Heimnetzwerk Subnetting 10.0.0.0 /16 für ca. 5 Subnetze sinnvoll?

[Stephan_]

Moin,

ich frage mich gerade ob es sinnvoll ist mein Netzwerk ein wenig zu strukturieren, da es immer voller wird und ich bei Home Assistent einsteigen möchte. Außerdem muss ich den aktuellen Router sowieso ausgetauschten, da er keinen Support mehr bekommt...
Aktuell habe ich eine FritzBox 5490 (Fiber) als Router, dahinter eine 7590 (DSL, war der Router bis der Glasfaseranschluss kam) zwei 3000 Fritz-Repeater (alles in einem Mesh) und zwei unmanaged Switche. Die FrizuBox 5490 wird gegen eine UniFi Dream Machine getauscht und im Zuge dessen stelle ich mir die Frage, ob ich dann gleich unterschiedliche Subnetze einrichte.

Der Router (5490) verwendet die 192.168.178.1 /24 und die komplette Hardware hängt derzeit im selben Subnetz.

Jetzt habe ich mir überlegt beim "neuen" Netz auf 10.0.0.0 /16 zu wechseln und mehrere Subnetze zu verwenden.

1. Subnetz für Netzwerkgeräte (Router, Switch, AP, ...) 10.0.0.0 /16
2. Subnetz für Rechner (Desktop, Laptop, Drucker, ...) 10.10.0.0 /16
3. Subnetz für alles was Home Assistent betrifft 10.20.0.0 /16
4. Subnetz für Gast WLan 10.30.0.0 /16
5. Subnetz für Unterhaltung (TV, Sat-Receiver, ...) 10.40.0.0 /16
6. Was noch so kommt...

Fragen über Fragen...
Laut dem was ich bisher dazu "ergoogelt" habe, habe ich es so verstanden, dass sich die Hardware aus den einzelnen Subnetzen bei einer entsprechenden /16er-Subnetzmaske erstmal nicht "sehen" kann. Wenn ich auf einzelnen Geräten die Subnetzmaske erweitere können diese über das eigene Subnetz "hinausschauen"?
Was mir noch völlig unklar ist, ob etwas dagegen spricht, das 10.0.0.0er-Netz zu verwenden und dabei die ganze Subnetze (10.1.x.x | 10.2.x.x| ... ) nicht zu verwenden. Ist das den Switchen völlig egal oder gibt es Gründe z.B. lieber ein Klasse B Netz (172.16.0.0) zu verwenden?
Und macht das überhaut Sinn oder kann ich die Trennung der Hardware auch über VLans oder die Firewall besser umsetzen?

Vielen Dank an alle, die bis hier her gelesen haben, ich höffe ihr könnt meinen Horizont noch erweitern.
Gruß Stephan

 

[blurrrr]

Moin,

1) dafür brauchst Du kein 10.0.0.0/8, das kannst Du auch locker mit einem 192.168.0.0/16 machen (192.168.1.0/24 bis 192.168.255.0/24).
2) Du meinst die Broadcast-Domain. Vergleich es einfach mit Räumen in einem Haus, über den Router (Flur) kannst Du auch andere Räume erreichen.
3) Switchen ist sowas völlig egal, nur stell Dir selbst die Frage, wie sinnvoll sowas ist. Faktisch gehst Du mit 10.X.y.y. halt hin und legst einen einzelnen Nagelkopf in eine eigens dafür vorgesehene Werkshalle (wenn man das mal so formulieren darf), ist also "völlig" oversized.
4) was das hier angeht...

Trennung der Hardware auch über VLans oder die Firewall besser umsetzen?

->

Die FrizuBox 5490 wird gegen eine UniFi Dream Machine getauscht und im Zuge dessen stelle ich mir die Frage, ob ich dann gleich unterschiedliche Subnetze einrichte.

So wie ich Dich verstanden hatte, sollte das ja sowieso über die UDM gehen, oder nicht?

