Hallo,
ich habe jetzt nach viel Lesen ein wenig ein Konzept erstellt, bin aber in einigen Punkten noch unschlüssig und wäre um Rat dankbar.
Am Ende möchte ich mein Heimnetzwerk in verschiedene Netze aufteilen um vor allem das Netzwerk durch das Vorhandensein von Außenanschlüssen nicht zu gefährden.
Zentraler Punkt der Lösung wird eine OPNsense mit 4 NICs sein.
Folgendes Konzept hätte ich mir für die internen Netze hinter dem WAN-Port (NIC4) gedacht.
Auch hätte ich schon ein paar gezielte Fragen.
ich habe jetzt nach viel Lesen ein wenig ein Konzept erstellt, bin aber in einigen Punkten noch unschlüssig und wäre um Rat dankbar.
Am Ende möchte ich mein Heimnetzwerk in verschiedene Netze aufteilen um vor allem das Netzwerk durch das Vorhandensein von Außenanschlüssen nicht zu gefährden.
Zentraler Punkt der Lösung wird eine OPNsense mit 4 NICs sein.
Folgendes Konzept hätte ich mir für die internen Netze hinter dem WAN-Port (NIC4) gedacht.
- Management LAN: 192.168.1.0/24 (NIC1)
- VLAN (NIC2)
- VLAN10 (192.168.10.1/24):
Hauptnetz
Alle PCs, Notebooks, eigene Handys und Tablets, Drucker - VLAN20 (192.168.20.1/24):
Offline-Netz
Alte PCs die keine Sicherheitsupdates mehr bekommen - VLAN30 (192.168.30.1/24):
IoT-Netz - VLAN40 (192.168.40.1/24):
Gast Netz
Alle Geräte die nicht per MAC-Filter oder Radius-Authentifizierung keinem anderem VLAN zugewiesen werden - VLAN50 (192.168.50.1/24):
Außenkameras
- VLAN10 (192.168.10.1/24):
- DMZ: 192.168.100.1/24 (NIC3)
Server-VM mit Notwendigkeit eines Zugriffs von Außen (z.B. Nextcloud) über separate NIC im Server (per Passthrough)
Auch hätte ich schon ein paar gezielte Fragen.
- Drucker ins VLAN10 (Hauptnetz) oder noch ein separates VLAN und Routing über die Sense per Firewall Regel?
- Können die Außenkameras ohne Sicherheitsbedenken in ein VLAN (VLAN50) gepackt werden oder wäre auch hier eine separate Aufteilung an der Sense sinnvoller?
In diesen Fall müsste ich allerdings entweder das Management-LAN oder die DMZ in das VLAN an NIC2 packen, weil ich nur 4 NICs zur Verfügung habe. Für das Management-LAN wohl bestimmt keine gute Idee, aber bei der DMZ bin ich mir nicht sicher, ob das nicht ohne Nachteil gehen würde.
Was wäre euerer Meinung hach hier die beste Lösung?
Zuletzt bearbeitet: