Netzwerkaufteilung so sinnvoll/sicher?

saveLAN

Member
Hallo,
ich habe jetzt nach viel Lesen ein wenig ein Konzept erstellt, bin aber in einigen Punkten noch unschlüssig und wäre um Rat dankbar.
Am Ende möchte ich mein Heimnetzwerk in verschiedene Netze aufteilen um vor allem das Netzwerk durch das Vorhandensein von Außenanschlüssen nicht zu gefährden.
Zentraler Punkt der Lösung wird eine OPNsense mit 4 NICs sein.

Folgendes Konzept hätte ich mir für die internen Netze hinter dem WAN-Port (NIC4) gedacht.
  • Management LAN: 192.168.1.0/24 (NIC1)
  • VLAN (NIC2)
    • VLAN10 (192.168.10.1/24):
      Hauptnetz
      Alle PCs, Notebooks, eigene Handys und Tablets, Drucker
    • VLAN20 (192.168.20.1/24):
      Offline-Netz
      Alte PCs die keine Sicherheitsupdates mehr bekommen
    • VLAN30 (192.168.30.1/24):
      IoT-Netz
    • VLAN40 (192.168.40.1/24):
      Gast Netz
      Alle Geräte die nicht per MAC-Filter oder Radius-Authentifizierung keinem anderem VLAN zugewiesen werden
    • VLAN50 (192.168.50.1/24):
      Außenkameras
  • DMZ: 192.168.100.1/24 (NIC3)
    Server-VM mit Notwendigkeit eines Zugriffs von Außen (z.B. Nextcloud) über separate NIC im Server (per Passthrough)
Macht diese Aufteilung aus euerer Sicht erst mal Sinn oder habe ich etwas wichtiges vergessen?

Auch hätte ich schon ein paar gezielte Fragen.
  1. Drucker ins VLAN10 (Hauptnetz) oder noch ein separates VLAN und Routing über die Sense per Firewall Regel?
  2. Können die Außenkameras ohne Sicherheitsbedenken in ein VLAN (VLAN50) gepackt werden oder wäre auch hier eine separate Aufteilung an der Sense sinnvoller?
    In diesen Fall müsste ich allerdings entweder das Management-LAN oder die DMZ in das VLAN an NIC2 packen, weil ich nur 4 NICs zur Verfügung habe. Für das Management-LAN wohl bestimmt keine gute Idee, aber bei der DMZ bin ich mir nicht sicher, ob das nicht ohne Nachteil gehen würde.
    Was wäre euerer Meinung hach hier die beste Lösung?
 
Zuletzt bearbeitet:
Kann man so machen, solltest allerdings auch bedenken: pro Port 1Gbit. In Bezug auf die Traffic-Aufteilung...

WAN - soviel wie die Internetleitung hergibt
Management - sogut wie gar kein Traffic
DMZ - vermutlich auch nicht soooviel Traffic

Hauptnetz - dürfte wohl einiges an Traffic verursachen (aber wohl auch nicht übermässig viel)
Offline-Netz - vermutlich auch kaum bis gar kein Traffic (zwischen den internen Netzen)
IoT-Netz - je nachdem, wieviel Zeugs drin ist
Außenkameras - je nachdem, ob irgendwo etwas gespeichert wird und in welchen Zyklen, sowas kann schon dauerhaften Traffic verursachen. Wenn es "nur" die Cams sind zum "ab und zu mal direkt draufschauen" ist das auch eher zu vernachlässigen
Gäste - da "kann" was sein, ja, aber auch nur wenn Du Gäste da hast

Da Du ja sowieso mit VLANs arbeiten möchtest, wäre ggf. über denken, ob man nicht das ein oder andere anderweitig handhabt - je nach Traffic halt. Ist ja auch nicht zielführend, wenn Du z.B. Port 2 teilweise voll ausgelastet hast, während alle anderen nur so vor sich hin dümpeln. Ist aber auch nur meine persönliche Meinung, das oben skizzierte Konstrukt kannst Du auch so umsetzen, wie Du es Dir vorgestellt hast. Ich würde für mich das primäre LAN (Hauptnetz) eher an einen Port packen und den Rest anderweitig verteilen. Ist aber alles Geschmackssache :)

