Empfehlung für Netzwerksegmentierung und HW Auswahl

@blurrrr
ja vielleicht habe ich mich da etwas ungeschickt ausgedrückt....
Was ich meinte, war effektiv alles mit nur einem WLAN und nur einer SSID abzudecken, sprich ein separates VLAN mit dem AP (oder mehrere) und nur einer SSID und dass die Kommunikation dann wie folgt über TRUNK verläuft (inkl. Firewall Regeln):
Client1 (VLAN-B) ----> AP --trunk--> Switch --trunk--> Router --trunk--> Switch --trunk-->AP ----> Client2 (VLAN F)
Also dass alle Clients aus allen VLANs jeden anderen Client aus irgendeinem VLAN erreichen kann (über TRUNK mit Firewall Regeln).
Das scheint so dann nicht möglich zu sein, wenn ich das richtig verstanden habe?
Danke
 
Moinsen,
wenn du sagst
east-side schrieb:
dass alle Clients aus allen VLANs jeden anderen Client aus irgendeinem VLAN erreichen kann
Zum Vergrößern anklicken....
dann benötigst du keine VLANs, denn dann macht ja eh alles was es will...oder verstehe ich dich falsch?

Was du machen kannst: ein VLAN nur für alles was mobil ist (smartphone, tablet, Notebook). Dann kannst du entweder Regeln für das ganze "mobile" VLAN festlegen mit der Firewall oder noch spezieller eben nur für client TABLET aus VLAN mobil auf VLAN NAS und zwar nur Port xyz (keine Ahnung http, https, smb...).
 
east-side schrieb:
Also dass alle Clients aus allen VLANs jeden anderen Client aus irgendeinem VLAN erreichen kann
Zum Vergrößern anklicken....
Wenn sowieso alle alles dürfen, warum dann überhaupt noch segmentieren (mal abgesehen von den Broadcast-Domänen, aber das soll hier jetzt erstmal keine Rolle spielen)?

Du kannst natürlich auch folgendes machen (das kommt Dir evtl. etwas entgegen)...:

Eine SSID, ein VLAN/Netz für die WLAN-Clients. DHCP-Server vergibt "spezifischen MAC-Adressen" immer wieder die gleichen IPs, z.B. für Deinen Laptop die x.x.x.150. Bei den Firewall-Regeln kannst Du dann auch Geräte/IP-spezifische Regeln erstellen. Ist zwar nicht "hübsch" und auch nicht sonderlich "sicher" (ein anderes Gerät könnte sich ja manuell die gleiche IP geben), aber: würde so erstmal funktionieren.

Das ist auch das was hier schon mehr oder minder die ganze Zeit gesagt wurde: Fang erstmal "sachte" an. Nicht direkt zig Netze und zig SSIDs und alles und überhaupt und sowieso, das erhöht nur die Chance, dass man die Übersicht verliert (und das ziemlich schnell, grade wenn man mit diesen Themen anfängt).

Kannst auch gern die Analogie mit dem Haus/Zimmern dabei berücksichtigen, denn ein Regelkonzept muss so oder so ausgearbeitet werden. Ist halt immer die Frage, ob Du Dinge auf einzelne Clients münzen willst (was man eigentlich Client-seitig eher nicht macht), oder direkt mit ganzen Netzen arbeitest (aka "alle aus Raum A dürfen in Raum B", oder eben "Person X aus Raum A darf in Raum B"). Muss man halt mal schauen... Denke am einfachsten wäre erstmal eine SSID (ggf. einfach als untagged in ein VLAN), dazu das bisherige normale Netz und dazu dann nochmal eins für die Kinder oder so. Erstmal zum "gucken und testen"... wobei... dann vllt besser die Kinder noch nicht umstellen, wenn da mal das Internet nicht geht, gibt es direkt Stress mit den Kids 🤪😁
 
blurrrr schrieb:
Das ist auch das was hier schon mehr oder minder die ganze Zeit gesagt wurde: Fang erstmal "sachte" an. Nicht direkt zig Netze und zig SSIDs und alles und überhaupt und sowieso, das erhöht nur die Chance, dass man die Übersicht verliert (und das ziemlich schnell, grade wenn man mit diesen Themen anfängt).
Zum Vergrößern anklicken....
Das kann ich so unterschreiben.

