+ Antworten
Seite 1 von 5 1 2 3 ... LetzteLetzte
Ergebnis 1 bis 10 von 42
  1. #1
    Registriert seit
    Mar 2017
    Beiträge
    388

    Standard Vlan mit dem ganzen Rattenschwanz

    Moin,

    ich will mein Netzwerkstruktur etwas umgestalten. Durch den Zuwachs von diversen IOT Geräten, hätte ich gern mehr Kontrolle, welches Gerät wo was wohin sendet. Vlan wäre da ein Anfang (oder ubiquity SG oder DMZ). Meine Frage geht dahin, ob ihr euch mit dem Thema auseinandergesetzt bzw. auch umgesetzt habt?
    Gibt es Probleme wenn Geräte wie Alexa, Sonos, Hue oder die Wlan Clients wie Handy nicht im gleichen Netz sind wie mein IPS Raspberry? Oder funktioniert es, wenn ich der Philips hue Bridge den Internet-Kontakt entziehe? habe da noch ein paar große Fragezeichen.

    Gruß oekomat

  2. #2
    Registriert seit
    Dec 2009
    Ort
    Calw
    Beiträge
    349

    Ich habe das schon seit längerem im Einsatz.
    Also mehrere Vlan Netze mit entsprechendem Routing und Firewall.
    Du wirst Dir damit auf jeden Fall einen deutlich größeren Aufwand fürs managen ins Haus holen.
    Allerdings hast dann auch mehr Kontrolle über alles was im Netzwerk passiert.
    Trotz Trennung wirst aber verschiedenen Geräten den Weg zu z.B. deinem IPS öffnen müssen.
    Zu beachten ist auch, dass es Geräte gibt, die ohne Internet bzw. Cloud nicht funktionieren.
    Das musst im Einzelfall einfach testen.
    Wenn es Dir nur darum geht mehr Kontrolle zu bekommen, wer was ins Internet sendet bzw. vom Internet empfängt,
    kannst das auch mit einer guten Firewall lösen.
    Mit Vlan bekommst halt mehr Übersicht, weil eben z.B. bestimmte Geräte Kategorien in ein eigenes Netz packst.
    Meine Trennung/Vlans sehen in etwa so aus:
    Geschäftlich, Privat, System, Wlan, Gäste Wlan, Cameras, Multimedia
    Ich habe bis Dato noch keine strikte Trennung zwischen Smarthome und anderen Komponenten.
    IPS V 5.5(Docker), ENO TCM 310 LAN-GW, KNX Installation, IPS-868, Pokeys57E, IPSView, IPS Z-Wave+ LAN GW, HUE, Google Home, mqtt ESP

  3. #3
    Registriert seit
    Dec 2017
    Ort
    Wolfsburg
    Beiträge
    347

    Hallo zusammen,

    Spannendes Thema. Ich selbst nutze auch mehrere WLANs für IoT Devices und Gäste.
    Es ist schon interessant zu sehen, wenn man auf den Interfaces für IoT auch mal ein SNORT laufen lässt, was einem dem Traffic auseinander nimmt.
    Jedoch hast du z.B. bei den Yeelight Devices nicht mehr die Möglichkeit, dass diese via SSDP erkannt werden. Zumindest hab ich es nicht mit PfSense und mdns Proxy etc. hinbekommen. Damit kann ich aber leben.
    Meine Sonos habe ich daher auch gleich in das Standard Netzwerk gepackt, damit mein iPhone die Geräte problemlos findet.
    Aber gerade für China Staubsauger, Lichter etc. finde ich das schon sinnvoll.
    Der Fantasie sind da keine Grenzen gesetzt, jedoch sollte auch der Aufwand dahinter berücksichtigt werden.
    VLAN Config, so dass diese sauber ist physisch und logisch, DHCP Server, Firewall regeln (Symcon muss z.B. Auf IoT zugreifen dürfen).
    IPS #stable# Unlimited / Docker / Synology DS218+ / Raspberrymatic als Synology VM

