Firewall und vLANs (Sinn)

tricion1

New member
Hallo Leute,

ich habe bisher eine Fritz!Box welche auch das WLAN zur Verfügung stellt.
Im Netz der Fritz!Box 192.168.178.0 sind 1 Rechner, 1 Tablet, 1 Handy, Drucker und der Medienplayer.
Nun lese ich immer von irgendwelchen vLANs. Trotz ausgiebig googlen finde ich keine für mich brauchbare Erklärung darüber.
Ich lese auch von Segmentierung der Netze. Und ich lese von einer Firewall welche angeblich das Routing macht.
Daher auch dieser Thread. Kann mir das bitte jemand leicht verständlich erklären was es mit den ganzen Fachbegriffen auf sich hat.
Und welche Firewall soll man denn nehmen? OPNsense oder pfSense? Gibts noch andere? Und warum nicht die Firewall die in Windows "eingebaut ist?

Viele Grüße tricion1
 

EOL15

Member
Willst du es nur verstehen oder auch umsetzen? Den bei…
1 Rechner, 1 Tablet, 1 Handy, Drucker und der Medienplayer
… macht eine Segmentierung und damit der Aufbau von VLANs sowie den Betrieb einer eigenständigen Firewall nicht wirklich Sinn. Somit wäre deine Frage laut Thread Überschrift schon mal beantwortet.

Vergleichen kann man das in groben Zügen vielleicht wohl ganz gut mit einem Hotel.
Ein Hotel ist in mehrere private, allgemein zugängliche und nicht zugängliche Bereiche unterteilt, also segmentiert. Über das VLAN erhalten diese Bereiche eine Struktur, also eine gewisse Raumgröße sowie eine Bezeichnung wie z.B. Verwaltung, Hotelzimmer, Suiten, Küche, Tiefgarage, Speisesaal etc. Der Empfang kennt all diese Räumlichkeiten und weiß, wo sich diese befinden, verfügt über eine Gästeliste sowie deren Zimmernummer und weiß, ob ein Gast ein- oder ausgecheckt hat, ob er sich grade im Hotel befindet oder außer Haus ist. Der Empfang übernimmt somit das Routing - kann also Auskunft über die interne Struktur, der Gäste sowie dem Personal des Hotels geben. Die Firewall (OPNsense oder pfSense), also das Wachpersonal, regelt dagegen den Zugang zum Hotel (erstmal darf keiner rein, aber alle dürfen raus) und passt auf, das Gäste nur öffentlich zugängliche Bereiche betreten und nicht jemand der Gäste durch die Küche rennt, oder sich Zugang zum Verwaltungsbereich verschafft. Natürlich gibt es immer Ausnahmen, so dürfen z.B. Kinder in das Spielparadies, Erwachsene dafür in die Hotelbar, aber nicht umgekehrt. Ebenso darf nur berechtigtes und vertrauenswürdiges Personal ein grade belegtes Hotelzimmer betreten, alle anderen nicht.

So, oder so ungefähr lässt sich das beschreibe, wobei das hier sicherlich noch ausbaufähig ist und nicht jeder so unterschreiben würde. Aber für den Anfang sollte es erstmal als Erklärung reichen.
 

tiermutter

Well-known member
Moin,
Nun lese ich immer von irgendwelchen vLANs. Trotz ausgiebig googlen finde ich keine für mich brauchbare Erklärung darüber.
Ein VLAN ist ein virtuelles Netzwerk. Virtuell, weil keine zusätzliche Verkabelung erforderlich ist, sondern ein VLAN "nur eingestellt" wird. So kann ein Gerät im LAN und vielen weiteren Netzwerken unterwegs sein. Ich verwende VLANs zB für das Gäste WLAN: Mein WLAN Access Point befindet sich im LAN, damit ich im LAN unterwegs bin, für Gäste befindet er sich auch in einem VLAN, damit sich diese nur in dem VLAN bewegen können. So kann ich den Zugriff auf mein LAN für Gäste beschränken bzw. sperren.
Und ich lese von einer Firewall welche angeblich das Routing macht.
In den meisten Haushalten sind Router und Firewall in einem Gerät vereint... jede FritzBox, jeder Speedport, ... alle machen genau das, das ist durchaus üblich.
Wie (grad zwischenzeitlich schon von @huwawa beschrieben) sorgt das Routing dafür, dass entsprechende Anfragen an die richtigen Adressen versendet werden. Jedes Netzwerkgerät macht eigentlich Routing: Willst Du auf ein internes Gerät zugreifen, weiß der PC, dass er die Anfrage direkt ins LAN schicken kann. Willst Du auf das Internet zugreifen, weiß der PC, dass er sich an den Router wenden muss, da dieser weitere Informationen hat, also weiß, wohin er die Anfrage schicken soll (Blöd gesagt, weil der Router weiß wo das Internet ist).
Und welche Firewall soll man denn nehmen? OPNsense oder pfSense? Gibts noch andere?
Das ist Geschmacksache. Ich bin Freund von OPNsense, pfSense kann ich aus diversen Gründen nicht leiden, das hat aber nichts mit der Technik zu tun, mir gefällt schlichtweg die Art und Weise dieses Unternehmens nicht. Sicherlich gibt es noch eine Vielzahl weiterer Firewalls (bzw. an Firewall Software), viele sind allerdings auch kostenpflichtig.
Und warum nicht die Firewall die in Windows "eingebaut ist?
Das ist nur eine Endgerätefirewall, nicht aber eine Firewall, die das Tor zum Internet darstellt. Dafür ist diese (und Windows selbst) nicht ausgelegt. Solch eine Endgerätefirewall regelt nur über das, was die "Internet-Firewall" bereits ins Netzwerk gelassen hat. So kann man damit zB festlegen, dass ein weiterer PC aus dem LAN Zugriff hat, ein anderer PC im LAN aber nicht. Auch kann so eine Endgerätefirewall regeln, welche Programme Zugriff auf das Internet haben und welche nicht.
 