Ich hab damals auch gleich in die Vollen gegriffen, nachdem ich endlich verstanden hatte, wie das mit dem VLAN überhaupt funktioniert. @blurrrr und @the other bluten bestimmt heute noch die Ohren von meinem rumgeheule 🤣

Bis vor kurzem hatte ich auch noch ein extra Management VLAN, ein VLAN für mich, eins für meine Frau, eins für meinen Sohn, dann noch ein VLAN für IoT, ein Gäste VLAN, ein VLAN zum spielen und nicht zu vergessen eine DMZ. Nachdem ich dann einige unterschiedliche Switche und APs soweit hatte, das sämtliche VLANs taten was sie sollten, wurde es schon schwierig, den Überblick zu behalten. Auch das Ruleset wurde mit der Zeit immer komplexer.

Seit meiner Umstellung habe ich nur noch eine Hand voll Rules, weniger Geräte und eine wesentlich einfachere Struktur als vorher. Weniger ist halt manchmal mehr und für unseren kleinen Privathaushalt ist das mehr als ausreichend. Meine Meinung

Tommes
 
the other schrieb:
wenn du sagst.....
dann benötigst du keine VLANs, denn dann macht ja eh alles was es will...oder verstehe ich dich falsch?
Zum Vergrößern anklicken....
blurrrr schrieb:
Wenn sowieso alle alles dürfen, warum dann überhaupt noch segmentieren (mal abgesehen von den Broadcast-Domänen, aber das soll hier jetzt erstmal keine Rolle spielen)?
Zum Vergrößern anklicken....
😬 ich muss dann wirklich mal an meiner Ausdrucksweise arbeiten.
Da habt ihr natürlich Recht, dass es keinen Sinn machen würde wenn sowieso jeder alles darf.
Deswegen schrieb ich:
east-side schrieb:
und dass die Kommunikation dann wie folgt über TRUNK verläuft (inkl. Firewall Regeln)
Zum Vergrößern anklicken....
Meinte damit dass es "theoretisch" möglich sein sollte, dass "jeder alles kann", dies dann aber natürlich über Firewall Regeln gesteuert wird. Es ging also erst mal um die rein theoretische Frage ob das so überhaupt möglich wäre, um zu wissen welche Optionen sich daraus eventuell ergeben könnten.
Ich habe die Message verstanden, mal sachte an die Sache ran zugehen und nicht gleich alles perfekt durchorganisieren zu wollen 😊Da habt ihr schon Recht damit. Ich finde es aber gut/wichtig die Optionen mal zu kennen, genau so wie die "no-go´s" und "nops".
Damit kann ich dann etwas strukturierter an die Sache rangehen.

blurrrr schrieb:
Eine SSID, ein VLAN/Netz für die WLAN-Clients. DHCP-Server vergibt "spezifischen MAC-Adressen" immer wieder die gleichen IPs, z.B. für Deinen Laptop die x.x.x.150. Bei den Firewall-Regeln kannst Du dann auch Geräte/IP-spezifische Regeln erstellen. Ist zwar nicht "hübsch" und auch nicht sonderlich "sicher" (ein anderes Gerät könnte sich ja manuell die gleiche IP geben), aber: würde so erstmal funktionieren.
Zum Vergrößern anklicken....
Ja das wäre etwas Aufwand und nicht besonders "chic" es so per Client zu regeln.