  4. #4
    Registriert seit
    Apr 2009
    Ort
    Franken
    Beiträge
    694

    Zitat Zitat von oekomat Beitrag anzeigen
    ... Meine Frage geht dahin, ob ihr euch mit dem Thema auseinandergesetzt bzw. auch umgesetzt habt? ...
    Hallo oekomat,

    ich fahre schon seit Jahren Zuhause ein Konzept mit verschiedenen Netzwerkzonen auf Basis von VLANs und unterschiedlichen IP-Ranges. Der Vorteil ist die größere Sicherheit und Übersicht. Der Nachteil dafür ist deutlich erhöhter Administrationsaufwand und die komplexere Architektur, mit der dann vieles nicht möglich ist, ausser man bohrt zig Löcher in die notwendige(n) Firewall(s). Das macht das Leben aber auch nicht einfacher.

    Bei mir gibt es eine äußere Zone, in der folgende Geräte/Geräteklassen drin sind:
    • Internetrouter
    • alle Smartphones
    • TVs
    • Devices die nur Internet brauchen und keine internen Services wie NAS usw.
    • alles sonstiges, was nicht besonders schützenswert ist
    • natürlich ein Beinchen der notwendigen Firewall

    Eine innere Zone:
    • Desktops/Laptops/Drucker
    • Webcams, es sei denn die sind draussen, da sind sie in der äußeren Zone. Nicht dass sich da jemand ans Kabel klemmt
    • Server wie NAS und auch IP_Symcon und PICCU
    • sowie natürlich ein Beinchen für die Firewall

    Guest-Zone
    • natürlich für Gäste
    • Devices die nur Internet brauchen, aber keine anderen lokalen Devices sehen sollen

    Nur ein Beispiel, warum so etwas sehr komplex werden kann. Ein ESP8266 mit mehreren Sensoren ist in der externen Zone und die Daten sollen bei IPS in der inneren landen. IPS kann von innen nach aussen durch die Firewall sprechen und den ESP8266 z.B. über http abfragen. Das geht dann aber nur über zyklisches Polling mit all den Nachteilen. Der ESP8266 könnte bei Sensordatenänderungen z.B. über MQTT zur IPS pushen, klappt aber nicht, weil er nicht in der inneren Zone durch die Firewall kommt (es sei denn, in der FW ist ein Loch dafür gebohrt).

    Man sollte sich vorher genau überlegen, ob man sich das alles antun will.

    Gruss
    Bernd

  5. #5
    Registriert seit
    Mar 2017
    Beiträge
    388

    Zitat Zitat von someone Beitrag anzeigen
    Hallo zusammen,
    Spannendes Thema. Ich selbst nutze auch mehrere WLANs für IoT Devices und Gäste
    ....
    VLAN Config, so dass diese sauber ist physisch und logisch, DHCP Server, Firewall regeln (Symcon muss z.B. Auf IoT zugreifen dürfen).
    Zitat Zitat von drdigital Beitrag anzeigen
    Ich habe das schon seit längerem im Einsatz.
    Zitat Zitat von icey Beitrag anzeigen
    Hallo oekomat,

    ich fahre schon seit Jahren Zuhause ein Konzept mit verschiedenen Netzwerkzonen auf Basis von VLANs und unterschiedlichen IP-Ranges.
    Meine Konfiguration sieht aus, dass ich einen Switch (Netgear JGS524Ev2) für Lan und Unify APs für Wlan in Verbindung mit ner Fritzbox als modem/Router nutze.
    Könnt Ihr mir da was empfehlen? Mein Switch kann mit VLans umgehen genauso wie mein Unify Cloud Key.
    Z.B. bezüglich Empfehlungen wegen Firewall? Oder einen Router als DMZ?

    Gruß oekomat

  6. #6
    Registriert seit
    Apr 2009
    Ort
    Franken
    Beiträge
    694

    Zitat Zitat von oekomat Beitrag anzeigen
    Z.B. bezüglich Empfehlungen wegen Firewall? Oder einen Router als DMZ?
    Entweder etwas fertiges, z.B. ZyWall, oder etwas selbst gebautes wie IPFire oder PFsense. Zweiteres ist günstiger und flexibler, aber du selber steckst mehr Aufwand rein.

