Vlan mit dem ganzen Rattenschwanz

Moin,

ich will mein Netzwerkstruktur etwas umgestalten. Durch den Zuwachs von diversen IOT Geräten, hätte ich gern mehr Kontrolle, welches Gerät wo was wohin sendet. Vlan wäre da ein Anfang (oder ubiquity SG oder DMZ). Meine Frage geht dahin, ob ihr euch mit dem Thema auseinandergesetzt bzw. auch umgesetzt habt?
Gibt es Probleme wenn Geräte wie Alexa, Sonos, Hue oder die Wlan Clients wie Handy nicht im gleichen Netz sind wie mein IPS Raspberry? Oder funktioniert es, wenn ich der Philips hue Bridge den Internet-Kontakt entziehe? habe da noch ein paar große Fragezeichen.

Gruß oekomat

Ich habe das schon seit längerem im Einsatz.
Also mehrere Vlan Netze mit entsprechendem Routing und Firewall.
Du wirst Dir damit auf jeden Fall einen deutlich größeren Aufwand fürs managen ins Haus holen.
Allerdings hast dann auch mehr Kontrolle über alles was im Netzwerk passiert.
Trotz Trennung wirst aber verschiedenen Geräten den Weg zu z.B. deinem IPS öffnen müssen.
Zu beachten ist auch, dass es Geräte gibt, die ohne Internet bzw. Cloud nicht funktionieren.
Das musst im Einzelfall einfach testen.
Wenn es Dir nur darum geht mehr Kontrolle zu bekommen, wer was ins Internet sendet bzw. vom Internet empfängt,
kannst das auch mit einer guten Firewall lösen.
Mit Vlan bekommst halt mehr Übersicht, weil eben z.B. bestimmte Geräte Kategorien in ein eigenes Netz packst.
Meine Trennung/Vlans sehen in etwa so aus:
Geschäftlich, Privat, System, Wlan, Gäste Wlan, Cameras, Multimedia
Ich habe bis Dato noch keine strikte Trennung zwischen Smarthome und anderen Komponenten.

Hallo zusammen,

Spannendes Thema. Ich selbst nutze auch mehrere WLANs für IoT Devices und Gäste.
Es ist schon interessant zu sehen, wenn man auf den Interfaces für IoT auch mal ein SNORT laufen lässt, was einem dem Traffic auseinander nimmt.
Jedoch hast du z.B. bei den Yeelight Devices nicht mehr die Möglichkeit, dass diese via SSDP erkannt werden. Zumindest hab ich es nicht mit PfSense und mdns Proxy etc. hinbekommen. Damit kann ich aber leben.
Meine Sonos habe ich daher auch gleich in das Standard Netzwerk gepackt, damit mein iPhone die Geräte problemlos findet.
Aber gerade für China Staubsauger, Lichter etc. finde ich das schon sinnvoll.
Der Fantasie sind da keine Grenzen gesetzt, jedoch sollte auch der Aufwand dahinter berücksichtigt werden.
VLAN Config, so dass diese sauber ist physisch und logisch, DHCP Server, Firewall regeln (Symcon muss z.B. Auf IoT zugreifen dürfen).

Hallo oekomat,

ich fahre schon seit Jahren Zuhause ein Konzept mit verschiedenen Netzwerkzonen auf Basis von VLANs und unterschiedlichen IP-Ranges. Der Vorteil ist die größere Sicherheit und Übersicht. Der Nachteil dafür ist deutlich erhöhter Administrationsaufwand und die komplexere Architektur, mit der dann vieles nicht möglich ist, ausser man bohrt zig Löcher in die notwendige(n) Firewall(s). Das macht das Leben aber auch nicht einfacher.

Bei mir gibt es eine äußere Zone, in der folgende Geräte/Geräteklassen drin sind:

[ul]
[li]Internetrouter
[/li][li]alle Smartphones
[/li][li]TVs
[/li][li]Devices die nur Internet brauchen und keine internen Services wie NAS usw.
[/li][li]alles sonstiges, was nicht besonders schützenswert ist
[/li][li]natürlich ein Beinchen der notwendigen Firewall
[/li][/ul]
Eine innere Zone:

[ul]
[li]Desktops/Laptops/Drucker
[/li][li]Webcams, es sei denn die sind draussen, da sind sie in der äußeren Zone. Nicht dass sich da jemand ans Kabel klemmt
[/li][li]Server wie NAS und auch IP_Symcon und PICCU
[/li][li]sowie natürlich ein Beinchen für die Firewall
[/li][/ul]
Guest-Zone

[ul]
[li]natürlich für Gäste
[/li][li]Devices die nur Internet brauchen, aber keine anderen lokalen Devices sehen sollen
[/li][/ul]
Nur ein Beispiel, warum so etwas sehr komplex werden kann. Ein ESP8266 mit mehreren Sensoren ist in der externen Zone und die Daten sollen bei IPS in der inneren landen. IPS kann von innen nach aussen durch die Firewall sprechen und den ESP8266 z.B. über http abfragen. Das geht dann aber nur über zyklisches Polling mit all den Nachteilen. Der ESP8266 könnte bei Sensordatenänderungen z.B. über MQTT zur IPS pushen, klappt aber nicht, weil er nicht in der inneren Zone durch die Firewall kommt (es sei denn, in der FW ist ein Loch dafür gebohrt).