Und nochmal zum Verständnis: https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Die CIDR-Notation ("/x") gibt dort den "maximalen" Bereich an. Am Beispiel von 192.168.0.0/16 bedeutet dies konkret, dass Dir in Summe - wenn man z.B. /24er Netze bildet - 256 Netze zur Verfügung stehen.

192.168.0.0/24 - 192.168.0.255/24
192.168.1.0/24 - 192.168.1.255/24
192.168.2.0/24 - 192.168.2.255/24
...
192.168.254.0/24 - 192.168.254.255/24
192.168.255.0/24 - 192.168.255.255/24

Im hintersten Oktett (y.y.y.X) hast Du also pro Netz immer 256 Adressen zur Verfügung (abzgl. Netz-ID ("0"), abzgl. Broadcast ("255") und abzgl. Gateway (i.d.R. "1") bleiben somit 253 benutzbare IP-Adressen (.2-.254)). Du könntest - je nach Geräteanzahl - die Netze auch einfach noch weiter verkleinern. So könnten aus einem 192.168.0.0/24 z.B. auch 192.168.0.0/25+192.168.0.128/25 werden. Schau Dir dazu vielleicht einfach mal das Thema "Subnetting" (und ggf. "VLSM") an.

Das - in meinen Augen - beste (oder verständlichste) Beispiel dafür ist die "Torte" (oder ein Kreis). Lässt sich hier nur grade schlecht abbilden, aber hier mal eine kleine Tabelle:

Netz-ID	CIDR	Adressen	Start	Ende
192.168.0.0	16	65536	192.168.0.0	192.168.255.255​
192.168.10.0	23	512	192.168.10.0	192.168.11.255
192.168.20.0	24	256	192.168.20.0	192.168.20.255
192.168.40.0	25	128	192.168.40.0	192.168.40.127
192.168.40.128	25	128	192.168.40.128	192.168.40.255

Pro Netz gilt aber nach wie vor, dass Netz-ID (erste Adresse) und Broadcast (letzte Adresse) abgezogen werden müssen. Dazu kommt dann halt noch die IP vom Gateway. Der Rest ist frei verfügbar.

Und okay... machen wir noch einen kurzen Abriss.... (nächster Post).

 

[blurrrr]

Also... Was hat es mit der CIDR-Schreibweise überhaupt auf sich? Das Ding "zähl" die Anzahl der Bits, welche zum Netzwerk-Anteil gehören (Gegenstück ist der Host-Anteil, also welcher Teil für Hosts zur Verfügung steht). In Summe geht es hierbei um die "Netzwerk-Maske" (hast Du schon gesehen, immer zugehörig zu IP-Adressen, z.B. in Form von "255.255.255.0"). Teilt man das ganze jetzt in "Bits" auf, ergibt sich folgendes Bild: "11111111.11111111.11111111.00000000", aufgeteilt 4 Oktette (<1>.<2>.<3>.<4>). Pro Bit in einem Oktett gibt es je nach Position entsprechende Wertigkeiten:

128	64	32	16	8	4	2	1

Da die Bits nur 0 oder 1 sein können, kann man den Wertigkeiten auch nur 0 oder 1 zuordnen. 1 wird gezählt, 0 nicht. Am Beispiel der grade aufgeführten Tabelle würde sowas z.B. so aussehen:

128	64	32	16	8	4	2	1
1	1	1	1	1	1	1	1

Zählt man das ganze jetzt zusammen, ergibt sich daraus die Zahl "255". Betrachtet man jetzt nochmal so eine Netzwerk-Maske in Binärschreibweise ("11111111.11111111.11111111.00000000") ist vermutlich auch klar, warum sie dann 255.255.255.0 lautet.

Zählt man nun einfach die "Bits" des Netzwerk-Anteils (die mit der "1"), kommt man auf 24, das entspricht dann der CIDR-Schreibweise.

"11111111.11111111.11111111.00000000" oder "255.255.255.0" oder "/24".... ist alles das gleiche.

