ComputerBase Menü
Aktuelles

Heimnetzwerk Sicherheit Server

C

Camkom

Cadet 3rd Year
Registriert
Juni 2018
Beiträge
56
Einen guten Tag und ein frohes neues Jahr wünsche ich allen.

Ich habe wieder mal eine Frage zum Aufbau bzw. Neuaufbau meines Heimnetzwerkes.

Situation (siehe erste Skizze):
In meinem Netzwerk gibt es ein Zentrales Swtich (GSM 7224v1). An diesem sind momentan alle Geräte angeschlossen und es existiert ein Subnetz. (d.h. ganz einfach Switch und alles angesteckt). Die Telefonanlage 3CX läuft auf einem eigenen mini-PC.


Ziel: (siehe zweite Skizze)
mehr Sicherheit.
Ich habe mir einen mini-PC (Dell Optiplex 7010) gekauft, dazu ein bzw. PCIe NIC’s. (Ist egal ob 1 oder 2). Also habe ich insgesamt 3 NIC’s.

NIC 1: WAN
NIC 2: LAN (eventuell eines für Sohpos)
NIC 3: LAN (eventuell zweites NIC für sonstige Anwendungen auf dem “Server”)

Auf dem PC läuft Windows Server 2019 mit Hyper-V. Ich möchte darauf Sohpos als Netzwerk-Firewall usw. nutzen. Weiterhin soll 3CX als Telefonanlage laufen und eventuell noch weitere kleine Anwendungen.


Nun meine Frage bzw. Problem. Ich möchte das Netzwerk mit Hilfe von VLAN besser organisieren bzw. sicherer machen.
Ich habe vor einiger Zeit schon einmal versucht mit dem Switch alleine VLAN zu nutzen, bin aber gescheitert. Mit VLAN habe ich bis jetzt noch nicht wirklich gearbeitet, daher verstehe ich bisher folgendes.

In meiner neuen Konstellation kann ich das VLAN durch Sophos managen lassen und das Switch weitestgehend außen vor lassen?? Wobei dabei der komplette Traffic im Netzwerk durch Sophos muss.
Also VLAN durch Switch managen lassen? Oder?

Wie ist dabei eine sinnvolle Aufteilung von VLAN’s in meinem Netzwerk und wie konfiguriere ich dabei Sophos und das Switch? Was bedeutet Vlan tagged bzw. untagged. Habe dazu schon nachgelesen, aber das ist mir noch nicht ganz klar geworden

Auch wenn ich einige triviale Fragen gestellt habe, hoffe ich, dass irgendwer schon Erfahrung in dieser Art von Netzwerkadministration hat.

Bei Verbesserungen und anderen Vorschlägen, jederzeit gern.
 

Anhänge

  • Netzwerk_v1.pdf
    Netzwerk_v1.pdf
    20,2 KB · Aufrufe: 385
  • alt Netzwerk_v2.pdf
    alt Netzwerk_v2.pdf
    16,2 KB · Aufrufe: 375
  • Netzwerk_v1.png
    Netzwerk_v1.png
    34 KB · Aufrufe: 453
  • alt Netzwerk_v2.png
    alt Netzwerk_v2.png
    27,5 KB · Aufrufe: 409
Bevor man dir mit einer entsprechenden Aussage weiterhelfen kann, wäre es vielleicht sinnvoll zuerst zu klären, welchen Ansprüchen in Sachen Sicherheit das neue Netzwerksetup denn genau genügen soll.

Bisher steht da bei dir nur
Ziel: (siehe zweite Skizze)
mehr Sicherheit.
Zum Vergrößern anklicken....

Dann nennst du erstmal eher als Buzzword als mit Hintergrund den Begriff VLAN, weil das ja irgendwie sicherer und besser organisiert werden soll. Hier wäre es auch zuerst zu klären, ob das für deine Ansprüche überhaupt sinnvoll ist.

Da wir jetzt hier einer ein Netzwerksetup haben, so wie sich das aussieht, wie man es in vielen privaten Haushalten vermuten könnte, stellt sich schon die Frage, warum dieser Aufwand Betrieben werden soll, und ob man nicht auch mit einfacherem Aufwand akzeptabel sicher fährt.

Also: Was ist dieses "mehr Sicherheit"? Kannst du das irgendwie abstecken?
 
Vielen Dank für die Antworten.