Man sollte sich vorher genau überlegen, ob man sich das alles antun will.

Gruss
Bernd

Meine Konfiguration sieht aus, dass ich einen Switch (Netgear JGS524Ev2) für Lan und Unify APs für Wlan in Verbindung mit ner Fritzbox als modem/Router nutze.
Könnt Ihr mir da was empfehlen? Mein Switch kann mit VLans umgehen genauso wie mein Unify Cloud Key.
Z.B. bezüglich Empfehlungen wegen Firewall? Oder einen Router als DMZ?

Gruß oekomat

Entweder etwas fertiges, z.B. ZyWall, oder etwas selbst gebautes wie IPFire oder PFsense. Zweiteres ist günstiger und flexibler, aber du selber steckst mehr Aufwand rein.

PfSense kann ich sehr empfehlen.
Ich verwende dies zusammen mit einem Layer 2 fähigen HP Enterprise Switch.
Am einfachsten ist es, wenn jedes VLAN von Deiner Firewall und zum Switch mit separaten Anschlüssen arbeitet.

Unifi baut auch tolle Sachen, aber manchmal finde ich sie von der Konfiguration nicht professionell genug. Wird dann schnell für mich an einigen Stellen intransparent.

Ich verwende bei mir Router von Draytek (Vlan fähig),
Smart (Web) Managed Switche von Zyxel und nur fürs WLAN Unifi AP.
Mit PfSense habe ich auch schon getestet, aber meine jetzige Lösung hat mir persönlich besser gefallen.

Hast du die Firewall dann auf einem Server oder alten PC laufen oder wie hast du den Switch und den Router ins Spiel gebracht?

Aufbau ist die PfSense in einem Supermicro Board im 19“ Gehäuse mit 4x LAN und einem Pentium N3700 an einem Vigor Draytek 130 Modem und für Failover ein LTE Modem von Netgear.
1 Port ist für WAN DSL
1 Port ist für LTE Failover
1 Port ist für LAN
1 Port ist geshared für Guest und IoT und DMZ (Tagged VLAN)

Das ganze dann an einem HP Switch, der die Tags z.B. an die Unif Access Points mit durchreicht um sämtliche VLANs per Netzwerk bereitzustellen.

Die DMZ ist nur virtualisiert und daher wird das Tag an meine Synology weitergeleitet, die VMs betreibt im VLAN Netzwerk.

Für die PFSense gibt es noch die PcEngines APU Hardware.

Und für die PFSense sprechen auch so Funktionen wie lokale DNS Überschreibungen damit kann die externe IP des Proxy Servers mit der lokalen IP zu überschreiben.

Das geht bei der USG nur mit ssh hosts Einträgen und bei der PFSense mit gui wie auch vieles andere.

Ich nutze PFSense mit Ubiquiti Switches und APs

Gesendet von meinem ONEPLUS A3003 mit Tapatalk

Was All In One Lösungen angeht…

Entweder ne Hardwarefirewall inkl. Telefonie -> Hier ist Draytek ein super Tipp (Bitte nicht mit Fritzbox kommen, das ist nur ein Spassgerät - im Vergleich ) :slight_smile:

Oder ganz beliebt, man kauft sich ne gebrauchte oder auch neue (wenn das Budget da ist) Sophos Firewall Appliance.
Auf die kann man die HOME Edition aufspielen.
Darüber hat man dann alles… Lediglich VOIP Telefonie müsste man -einfacherhalber- noch über ne Fritzbox laufen lassen.

P.S. ich hoffe dass ich bald ne ausgemusterte Sophos Appliance abstauben kann, dann wird die Fritzbox nur noch als Modem + DECT benötigt.
WLAN übernimmt dann ein DD-WRT WLAN Router.

Ich denke dasss ich in DD-WRT die WLAN Netze ein wenig sortieren/trennen kann.

Alle ESPs in ein Netz (Wortuhr, Opentherm LÜftungsanlage, Sonoff 4ch Relais, usw.)
Alle China-Dinger in ein Netz
Sonstige WLAN Netzwerktechnik (TV, FireTv, Receiver)

Durch die segmentierung, sieht man den Traffic dann einfacher in der Sophos.

Ich setze mich wie einige andere hier auch beruflich mit Vlans auseinander, zuhause verwende ich VLANs in verbindung mit Link Aggregation z.b. Um Anschlüsse die sich außerhalb des Hauses befinden vom restlichen Netzwerk zu trennen, damit lässt sich relativ einfach die Sicherheit im Netzwerk erhöhen. und durch Link-Aggregation erhöhe die Bandbreite zum Server und Router.

Das wichtigste bei VLAN ist aber der einsatz einer geeigneten Firewall, wurde hier schon erwähnt, würde PFSense, oder OPNSense empfehlen, ich selber nutze z.B. OPNSense, da dieses Wireguard(VPN) unterstützt.