  7. #7
    Registriert seit
    Dec 2017
    Ort
    Wolfsburg
    Beiträge
    347

    PfSense kann ich sehr empfehlen.
    Ich verwende dies zusammen mit einem Layer 2 fähigen HP Enterprise Switch.
    Am einfachsten ist es, wenn jedes VLAN von Deiner Firewall und zum Switch mit separaten Anschlüssen arbeitet.

    Unifi baut auch tolle Sachen, aber manchmal finde ich sie von der Konfiguration nicht professionell genug. Wird dann schnell für mich an einigen Stellen intransparent.
    IPS #stable# Unlimited / Docker / Synology DS218+ / Raspberrymatic als Synology VM

  8. #8
    Registriert seit
    Dec 2009
    Ort
    Calw
    Beiträge
    349

    Ich verwende bei mir Router von Draytek (Vlan fähig),
    Smart (Web) Managed Switche von Zyxel und nur fürs WLAN Unifi AP.
    Mit PfSense habe ich auch schon getestet, aber meine jetzige Lösung hat mir persönlich besser gefallen.
    IPS V 5.5(Docker), ENO TCM 310 LAN-GW, KNX Installation, IPS-868, Pokeys57E, IPSView, IPS Z-Wave+ LAN GW, HUE, Google Home, mqtt ESP

  9. #9
    Registriert seit
    Mar 2017
    Beiträge
    388

    Zitat Zitat von someone Beitrag anzeigen
    PfSense kann ich sehr empfehlen.
    Ich verwende dies zusammen mit einem Layer 2 fähigen HP Enterprise Switch.
    Am einfachsten ist es, wenn jedes VLAN von Deiner Firewall und zum Switch mit separaten Anschlüssen arbeitet.

    Unifi baut auch tolle Sachen, aber manchmal finde ich sie von der Konfiguration nicht professionell genug. Wird dann schnell für mich an einigen Stellen intransparent.
    Hast du die Firewall dann auf einem Server oder alten PC laufen oder wie hast du den Switch und den Router ins Spiel gebracht?

  10. #10
    Registriert seit
    Dec 2017
    Ort
    Wolfsburg
    Beiträge
    347

    Aufbau ist die PfSense in einem Supermicro Board im 19“ Gehäuse mit 4x LAN und einem Pentium N3700 an einem Vigor Draytek 130 Modem und für Failover ein LTE Modem von Netgear.
    1 Port ist für WAN DSL
    1 Port ist für LTE Failover
    1 Port ist für LAN
    1 Port ist geshared für Guest und IoT und DMZ (Tagged VLAN)

    Das ganze dann an einem HP Switch, der die Tags z.B. an die Unif Access Points mit durchreicht um sämtliche VLANs per Netzwerk bereitzustellen.

    Die DMZ ist nur virtualisiert und daher wird das Tag an meine Synology weitergeleitet, die VMs betreibt im VLAN Netzwerk.
    IPS #stable# Unlimited / Docker / Synology DS218+ / Raspberrymatic als Synology VM

Ähnliche Themen

  1. Raspberrymatic nicht aus anderem VLAN erreichbar
    Von c.radi im Forum HomeMatic
    Antworten: 5
    Letzter Beitrag: 02.11.17, 15:06
  2. Sicherheit durch VLAN, DMZ und Kaskaden
    Von galleto im Forum Off Topic
    Antworten: 39
    Letzter Beitrag: 21.02.17, 15:10
  3. Audio im ganzen Haus
    Von Mastershort im Forum Audio & Video, TK-Anlagen, ISDN
    Antworten: 6
    Letzter Beitrag: 27.05.12, 18:24
  4. Verkabelung 1-wire im ganzen Haus
    Von mad0000 im Forum 1-Wire, M-BUS
    Antworten: 7
    Letzter Beitrag: 10.04.07, 15:03
  5. die sache mit dem fernseher und dem subwoofer
    Von hmpf99 im Forum Allgemeine Diskussion
    Antworten: 10
    Letzter Beitrag: 27.09.06, 11:07