Auf der einen seite sollen z.B Gäste nicht Geräte im Netzwerk zugreifen können. Zum anderen nutzte ich meinen NAS auch als Synchronisierungsziel von außerhalb, dazu sind einige Ports offen. Sophos soll unerwünschte Zugriffe blockieren.
Weiterhin habe ich mir gedacht, dass es sinnvoll sein könnte, alles was z.B. mit Telefonie zu tun hat (Telefonanlage und IP-Telefone) vom "Netzwerk zu trennen". Und eventuell noch alle in Zukunft kommenden Smart-Home devices.

Somit ist es in dieser Konstellation sinvoll so vorzugehen, wie ich das beabsichtige?


Auch möchte ich Sophos als VPN-Server nutzen. Aber das ist ja wieder eine Zusatzfunktion, die dann kein Problem mehr ist, wenn es läuft.
 
Also das mit den Gästen kann die FB schon so, bzw. bieten auch APs solche Funktionen normalerweise an. Wenn du jetzt noch jedes deiner Netzwerkgeräte per MAC Adresse White List in den DHCP einträgst, und keine anderen zulässt, dann gibt's auch bei Kabeleinstöpseln keine Verbindung zu deinem Netzwerkdiensten.

Wenn du dir ein VPN einrichtest, müssen auch keine Service-Ports mehr für die NAS Synchronisierung offen sein, sofern die Clients außerhalb eine VPN Verbindung aufbauen können. Dazu muss man eigentlich auch nicht extra Sophos für kaufen. Und durch das VPN, und eben keine zusätzlichen offenen Ports mehr, wäre von außen eh kein unerwünschter Zugriff schon ab der Fritzbox nicht mehr möglich, weil Ports dicht.

Camkom schrieb:
Weiterhin habe ich mir gedacht, dass es sinnvoll sein könnte, alles was z.B. mit Telefonie zu tun hat (Telefonanlage und IP-Telefone) vom "Netzwerk zu trennen". Und eventuell noch alle in Zukunft kommenden Smart-Home devices.
Zum Vergrößern anklicken....

Kann man machen, ist aber für deine 4 Geräte ganz schöner Overkill. Wenn du Angst vor allzu neugierigen Smarthome Wanzen hast, dann kann man vielleicht über sowas nachdenken. Oder du packst die "Smart"Home Geräte einfach in ein eigenes Gastnetzwerk :)
Wahrscheinlich willst du aber mit Alexa deine Smartwanzen steuern und ggf. Streams auf den Fernseher aus Netzwerkquellen ausgeben können oder wie auch immer. Und somit brauchen dann letztendlich die Geräte irgendwie doch wieder aufeinander zugriff, sonst klappt das ja nicht.

Camkom schrieb:
Somit ist es in dieser Konstellation sinvoll so vorzugehen, wie ich das beabsichtige?
Zum Vergrößern anklicken....
Die Frage hätte ich gestellt, bevor ich mir die Windows Server 2019 Kiste samt Sophos gekauft hätte ;)
 
  • Gefällt mir
Reaktionen: Shoryuken94
Danke erstmal für eine Antwort. Sophos UTM Home gibt es kostenlos. Windows Server 2019 habe ich kostenlos bekommen. Bis jetzt hat mich nicht der mini PC was gekostet. Das war nicht so viel.

Du hast wegen dem overkill prinzipiell recht. Aber ich würde das gern trotzdem machen. Am besten mit der jetzt verfügbaren Hardware, da ich gern mit so etwas experimentiere und auch nur was dazulernen kann.

Nochmal kurz zum VLAN. Wie ist das am sinnvollsten einzurichten? Also ich meine, was muss ich am Switch und was in Sophos einrichten, damit es sinn macht? Dabei spielt ja auch der Traffic eine Rolle oder?
 
Camkom schrieb:
Auf der einen seite sollen z.B Gäste nicht Geräte im Netzwerk zugreifen können. Zum anderen nutzte ich meinen NAS auch als Synchronisierungsziel von außerhalb, dazu sind einige Ports offen. Sophos soll unerwünschte Zugriffe blockieren.
Zum Vergrößern anklicken....

Fürs NAS brauchst du nicht "einige Ports", sondern nur einen.
Und was soll eine Firewall da groß filtern? Ob ein Zugriff erlaubt ist oder nicht, muss das NAS entscheiden.
 
Zuerst musst du den Artikel von @Loopman lesen und verstehen, sonst hat es von Anfang an keinen Sinn. Es ist dir nicht damit geholfen, dass man dir sagt "da musst du klicken".