So, wo das nun geklärt ist... Bedarfsermittlung... Wieviele Hosts pro Netz wirst Du vermutlich haben? Oder macht man es sich einfach und nutzt einfach nur ganz stumpf die typischen /24er? Kleinere Netze? Grössere Netze?

Der wesentliche Punkt dabei ist jetzt, dass Du durch "Verschiebung" ein Netz von seiner Größe entweder verdoppeln, oder halbieren kannst (etwas dazwischen gibt es nicht).

Als Beispiel "192.168.0.0/24":

"11111111.11111111.11111111.00000000" = /24 = 256 Adressen = 192.168.0.0-192.168.0.255
Wenn man jetzt hingeht und die Anzahl der Host-Bits um einen Schritt erhöht, verschiebt sich das ganze Gebilde:

"11111111.11111111.11111110.00000000" = /23 = 512 Adressen = 192.168.0.0-192.168.1.255
Da wir im 3. Oktet bei 0 starten, jedes Oktett aber maximal eine Wertigkeit von 256 haben kann (wir brauchen ja nun 2x 256, da wir den Host-Anteil verdoppelt haben) und wir im 4. Oktett nicht einfach bis 512 hochzählen können, brauchen wir also 2x 256. Dies erreicht man dann mittels "0.0-255"+"1.0-255", ergibt dann in Summe ein großes Netz von 192.168.0.0-192.168.1.255.

Andersrum geht es natürlich auch, indem wir den Netzwerk-Anteil erweitern:

"11111111.11111111.11111111.10000000" = /25 = 128 Adressen = 192.168.0.0-192.168.1.127
Wo wir zuvor ein /24er "verdoppelt" haben, wird wird hier also "halbiert". So kannst Du also ein vorgegebenes Netz beliebig aufteilen. Du kannst auch weiter halbieren, bis Du die minimal nutzbare Netzwerkgrösse erreicht hast, das wäre dann ein /30:

.0 Netz-ID
.1 Gateway
.2 Host
.3 Broadcast

Das äusserste Maximum wäre /32, das dient aber i.d.R. nur noch dazu explizit einen Host anzugeben (z.B. 192.168.0.100/32).

So, mit diesem Hintergrund "könntest" Du nun hingehen und einfach - von einem /24 ausgehend - mehrere kleinere Netze innerhalb des Bereichs angeben. Als Basis nehmen wir jetzt testhalber einfach mal "192.168.100.0/23", was dem Bereich 192.168.100.0-192.168.101.255 und somit 512 Adressen entspricht. Diesen Bereich könnte man nun wie folgt aufteilen:

192.168.100.0/23:
1) 192.168.100.0/25 (0-127) -> LAN
2) 192.168.100.128/26 (128-191) -> WLAN (Privat)
3) 192.168.192.0/26 (191-256) -> WLAN (Gäste)

Damit hätten wir jetzt initial erstmal 256 Adressen (/24) aufgeteilt in 128 Adressen (LAN) und 2x 64 (2x WLAN). Dies würde bei einem Kuchen jetzt die Hälfte entsprechen, aufgeteilt in 1 Viertel + 2 Achtel. Die andere Hälfte könnte man jetzt noch in Netze für IoT, usw. aufteilen.

Bevor Du jetzt aber auf so eine Schnapsidee kommst und Dir das Leben unnötig kompliziert machst... Lass es einfach, das bisher geschriebene sollte Dir nur ein wenig theoretischen Hintergrund vermitteln

Was ich damit sagen will: Vergiss "/16" einfach wieder, oder brauchst Du "pro Netz" 65536 IP-Adressen Also, ab in die Tonne mit dem Gedanken. Du hast ja grundsätzlich die Wahl bei den Adresse-Bereichen (s. Wikipedia-Link bzgl. der privaten Adressbereiche). Kannst halt auch hingehen und es Dir so aufteilen, dass es "für Dich" ggf. auch noch mehr Sinn macht. Du hattest z.B. angeführt:

10.1.0.0/16, 10.2.0.0/16... darüber müssen wir nun echt nicht mehr reden. Was Du aber machen könntest, wäre z.B. etwas in dieser Form:

10.1.0.0/24 + 10.1.1.0/24 + 10.1.3.0/24 usw.
+
10.2.0.0/24 + 10.2.1.0/24 + 10.2.2.0/24 usw.

