2x ":unsure:"

1) Also erst ist die Sache mit den MAC-Adressen nicht sicher genug und nun deckt es Deine Sicherheitsbedürfnisse? :unsure:
2) Unifi (eher SOHO-Zeugs) vs. "Cisco" (Enterprise) und Unifi soll besser sein? :unsure:
(Sofern man jetzt keinen 2000€ Switch (wenn die sowas überhaupt haben) von Unifi mit einem 100€ Switch von Cisco vergleicht)

Ich sag mal so... den Unifi-Kram wird man eher nirgendwo im Rechenzentrum finden, Cisco dagegen vermutlich sehr häufig. Könntest auch Mercedes und Fiat vergleichen und Dich fragen, ob der Fiat nicht vielleicht doch "besser" ist. So eine schrömmelige Port-Security hast Du eigentlich bei fast allen managed Switchen dabei... Ich guck mal kurz hier im Privatnetz... TP-Link TL-SG2424... check..., D-Link DGS-1100-08P (PoE).... check...., Netgear GS305E... nope. Port-Shutdown kann keiner der genannten und ich habe auch einen Port "draussen" in "greifbarer" Höhe. Nutzt aber alles nix, landet in einem eigenen VLAN wo sowieso nix geht (man kann lediglich aus anderen Netzen darauf zugreifen). Nutzt also genau "garnix", wenn man sich da einklinkt. Davon ab... richtest Du alles richtig ein, wirst Du sowie schon vorher über eine Bewegung vor der Cam benachrichtigt... 🙃
 
Zuletzt bearbeitet:
Moinsen,
Wozu Port off, wenn es via port security reicht (im Heimnetz)?
Zusätzlich zur port security Ebene greifen ja auch Firewallregeln. Dazu kommt, dass auch die firewall in ihren Segmenten nur definierte Geräte erst zulässt, unbekannte bekommen gar keinen Netzwerk Zugriff.

Kann ich dann im Switch gewisse MAC-Adressen definieren die z.B. ins VLAN10 kommen egal an welchen Port sie angeschlossen werden und alle nicht bekannten MAC-Adressen kommen an den Netzwerkdosen immer ins Gast-Netz(VLAN40)?
Nein, das wären dann dynamische vlans und das wäre dann wieder etwas für radius. Hier war gemeint, dass ein bestimmter port einem vlan zugeteilt wird.
Du benötigst nur für vlans und port security nicht zwingend cisco. Die Dinger bieten IMHO mehr als ein sogar leicht überdurchschnittlich aufgebautes Heimnetzwerk braucht. Sind aber eben gut, finde ich zumindest.
Die unifi aps habe ich damals genommen, weil für meine Bedürfnisse gut geeignet. Ich kenne keine anderen aus eigener Erfahrung (nur das fritzbox wlan).
Wenn du noch steiler in die Lernkurve einsteigen willst, dann wäre da auch noch zb mikrotik ein Name...

Wenn du eh gerade dabei bist alles aufzubauen, dann auch überlegen:
Haus mit 13 doppel LAN Wand Anschlüssen. Glaub uns, du willst schnell mehr. Mit nur einem 24er switch wird das nicht lange gehen, entweder du hast dann in manchen Räumen einen weiteren (kleineren) switch oder du setzt auf Zentralisierung (serverschrank zentral, in den Zimmern nur PCs, Notebooks, wlan). Ich bin allerdings auch ein fanboy wenn es um LAN geht, wenn möglich mit Kabel, wlan nur für Handy, tablet, Krimskrams (IoT und ahem...Gäste). 😀
 
1) Also erst ist die Sache mit den MAC-Adressen nicht sicher genug und nun deckt es Deine Sicherheitsbedürfnisse? :unsure:
Weil ihr mich überzeugt habt, dass das für meine Zwecke sicher ausreichend ist! :) Danke ;)

Wozu Port off, wenn es via port security reicht (im Heimnetz)?
OK, hast du recht. So kommt man immer wieder vom einem zum anderen!

Nein, das wären dann dynamische vlans und das wäre dann wieder etwas für radius.
Das ist schade, dachte sowas könnte man irgendwie auch ohne Radius lösen.
Wäre schon irgendwie smart gewesen einfach alles anstecken zu können wo man will und nie mehr ein Kabel im Switch umstecken! ;)

Wenn du noch steiler in die Lernkurve einsteigen willst, dann wäre da auch noch zb mikrotik ein Name...
Danke für den Tipp.
Kann man ggf. sagen, dass ein Hersteller von Switch, AP, Router ggf. das beste und am einfachsten zu konfigurierende Gesamtpaket bietet?

Haus mit 13 doppel LAN Wand Anschlüssen. Glaub uns, du willst schnell mehr. Mit nur einem 24er switch wird das nicht lange gehen, entweder du hast dann in manchen Räumen einen weiteren (kleineren) switch oder du setzt auf Zentralisierung (serverschrank zentral, in den Zimmern nur PCs, Notebooks, wlan).
Leider ist das schon alles fertig, also ich kann ohne Stemmen keine neuen Dosen mehr setzten!
Die Kabel laufen alle zentral im Keller zusammen. Ich denke allerdings für meine Zwecke reicht das so aus. Habe in jeden Wohn-/Schlafraum zwischen 1-4 Doppeldosen setzten lassen.
Leider war das eine Bugetsache um ehrlich zu sein ...... Sonst wären es bestimmt nochmals 6-8 mehr geworden.
 
und nie mehr ein Kabel im Switch umstecken! ;)
Das muss man auch nicht, dafür kann man den Switch umkonfigurieren.
Switch, AP, Router ggf. das beste und am einfachsten zu konfigurierende Gesamtpaket
Dann nimm Unifi, das kannst Du Dir dann einfach alles zusammen"klicken". Bei Cisco und Co. sieht die Welt mitunter etwas anders aus, von Mikrotik würde ich Dir auch erstmal abraten, da Mikrotik "sehr" viel im Webinterface hat (inkl. Routingprotokollen, etc. womit man im SOHO-Bereich mal so "garnicht" mit in Berührung kommt (Demo gibt es hier)).
 
Firewall pfsense / opensense
Vorteil: kann alles und viel mehr für deine Bedürfnisse
Nachteil: erfordert ebenfalls VIEL ZEIT für die Einarbeitung und Pflege.
Ich habe jetzt eine OPNSense als VM eingerichtet und ein wenig gespielt.
Um hier weiter lernen zu können brauche ich einen VLAN fähigen Switch. Hier würden auch nur 4-5 Ports ohne POE oder ähnliches reichen.
Schön wäre es natürlich, wenn man mit dem Switch auch mal testen könnte, ob ich 802.1x mit einem Freeradius Server auf einer Linux VM zum laufen bekomme.
Hat vielleicht hier jemand eine günstige Empfehlung für mich, dass ich ein Gerät zum Spielen habe bei dem ich nicht sofort an Grenzen stoße?

Ich denke ich muss erst mal herausfinden wo meine Grenzen sind und ob mir das "Spielen" vielleicht sogar Spaß macht! :D
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.438
Beiträge
53.745
Mitglieder
5.234
Neuestes Mitglied
Distiller
Zurück
Oben