Empfehlung für Netzwerksegmentierung und HW Auswahl

east-side

New member
Hallo an die Netzwerkgruppe,
Nach den vielen Beiträgen die ich hier als stiller Mitleser schon gelesen hab, denke ich hier auch richtig zu sein mit meinem aktuellen Anliegen und hoffe auf eure Hilfe.
Wie in vielen anderen Haushalte auch, hat sich bei uns die Anzahl an Netzwerk Endgeräten mit der Zeit immer weiter erhöht...., und wurden einfach schnell ins vorhandene Netzwerk mit aufgenommen.
Es kommen immer neue Geräte hinzu, die für diverse Funktionen entweder im WLAN hängen müssen für die App Bedienung über Handy und zum Teil auch Internetzugriff benötigen.
Dann noch ein Markt der mit interessanten IoT Geräten überflutet wird, aber leider auch oft von irgendwelchen unbekannten Herstellern denen ich nicht blind trauen möchte und schon gar nicht wenn man manchmal sieht wie die Integration dort umgesetzt wird (sprich offene WLAN Passwörter usw...)
Jetzt bin ich an dem Punkt angelangt, wo mir die aktuelle Netzwerkstruktur nicht mehr gefällt und auch manchmal ein mulmiges Gefühl habe.
Ich denke es gibt genügend Gründe um das jetzt mal zu ändern und das möchte ich jetzt auch umsetzen und mein Netzwerk segmentieren und die Geräte nach Funktion/Zugriffsberechtigungen/Risikogeräten/..... in separaten VLANS schieben.
Grundlegende Netzwerkkenntnisse sind vorhanden und die Konfiguration an sich sehe ich jetzt mal nicht so als die Hürde.
Wenn es dann doch irgendwo hacken sollte, seid ihr bestimmt die ersten die es erfahren werden🙈
Da ich noch nie ein Netzwerk so umstrukturieren musste und mir somit noch nie Gedanken über eine sinnvolle Segmentierung machen musste, sitze ich jetzt ein wenig auf dem Schlauch.
Vielleicht liegt es aber auch daran, dass man"n" es wirklich gut und richtig umsetzen möchte, wenn das ganze jetzt schon mal angefasst werden muss.
Ich habe mal eine aktuelle Übersicht erstellt und eine draft Darstellung wie es aussehen könnte (siehe Anhänge)
Die Frage die sich stellt ist wie man das sinnvoll auftrennt?
Eine erste und sicher auch die einfachste Lösung wäre das ganze in nur 2 VLANs aufzuteilen, eins für die zu schützenden Geräte und eins für alles andere was nicht im sicheren Netz rumtrollen darf.
Hier bin ich aber unsicher und würde mich sehr über eure Erfahrung und Empfehlung freuen.
Folgende Fragen versuche ich der Reihe nach zu beantworten:
  • Wie könnte eine Segmentierung hier idealerweise aussehen?
  • Wie viele VLANs sollte man hier konfigurieren und mit welcher Zuordnung der Endgeräte (und aus welchem Grund)?
  • Hardware für VLANs und Routing?
    Neben den aktuell benutzen Geräten (FritzBox & 8-port Switch) habe ich noch eine ältere JUNIPER Firewall (100 Mbit/s) die ich benutzen könnte.
    Zu Testzwecke könnte ich auch noch einen aktuellen MIKROTIK Router RB4011 benutzen (VLANs und LAYER 3 Routing müsste der können).
    Was meint Ihr, reicht diese alte Firewall oder gehört die eher ausgemustert?
  • Was wäre allgemein die bessere Lösung, so wie in der Grafik mit der Firewall oder eher mit einem Router der VLAN und Routing fähig ist.
  • Switch: Layer 2 oder doch besser gleich Layer 3 kaufen und routing auf SWITCH Ebene realisieren? (2 ältere 3COM Stack Switch hätte ich noch)
  • WLAN: Würde das so wie in meiner Grafik dargestellt Sinn machen und wäre so umsetzbar (Ubiquiti APs)?
  • VOIP: Unser DSL Anschluss beinhaltet Telefonie über VOIP (eine Nummer), die wir installiert haben aber recht selten benutzen.
    Dafür ist noch ein FritzPhone über DECT mit der FritzBox verbunden.
    Wie könnte hier die Lösung aussehen, wenn die FritzBox eventuell weg käme und zB durch eine MIKROTIK ersetzt werden würde?
Das müssten so mal meine ersten Gedanken und Fragen sein und hoffe hier keinen damit erschlagen zu haben und würde mich auf einen konstruktiven thread sehr freuen.
Vielen Dank
 

Anhänge

  • 01 - Istzustand .jpg
    01 - Istzustand .jpg
    607,4 KB · Aufrufe: 13
  • 02 - Draft- Planung.jpg
    02 - Draft- Planung.jpg
    744,8 KB · Aufrufe: 14
Zuletzt bearbeitet:

Barungar

Well-known member
Hallo east-side,

eine Segmentierung kann man auf viele unterschiedliche Aspekte aufbauen. Im Privatumfeld bieten sich meiner Auffassung nach die drei folgenden Aspekte an Sicherheitsbedarf, Nutzungsprofil und Zugriffsbedarf.

Das ganze kann man in einem mehrdimensionalen Matrix darstellen und festlegen, welche und wieviele Segmente man braucht.

Einfach nur auf der Basis Deiner beiden Skizzen und Deines Textes, komme ich zu einem Vorschlag, der ungefähr so aussähe:

VLAN A - private Computer
VLAN B - private Mobilgeräte
VLAN C - Drucker (Drucker, 3D-Drucker, Plotter, usw.)
VLAN D - Internet-WLAN (z.B. für Gäste oder um mal schnell nur Internet zu haben)
VLAN E - NAS & Server (NAS, Server, sonstige eher "private und kritische Daten")
VLAN F - Automation (Heimautomation, intelligente Geräte, Sensoren, Aktoren, usw.)
VLAN G - Unterhaltung (Fernseher, Sound Systeme, Consolen, usw.)

Welche Aspekte und wieso?