tricion1

New member
Danke für eure Erklärungen.
Das klingt ja wieder sehr verwirrend alles.
Dachte das ist alles so "eben mal" umgesetzt. Zumindest so in den Berichten welche ich zu Hilfe ziehe.
Dort wird auch überwiegend von Sicherheitsaspekten oder "Verkleinerung der Broadcast-Domäne" geschrieben.
Keine Ahnung was das alles soll, aber es hört sich unheimlich wichtig an. ⁉️ :cool:

Viele Grüße tricion1
 

tiermutter

Well-known member
Dachte das ist alles so "eben mal" umgesetzt.
Was hast Du denn vor, bzw. erhoffst Du Dir?
Dort wird auch überwiegend von Sicherheitsaspekten oder "Verkleinerung der Broadcast-Domäne" geschrieben.
Sicherheit ist ein wesentlicher Aspekt eines VLAN, schließlich sorgt man durch die getrennten Netze, zB LAN und VLAN, dafür, dass zB Gäste aus ihrem VLAN nicht auf Daten oder andere Geräte zugreifen können.
Verkleinerung der Boradcast Domain ist sicherlich ein Thema für große Netze, daheim mit meinen ca 30 Geräten schert mich das nicht. Ein Broadcast ist Datenverkehr der ständig durch das gesamte Netz geht und diverse Dinge anfragt bzw. sucht. Das belastet das Netz natürlich. Je mehr Geräte, desto mehr Last. Bei großen Netzen macht es also Sinn, die Netze aufzuteilen, sodass die Broadcasts nicht alle Geräte erreichen.
 

blurrrr

Well-known member
schließlich sorgt man durch die getrennten Netze, zB LAN und VLAN, dafür, dass zB Gäste aus ihrem VLAN nicht auf Daten oder andere Geräte zugreifen können.
Verschiedene Netze an sich machen erstmal garnichts, erst die Konfiguration der entsprechenden Firewall-Regeln sorgt dafür. Sind Geräte in "einem" Netz, wird ein Router nicht angesprochen (da nicht zwischen Netzen vermittelt werden muss). Normalerweise übernehmen auch Firewalls eine entsprechende Routing-Funktion zwischen div. Netzen, so dass es dann möglich ist, entsprechende Regeln zwischen den Netzen auf der Firewall/Router zu etablieren.

Eine Broadcast-Domäne funktioniert nur bis zum nächsten Layer3-Gerät (Layer 3 = "IP", z.B. ein Router, als Gegenbeispiel Layer "MAC", z.B. ein Switch, vgl. OSI-Schichtenmodell). Dient auf der einen Seite sicherlich auch der Reduzierung der Broadcast-Menge im lokalen Netz (da plappert alles wild durcheinander), aber auf der anderen Seite (eben durch jenes Geplapper) sorgt man auch dafür, dass Dinge, welche z.B. nicht unbedingt was im normalen "LAN" zu suchen haben, dort erst garnicht auftauchen (als Beispiel seien hier z.B. mal IP-Telefone, oder IP-Cams genannt). Solche Geräte würden Gäste im LAN dann z.B. auch direkt sehen und ansprechen können.

Denke der wesentlichste Punkt bei der ganzen Geschichte ist erstmal, dass man mit "verschiedenen Netzen" denkt, wobei die Firewall dann die zentrale Vermittlungsstelle ist (und auch direkt die Regeln bestimmt, was wohin darf (oder auch nicht)). Sehr vereinfacht kann man sich das ungefähr so vorstellen:

1629650940023.png

Will man jetzt - egal von welchem Netz - in ein anderes Netz, "muss" der Verkehr über die Firewall laufen und somit hat man dort auch die entsprechenden Steuerungsmöglichkeiten. Rein netzintern ist man steuerungstechnisch auf die Firewalls auf den Geräten selbst beschränkt.
 
Zuletzt bearbeitet:

tricion1

New member
Danke nochmal für die Erklärungen. Die Texte von @tiermutter verstehe ich als Laie halbwegs.
Die von @blurrrr hingegen sind mir zu sehr technisch. Das ich nebenbei noch Wörter und deren Bedeutung "googlen" muß (Layer2, MAC) macht es nicht leichter.
Aber das Bild habe ich zumindest verstanden.
 

the other

Well-known member
Moinsen,
Denk dir einen großen Schrank. Das ist dein Netzwerk.
Im Schrank bewahrt du Lego ( deine Geräte im Netzwerk) auf. Lego Star wars (PCs), Lego Harry potter (NAS) , Lego ninjago (Handy, tablet) und Lego Ritter Sets (IoTGeräte).
Ohne vlans liegt alles durcheinander. Mit vlans sind die Sets geordnet nebeneinander.
Du als firewall und router hältst die Ordnung untereinander aufrecht. Und du bestimmst ob Lego Star wars mit Lego Harry Potter zusammen spielen darf. Aber auch dass Lego Ritter nicht mit den anderen spielen darf...
;)
Und du bestimmst auch, wer an den Schrank ran darf...
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
969
Beiträge
14.043
Mitglieder
500
Neuestes Mitglied
McKay1408
Oben