blurrrr schrieb:
Kannst auch gern die Analogie mit dem Haus/Zimmern dabei berücksichtigen, denn ein Regelkonzept muss so oder so ausgearbeitet werden. Ist halt immer die Frage, ob Du Dinge auf einzelne Clients münzen willst (was man eigentlich Client-seitig eher nicht macht), oder direkt mit ganzen Netzen arbeitest (aka "alle aus Raum A dürfen in Raum B", oder eben "Person X aus Raum A darf in Raum B"). Muss man halt mal schauen... Denke am einfachsten wäre erstmal eine SSID (ggf. einfach als untagged in ein VLAN), dazu das bisherige normale Netz und dazu dann nochmal eins für die Kinder oder so. Erstmal zum "gucken und testen"... wobei... dann vllt besser die Kinder noch nicht umstellen, wenn da mal das Internet nicht geht, gibt es direkt Stress mit den Kids 🤪😁
Zum Vergrößern anklicken....
Ja, wenn ich mal in der theorie weiss wo die Fahrt hingeht, werde ich sicher erst mal mit einem Testaufbau starten und "üben".
Jetzt bin ich aber noch in der Phae der Theorie Aneignung 😁
An sich habe ich das Konstrukt im Kopf bereits recht weit zusammen geschustert, bis eben auf das Thema WLAN.
Da mag ich vielleicht auf dem Schlauch stehen oder zu kompliziert zu denken.
Ihr mögt jetzt vielleicht schmunzeln, aber den zündenden Funken habe ich da immer noch nicht😭, wenn es darum geht eine flexible WLAN Kommunikation zu ermöglichen, zwischen allen VLANs. Natürlich über Firewall geregelt welches VLAN in welches VLAN darf usw..., evtl. mit einer Mischung aus VLAN basierten und Client basierten Regeln. Und das ganze mit so wenig SSIDs wie möglich/nötig.

Hätte eher erwartet dass ich beim Thema VLAN, Tagging, Trunk usw ins trudeln geraten könnte, aber nicht beim Thema WLAN. Diesen Punkt hatte ich irgendwie unterschätzt.

Thx
 
east-side schrieb:
Meinte damit dass es "theoretisch" möglich sein sollte, dass "jeder alles kann", dies dann aber natürlich über Firewall Regeln gesteuert wird
Zum Vergrößern anklicken....
Das ist dann sowieso so, denn die Firewall kennt alle Netze und ist für das Routing zuständig. Das Routing sorgt dafür, dass die Pakete auch dort ankommen, wo sie hin sollen. Konkret bedeutet das, dass die Firewall die entsprechenden Netze (und/oder Wege dorthin) kennen muss. Kennt sie die Wege nicht (und das gilt für alle), werden die Pakete ans "Standard-Gateway" geschickt (in der Hoffnung, dass irgendwer dahinter schon wissen wird, wohin die Pakete müssen).

Das kannst Du bei Dir auch relativ einfach selbst nachstellen, dazu bedarf es nur einem "tracert google.de" in der Windows-Eingabeaufforderung (oder "traceroute google" unter OSX/Linux). Zuerst wird der Name in eine IP aufgelöst, dann wird geschaut: Kennt der Client das Netz? Nein? Dann geht es direkt weiter zum Standard-Gateway. Für Deine Clients wäre das dann (später) die Firewall. Client kennt es nicht, also ab zur Firewall damit. Kennt die das Netz? Ja? Dann wird das Paket auf der entsprechenden Schnittstelle (ggf. eben VLAN) weitergeleitet. Kennt die Firewall das Netz nicht, geht es weiter zum Standard-Gateway der Firewall (z.B. Router). Kennt dieser das Netz ebenfalls nicht, verlässt das Paket das "lokale" Netz und der Router schickt das Paket an sein Standardgateway (vom Provider zugewiesen). Von dort aus geht es dann immer weiter, bis das Paket irgendwann an der richtigen Stelle ankommt.

east-side schrieb:
Ja das wäre etwas Aufwand und nicht besonders "chic" es so per Client zu regeln.
Zum Vergrößern anklicken....
Schön ist in der Tat "anders", aber wenn es z.B. um einen einzigen Client geht (Deinen Laptop z.B.) wäre das ggf. noch machbar. Wir bewegen uns hier ja nicht im Enterprise-Segment 😉

east-side schrieb:
Ja, wenn ich mal in der theorie weiss wo die Fahrt hingeht, werde ich sicher erst mal mit einem Testaufbau starten und "üben".
Zum Vergrößern anklicken....
Genau so ist es richtig, alles andere würde auch mehr Frust als Lust bedeuten (y)