Drucker ins VLAN10 (Hauptnetz) oder noch ein separates VLAN und Routing über die Sense per Firewall Regel?
Kannst Du machen wie Du möchtest, allerdings müsstest Du die Drucker eher via IP ansprechen und manche Drucker sind auch etwas zickig mit ihrer 0815-Software, wenn der Client nicht im gleichen Netz ist (Standardverhalten ist oftmals, dass der Drucker vom Treiber via Name angesprochen wird). Also wenn in ein anderes Netz, dann bestenfalls auch direkt mit statischen IPs :)
Können die Außenkameras ohne Sicherheitsbedenken in ein VLAN (VLAN50) gepackt werden
Jepp, eigenes Netz, eigene Regeln.
In diesen Fall müsste ich allerdings entweder das Management-LAN oder die DMZ in das VLAN an NIC2 packen, weil ich nur 4 NICs zur Verfügung habe
Du kannst etliche VLANs auf eine NIC drücken, insofern spielt das keine Rolle. Allein der oben erwähnte Traffic spielt eine Rolle. Ich z.B. habe privat nur eine Firewall mit "2" Ports (WAN+LAN) und LAN-seitig habe ich diverse VLANs auf der NIC, WAN-seitig zwei. Für mich reicht das auch vollkommen, da hier kein großes Traffic-Aufkommen vorhanden ist. Wie das bei Dir ist, musst Du Dir überlegen :)
 
Du kannst etliche VLANs auf eine NIC drücken, insofern spielt das keine Rolle. Allein der oben erwähnte Traffic spielt eine Rolle. Ich z.B. habe privat nur eine Firewall mit "2" Ports (WAN+LAN) und LAN-seitig habe ich diverse VLANs auf der NIC, WAN-seitig zwei. Für mich reicht das auch vollkommen, da hier kein großes Traffic-Aufkommen vorhanden ist. Wie das bei Dir ist, musst Du Dir überlegen :)
Danke dir, dann bin ich beruhigt.
Nein 1Gbit reicht mir eigentlich locker. Falls es wirklich mal irgendwo eng werden würde, dann würde ich eher noch für diese Geräte ein kleines 10 Gbit Switch anschaffen, aber aktuell sehe ich da keinen Bedarf. Anfangs dachte ich ein Gbit wäre ggf. zu wenig, aber ich werde das an 365 Tagen keine 2 Stunden voll auslasten :D
Ihr habt mich da echt auf den richtigen Weg gebracht und mir bereits viel Geld gespart! Danke :)

Ich war nur wegen den VLANs besorgt, weil ich oft gelesen habe, dass z.B. Trunkports leicht per VLAN-Hopping angreifbar wären.
Aber das ist bei einem untagged-Port, wie bei einer IP-Kamera, dann wohl kein Thema. (y)
Also die Sorge war eigentlich, dass vielleicht alles "angreifbare" wie Außen-Ports wirklich in ein eigenes physikalisches Kabel müssten und nicht in ein VLAN, aber das ist ja jetzt geklärt. :)
 
Moinsen,
10 gbit sind ja leider auch nicht unbedingt mit EINEM neuen switch getan...Neuer Router wenn 10 gbit über netzwerkgrenzen gewünscht ist, potente hardware, schneller Speicher...da kommt dann doch was zusammen...
Bin auf deine weiteren Erfahrungen und Berichte hier gespannt. Viel Erfolg beim Aufbau!!
 
Management - sogut wie gar kein Traffic
Du hast ja "nur" zwei NICs. Hast du dann dein Management LAN auch als VLAN1 im "Trunk-Port" des "LAN-NICs" enthaten?
Ich bin nämlich gerade auf der Suche nach einem Access-Point und ich befürchte ich habe schon wieder einen "kleinen" Konzeptfehler.
Wenn ich das Management-LAN nicht im VLAN von NIC2 mitführe, dann bräuchte ich zum Access-Point zwei physikalische Leitungen, weil es ja mit einer nicht möglich wäre.
Somit bleibt mir ja eigentlich nur über das Management-LAN in das VLAN von NIC2 zu integrieren?
 