Du könntest das 2. Oktett also als zusätzliche Differenzierung nutzen. Kann man machen, muss man aber nicht. Spielt schlussendlich sowieso alles keine Rolle, da Du sicherlich nicht wesentlich mehr als eine handvoll /24er brauchen wirst. Ich z.B. habe bei mir intern auch ganz normal Netze aus dem Bereich 192.168.0.0/16 laufen und dazu noch 2x Netze aus dem Bereich 172.16.0.0/12, die liegen aber vor meiner Firewall und sind für die Uplinks bestimmt (habe 2 Router vor der Firewall). Du hast also die freie Wahl aus den privaten Adressbereichen. Das ist dann bei IPv6 auch nicht anders und funktioniert auf die gleiche Art und Weise.

 

[Stephan_]

Hallo blurrrr,

vielen Dank für die Ausführliche Erklärung!
So viele Zahlen , aber wie Subnetting funktioniert (denk ich) habe ich jetzt verstanden.

Habe heute erstmal die Fritz!Box 5490 raus geschmissen und durch die UniFi DM ersetzt.
Hat soweit gut geklappt, nur die beiden Fritz Repeater habe mich ein wenig geärgert, da man nach dem Resett nicht auf die GUI kommt, solange ein LAN-Kabel dran steckt (das steht aber nirgends in der Doku.).

Da das ganze doch etwas länger gedauert hat, habe ich die UDM erstmal bei den Default Einstellungen (Gateway-IP: 192.168.1.1/24) gelassen und alle Clients in das Netz umgestellt bzw. DHCP aktiviert.
Muss mich jetzt erstmal auf der UDM zurechtfinden…

Wie ich mein Netz letztendlich aufteile habe ich noch nicht entschieden, aber dein unterstes Beispiel mit dem 10er Netz /24 gefällt mir ganz gut…
Da die UMD ja auch einen VPN-Client hat und ich mich ab und zu über TeamViewer auf einen entfernten Rechner einwählen „muss“, der hinter einer Fritz im 192er-Netz sitzt, würde ich gerne ins 172er oder 10er Netz gehen, ich erhoffe mir, dass ich dann beim Routing nicht durcheinander komme… Aber die VPN Einstellungen muss ich mir auch erstmal anschauen und testen, habe ich noch keine Erfahrungen mit…

 

[Barungar]

Ich sag mal so ein 10.0.0.0er - Netz für Privatleute ist "overkill". Das ist mit Interkontinentalraketen auf Spatzen schießen. Wenn Du schon (aus Prinzip) aus dem 192.168.0.0 raus willst, dann geh in 172.16.0.0/12 Subnetz. Und als Tipp streu die Subnetze / VLANs nicht so wild wie bei Deinem Beispiel oben.

Man sollte stets schauen, dass sie recht nah zusammen liegen, so kann man sich beim Routen eine übersichtlichere Routing-Tabelle behalten, durch Route-Aggregation.

Beispiel:

• 172.20.0.0/22 für den Keller, da kannst Du denn vier Netze betreiben 172.20.0.0/24, 172.20.1.0/24, 172.20.2.0/24 & 172.20.3.0/24
• 172.20.4.0/22 für den "Außenbereich", auch hier dann vier Netze 172.20.4.0/24 bis 172.20.7.0/24
• 172.20.8.0/21 für Erdgeschoss, hier hast Du dann acht Netze 172.20.8.0/24 bis 172.20.15.0/24
• 172.20.16.0/22 für "Obergeschoss und Dach", hier hast Du wieder vier Netze

In einer verteilten Routing-Struktur müssen die jeweiligen Switch dann nur drei der vier Hauptrouten kennen, die jeweiligen Subrouten in das passende /24er-Netz kennt dann der für den Bereich zuständige Router.

Aber das ist nur ein Beispiel...