east-side schrieb:
An sich habe ich das Konstrukt im Kopf bereits recht weit zusammen geschustert, bis eben auf das Thema WLAN.
Zum Vergrößern anklicken....
Tu Dir mal selbst einen Gefallen: Streich das Thema WLAN erstmal. Erstmal nur in eigenständigen "Netzen" denken. Ob es später dann "eine" SSID gibt, welche in ein vorhandenes Netz bridged, oder ggf. ein eigenes Netz bekommt, ist erstmal egal. Wenn Du dann irgendwann richtig im Thema bist, kannst Du jederzeit völlig problemlos Dein Setup um mehrere SSIDs/VLANs erweitern, aber wie es schon mehrfach oben geschrieben wurde - erstmal Ball flach halten. Es ist bei vielen auch nicht unüblich erstmal etliche Netze anzulegen, einen tierischen Aufwand zu betreiben, die Übersicht zu verlieren und dann wieder alles zurückzubauen 😄 Als Analogie dazu - ja, das hört sich jetzt recht albern an - aber Du gehst auch nicht hin und baust ein Haus mit einzelnen Räumen für Waschbecken, Badewanne, Sofa, Stuhl, Kopfkissen, etc. Bei den meisten ist es einfach "thematisch" geordnet. Privat, Gäste, IoT, ggf. noch was für die Kinder. Du darfst auch nie vergessen, "woher" Du kommst (ein Netz, alles drin). Wie "perfekt" Du das für Dich umsetzen willst, bleibt sowieso Dir überlassen, aber wichtig ist, dass "Du" für "Dich" planst (egal was andere sagen und wie es andere für sich gestaltet haben). Schlussendlich musst Du die ganze Nummer verwalten und damit klar kommen.

Also für die Planung: Lass das Wort "WLAN" (oder auch SSID) einfach erstmal "weg". Mach Dir erstmal Gedanken dazu, welche Netze Du wirklich "brauchst" (an einem nice-to-have kann man später noch immer arbeiten) und setz das erstmal um. WLAN kannst Du auch erstmal nur ein Netz machen, wo alle WLAN-Clients drin landen..... oder eben halt schon 2... Einmal IoT und einmal die "normalen" Clients (Laptop, Tablet, Handy). Einfach mit Ruhe und Bedacht und dann wird das schon alles und falls es doch mal klemmt, einfach hier fragen ☺️
 
Moinsen,
Kein Ding, das wird schon...nur nicht in Hektik verfallen.
Mach dir bzgl deiner wlan Kopfschmerzen doch mal ne Liste. Was soll wlan nutzen?

  • Smartphones
  • Tablets
  • Notebook
  • Gäste
  • IoTGeräte wie zb Musikbox a la sonos, wlan Steckdosen, Thermostate usw
  • ...
Dann unterteilen zb nach Anwendern
1. Gäste
2. IoTGeräte
3. Kinder
4. Erwachsene (du und deine Frau/dein Mann)

Dann hast du deine im Beispiel 4 SSIDs...
Und damit vielleicht auch schon deine ersten vier VLANs.

Was soll ans Kabel LAN?
...
Damit kannst du rumspielen, neu clustern, und dann entscheiden.
Mir zumindest hat das geholfen damals....
:)
 
Ich bin immer wieder erstaunt welche Setups manche User so haben. Ich finde es interessant. Ich hab hier nur 2 WLANS welche in ein vLAN getagged sind sowie drei "normale" vLANS. Das "wer darf wohin" wird über Sophos geregelt. Natürlich könnte man hier und da noch optimieren, konfigurieren und basteln, aber mir reicht es. Das Setup läuft ordentlich und artet nicht in Arbeit aus. Wobei mir hier der User @blurrrr echt viel und mit Engelsgeduld geholfen hat. Ohne die Unterstützung würden vermutlich heute noch alle Geräte im typischen 192.168.x.x rumgeistern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 114 (Mitglieder: 6, Gäste: 108)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.520
Beiträge
46.351
Mitglieder
4.150
Neuestes Mitglied
Babsy

Teilen

Zurück
Oben