Dann vielleicht auch mal das anschauen
https://kb.netgear.com/000048453/What-do-I-need-to-know-about-setting-up-VLANs

Und dann musst du eigentlich nur sicherstellen, dass die jeweilgen Ports des Switches, die Member des jeweiligen VLANs sind, auch die entsprechenden Geräte dieses VLANs sehen können. Die müssen also entsprechend verbunden werden, die APs müssen im richtigen Netz hängen etc.

Und wie du dann noch internet Verbindung herstellst, siehst du vielleicht hier https://community.netgear.com/t5/Ma...ction-and-Access-To-Another-VLAN/td-p/1171085

Kannst dir alternativ aber auch mal DMZs anschauen
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
 
Zuletzt bearbeitet:
Zunächst braucht die Sophos mindestens zwei Netzwerkadapter, einen für WAN einen fürs LAN. Am LAN_Interface können die ganzen VLANs konfiguriert werden.

Du musst an der Sophos am internen Netzwerkadapter für jedes VLAN ein Interface vom Typ Ethernet VLAN anlegen, mit eben der ID in jeweils einer IP-Adresse fürs Routing. Dann am Switch alle VLANs mit den gleichen IDs anlegen, den Port zur Sophos auf alle VLANs taggen. Wenn auch das Default VLAN verwendet werden soll, das am Switch auf Untagged stellen und an der Sophos das als normales Interface vom Typ Ethernet auf der Netzwerkkarte konfigurieren.

Dann musst die Sophos weiter konfigurieren: für jedes einzelne VLAN je nach Bedarf DNS, DHCP, NTP bereitzustellen, Masquerading für jedes VLAN konfigurieren und zuletzt die entsprechenden Firewallregeln.

Am Switch setzt dann die Ports des jeweils zu nutzenden VLANs auf untagged (es kann ein Port immer nur auf ein VLAN untagged werden aber auf beliebig viele vorhandene getagged werden, dann müssen die Endgeräte aber auch VLAN-fähig sein, zB IP-Telefone, Servernetzwerkkarten).

Das ist die grobe Kurzfassung, da musst dich noch etwas einlesen würde ich sagen.
Habe Dir mal einen Screenshot des Dashboards einer kleinen Installation geschickt: dort sind zwei Ethernet-Interfaces zu einer Link-Aggregation-Group geschaltet, auf diese laufen dann das Default VLAN (Internal, hier ist das nur noch zu Migrationsgründen da, die Clients + Server befinden sich noch drin, dazu vier VLANs) und die neuen VLANS auf das Interface getagged. Mit den vielen ETH-Ports hätte man natürlich auch pro VLAN einen Port verwenden können, wären aber unnötig viele Kabel.
 

Anhänge

  • sophos.PNG
    sophos.PNG
    31,4 KB · Aufrufe: 335
Zuletzt bearbeitet:
Dank für die Antworten. Prinzipiell wie @corvus beschrieben hat, habe ich mir das gedacht... Jetzt muss es nur funktionieren.

Und... ich hätte noch eine Sache. An einem Port habe ich ein IP-Telefon, an diesem hängt wiederum durchgeschliffen ein AP. Wie wird diese sache gehandhabt, wenn die beiden nicht im gleichen VLAN sein sollen?
Das muss doch getaggt werden oder?
 
Ok. Danke habe gerade gelesen, dass einige das default als Management nutzen. Ist das sinnvoll?
 
Camkom schrieb:
Auf der einen seite sollen z.B Gäste nicht Geräte im Netzwerk zugreifen können. Zum anderen nutzte ich meinen NAS auch als Synchronisierungsziel von außerhalb, dazu sind einige Ports offen. Sophos soll unerwünschte Zugriffe blockieren.
Weiterhin habe ich mir gedacht, dass es sinnvoll sein könnte, alles was z.B. mit Telefonie zu tun hat (Telefonanlage und IP-Telefone) vom "Netzwerk zu trennen". Und eventuell noch alle in Zukunft kommenden Smart-Home devices.
Zum Vergrößern anklicken....
Also.. Das klingt nach

- Haupt-Netzwerk
- Gast-Netzwerk
- Telefon-Netzwerk
- DMZ für NAS?
- optional Smart-Home-Netzwerk

Und das willst du alles mit VLANs an 2 LAN-Interfaces machen? Das dritte Interface geht ja für die WAN-Verbindung zur Fritzbox drauf. Man kann zwar munter VLANs auf einem einzelnen physischen Uplink routen, aber bei viel Traffic zwischen den VLANs kann so ein Uplink schnell zum Flaschenhals werden.