VLAN A & B - Deine eigenen, privaten Geräte. Grundsätzlich vertraust Du diesen Geräten, denen in VLAN A mehr als denen in VLAN B. Daher hat VLAN B etwas restriktivere Firewall-Regeln als VLAN A.
VLAN C ganz klar Sicherheit (!), hier wird per Firewall untersagt aus VLAN C heraus Verbindungen aufzubauen
VLAN D bekommt keinen Zugriff auf lokale Ressourcen, es wird lediglich Internet ermöglicht
VLAN E ganz klar unter dem Sicherheit, hier wird über Firewall regeln definiert, wer überhaupt darf zugreifen; ideal gibt es hier keine "unbekannten" Datenflüsse -- dieses VLAN hat wahrscheinlich die meisten Firewall-Regeln
VLAN F auch hier eher ein sehr restriktiver Zugriff, hauptsächlich Verkehr zum Internet oder klar definierte welche Kommunikation mit lokalen Devices außerhalb des VLAN zulässig sind.
VLAN G in etwas vergleichbar mit VLAN F von den Zugriffen (möglichst restriktiv), aber eben komplett anderes Nutzungsprofil

So würde ich vermutlich an die Sache herangehen, das heißt... 6 - 8 VLANs. ;) Ich selbst habe bei mir 9 VLANs und 3 SSIDs (WLANs) im Einsatz.

Noch ein bisschen Ergänzung zum Verständnis.

Warum z.B. VLAN C?
In meiner langjährigen Tätigkeit in/mit IT, habe ich die Erfahrung gemacht, das Drucker und deren interne Software eher spärlich gewartet werden. Selbst von den Herstellern, Sicherheitslücken in Druckern bleiben oft lange in der Gerätesoftware enthalten. Teilweise ermöglichen sie sogar "Relay-Angriffe" und ähnliche fiese Dinge. Ja, mag übertrieben wirken - aber ich habe Drucker gerne unter Kontrolle. Darüber hinaus bietet sich das Profil einfach an, normal tritt ein Drucker nicht als aktiver Kommunikator auf. Daher kann man die Firewall wunderbar so einrichten, dass aus VLAN C heraus keine Verbindungen aufgebaut werden dürfen. Egal ob man vom PC, von einem Server oder sonst was Drucker der Kommunikationsaufbau läuft stets zum Drucker hin.

Warum VLAN A & B?
Mobile Geräte bieten einfach mehr Angriffsfläche als ein Gerät, was immer nur im heimischen Netz zum Einsatz kommt. Mal ist das mobile Gerät in einem fremden WLAN, mal sogar über Mobilfunk direkt selbst im Internet, usw. Ich trenne daher gerne zwischen den eigenen mobilen und stationären Geräten. Die meisten "Freiheiten" in meinem lokalen Netzwerk haben die PCs (VLAN A)... die Laptops, Tablets und Smartphones (VLAN B) haben da schon mehr Einschränkungen, was ich denen zugestehe.

Wieso VLAN F?
Automation ist toll... aber diese ganzen IoT-Geräte, Sensoren und Aktoren sind mir zugleich ziemlich suspekt, was deren Geräte-Software angeht. Es ist ähnlich wie beim Drucker. Hier möchte ich auf gar keinen Fall, das solch ein Gerät sich in meinem Heimnetz "austobt". In der Regel kommen die Geräte maximal zu ihrer Bridge oder ihrer Cloud. Die Bridge wiederum darf etwas mehr, aber auch überwacht und eingeschränkt.

Für VLAN G...
lässt sich das auch wieder übertragen. Auch hier bin ich skeptisch und vorsichtig. Allein was ein 08/15-SamrtTV meint alles mit dem Internet kommunizieren zu müssen, und im lokalen Netz suchen zu müssen, finde ich hart. Mein SmartTV hat eine ganze Menge an Einschränkungen, mit denen er leben muss. Speziell die ganze Telemetrie wird geblockt.

Zum Abschluss noch eine Anmerkung zur Hardware. Diese alte 100M Firewall sehe ich kritisch, wenn ich es richtig verstehe ist Dein Internet-Anschluss schneller; darüberhinaus werden auch, wenn man das Netz segmentiert, alle Kommunikationen zwischen den Segmenten über die Firewall laufen. Da möchte man Speed haben.

Ich würde Dir eine eigene Firewall empfehlen, entweder in Eigenbau oder als Appliance (so wie Deine alte Firewall) - aber eben in zeitgemäß. Denk daran, sie wird ein Dreh-und-Angelpunkt zwischen den Segmenten.

Meine beiden Firewalls sind jeweils mit 20 GBit/s (LACP mit 2x 10 GBit/s) an meine Core-Switche angebunden. Zwischen meinen Switchen nutze ich 10 bis 20 GBit/s ISL (Inter-Switch-Links); entweder als 10GBaseSR (Glasfaser), 10GBaseT (Kupfer-Patchkabel) oder 10GBaseCR (DAC).

Barungar

P.S.: Anbei die Topologie meines Netzes
Screenshot 2022-09-01 124349.png

Da sieht man auch, dass E001, E006, E007 und E008 einen Ring bilden, sowie auch wieder E005, E007 und E200, aber auch E003, E004, E005, E006 und E007. Es sind also im Prinzip drei "Ringe", die jeweils durch Spanning Tree redunanzfrei gehalten werden.
 
Zuletzt bearbeitet:

blurrrr

Well-known member
Also hier sieht es (privat) so aus:

1662033602871.png
Denke, am wichtigsten dürfte sein, dass die Aufteilung für "Dich" am meisten Sinn macht, sonst führt das auch alles nur zu Verwirrungen.
  • Wie könnte eine Segmentierung hier idealerweise aussehen?
Das hat @Barungar schon ganz treffend beschrieben
  • Wie viele VLANs sollte man hier konfigurieren und mit welcher Zuordnung der Endgeräte (und aus welchem Grund)?
Das kommt darauf an, wie Du segmentieren willst
  • Hardware für VLANs und Routing?
    Neben den aktuell benutzen Geräten (FritzBox & 8-port Switch) habe ich noch eine ältere JUNIPER Firewall (100 Mbit/s) die ich benutzen könnte.
    Zu Testzwecke könnte ich auch noch einen aktuellen MIKROTIK Router RB4011 benutzen (VLANs und LAYER 3 Routing müsste der können).
    Was meint Ihr, reicht diese alte Firewall oder gehört die eher ausgemustert?
Kann man sicherlich zum testen mal machen, aber für einen regulären, dauerhaften Einsatz würde man doch eher zu etwas neuerem greifen. Vergiss nicht, dass die Firewall der Dreh- und Angelpunkt ist und Du willst Dich sicherlich nicht "intern" selbst auf 100Mbit (oder weniger) limitieren.
  • Was wäre allgemein die bessere Lösung, so wie in der Grafik mit der Firewall oder eher mit einem Router der VLAN und Routing fähig ist.
Kannst Du machen wie Du willst, ich persönlich lassen die Router einfach Router sein, danach kommt meine Firewall, welch auf den Switch geht und von dort geht es dann teilweise auch noch zu WLAN-Accesspoints.
  • Switch: Layer 2 oder doch besser gleich Layer 3 kaufen und routing auf SWITCH Ebene realisieren? (2 ältere Cisco Stack Switch hätte ich noch)
Also ich persönlich nutze nach wie vor immer nur L2-Switche. L3 ist meiner Meinung nach auch eher etwas für "wesentlich" größere Umgebungen.
  • WLAN: Würde das so wie in meiner Grafik dargestellt Sinn machen und wäre so umsetzbar (Ubiquiti APs)?
Die Accesspoints müssen die SSIDs nur in die jeweiligen VLANs überführen (tagged), der Rest wird eh von Switch und Firewall erledigt.
  • VOIP: Unser DSL Anschluss beinhaltet Telefonie über VOIP (eine Nummer), die wir installiert haben aber recht selten benutzen.
    Dafür ist noch ein FritzPhone über DECT mit der FritzBox verbunden.
    Wie könnte hier die Lösung aussehen, wenn die FritzBox eventuell weg käme und zB durch eine MIKROTIK ersetzt werden würde?
Kannst die Fritzbox als TK-Anlage weiterlaufen lassen (z.B. im Client-Modus), oder Du verbindest Dein Telefon direkt mit dem SIP-Account des ISP (sofern das Telefon sowas unterstützt, ansonsten muss ein neues her), oder Du besorgt Dir irgendwas anderes als TK-Anlage, ODER (jetzt ist aber auch mal gut) Du kannst einfach Dein Handy dafür nutzen (mit SIP-Client) 🙃
 
Zuletzt bearbeitet:

the other

Well-known member
Moinsen und willkommen im Forum,
die werten Vorschreiber @Barungar und @blurrrr haben alles bereits abgehandelt.
Mit den unifi APs lassen sich out of the box direkt 4 ssids nutzen. :)

Hier zB läuft als Router die Fritzbox, dahinter dann eine pfsense, die im Heimnetz alles regelt. Daran ist ein switch im L2 Modus angeschlossen, der dann in die diversen Räume weiterverteilt.
Insgesamt Habe ich damit dann eine DMZ zwischen Router und Firewall, dahinter (alles via pfsense gesteuert) dann insgesamt7 VLANs:
- VLAN A Kind
- VLAN B mobile Clients
- VLAN C PC
- VLAN D NAS
- VLAN E Gäste
- VLAN F office PC
- VLAN G IoT Geraffel

Die unifi APs spannen dann verschiedene WLANs auf, die einmal dem VLAN A, dem VLAN B, dem VLAN E und dem VLAN G zugeordnet sind.

Du benötigst also damit einen VLAN fähigen Router (ggf. pfsense / opensense) und einen (mindestens, je nach individuellem setting) L" switch, der VLANs nach 802.1q kann (für den günstigen Einstieg zB TP link mit webbasierter GUI zum Managen)...
PFsense oder opensense laufen zB auf recht günstigen APU Boards (ca. 190 Euro) oder aber mehr, je nach Anforderungen...

Viel Erfolg und bei Fragen weißt du ja, wo du diese stellen kannst!!
:)
 

east-side

New member
Hallo und vielen Dank für die umfangreiche Antworten.

Ich musste das ganze mal etwas verdauen und mich noch etwas reinlesen betreffend einigen Punkten und Ansätze.
Dass es wohl mehr VLANs geben wird als die 2 in meiner Skizze hatte ich mir schon gedacht, hätte aber nicht mit so vielen gerechnet 😊
Tut der Sache aber nichts, da es sich ja nur um virtuelle Netze handelt und somit keine (kaum) zusätzliche Hardware (Budget) benötigt wird😅

Zum Beitrag von @Barungar:

Private PCs und mobile Geräte gesondert zu handhaben hätte ich jetzt nicht dran gedacht, macht aber definitiv Sinn um ein maximum an Sicherheit zu erreichen.

- VLAN C, wo jegliche Verbindung nach aussen untersagt wird:
Damit ist ja jede Verbindung gemeint aus diesem VLAN heraus zu anderen VLANs.
Wenn es sich beim Drucker aber um ein Kombigerät mit Scan Funktion handelt…., wie würde man da vorgehen?
Da müsste man entweder eine Tür zum VLAN A (PCs) öffnen oder alle Scans zum NAS schicken und sie dort abholen (dann mit offener Tür zum VLAN E).
Wäre das dann nicht wiederum ein potenzielles Einfallstor/Risiko, z.B, durch «schlechte» Druckersoftware?

- VLAN G:
Das sind (nicht immer vertrauenswürdige) Geräte die Internet Zugriff für online Streamingdienste benötigen, aber auch Zugriff auf das NAS für lokales Streamen….
Wie erreicht man da die gewünschte Integrität?

- Betreffend alte Hardware (100M) da habt ihr natürlich Recht und eine neue Firewall Lösung ist definitiv fällig.
Die paar 3COM Switche (Layer2) die ich noch habe, unterstützen auch noch kein Gbit sondern nur 100M….
Für viele Geräte würde das eigentlich reichen…. , GBit Switche wären hier aber auch eher zeitgemäss 😊
Für die Firewall könnte ich mir eine DIY Lösung mit OPNsense gut vorstellen.
Hättet ihr da eine gute Board Empfehlung mit ausreichend Leistung und doch noch bezahlbar?
Wenn ich die HW Anforderungen für pfsense lese, dann könnte man fast glauben dass ein APU Board «zu schwach» sein könnte.
Es scheint aber ein beliebtes Board zu sein das oft im Einsatz ist...
Als Alternative gibt es ja dann noch die IPU Boards!?
Habt ihr da irgend eine konkrete Empfehlung?

