Heimnetzwerk Architektur Konzept

[un4given]

Ein ganz liebes Hallo an Alle!

Ich bin endlich dazugekommen mir Gedanken über mein Heimnetzwerk zu machen um ggf. bisschen aufzurüsten.

Derzeit hängen alle meine Geräte in einem LAN und könnten eventuell miteinander als auch nach außen kommunizieren. Langsam will ich aber alle Geräte im Haushalt (WLAN als auch verkabelt) trennen und diese zu den sinnvollen Gruppen zuteilen/zusammenfügen um diese dann mehr kontrollieren zu können. Siehe Abbildung.

Leider bin ich noch ein Neuling auf diesem Gebiet und schaue mir derzeit nur haufen Youtube Videos dazu um mein Wissensstand aufzubessern. (leider wenig Freizeit vorhanden)

Ich überlege mir aus einem Optiplex 9020 SFF ein PfSense Router mit einem Intel Quad NIC zu bauen. WAN + 3 LAN + LAN vom Optiplex

Meine Fragen:

PfSense Baremetal? Eine gute Idee, oder doch lieber virtualized? Oder was anderes anstatt PfSense?
VLAN's machen schon Sinn, oder? Soll ich diese in pfsense oder in managed switch erstellen? Oder jeweils unmanaged switch an die LAN Büchsen in Pfsense? Wie wären dann diese zu verkabeln?
Mein Router werde ich als AP Konfigurieren? Wie soll ich diesen Verkabeln? LAN in pfsense?
Was habe ich nicht beachtet?


Info zu der Verkabelung in der Wohnung: Neubau, immer eine CAT 6E Leitung pro Zimmer + Leerverrohrung + Mulimedia Kasten im Vorraum (dort befindet sich auch ISP Modem + unmanaged switch derzeit)

danke im Voraus für die Tips und Hinweise!

 

[Madman1209]

Hi,

Langsam will ich aber alle Geräte im Haushalt (WLAN als auch verkabelt) trennen und diese zu den sinnvollen Gruppen zuteilen/zusammenfügen um diese dann mehr kontrollieren zu können

Eine gute Idee, oder doch lieber virtualized? Oder was anderes anstatt PfSense?
VLAN's machen schon Sinn, oder?

Frage ist: was genau hast du überhaupt vor? Danach richtet sich, was "sinnvoll" ist und was nicht

VG,
Mad

 

[KillerCow]

PfSense Baremetal?

Ist die sicherste Variante.

VLAN's machen schon Sinn, oder? Soll ich diese in pfsense oder in managed switch erstellen?

Ob VLANs Sinn machen, kannst nur du beantworten. Sie sind praktisch, wenn man mehrere Subnetze aufziehen, diese auf Layer 2 getrennt wissen, aber keine physische Infrastruktur pro Subnetz aufbauen will. Sie sind unpraktisch, wenn man sich der Implikationen getrennter L2 Netze nicht bewusst ist (z.B. in Hinsicht auf Multicast (DLNA), DHCP usw.).

Die Trennung macht nur Sinn, wenn du auch Zugriffbeschränkungen einplanst. Darf jedes Netz mit jedem anderen reden, brauchst du keine getrennten Netze. Früher waren VLANs eher dafür gedacht, Kollisionsdomänen zu trennen (vor allem in großen Netzen). Das ist in heutigen, voll-geswitchten Netzen unnötig.

Eingerichtet werden müssen die VLANs auf allen Geräten, die die Trennung aufrechterhalten sollen/müssen. Die Firewall ist da der wohl wichtigste Kandidat. Switche aber natürlich auch, vor allem, je dichter sie an der Firewall sitzen.

 

[un4given]

Hi,

Frage ist: was genau hast du überhaupt vor? Danach richtet sich, was "sinnvoll" ist und was nicht

VG,
Mad

mir geht es vor allem bestimmte Geräte von den anderen Geräten im Heimnetzwerk zu trennen ergo dadurch die Sicherheit erhöhen.

Z.b. Ich will dass meine Xiaomi Kameras nur in Ihrem Netz bleiben (da sie mit China kommunizieren) und somit meine NAS in irgendeiner Art und Weise nicht bedrohen

Mehr will ich derzeit gar nicht. Einfach die Geräte konsolidieren und sie in ein eigenes Netzwerk platzieren.

Mein Huawei Router wird sicher auch sehr gerne mit China kommunizieren wollen, daher muss ich mir auch zusätzlich darüber Gedanken machen

 

[Skynet7]

mir geht es vor allem bestimmte Geräte von den anderen Geräten im Heimnetzwerk zu trennen ergo dadurch die Sicherheit erhöhen.

