Heimnetztwerk in VLANs organisieren - VLAN-Anfänger

[Alter5ack]

Hallo zusammen,

in diesem Thread habt ihr mir schon mal geholfen, die richtige Hardware zu wählen. Ich hoffe, dass ich da keine Fehlgriffe gemacht habe.

Nun Läuft schon einiges in einem Netz ohne VPNs VLANs und soll nun in VPNs VLANs organisiert werden.

IT-Grundwissen habe ich. Damit ihr es einigermaaßen einordnen könnt: Ich weiß z.B. was eine Subnetzmaske ist und wie sie (auf Bit-Ebene) wirkt . Wie ich VPNs VLANs so bilde, dass sie wie separate Netze laufen, kriege ich hin. Wo ich aber noch gehörige Defizite habe:

• Welche/wieviele VPNs VLANs sollten in meiner Umgebung geschaffen werden?
• Wie ermögliche ich Zugriffe bestimmter Geräte/Dienste VPNVLAN-übergreifend.

Hier erst mal die vorhandene Infrastruktur:


Ziele sind:
- Trennung der Netze Wohnung 1 und 2.
Im Wesentlichen, damit man nicht (versehentlich) Geräte der anderen Wohnung steuert
Abschottung gleicher Hardware voneinander. Beispiel: SONOS-Verbund kann es nach Hersteller Konzept nur einmal im Netz geben.

• Eigenes Netz für Infrastruktur (KNX!)?
• Abschottung von IOT-Geräten von den Netzen der Wohnungen

Staubsaugerroboter darf ins Internet aber nicht in sicherheitsrelevante Netze (Wohnung 1, Wohnung 2, Infrastruktur...)

Zu lösende Anforderungen:

• HomeAssistant (HA) muss u.U. mit IOT-Gräten auch lokal kommunizieren können. Beispiel: KNX-Taster wird im HA mit Chromecast verknüpft.
• Wohnungs-Netze müssen mit HA (dedizierter Port) kommunizieren.
• Wohnungs-Netze müssen mit KNX kommunizieren

...???

Erste konkrete Frage:
Welche / wieviele VPNs VLANs sollte ich erstellen und welche Geräte sollten da jeweils rein?

 

[kartoffelpü]

Meinst du statt VPN evtl VLAN?

 

[VDC]

Welche / wieviele VPNs sollte ich erstellen und welche Geräte sollten da jeweils rein?

Oder meinst du VLAN? --> Die pürierte Kartoffel war flotter




Mir ist deine Übersicht zu unübersichtlich, die ganzen kabelgebundenen Teilnehmer kriegt man ja noch hin, aber beim WLAN sind das gewünschte SSID oder die Teilnehmer?

Und wie getrennt sind die Wohnungen Personentechnisch?

 

[sikarr]

Ich denke auch das er VLAN meint und nicht VPN, das sind nämlich 2 verschiedene Sachen.

Ergänzung (3. Februar 2025)

Erste konkrete Frage:
Welche / wieviele VPNs sollte ich erstellen und welche Geräte sollten da jeweils rein?

So viele wie du brauchst bzw. willst.
Es gehen auch 2Vlans für jede Wohnung eins und da drinn dann jeweils nur über andere IP-Bereiche.

Ein VLAN heist ja nicht das man da nur einen IP Bereich hat, im Grunde hast du dann schon deine Netztrennung, wie willst du das ganze am Ende routen

 

[Tanzmusikus]

@Alter5ack
Warum nicht einfach zwei Netze daraus machen ... und dann per Route miteinander verbinden.

Netz1 192.168.130.0/24
Netz2 192.168.140.0/24

Damit sollte zumindest eine kleine Grenze auf IP-Ebene gezogen werden können.

 

[sikarr]

Warum nicht einfach zwei Netze daraus machen ... und dann per Route miteinander verbinden.

Vielleicht wird die eine Wohnung vermietet und er will/muss es trennen.

 

[derchris]

Habe ein ähnliches Setup.

VLANs:

• Management: Alle Unifi Geräte (oder auch andere managebare Switche)
• Cams: die Unifi Cams
• Trusted: alle meine Geräte (inkl. HomeAssistant, KNX Netzwerkinterface)
• Kinder: die Geräte der Kinder
• Work: Arbeitsnotebooks (HomeOffice)
• IoT: HomeAssistant, KNX Netzwerkinterface, Hue, Alexas, diverse andere Gateways,
• Guests: Fremde (geht per Mullvad raus ins Internet)

 

[sikarr]

@Alter5ack wurden deine Fragen zu den VLANs nicht schon in, dem von dir verlinkten Thread beantwortet?

 

[Tanzmusikus]

Vielleicht wird die eine Wohnung vermietet und er will/muss es trennen.