- Deine Topologie sieht sehr professionell aus 👍, da wurde aber ein anderes Budget angesetzt 😉

Zum Beitrag von @blurrrr:

Danke für die Abbildung deiner Topologie. Sieht auch ganz gut aus und scheint sich dann bei vielen hier zu wiederholen mit den +-7 VLANs 😊

Betreffend Telefonie, da möchte ich die FritzBox nicht nur deswegen weiterlaufen lassen!
Wird dann wohl ein stand-alone IP Telefon werden, aber auch den Tipp mit dem SIP Client auf dem Handy finde ich gut👍.
Wollte das mal ausprobieren und habe die SIP Kontodaten bei meinem Provider angefragt.
Leider ist es mir nicht möglich gewesen damit eine Verbindung zum SIP Server aufzubauen (habe mehrere Apps probiert).
Keine Ahnung woran das jetzt liegen könnte, wäre aber sicherlich eine tolle Sache wenn es funktioniert.

Zum Beitrag von @the other:

Du benutzt deine FritzBox dann also weiter, im Bridge Modus...
Läuft bei dir dann auch noch das VOIP über die FritzBox oder wie sieht deine Lösung da aus?


Noch ein paar Fragen/Gedanken:

- Ich hatte die MIKROTIK mit ins Spiel geworfen, da ist aber keiner wirklich drauf eingegangen und ich frage mich ob es vielleicht daran liegt dass dieser Router hier nicht weiter bekannt ist oder ob es wirklich keine besonders gut Lösung wäre?
Dieser Router ist Layer3 tauglich und die Leistungsdaten lassen sich ja auch zeigen…..
  • QuadCore ARM X4 1,4 GHZ
  • 1 GB Ram
  • 10 Ports mit 1Gbit (1 passive PoE)
  • 1 SFP+ Port 10Gbit --> könnte als TRUNK Verbindung zum Switch dienen
Anbei sende ich das Datenblatt mal mit.

- Dann noch eine Frage zum WLAN.
Je nach VLAN Topologie, könnte es sein dass ich 5 VLANs habe die auch über WLAN verfügen müssten. z.B.:
VLAN A - private Computer
VLAN B - private Mobilgeräte
VLAN D - Internet-WLAN (z.B. für Gäste oder um mal schnell nur Internet zu haben)
VLAN F - Automation (Heimautomation, intelligente Geräte, Sensoren, Aktoren, usw.)
VLAN G - Unterhaltung (Fernseher, Sound Systeme, Consolen, usw.)

Das würde dann auch heissen, dass das 5 getrennte WLANS sind, mit eigener SSID?
Könnte das nicht auch wieder ein Nachteil sein / zu Probleme führen mit 5 SSIDs (Kanäle, Bandbreite,..)?
Da man diese Endgeräte auch gemischt verteilt im ganzen Haus wiederfindet, müssten auch alle WLANs im ganzen Haus verfügbar sein.
Wäre das mit einem Ubiquiti AP überhaupt möglich? Wie würde man sowas umsetzen?
Im netzt habe ich gelesen dass diese APs maximal 4 VLANS zulassen, manche schreiben von max 8.
Beim Zusammenspiel zwischen den VLANS und den daraus resultierenden WLANs habe ich noch keinen Durchblick 😊

Danke für weitere Hilfe
Gruss
 

Anhänge

  • MIKROTIK RB4011-RM_210514.pdf
    2 MB · Aufrufe: 1

the other

Well-known member
Moinsen,
um deine Fragen kurz zu beantworten:
- die Fritzbox läuft NICHT im bridge-Modus. Die tut weiterhin ihren Dienst als normaler (von außen schauend erster) Router. Es ist eine Portweiterleitung auf den VPN Server eingerichtet sowie für IPv6 ein exposed host Eintrag für den 2. Router, der das eigentliche Heimnetz regelt
- die Fritzbox macht weiter Telefonie via DECT Telefon
- damit entsteht zwischen Router 1 (fritzbox) und Router 2 eine Art DMZ (hier ist idR aber auch nix drin außer einem alten Tablet)

Mit Mikrotik habe ich keine eigene Erfahrungen, aber ja, gehört (positiv) habe ich schon einiges...von daher, go for it, die Specs hören sich ja erstmal nicht schlecht an und preislich sind die Mikrotiks meist ganz schick (Kosten/Leistung).

Zum Thema WLANs...da würde ich immer versuchen alles zu verkabeln, was nicht bei 3 auf dem Baum ist...klar, mobile Clients wie Tablet und Smartphone eher nicht, aber TV, Console usw schon, den PC auch.
Ggf. dann eine Aufteilung so machen:
- VLAN B (mobile) WLAN eigene SSID
- VLAN D (Gäste) WLAN eigene SSID ggf. ein Port am switch dafür reservieren
- VLAN F könnte mit VLAN G zusammenkommen (ist imho alles IoT Geraffel, egal ob Sensor, TV, AV Receiver, Konsole....die bekommen alle eher spartanische Updates). Sonst eben trennen, das macht dann
3 (4) WLANs im eigenen VLAN mit je eigener SSID.

jm2c
 

Barungar

Well-known member
Zu VLAN C
Also bei mir läuft das mit dem Multifunktions-Gerät Drucker entweder so, dass das per Email geht.
Oder aber dass ich mittels eines Stück Software den Scanauftrag vom PC aus steure, genauso wie früher bei Standalone Scannern.
Das Multifunktionsfgerät muss mals nie mit dem LAN sprechen, sondern wird immer nur angesprochen,
Aber das kann im Detail auch anders sein, da muss man dann schauen, was man macht/möchte.

Zu VLAN G
Da sagte ich ja nicht, das alles geblockt ist - sondern "möglichst restriktiv". Es kann also druchaus mit dem NAS aus vordefinieren Wegen sprechen. z.B. für Media-Streaming Ports oder ggf. SMB, aber es hat keinen "freien Zugriff" auf das NAS. Ideal sagt die Firewall-Regel dann welches Gerät welche Ports am NAS darf.
 

the other

Well-known member
Moinsen,
du könntest ja auch zweigleisig fahren.
Das NAS in ein eigenes Netz, aus allen anderen VLANs den Zugriff restriktiv regeln oder ganz verbieten, wenn da nix kommuniziert werden soll. Zusätzlich auch (und gerade) fürs eigene LAN (mit allen VLANs enthalten) mit seinen diversen IP Räumen auf dem NAS selber zum einen die Rechteverwaltung restriktiv halten (nur "Lesen" für TV falls das Ding für irgendwas ein eigenes Konto benötigt) und via NAS eigener Firewall restriktive Regeln für nur die jeweils gewünschten Anwendungen/Dienste/Ports freigeben.