Z.b. Ich will dass meine Xiaomi Kameras nur in Ihrem Netz bleiben (da sie mit China kommunizieren) und somit meine NAS in irgendeiner Art und Weise nicht bedrohen

Mehr will ich derzeit gar nicht. Einfach die Geräte konsolidieren und sie in ein eigenes Netzwerk platzieren.

Mein Huawei Router wird sicher auch sehr gerne mit China kommunizieren wollen, daher muss ich mir auch zusätzlich darüber Gedanken machen

Also ich habe nen GeoBlock auf ganz China, desweiteren auch sogenannte "LanOnly" Geräte die die pfSense gänzlich den Zugang zum Internet verwehrt. Desweiteren bin ich auch für Baremetal, gibt mittlerweile schöne Boards von Supermicro mit 6W TDP.

PS: aber wenn du eh ne QuadNIC dazu hast, kannst du die Trennung ja dort vornehmen inkl. Traffic Shaping, ISP/VPN aufteilung etc. geht halt so ziemlich fast alles in der pfSense zu machen.

 

[Olunixus]

Wenns nur darum geht Geräte nicht ins Internet zu lassen, tut es die Kindersicherung jeder Fritzbox. Wenn du nicht willst, das die Kamera "mal eben" auf dein NAS schaut, solltest du dich am NAS um ein ordentliches Rechtemanagement kümmern.

Ich glaube nicht, dass du VLANs überhaupt brauchst - verursachen vermutlich mehr Ärger als sie dir nützen.

Und wenn du der Chinahardware wenig genug vertraust um sie am liebsten auszusperren, solltest du dir eher Gedanken darüber machen die Komponenten durch welche zu ersetzen, denen du (mehr) vertraust.
Wie schaust du dir die Aufnahmen der Kameras eigentlich an? Vermutlich am Handy via App / Zugriff auf einen Webserver der Kamera, oder nicht? Werden die Aufnahmen gespeichert? Wenn ja, wo?

 

[Skynet7]

Da er Unraid hat könnte ich mir vorstellen das er die CamStreams mit einem Docker (zb. Shinobi) etc. verarbeiten lässt und mit eigener DNS ins netz stellt.

 

[un4given]

Da er Unraid hat könnte ich mir vorstellen das er die CamStreams mit einem Docker (zb. Shinobi) etc. verarbeiten lässt und mit eigener DNS ins netz stellt.

Bin noch nicht soweit, ist aber geplant. Das Problem ist, dass sie alle Kein LAN und nur WLAN haben. Muss mich da noch einlesen, obs auch im Shinobi sowas geht oder ich die firmware umflashen muss.

Und wenn du der Chinahardware wenig genug vertraust um sie am liebsten auszusperren, solltest du dir eher Gedanken darüber machen die Komponenten durch welche zu ersetzen, denen du (mehr) vertraust.
Wie schaust du dir die Aufnahmen der Kameras eigentlich an? Vermutlich am Handy via App / Zugriff auf einen Webserver der Kamera, oder nicht? Werden die Aufnahmen gespeichert? Wenn ja, wo?

Ja, via Xiaomi Home App, speichere nichts am NAS. Also sprich die Server sind sicher irgendwo in China.

 

[Prime2k]

Wie wäre es mit, den ganzen Chinaspykram entsorgen und was neues, richtiges kaufen?

 

[InFlame]

Hallo erstmal,

wie von den anderen schon beschrieben macht eine Bare-Metal implementierung recht viel Sinn, wenn die Hardware vorhanden ist - jedoch sollte man die benötigte Energie nicht außer Augen lassen.

Alternativen zur pfSense gibt es genug - hierzu zählen u.A. die Sophos UTM / XG Home Editionen und OPNsense.
Persönlich habe ich OPNsense im Einsatz - ein Fork aus dem ursprünglichen PFsense / M0n0wall Projekt.

Bei mir arbeite ich auch mit VLANs, jedoch benötigst du praktisch für jedes Endgerät, dass per LAN verbunden ist einen Port an einem managebarem Swich, um die VLANs wieder aufdröseln zu können. Alternativ könntest du auch in der Konfiguration der Geräte VLAN-Tags angeben - dies wird aber nur von sehr wenigen Geräten unterstützt. Die VLANs musst du eigentlich auf allen Netzwerkkomponenten definieren / bekanntgeben, um ein ordentliches Sicherheitsniveau zu erreichen.