Anfangs dachte ich ein Gbit wäre ggf. zu wenig, aber ich werde das an 365 Tagen keine 2 Stunden voll auslasten :D
Das ist kein gutes Argument, weil sonst könnte man auch sagen, dass man kein Auto braucht. Weil wenn man die Fahrt & Standzeiten berücksichtigt, dann wird die durchschnittliche Geschwindigkeit auch nur im Bereich eines Fußgängers liegen.

Ich fahre 1 Std. lang 50km/h und 23 Stunden steht das Auto, also brauche ich kein Fortbewegungsmittel das schneller als 2 km/h ist, als Mensch bin ich im Durchschnitt zwischen 3 bis 5 km/h schnell, also reicht "immer" zu Fuß gehen. ;)

Was ich damit meine... man nimmt 10G Ethernet, weil man ab und zu mal wirklich schnell Daten verschieben will.
 
Erstmal klingt das nach einer logischen Aufteilung.
Ich habe aber hier noch einige Anmerkungen, die mir auch im Berufsleben immer wieder über den Weg laufen:
Bitte vermeide, die Netzwerkadressen so weit auseinander zu ziehen.
In deinem Beispiel hast du ein /16 Subnetz bereits zur Hälfte ausgeschöpft, obwohl du nur wenig Adressräume für dich beanspruchst.
Das macht eine spätere Zusammenlegung schwierig, solltest du dich entscheiden, ein oder mehrere andere Heimnetze koppeln zu wollen (man weiß ja nie)
Also statt der .10 .20, .30 usw. zähle doch in normalen Schritten hoch. Es sieht zwar nicht unbedingt schöner aus, aber man erleichtert sich ach das spätere Tippen der unnötigen "0". Weiterhin kann dann ein kompletter Block zu einem zusammengefasst werden, wenn diese per VPN verbunden werden sollen (ohne 1:1 NAT und solche Späße)
Bedenke bitte auch, dass, egal ob du etwas mit einem VLAN belegst oder nicht: das Management-LAN und DMZ-LAN (wenn auch physisch getrennt) sind immernoch vlan1 auf manage-baren Switchen.
 
Bedenke bitte auch, dass, egal ob du etwas mit einem VLAN belegst oder nicht: das Management-LAN und DMZ-LAN (wenn auch physisch getrennt) sind immernoch vlan1 auf manage-baren Switchen.
Danke für den Input.
Das heißt ich kann es ruhig mit in den Trunk-Port der Sense packen.
Und am Switch dann an notwendigen Ports das VLAN1 überhaupt verfügbar machen?
 
Bitte vermeide, die Netzwerkadressen so weit auseinander zu ziehen.
In deinem Beispiel hast du ein /16 Subnetz bereits zur Hälfte ausgeschöpft, obwohl du nur wenig Adressräume für dich beanspruchst.
Das macht eine spätere Zusammenlegung schwierig, solltest du dich entscheiden, ein oder mehrere andere Heimnetze koppeln zu wollen (man weiß ja nie)
Also statt der .10 .20, .30 usw. zähle doch in normalen Schritten hoch.
Danke für den Hinweis.
"Adresssparend" ist mein Ansatz wirklich nicht.
Die Idee dahinter war ggf. logisch passende VLANs in die Freiräume einzureihen, aber in der Realität wird sich da im Heimnetzwerk nicht viel neues ergeben.
Wegen dem VPN werde ich mich einlesen.
Das verstehe ich nämlich aktuell nicht. Dachte Subnetz wäre Subnetz egal ob sie 192.168.1.1, 192.168.2.1, 192.168.3.1 oder 192.168.10.1, 192.168.20.1, 192.168.30.1 oder auch 192.168.1.1, 192.168.20.1, 192.168.31.1 heißen würden.
 
Thema vlan1:

Sobald du den Trunk/ Netzwerke im VLAN1 an einem Switch verbindest, können diese immernoch miteinander kommunizieren. Die haben zwar ein eigenes Subnetz; Jedoch gibt es noch zwei Schichten unter dem Layer-3 im OSI Modell. Jemand mit Zugriff auf den Server in der DMZ kann immernoch Pakete in anderen Subnetzen (MGMT) mitschneiden. Also entweder diese Netzwerke als VLAN untagged mitgeben (so dass ein einziger angesteckter Rechner an dem Port im gewünschten VLAN liegt) oder als separate Vlans in den Trunk für den Switch mitgeben.
Das kommt dann auf den Anwendungsfall bzw. deine Topologie an, wie du die einzelnen Komponenten miteinander verbindest.