Dann könnte bsp das "Media"VLAN auf das NAS VLAN zugreifen mit genau definierten Regeln via Netzwerkfirewall (open/pfsense zb) und selbst dann filtert auch die NAS Firewall nochmal nach IP (oder IP Adressraum/Bereich) aus, wer und was da Zutritt bekommt.
Alternativ (wenn Geld keine Rolle spielt, har har) ein weiteres NAS anschaffen für MediaVLAN only...

Ich habe für Geräte wie Drucker/Scanner aus den jeweiligen gewünschten Subnetzen den Zugriff auf den benötigten Port freigegeben, aber umgekehrt den aktiven Zugriff vom VLAN, in dem das MuFU Gerät steht verboten und keinen Zugriff auf andere VLANs erlaubt.

Ebenso wie ich für das Mobile VLAN den Zugriff auf HomeAssistant erlaube, nicht aber andersherum, bis auf genau ICMP (Ping) auf genau die Mobilen IPs, alles andere Richtung privater Netze ist dicht. Internet ist dicht und wird nur vor Updates aufgemacht.

Am Ende ist die Aufteilung all deiner Geräte in Subnetze IMMER auch eine sehr sehr individuelle Entscheidung. Sicher gibt es bestimmte immer wiederkehrende Modelle und Ideen dazu, doch wie du deine Subnetze nennst, welche Clients du wie clusterst, wie diffizil...das ist DEINEN Bedürfnissen geschuldet. Eine "so muss es sein" Lösung gibt es also nicht. Wie so oft kommt dazu noch die Schwierigkeit des "Ausbalancierens" von Sicherheit vs Nutzbarkeit. :cautious:


Ich habe hier ein altes APU2 Board mit drei NICs und 4GB RAM. Es laufen pfsense, pfblockerNG, 7 VLANs, openVPN mit FreeRADIUS, und der normale Routerkram (DNS, DHCP). Es sind diverse Regeln vorhanden, es sind Alias-Listen vorhanden, es sind mehr als 20 Blocklisten für pfblockerNG vorhanden...es läuft. Stabil. Schnell genug. Meine Grenzen habe ich mit dem System so jedenfalls noch nicht erreicht.
So wie es eigene Hardware für opensense gibt (@Barungar hat sowas, wie er ja hier im Forum auch schon geschrieben hat) gibt es das auch für pfense. Hardware auf den ersten Blick sehr ähnlich, Preis ebenso. SFP+ 10 GB NICs (2 Stück) kosten dann so ab 850 Euro!)...auch da: ob du das brauchst (und einen passenden switch, und vielleicht noch einen und Geräte, die das dann auch verarbeiten können > HDD/SSD, schneller Prozessor mit gut RAM) kannst auch nur du wissen, es wird aber so oder so ein Fleiß- und Geldprojekt.

Was dich aber gar nicht entmutigen soll! Aber das sollte auch nicht unter den Tisch fallen vor lauter Detaildiskussion wie VLAN Aufteilung.
;)
Und wenn es dann klemmt, weißt du ja wo du fragen kannst...
:)
 
Zuletzt bearbeitet:

Tommes

Active member
Hi!

Alternativ und vor allem mit weniger Komponenten, Konfigurationsaufwand und späterer Wartung verbunden, stelle ich kurz meine Anordnung vor, auch wenn das den Spezialisten hier sicherlich nur unverständliches Augenrollen abringen wird.

Hintergrund meines aktuellen Vorgehens ist, das ich vor kurzem nach einem heftigen Gewitter zwei VLAN Switche beerdigen durfte. Ebenfalls hat sich einer meiner Multi-SSID Accesspoints auf Werkseinstellungen zurückgesetzt. Da ich natürlich keine Sicherung der Konfiguration hatte und nur noch eine wage Vorstellung von dem hate, was ich damals alles so lustig konfiguriert hatte, habe ich mich dazu entschieden, mein System zu vereinfachen.

Meine Fritzbox stellt die Verbindung zum Internet her, verwaltet meine VoIP Telefone sowie sämtliche SmartHome Komponenten wie Schaltsteckdosen, Heizkörper-Thermostate etc. von AVM. Im LAN bzw. WLAN der Fritzbox hängen alle Geräte, die ich in meinem eigentlichen Netzwerk nicht haben möchte und/oder über eine Portweiterleitung über das Internet erreichbar sein sollen. Sogesehen ist das meine DMZ. Gäste dürfen das Gäste-WLAN der Fritzbox nutzen.

An der Fritzbox hängt ein APU2 Board, auf dem eine pfSense läuft. Einzige Portweiterleitung von der Fritzbox zum APU2 Board ist der OpenVPN Port, sonst nichts. Sämtliche Geräte im Fritzbox (W)LAN haben dabei keinen Zugriff auf die pfSense selber, sowie an dahinter liegenden Subnetze. Umgekehrt kann ich durch entsprechende Rules Freigaben aus einem Subnetz heraus, auf Geräte im Fritzbox (W)LAN ermöglichen, wie z.B. Überwachungskamera, MuFu-Drucker etc.

Das APU2 Board selbst verfügt über 3 Interfaces. An einem Interface liegt das WAN der Fritzbox an. Am zweiten Interface hängt dann mein Netzwerk (zusammen mit meiner Frau) und am dritten Interface das Netzwerk meines Sohnes. Ebenfalls hängt an beiden LAN Interfaces je ein VLAN Switch sowie ein Multi-SSID Accesspoint, wobei letztere bis auf weiteres keine VLANs verarbeiten müssen.

Ich verfüge somit über 4 Segmente. Eine DMZ im eigentlichen Fritzbox (W)LAN, ein Gäste (W)LAN, ebenfalls über die Fritzbox sowie zwei Subnetze, die über die pfSense verwaltet werden und per LAN oder WLAN erreichbar sind. Und das alles ohne ein VLAN zu verwenden. Das war‘s erstmal.

Wenn ich, meine Frau oder mein Sohn irgendwann zu der Erkenntnis kommen, wieder mehrere VLANs zu benötigen, dann kann das jeder für sich über sein eigenes Interface umsetzten wie er mag. Bis dato besteht jedoch (noch) kein Bedarf. Sollte in Zukunft mal wieder etwas hopps gehen, kann ich relativ unkompliziert wieder alles zurück ins Fritzbox (W)LAN schubsen und kann weiter arbeiten, oder mit relativ wenig Aufwand wieder alles zum laufen bringen, wie es soll.

Für die meisten hier wohl inakzeptabel, für mich eine einfache und praktikable Lösung.

Tommes
 
Zuletzt bearbeitet:

the other

Well-known member
Moinsen,
ich finde das nun so gar nicht "inakzeptabel", ist halt ne Routerkaskadierung (wäre es mit VLANs hinter pfsense ja auch). Und wir reden ja immer noch von einem privaten Heimnetz, kein Firmennetzwerk mit anderen Anforderungen... :)

Du nutzt deine 4 Netzwerke, LAN Fritzbox ist isoliert, da geht nix zum GastLAN der Fritzbox. Vom GastLAN geht wiederum nix zu LAN Fritzbox hin, das trennt die Fritzbox selber.
Da als default auf dem WAN der pfsense eingehender Verkehr ja Richtung pfsense LAN geblockt wird, ist das also auch getrennt (kein Zugang von Fritzbox LAN/GastLAN auf pfsense LAN 1/2).

Dann kannst du mit deinen Regelwerken ja immer noch den Zugriff zwischen pfsenseLAN1 und pfsense LAN2 steuern und trennen.
Ob du dann einen Zugriff von pfsense LAN1 / LAN2 auf Geräte im fritzbox LAN erlaubst, kannst du ebenfalls festlegen.
Damit hast du dann dein gesamtes Netzwerk eben nicht virtuell sondern physisch getrennt durch die Nutzung der unterschiedlichen NICs...

Und solange du innerhalb pfsense LAN1/2 keine weitere Segmentierung benötigst, kann dort dann natürlich auch auf den Einsatz von VLANs verzichtet werden. Und wenn du gar keine VLANs dort niemals nicht haben willst, baust du halt noch einen Router dahinter und hast dann eine dreifach Kaskadierung (wovon ich dann aber doch eher in der Praxis abraten würde...)
;)
 

east-side

New member
Hallo,
Danke dass ihr immer noch hier seit😅

@Tommes:
Auch dir vielen Dank für die Erläuterungen zu deiner Lösung.
Finde ich auch einen interessanten und pragmatischen Ansatz, wenn auch sicherlich nicht alltäglich.
Manchmal muss man eben auch mal etwas einfacher denken 👍

Ich für meinen Teil, werde aber bei der Virtualisierung bleiben und mir da eine Lösung zusammenfrickeln 🙈

Werde es jetzt mal mit der MIKROTIK versuchen und schauen wie weit ich da komme.
Hoffe dass sich hier aber auch einige MIKROTIK affine Leute rumtummeln und da ggfls. bei Fragen weiter helfen können.
Parallel werde ich aber auch mal nach einer passenden Hardware suchen für ein DIY opnsense Lösung, da mich das schon interessiert und mich da rein arbeiten möchte.

Nur das WLAN mach mir immer noch etwas Kopfzerbrechen.
Zum Thema WLANs...da würde ich immer versuchen alles zu verkabeln, was nicht bei 3 auf dem Baum ist...klar, mobile Clients wie Tablet und Smartphone eher nicht, aber TV, Console usw schon, den PC auch.
Ggf. dann eine Aufteilung so machen:
- VLAN B (mobile) WLAN eigene SSID
- VLAN D (Gäste) WLAN eigene SSID ggf. ein Port am switch dafür reservieren
- VLAN F könnte mit VLAN G zusammenkommen (ist imho alles IoT Geraffel, egal ob Sensor, TV, AV Receiver, Konsole....die bekommen alle eher spartanische Updates). Sonst eben trennen, das macht dann
3 (4) WLANs im eigenen VLAN mit je eigener SSID.
Da stimme ich dir eigentlich zu, nur ist es in der Praxis für PCs jetzt nicht schwarz oder weiss...
PCs im Sinne fest installierter Workstations (ganz klar) am Netzwerk verkabelt, Laptops sind da aber eher so ein Zwitter und können als Workstationersatzt aber auch als mobiles Gerät dienen/angesehen werden.
Somit wäre ein WLAN für das PC VLAN vielleicht doch sinnvoll....?


Irgendwie scheint mir die WLAN Konfiguration so wie ich sie aufgelistet hatte, mit 5 bis 6 WLANS ganz logisch, aber trotzdem habe ich Zweifel daran. Pfff ich weiss es nicht🤪
VLAN F & G zusammenzuführen weiss ich jetzt auch nicht so recht. Überwachungskameras zusammen mit IoT Kram in einem Netz stösst mir dann auch wiederum auf.

Kurz zusammengefasst, würde ich von der Logik her zu (5) 6 WLANs tendieren. Die Ubiquiti können aber nur 4 WLANs (8 WLANs mit deaktiviertem UPLINK CONNECTOR MONITOR). Ich habe jetzt aber auch schon par mal gelesen, dass man allgemein bei WLAN nicht mehr als 3 SSIDs benutzen sollte pro AP, wegen Overhead Reduzierung und den damit verbundenen Problemen (Airtime und Datenübertragung)....
Ob das ganze aber erst zum trage kommt, in WLAN-Netze mit hoher Nutzeranzahl und hohem Datenverkehr, weiss ich jetzt nicht zu beantworten.
Hier steht also noch offen was Sinn macht und wie ich das lösen könnte.

Insgesamt Habe ich damit dann eine DMZ zwischen Router und Firewall, dahinter (alles via pfsense gesteuert) dann insgesamt7 VLANs:
- VLAN A Kind
- VLAN B mobile Clients
- VLAN C PC
- VLAN D NAS
- VLAN E Gäste
- VLAN F office PC
- VLAN G IoT Geraffel
Die unifi APs spannen dann verschiedene WLANs auf, die einmal dem VLAN A, dem VLAN B, dem VLAN E und dem VLAN G zugeordnet sind.
Bei dir sind es ja 4 WLANS die du mit Ubiquiti APs betreibst. Was kannst du zu dem oben beschriebenen Thema (max. SSID Anzahl) sagen und wie sind deine Erfahrungen?