Dann halt ohne Route ... und VPN für den manuellen Zugriff von außen, wenn Bedarf besteht. Dann passt's auch zur Überschrift. 😉

 

[Alter5ack]

Natürlich VLAN. Wie doof bin ich denn? Ich war gerade vorher an einem VPN-Thema dran, da hat sich was ins Gehirn gefressen...

Zu den Fragen:

• Beim WLAN sind das Teilnehmer. Die SSIDs richten sich dann nach den VLANs, je VLAN eine SSID.
• Personentechnisch: Wohnung 1 ist mein Sohn, Wohnung 2 bin ich.
• Ein evtl. nötiges Routing sollte doch über die UDM gehen?

Einfach nur 2 Netze und per Routing verbinden erscheint mir zu unsicher. Ich möchte den Staubsaugerroboter aus China eigentlich nicht mit meinem KNX im gleichen Netz haben.

Ergänzung (3. Februar 2025)

Habe ein ähnliches Setup.

VLANs:

• Management: Alle Unifi Geräte (oder auch andere managebare Switche)

Infrastruktur, okay.

• Cams: die Unifi Cams

Eigenes VLAN dafür. Auch okay.

• Trusted: alle meine Geräte
• Kinder: die Geräte der Kinder

Da zur Zeit keine Kinder da sind, zwei VLANs:

• Wohnung 1
• Wohnung 2

• Work: Arbeitsnotebooks (HomeOffice)

Auch klar. Nur Internet zwecks (und jetzt richtig) VPN.

• IoT: HomeAssistant, KNX Netzwerkinterface, Hue, Alexas, diverse andere Gateways,

KNX im gleichen Netz wie der Staubsauger aus China?
KNX vielleicht ins erste VLAN (Infrastruktur)?

• Guests: Fremde (geht per Mullvad raus ins Internet)

Auch klar.

 

[sikarr]

@Alter5ack lies dir bitte nochmal den von Dir verlinkten Thread durch, besonders @Raijin hat da sehr viel erläutert und auch mit Beispielen.

 

[Alter5ack]

@sikarr Danke für den Hinweis. Habs gerade noch mal nachgelsen.
Ich möchte den Weg mit VLANs gehen. Erstens wegen der Flexibilität, zweitens wegen der Lernkurve.

Jetzt geht's erstmal darum, eine sinnvolle Anzahl an VLANs zu definieren. Dann schaue ich mir das Thema Routing an.

Die im obigen Bild gezeigte Hardware kann das doch?

 

[derchris]

KNX im gleichen Netz wie der Staubsauger aus China?
KNX vielleicht ins erste VLAN (Infrastruktur)?

Habe noch mal nachgesehen.

KNX & HA sind im "Trusted" VLAN, IoT sind Alexa, Hue, Saugroboter, Thermomix und so ein Kram.

 

[VDC]

Beim WLAN sind das Teilnehmer. Die SSIDs richten sich dann nach den VLANs, je VLAN eine SSID.

Also wären da an möglichen VLAN (x2 für die andere Wohnung, man kann natürlich Gäste und so in einem zusammenfassen)

• IOT
  • Zugriff zu Inet, Zugriff von HA / Handy / explizite Kombi aus Gerät zu evtl. Freigaben in den anderen Netzen
• Smartphone
  • Zugriff zu IOT / HA / Inet / evtl. NAS?
• Gäste und Homeoffice
  • Inet sonst nix
• Infrastruktur (enthält nur Switch & Router)
  • Zugriff auf alle Netzwerke
• Automation (HA + KNX)
  • Zugriff auf IOT
• Reguläre Geräte
• Kamerakram
  • kann evtl. auch bei Automation / IOT unterbringen

Großes Limit werden hier die Fähigkeiten der Switch und AP sein, die können gerne schnell in der Zahl der möglichen VLAN limitieren. Und Medienkonsum von eigenen Geräten bzw. Steuerungen für IOT lokal können einem hier schnell einen Strich durch die Rechnung machen, weil es dadurch kompliziert (aber nicht unmöglich) werden könnte.

 

[derchris]

Die im obigen Bild gezeigte Hardware kann das doch?

Können die Netgear Dinger VLANs? Wenn ja, dann sollte das gehen. Die Ports der AccessPoints auf Management aber allow ALL, ansonsten alle anderen Ports in Wohnung zwei auf das VLAN für Wohnung2 und ein deny für den Rest.

Beim WLAN sind das Teilnehmer. Die SSIDs richten sich dann nach den VLANs, je VLAN eine SSID

Ich habe 4 SSIDs.