Gruß: Swen

Hallo zusammen,
Ich lese den Thread interessiert mit und hätte auch den Großteil an passenden Geräten zur Verfügung, aber leider bisher wenig Ahnung von VLAN. Könnt ihr etwas zum einlesen empfehlen wie Fallbeispiele oder so? Auch hier gibt es sicher 1000 Sachen die man falsch machen kann…

Gesendet von meinem HUAWEI M2-A01L mit Tapatalk

Aufgrund eurer Antworten merkt man schon, dass Ihr euch damit umfangreich beschäftigt habt. Danke für die Infos vorab.

Ich plane folgenden Aufbau

vorhandene Fritzbox als Modem und Dect-Telefonie
vorhandene Unify APs + Cloud Keyfür Wlan
vorhandenen Layer 2 Switch Netgear

24/7 Rechner mit PFSense - gibt es da einen Flaschenhals, bzw brauch ich einen zusätzlichen Router?

oder

Unify Security Gateway - kann wohl Routing und Firewall übernehmen

  • Verwaltungsauswand sollte möglichst gering sein
  • Routingregeln zwischen verschiedenen Vlans
  • VPN Verbindung von außerhalb des Netzwerks mittels Win-PCs und Android Handy
  • Option mal später einen Webserver ins Spiel zu bringen

Kurz und knapp:

UniFi USG - einfach und unkompliziert (für jeden recht einfach nutzbar, aber eingeschränkte Features - auf deine Fälle bezogen nur das VPN etwas „anders“, aber ein OpenVPN Server ist einfach mit einem Pi gemacht)

Sophos UTM - mittlerer Einrichtungsaufwand und mittel kompliziert (auch als Hobby-User machbar - kann viel, aber auch nicht alles was man vlt erwartet … und WICHTIG - die HOME ist auf 50 Clients/Endgeräte beschränkt). Sophos XG bitte direkt vergessen - wobei die neue Version endlich mehr Features hat)

pfSense - sehr hoher Einrichtungsaufwand und sehr komplex (für jemand ohne bissi mehr „Plan“ von dem Thema absolut nicht zu empfehlen - kann aber ALLES und mehr)

Viele Grüße,
Chris

Nutzt hier jemand die Geräte von Mikrotik?

dann hätte ich zumindest alles aus einer Hand, ob das optimal ist, sei mal dahingestellt.
Ich frage mich aber, ob ich damit die maximale Performance habe (keinen Flaschenhals, kein Umwege der Datenpakete im Netzwerk…)

Gruß oekomat

Wenn du im Privathaushalt einen Flaschenhals hinbekommst, dann mach ich mir Gedanken :smiley:
Selbst ich mit meiner extrem übertriebenen Technik laste mein Gigabit Netzwerk nur selten aus. Und selbst da kann man an den entscheidenden Stellen mit einer Link Aggregation „helfen“ - oder bei vielen Leuten im Haushalt auch mit 10G, was mittlerweile echt bezahlbar geworden ist.

EDIT: Und Umwege im Netzwerk…da würde ein Layer 3 Switch helfen - aber passt nicht so zum Sicherheitsgedanken (je nach Anwendungsfall). Finde ich für ein Heimnetz dann doch übertrieben - eine Firewall bekommt das schon hin mit deinem Traffic - einfach die Netze mit den jeweiligen Geräten gut planen und z.B. ein NAS einfach mit mehreren Beinen ins Netzwerk (in die verschiedenen VLAN) hängen usw…

-Chris-

Ich mache es genauso. Ein Vlan nur mit Internet für IOT, Radios, Fernseher usw., ein Vlan für Familie und ein Vlan für den Kern.

Das USG ist als Router OK, solange man das Thread Management nicht aktiviert. Außerdem gehen beim Inter-Vlan Routing die Pakete normalerweise alle über das gleiche Interface rein- und raus. VPN geht so für 1-2 verbindungen, da ist der Flaschenhals mehr das Internet. Außerdem sollte man keine besonderen Anforderungen an die benötigten Parameter haben. L2TP/IPSEC mit Windows10 funktioniert. Das USG ersetzt keine Fritzbox etc, weil es kein Internet-Modem o.ä. hat, nur einen WAN Port, den man dann ans LAN der Fritzbox hängt und freischaltet oder das USG als exposed Host definiert, wenn man weiss, was man macht.

Das Schöne für mich an Ubiquiti war es das man das ganze Netztwerk bequem über den Cloudkey Controler zusammen mit den APs steuern kann, dh. Änderungen an den VLANs, Netzwerken usw. werden gleich mit an die Switche und APs gegeben. Bei mehreren Switchen und APs im Haus ist das sehr angenehm und es gibt keine Limits für die Clients. User mit erweiterten Netzwerk Kenntnissen werden aber viele Optionen vermissen.

Für die gut 100Eur ist das USG OK. Wer mehr will, muss sich mehr auskennen und/oder mehr bezahlen.

Tommi