So würde ich vermutlich an die Sache herangehen, das heißt... 6 - 8 VLANs. ;) Ich selbst habe bei mir 9 VLANs und 3 SSIDs (WLANs) im Einsatz.
9 VLANs..., eine beachtliche Anzahl im privaten Netzwerk 😎 und schaffst es mit nur 3 WLANs.... 🤔😔Hättest du vielleicht eine etwas detailliertere Darstellung deiner Topologie, inkl. VLANs und WLANs und Clients...? Würde mich interessieren wie das bei dir aussieht und welche Clients (Kategorien) du zusammen führst in den jeweiligen VLANs und WLANs.

Danke
Gruss
 

blurrrr

Well-known member
werde aber bei der Virtualisierung bleiben
Ist ja prinzipiell nicht verkehrt (halte ich ebenso).
Hoffe dass sich hier aber auch einige MIKROTIK affine Leute rumtummeln und da ggfls. bei Fragen weiter helfen können.
Das Thema hat rein garnichts mit Mikrotik zu tun, Du musst nur wissen, was Du erreichen willst - der Weg dahin ist sowieso bei allen Systemen unterschiedlich... Vergleich es einfach mit "Milch kaufen"... beim Aldi steht es hier, bei Rewe dort und bei Edeka wieder ganz woanders - ändert aber nix an der Tatsache: Du willst Milch. In welchen Gang Du dafür gehen musst, ist halt abhängig vom Anbieter.

Somit wäre ein WLAN für das PC VLAN vielleicht doch sinnvoll....?
Kannst Du machen wie Du willst, eine SSID kann auch in ein "ganz normales" Netz führen (egal ob VLAN oder nicht).

Grundsätzlich gilt aber auch immer das KISS-Prinzip. Grundsätzlich ist nichts falsch daran, sich vorher ausgiebig Gedanken dazu zu machen, die Praxis ist dann meist noch immer ein "anderer" Punkt. Vielleicht fängst Du auch erstmal "klein" an, siehst erstmal zu, dass Du den IoT-Kram in ein anderes Netz verfrachtest und ggf. für die Kinder noch das zusätzliche Netz anlegst.

und schaffst es mit nur 3 WLANs.... 🤔
Das ist relativ einfach erklärt: Durch das Routing brauchst Du nicht für jedes Netz eine eigene SSID. Hast Du 4 SSIDs (Deins, Kinder, Gäste, IoT), würde es auch ausreichen, wenn Du den Zugriff aus "Deinem" WLAN entsprechend auf "notwendige" Dinge einschränkst.

Grundsätzlich ist die "große Kunst" bei der "gesamten" Geschichte eher die, dass man in der Lage sein muss, sich selbst einzuschränken (und das gelingt den wenigsten vernünftig). Einfaches Beispiel: "Die Kids sollen auch die Heizung steuern dürfen.". Was nun? Die einen sagen: Klar, Vollzugriff auf das IoT-Netz, da hängt ja irgendwo die Management-Instanz drin, da müssen die Kids ja ran. Genau so macht man es eben "nicht". Korrekter wäre es den Zugriff auf das "notwendige" System (Management) zuzulassen und das auch nur über den notwendigen Port (meist https, nicht ssh oder sonstwas). Alternativ hat man woanders, ggf. noch einen Reverse-Proxy laufen, aber für intern wäre das auch schon recht dicke. Fakt ist jedenfalls, dass man definitiv nicht mit SSIDs um sich schmeissen muss (nicht pro Netz eine eigene SSID). Ich persönlich habe hier auch nur 4 laufen.

Und für privat (und auch für kleinere Firmen) kommt on top sowieso immer noch die Kostenfrage (sollte man dabei vllt auch nicht vergessen) 😇
 

the other

Well-known member
Moinsen,
bei "PC" denke ich immer an einen auf dem/unter dem Schreibtisch stehenden PC, nicht an ein Notebook, dafür wäre WLAN idT ganz sinnig.
Mit den 4 SSIDs habe ich hier keine Probleme, schnell genug, stabil genug, sauber getrennt. Die Option aufs Monitoring zu verzichten für 4 weitere SSIDs benötige ich nicht und habe daher auch keine Erfahrung damit.
Bei dem Thema Kamera mit IoT im VLAN muss sicherlich geschaut werden: es gibt ja nu genug günstige Cams, die munter der ganzen Welt (oder eher einem großen Land in Fernost mit vielen Einwohner*Innen) alles möglich erzählen wollen...daher sind die 08/15 IP Cams imho definitiv IoT Kram, denn die sind nicht wirklich zu managen (keine GUI für settings), labern wild nach draußen und die Updates kommen auch eher mal so oder anders...also Schrott, husthust. ;)

Wenn du da natürlich etwas bessere Geräte dein Eigen nennen kannst, dann gilt wieder: wie du dein Netz segmentierst, ist am Ende deine Entscheidung. ;)
Es kommt eben wie immer...darauf an. Es bringt zB nix ein extra VLAN (mit eigenem WLAN) für den PC und die mobilen Clients anzulegen, wenn du danach alle Tore dazwischen aufmachst und der Verkehr munter von A nach B wandern darf, dann kannst du auch gleich alles in ein Segment packen.
 

the other

Well-known member
Moinsen,
ich nehme an deinem Thema echt Anteil, weil es mich damals auch ewig umgetrieben hat...bilde mir also ein zu ahnen, wie verwirrend das am Anfang ist.
Mein Tipp:
Zettel nehmen, Stift nehmen > Auflisten wer und was alles in deinem Netz rumkreucht und fleucht. Dann mal streng überlegen: wer greift warum wie oft auf was zu? Daraufhin dann Gruppen bilden...
(wie @blurrrr ja sagt, zunächst die üblichen Verdächtigen: IoT, Gäste, Kids).

Dann mal weiter überlegen...PC auf Smartphone/tablet nötig? Wer muss alles aufs NAS? Wer muss auf IoT?
Nach und nach bildest du so wie ein*e Bildhauer*in immer mehr Schmuckwerk ab, es bleibt die eigentliche Struktur nach deiner Vorstellung.