Thema VLAN/Subnetz:
Ja, ob dein VLAN nun die ID 10 hat, oder 94, ist dem Layer-3 (IP-Adressraum) egal. Der Addressraum kann dann auch 172.24.3.0/24 sein.

Thema VPN:
Es ist einfacher, Verbindungen zwischen Standorten mit einem großen 192.168.1.0/19 aufzubauen, und dann Packet-Drop-Regeln zu erstellen für Netzwerktraffic, der nicht erlaubt ist - als mehrere /24 Netzwerke (zumindest im Bereich IPsec).

Nur ein fiktives Beispiel:
Du möchtest Eltern/Schwiegereltern/oder was auch immer, Zugriff auf Dienste in deinem Heimnetzwerk gewähren. Die haben meinetwegen 192.168.11.0/24 bei sich zu Hause.
Nun müsstest du für jeden Netzbereich 192.168.10.0/24, 192.168.20.0/24 usw. einen Teiltunnel erzeugen. Das ergibt in deinem Beispiel 7 Stück an der Zahl, wenn du alles freigeben wollen würdest.
Da die Netzbereiche kollidieren würden, wärst du gar nicht in der Lage, einen einzigen Teiltunnel zu erzeugen, der nur 192.168.0.0/20 beinhaltet.
Bitte sieh das nur als fiktives Beispiel. In Ähnlicher Form sehe ich das bei meiner täglichen Arbeit, bei der Firmenzusammenschlüsse solche wilden Konstrukte erzeugen (müssen).
 
Mal ne allg. Frage, hatte auch mal über VLANs nachgedacht aber:

- wie kommunizieren die IoT Geräte bzgl. mit nem zentralen Server wie Homeassistant oder gehen die nur in Internet?
- wo hängt dein NAS (Hauptnetz?), wo wahrscheinlich deine IP Kameras die Aufzeichnungen ablegen?
- Kommst du dann mit deinem "Master PC" , irgendwie in alle VLANs?
 
Moinsen,
- die IoT Geräte sind (bei mir) im selben Subnetz wie auch die Home Assistant Instanz, somit kein Problem, denn ist ja alles in einem Netz.
- NAS hängt in einem eigenen Subnetz, Zugang via Firewall Regeln gesteuert (Firewall auf dem NAS selber plus Firewall, die auch die VLANs "steuert")
- wer mit welchem PC / Gerät in welche / alle VLANs kommt, kannst du ja einstellen. Soll heißen, auch hier wieder ACLs / Firewallregeln.
:)
 
Und wenn dann was nicht funktioniert wird ewigkeiten gesucht und die Familie freut sich...
Irgendwie finde ich das ziemlich übertrieben alles. Ist aber nur meine Meinung.
Ich hoffe aber zumindest, er dokumentiert das alles sauber, sonst steht er in 1 Jahr dann da, wenn keiner mehr weiss, was wie funzt.
 
Moiksen,
Klar, da hast du @UdoAA absolut recht. Je komplexer das setting desto wichtiger eine gute Dokumentation.
Und was am Ende eine gute ratio zwischen Aufwand und Sinn sowie Zweck darstellt, ist ja oft ganz individuell unterschiedlich.
Ich zb bin ganz froh, dass via vlan und striktem Regelwerk der windows PC meine Sohnes von einigen Bereichen und Geräten sauber getrennt ist, der IoT Kram nix mit dem NAS zu tun hat und musste bis auf nachträgliche Geräte / Dienste einzupflegen an dem Konstrukt nicht viel verändern seit Einführung. Kann also auch ein ganz gutes Verhältnis bei rumkommen... :)
 
Ich bin auch ein Freund davon es einfach zu halten, IOT Krempel zu separieren finde ich aber sinnvoll und mache das auch für meine 2 Teile die ich habe... Gäste WLAN als eigenes VLAN habe ich aus Gründen der Einfachheit längst verworfen, das trenne ich nur noch AP intern. Mit sowas wie Management VLAN fange ich gar nicht erst an...
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.705
Beiträge
47.963
Mitglieder
4.350
Neuestes Mitglied
FreundderSonne
Zurück
Oben