Wenn WLAN z.B. bei den Kameras im Spiel ist wird das ganze noch etwas komplizierter, da eine ordentliche Trennung nur über verschiedene SSIDs gegeben ist - diese wiederum müssen auch in die entsprechenden VLANs terminiert werden. Bestehende Hardware, z.B. FritzBox o.Ä. Geräte als WLAN AP zu nutzen ist nicht sinnvoll oder du benötigst pro SSID ein eigenes Gerät. Die meisten günstigen Consumer APs unterstützen keine VLANs und können daher dann nicht weiter verwendet werden oder müssten durch Redundanzen ergänzt werdenn.

Generell empfehle ich im Bereich Netzwerk eine Trennung nach der "Vertrauenswürdigkeit" oder nach Gerätetypen.

in deinem Fall würde z.B. folgende Struktur Sinn ergeben:

VLAN W: Smart Devices (Alexa + Xiaomi), ggf. + WLAN AP im selben Subnetz
VLAN X zentrale Systeme (NAS, ...)
VLAN Y: Mobilgeräte WLAN
VLAN Z: Kabelgebundene Geräte / Windows Geräte + ggf. WLAN AP im selben Subnetz
optional: Gast-Netz

Meine Infrastruktur sieht folgendermaßen aus:

Router Netz (Fritzbox + WLAN - hier befinden sich alle Smart Devices und WLAN Geräte)
Server Netz (Server + Management Interfaces der Netzwerkkomponenten)
Client Netz (PCs, alle kabelgebunden)

Laptops etc. sind im WLAN des Router, da ich keine X00€ für die entsprechende WLAN Hardware ausgeben möchte. Das Firewall-Regelwerk beschränkt entsprechend die Kommunikation aus dem WLAN zum Server auf definierte Protokolle und Schnittstellen, dass z.B. von den Laptops im WLAN eine Datensicherung auf den Server möglich ist oder vom Raspberry PI aus Filme gestreamt werden können.


MfG

 

[Olunixus]

Ja, via Xiaomi Home App

D. h. wenn du die Kameras in ein eigenes VLAN steckst, willst du jedes Mal mit deinem Handy das WLAN wechseln, welches ebenfalls zu diesem "Kamera-VLAN" gehört um dir die Bilder anzuschauen?

 

[un4given]

D. h. wenn du die Kameras in ein eigenes VLAN steckst, willst du jedes Mal mit deinem Handy das WLAN wechseln, welches ebenfalls zu diesem "Kamera-VLAN" gehört um dir die Bilder anzuschauen?

Ok, danke, jetzt habe ichs kapiert. Also muss ich mir eher Vorschlag von @InFlame überlegen. Eher LAN und WLAN Geräte voneinander trennen. Wie schaffe ich es dann vom Handy auf mein NAS zuzugreifen? Sprich ich würde nur dem einen Client (Handy) Zugriff auf NAS geben wollen. Das geht zwischen den VLANs?

 

[Skynet7]

Die meisten günstigen Consumer APs unterstützen keine VLANs

Erstmal schöne Erklärung! Daumen hoch.
Wegen VLAN, ich habe hier noch mehrere mittlerweile in die Jahre gekommene 1043NDs herumliegen. Mit OpenWrt bieten die dann auch VLAN support. Die teile gibts bei ebay schon für 15,- Tacken. Und wer mehr will 5Ghz etc. kauft einfach nen neueren AP der OpenWrt Kompatibel ist.

 

[InFlame]

Erstmal schöne Erklärung! Daumen hoch.
Wegen VLAN, ich habe hier noch mehrere mittlerweile in die Jahre gekommene 1043NDs herumliegen. Mit OpenWrt bieten die dann auch VLAN support. Die teile gibts bei ebay schon für 15,- Tacken. Und wer mehr will 5Ghz etc. kauft einfach nen neueren AP der OpenWrt Kompatibel ist.

an OpenWRT habe ich jetzt gar nicht gedacht, danke für den Hinweis.

Habe mich diesbezüglich aber noch nicht tiefgreifend damit beschäftigt, da ich auch an WLAN entsprechende Ansprüche wie z.B. AP / Band-Steering stelle. Ob diese unterstützt werden weiß ich gar nicht.

 

[un4given]

Vielen Dank für euer Feedback. Regt natürlich weitere Szenarien in meinem Kopf an. Ich warte dann bis mein WIFI6 router ankommt und schaue mir an welche Einstellungen dieser anbietet. Vielleicht kann ich dort die Clients irgendwie trennen.