KISS - Keep It Simple, Stupid. Je komplexer du das Netzwerk aufziehst, umso mehr KnowHow musst du haben und umso mehr Zeit musst du in die Ersteinrichtung und später in die Wartung investieren. Simples Beispiel:
Dein NAS steht in einer DMZ, also einem isolierten Netzwerk. Dein TV sitzt im Hauptnetzwerk und findet den verdammten MedienServer auf dem NAS nicht - weil es in einem anderen Netzwerk hängt. Dasselbe gilt für SmartHome-Zentralen, die zB in der Handy-App ebenfalls nur "lokal" im aktuellen Netzwerk suchen.


An deiner Stelle würde ich daher mit einer Minimal-Konfiguration starten:

1x WAN
1x LAN Hauptnetzwerk --> Switch Port1-16 (VLAN 10, untagged)
1x LAN Gastnetzwerk --> Switch Port17-21 (VLAN 20, untagged
APs --> Switch Port 22-24 (Trunk, also VLAN 10+20 tagged)

Bring das erstmal mit Sophos inkl. Portweiterleitungen, Firewall für das Gastnetzwerk, etc. zum Laufen (Portaufteilung und VLAN-IDs nach Belieben). Später kannst du dann den Gast-Port in VLANs aufsplitten und die Gäste bzw. die Telefone jeweils in ein VLAN bringen. Wenn das läuft, kannst du dich mal daran versuchen, das NAS auszulagern, Smarthome und der ganze Rest.


Im übrigen ist das NAS auch durch eine Fritzbox bereits ausreichend abgesichert. Eine Sophos ist nicht per Definition sicherer als ein handeslüblicher Router. Eigentlich ist fast sogar das Gegenteil der Fall, weil man am Router gar nicht an die Firewall rankommt und sie kaputtkonfigurieren kann - bei einer Sophos hingegen schon!
 
@Raijin Vielen Dank für deine Antwort. Ich denke so werde ich es erst einmal machen.

Ich hab schon mal ein bisschen probiert und hätte nochmal eine Frage.

Momentan:
VLAN 20: Hauptnetz
VLAN 30: Gastnetz


Wie realisiere ich die Integration von Virtuellen Maschinen in das entsprechende VLAN? (mit Hyper-V)
In Hyper-V habe ich jetzt:
1x WAN
1x Lan1 (intern; keine VLAN einstellungen; siehe b1)
(das zweite interne Interface kommt noch)

Die virtuelle Maschine "Sophos" hat beide Netzwerkadapter/Netzwerke; auch ohne Vlan einstellung

Wie muss ich jetzt die virtuelle Maschine "3CX" konfigurieren, dass diese mit im Hauptnetz (VLAN 20) ist. (siehe b2)


In Sophos habe ich bei dem Internen Netzwerkadapter die zwei VLAN's angelegt. und auch NAT und Firewall konfiguriert.
 

Anhänge

  • b2.PNG
    b2.PNG
    124,6 KB · Aufrufe: 322
  • b1.PNG
    b1.PNG
    84,2 KB · Aufrufe: 339
Nene, da hast du was falsch verstanden: Auf den Uplink vom Switch zum Router bzw. Sophos gibt es keine VLANs. Die Sophos sähe in dieser Konfiguration einfach nur 3 banale Ethernet-Interfaces, 1x WAN und 2x LAN.
Der Port des Switches zu dem dann das jeweilige Kabel führt ist dann jeweils in einem VLAN, quasi passiv mit ungetaggtem VLAN.

Um bei meinem Beispiel zu bleiben: Alles was durch ein Kabel bei Port 1-16 ankommt hat kein VLAN-Tag, wird dann intern an den jeweiligen Ausgangs-Port 1-16 geswitcht und verlässt diesen Port wieder ohne VLAN-Tag. Die Geräte an diesen Ports haben keinen blassen Schimmer von irgendwelchen VLANs und sehen einfach nur einen 08/15 Switch-Port. Das VLAN dient hier lediglich dazu, den Switch intern quasi virtuell zu unterteilen. Stell dir die obige VLAN-Aufteilung des Switches einfach wie 3 physisch getrennte Switches vor, einen 16er, einen 5er und den 3er für die APs. Wobei letztere 3 Ports sogenannte Trunk-Ports sind, die die Uplinks zu den APs darstellen und die einzigen sind, die tatsächlich VLAN-Tags auf Kabel schicken, weil diese vom AP am anderen Ende ja wieder auseinandergedröselt und einzelnen SSIDs zugeordnet werden müssen.