Oder anders gesagt: das Vorüberlegen, wieviele und welche und für wen VLANs es braucht hat bei mir ca. 20 x länger gedauert, als die eigentliche Einrichtung...nur um es danach dann doch noch 3 mal neu anzufassen und fein zu justieren.

:)
Also, erstmal Tee kochen, ruhig bleiben (gemeint ist damit nicht hier keine Fragen zu stellen , sondern nicht wild loskonfigurieren) und ne Liste machen...(hilft bei vielen Dingen im Leben)...
;)
 

blurrrr

Well-known member
Jop, den Rat mit Zettel und Papier anzufangen gebe ich auch oft und gern (alternativ halt mit irgendeiner entsprechenden Software) (y) Wie heisst es doch immer so schön: Planung ist das A und O (und dafür geht i.d.R. auch die meiste Zeit drauf) ☺️
 

Barungar

Well-known member
ättest du vielleicht eine etwas detailliertere Darstellung deiner Topologie, inkl. VLANs und WLANs und Clients...? Würde mich interessieren wie das bei dir aussieht und welche Clients (Kategorien) du zusammen führst in den jeweiligen VLANs und WLANs.

Ganz so konkret möchte ich nicht werden. Aber ein paar Details kann ich noch liefern...

Die Topologie hatte ich aber schon mal erwähnt, in der angehangenen Skizze und im Text. Es sind im Prinzip drei Ringe. (siehe Post #2)

Die drei SSIDs sind privates WLAN, Gast-WLAN und WLAN für IoT-Geräte. In den VLANs trenne ich die WLANs und z.B. Drucker, Server, Storage, Gäste, Entertainment, IoT (Automation), Clients und Netzwerkmanagement. Gut, eine kleine Einschränkung... das Gast-Netz und das IoT-Netz sind sowohl kabelgebunden als auch im WLAN die gleiche VLAN-ID.

Aktuell habe ich in meinem privaten Netz knapp über 90 aktive Geräte, die selbst IP-fähig sind. Da kommen dann noch dutzende IoT-Sensoren/Aktoren hinzu, die selbst nur Zigbee machen und über "Bridges" bzw. "Hub" in die IP-Welt integriert werden.

Ich betreibe meinen eigenen DNS-Server-Cluster (3 Knoten Cluster). Meine zentrale Firewall (eine OPNsense-Hardware) ist ein 2 Knoten Cluster. Dazu kommen noch diverse andere "Serverchen" (zeitweise auch mal z.B. Game-Server).

Meine WAN-Anbindung ist 1.100/110 MBit/s (down/up) inkl. fester IPv4- und IPv6-Adressen mit einem zusätzlichen Fallback auf LTE. Mein Netz hat eine offizielle registrierte Domain. Somit kann ich grundsätzlich jedem Device (wenn ich will) eine saubere, echte IPv6 und einen ordentlichen Hostnamen geben. Bei IPv4 habe ich natürlich leider weniger IPs als Geräte, so dass ich hier um NAT nicht herumkomme.

Die wichtigsten Systeme (Router, Switche, Server und NAS) verteilen sich mittlerweile auf drei unabhängige USVen.

Also ein ganz normales, kleines Privat-Netzwerk. :cool:

Was mir noch fehlt, wo ich aber schon mal darüber nachdenke ist eine Netzwerkersatzanlage und eine aktive Klimatisierung.
 
Zuletzt bearbeitet:

east-side

New member
Nochmals vielen Dank für die vielen und schnellen Infos 👍

Mal eine Verständnisfrage...., bevor ich mich da noch mehr verirre🙈
Ist es möglich z.B. ein einziges und gemeinsames WLAN Netzwerk in einem separaten VLAN zu realisieren und diesen dann per Trunkverbindung mit allen anderen VLANs (die WLAN benötigen) zu verbinden (tagged) und dann alle Kommunikationswege über die Firewall zu regeln?
Also kurz gesagt, kann man eine Trunk Verbindung zu einem WLAN herstellen und so mehrere VLANs auf ein einziges WLAN aufschalten?

Danke
 

blurrrr

Well-known member
Es gibt kein "einziges" WLAN, aber das ist vllt auch etwas unglücklich ausgedrückt...

Versuchen wir es mal mit einer anderen Analogie: Ein Haus (Dein gesamtes Netzwerk) mit mehreren Zimmern (einzelne Netze/VLANs), gemeinsamer Schnittpunkt ist der Flur (Firewall).

Natürlich kannst Du hingehen und ein VLAN (eigenes Netz) rein für eine WLAN-SSID erstellen, alternativ natürlich auch Clients einer SSID direkt in einem mehrfach genutzten VLAN landen lassen. Wie Du es schlussendlich gestaltest, bleibt ganz Dir überlassen. Da die Firewall der zentrale Dreh- und Angelpunkt ist, kannst Du darüber auch bestimmen, welche Netze bzw. welche Teilnehmer aus welchen Netzen auf was auch immer für Wegen in andere Netze dürfen

Als grober Umriss mal sowas hier:

IoT-Netz -> egal was -> verbieten
LAN (bzw. konkreter Dein PC) -> IoT-Netz -> erlauben
WLAN -> IoT-Netz -> z.B. HomeAssistant (443/TCP, also für den Webzugriff auf die Smarthome-Steuerung) erlauben (Rest ist verboten)

Was das Trunking angeht, so gilt es immer die "gesamte Strecke" zu betrachten. Du kannst durchaus mehrere Switche auf der Strecke haben, nur müssen die beteiligten Ports der Geräte die VLANs auch "kennen".

Also kurz gesagt, kann man eine Trunk Verbindung zu einem WLAN herstellen und so mehrere VLANs auf ein einziges WLAN aufschalten?

Wenn der Accesspoint es mitmacht, ja, so habe ich es hier auch laufen - pro SSID ein eigenes VLAN. Klappt das "garnicht" (AP unterstützt kein VLAN), kann man noch immer den Weg gehen und den Switchport (an welchem der AP hängt) auf "untagged" setzen, somit wandern alle untagged-Pakete ins entsprechende VLAN. Mehrere VLANs über "eine" SSID hingegen klappt eher nicht.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
968
Beiträge
14.034
Mitglieder
499
Neuestes Mitglied
John58
Oben