1. Guest
2. Work
3. IoT
4. Rest

Kannst inzwischen auch Wifi mit PPSK machen. Damit hast du dann mehrere VLANs auf einer SSID die sich nach Passwort aufteilen - alternativ geht auch Radius mit WPA Enterprise, aber das macht es dann noch unnötig kompliziert.

 

[Dig.Minimalist]

@sikarr Danke für den Hinweis. Habs gerade noch mal nachgelsen.
Ich möchte den Weg mit VLANs gehen. Erstens wegen der Flexibilität, zweitens wegen der Lernkurve.

Jetzt geht's erstmal darum, eine sinnvolle Anzahl an VLANs zu definieren. Dann schaue ich mir das Thema Routing an.

Die im obigen Bild gezeigte Hardware kann das doch?

Ich habe 4 VLANs:

Management: Server, etc
Home: PCs, Laptops, Tablet, Smartphones
IoT: alle IoT devices - kein Internetzugang (nur timeserver, Tasmota OTA und Zugriff auf Home Assistant
Guest: kein Zugriff auf die anderen VLANs

Die Steuerung der Regeln erfolgt durch OPnSense Firewall

 

[Alter5ack]

Danke erstmal für die Antworten. Zu den Fragen / Anmerkungen bzgl. eingesetzter Hardware:

Router ist eine unifi Dream Machine Pro SE. Der Große Switch ein Unifi Pro Max 16. Da sollten keine relevanten Einschränkungen vorhanden sein.
Die kleinen Switche haben laut Datenblatt "VLAN support for traffic segmentation".
Die Access Points sind allesamt Unifi, drei U6+ und zwei UAP-AC-Lite. Auch die können VLANs.

Ich beginne nun mal mit folgendem Setup (VLANs):

• Infrastruktur
  Alle Switche und APs
• Trusted common
  Alle gemeinsam genutzten Geräte, die Dienste bereitstellen. KNX, HA, ...)
• Gast
  Gäste und Home-Office
• Wohnung 1
  Alle von Personen genutzte Geräte in Wohnung 1. Handys, PCs,...
• Wohnung 2
  analog Wohnung 1
• Kameras
• IOT
  Primär erstmal alle Hausgeräte. Näheres mit Fragen weiter unten.

Entsprechend dann WLAN SSIDs, zuerst mal nur Gast, W1, W2 und IOT.

Das nächste Kapitel wären dann Zugriffsregeln zwischen den Netzen. Das soll die Dream Machine regeln. Da werde ich dann wohl eure Unterstützung brauchen. Das habe ich mir dort noch gar nicht angesehen...

Fragen zur Zuordnung von Geräten zu den VLANs:
Der ganze Streaming-Kram (SONOS, TVs, Google Home) gehört doch ins IOT, oder?

Es gibt nun gleichartige Systeme in beiden Wohnungen: SONOS und Google Home. Zwei SONOS im gleichen Netz geht nicht.
Zwei Google Home im gleichen Netz ist auch suboptimal. Man müsste ja dann von beiden Wohnungsnetzzen aus aufs IOT zugreifen können.
Also ITO zweimal - IOT-Wohng1 und IOT-Wohng2?

 

[derchris]

Es gibt nun gleichartige Systeme in beiden Wohnungen: SONOS und Google Home. Zwei SONOS im gleichen Netz geht nicht.
Zwei Google Home im gleichen Netz ist auch suboptimal. Man müsste ja dann von beiden Wohnungsnetzzen aus aufs IOT zugreifen können.
Also ITO zweimal - IOT-Wohng1 und IOT-Wohng2?

Meine Sonos, HomePod, AppleTV habe ich in meinem "Trusted" network. In einer vermieten Wohnung habe ich die in dem VLAN der vermieteten Wohnung.

 

[Alter5ack]

@derchris Hmm..., wo hört denn die gesunde Vorsicht auf und fängt die Paranoia an?
Der Staubsaugerroboter, andere China-Gadgets und die Waschmaschine gehören sicher ins IOT, weitgehend abgeschottet vom übrigen Netz. Aber das SONOS und Google-Lautsprecher nicht?

Obwohl: Handy, Tablet und Chromebook sind ja auch GOOGLE-Geräte und sind im "normalen" VLAN.

 

[derchris]

@derchris Hmm..., wo hört denn die gesunde Vorsicht auf und fängt die Paranoia an?

Das ist eine Frage für deine Paranoia. Ich bin fein mit Sonos und Apple Geräten in meinem "trusted" VLAN - genau genommen hängt da auch noch ein AndroidTV drinnen, aber sei es drum.

Jedenfalls Dinge wie: Hue, Saugroboter, Siemens Home Appliance, Huawai Luftfilter, X-sense Rauchmelder ... kommen NICHT ins trusted VLAN.