Eine VM auf dem Server braucht in dieser Phase ebenfalls keine VLANs, weil sie ja je nach zugeordnetem LAN-Interface bereits in diesem Subnetz unterwegs ist.
 
Ahh. Ok Danke. Habe viel zu kompliziert gedacht.
Ergänzung ()

Also um die AP's einzubinden, muss ich einfach nur die Ports, an denen die AP's hängen tagget schalten.
Bei der jeweiligen SSID lege ich dann VLAN 10 bzw. 20 fest?
 
Zuletzt bearbeitet:
Camkom schrieb:
Habe viel zu kompliziert gedacht.
Zum Vergrößern anklicken....
Ich denke jetzt wird deutlich was ich mit KISS gemeint habe, oder? :D

So ein Setup wie es ursprünglich geplant war bzw. wie mittelfristig angepeilt ist aus dem Nichts zu konfigurieren, setzt entsprechendes KnowHow voraus, das eben nicht aus 10 Minuten computerbase-querlesen und ein paar Youtube-Videos stammt. Solche Tutorials und HowTos behandeln ja in der Regel ein Beispielszenario, das eben nicht 1:1 auf deinen Anwendungsfall übertragbar ist und somit Anpassungen erfordert, die man ohne grundlegendes Verständnis nicht hinbekommt.. :(

Wenn man aber wie gesagt klein anfängt und das Grundprinzip verstanden hat, kann man nach und nach erweitern bis man am Ende am Ziel angekommen ist :daumen:


Die Uplink-Ports für die APs müssen getaggt alle VLANs enthalten, die sie dann wiederum auf die SSIDs verteilen sollen. Im AP muss analog dazu konfiguriert werden, dass VLAN 10 = SSID "Home" und VLAN 20 = SSID "Gast" ist. Später, wenn mehr VLANs dazu kommen, muss dieser Trunk-Port nur die VLAN-Tags enthalten, die eben auch ein eigenes WLAN haben sollen. Hat zB die DMZ ein eigenes VLAN, braucht aber kein WLAN, muss der Uplink zum AP auch keine DMZ-VLAN-ID taggen.
 
Ich habe gerade mal in die Switch Konfig geschaut. Dazu zwei Bilder im Anhang. Auf welcher Seite konfiguriere ich die Ports? Geht das auf beiden?
Ergänzung ()

Wenn ich wie in b3 das entsprechende VLAN auswähle, dann den jeweiligen Port tagged (bsp. 24) Kommt folgende Meldung.

Ich weis was das heißt, aber ich den betreffenden Port nicht nur in einer Kategorie auswählen, da Autodetect standardmäßig alle ausgewählt sind. Wie funktioniert das?

Wahrscheinlich muss man doch auf Seriel zurückgreifen....?
Ergänzung ()

Ich glaube ich habs rausgefunden.

Das muss dann quasi wie in b6 aussehen oder?

Info: Das ist jetzt nur mit ein par ports getested. 23 und 24 sind für die AP. 1-4 Hauptnetz.

VLAN 1 muss dann natürlich noch leer werden. Richtig?


Was hat es sich jetzt mit der Port Config in b4 aufsich?
 

Anhänge

  • b4.PNG
    b4.PNG
    74,7 KB · Aufrufe: 341
  • b3.PNG
    b3.PNG
    72,6 KB · Aufrufe: 329
  • b5.PNG
    b5.PNG
    85,2 KB · Aufrufe: 323
  • b6.PNG
    b6.PNG
    44,8 KB · Aufrufe: 307
Zuletzt bearbeitet:
Schau mal hier. Da wird eigentlich alles erklärt. Die GUI auf deinen Screenshots sieht zwar älter aus, aber das Prinzip sollte klar werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Komlexes VLAN im Heimnetzwerk
Antworten
17
Aufrufe
690
Das MatZe
Das MatZe
H
Planung Heimnetzwerk
Antworten
13
Aufrufe
928
norKoeri
N
H
Möglichst anonym im Internet unterwegs sein, IP verschleiern, Heimnetzwerk absichern - Netzwerk-Sicherheits-Anfänger fragt
2 3
Antworten
40
Aufrufe
2.389
Thorakon
T
K
Probleme Heimnetzwerk (WifiCalling & nicht diagnostiziert)
Antworten
11
Aufrufe
595
norKoeri
N
X
Heimnetzwerk Ausbau/Verbesserung (Firewall, Netzsegmentierung)
2
Antworten
29
Aufrufe
1.925
XXXBold
X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz