ComputerBase Menü
Aktuelles

Netzwerke trennen

F

frosch006

Lieutenant
Registriert
Mai 2010
Beiträge
620
Hallo,
ich möchte mein Netzwerk neu aufsetzen und optimieren. Ich hab mich die letzten Woch schon durch verschiedene Seiten hier und da durchgelesen. Es wird auch oft abgeraten mit VLAN zu arbeiten, aber ich möchte mich da durchbeisen, ist auch ein Hobby von mir. Als Hardware Produkte hab ich überwiegend unifi und der letzte HP Switch wird jetzt auch gegen einen von unifi ausgewechselt.
Angedacht ist:
VLAN 1 management für Router, Switch, AP, Kameras
VLAN 2 für meinen Bruder der mit im Haus wohnt und auch die AP im Haus und Garten benutzt
VLAN 3 mein privates für Rechner, NAS, usw.
VLAN 4 Heim, Smart Home, IoT, multimedia, Heizungssteuerung, Gartenbewässerung, usw.
VLAN 5 Gäste

kann man das so aufstellen, oder ist das zu extrem aufgestellt, bzw. sollte ich Bereiche anders aufteilen,wie die Kameras da sie nur meinen Bereich und meine Werkstatt betreffen. Sollten die dann in meinen privaten Bereich mit rein?

ma
 
Im Grunde spricht nichts dagegen das so zu machen wie dargestellt. Du solltest dir vorab nur Gedanken machen ob alles wirklich wasserdicht getrennt sein soll, oder doch Querzugriffe notwendig sind. Z.B. von deinem Handy das via WLAN im VLAN2 hängt auf deine Heizungssteuerung in VLAN4.
 
Wenn du der Meinung bist die Trennung durch VLANs bringt dir was, spricht da erstmal nichts dagegen. Du "zerhackst" ja erstmal nur den Switch in mehrer virtuelle.
Interessant wird es dann, wenn es nicht nur dabei bleiben soll und die VLAN untereinander reden sollen (z.B. wenn der Bruder ans NAS will, oder du von deinem PC die Heizungssteuerung aufrufen willst, oder du und der Bruder ins Internet wollen)
Dann braucht du ein Gerät, die die Kommunikation zwischen den VLAN herstellt, also eine passenden Router. Und der will richtig eingestellt sein.
 
Überlege dir vorher genau, was du durch die Trennung in verschiedene VLANs erreichen willst!
Je weiter du aufteilst, um so aufwendiger wird die Verwaltung der Netze und Firewallregeln. Spätestens wenn du dir irgendwelche Broad- und Multicast Proxies bauen musst, weil die verwendeten Geräte für die Benutzung im gleichen L2 Netz designt wurden, bei dir aber in verschiedenen VLANs stecken, wird aus Spaß an der Technik schnell unnötiger Frust. Das betrifft insbesondere Video- und Audioübertragungen.

Wenn es dir um Sicherheit geht, solltest du die VLANs als separate Sicherheitszonen ansehen. Innerhalb einer Zone ist alles erlaubt, zwischen den Zonen kannst du per Firewall steuern. Ich persönlich wollte z.B. eine Heizungssteuerung nicht im gleichen VLAN wie China IoT Kram betreiben...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
EmBee99999 schrieb:
Im Grunde spricht nichts dagegen das so zu machen wie dargestellt. Du solltest dir vorab nur Gedanken machen ob alles wirklich wasserdicht getrennt sein soll, oder doch Querzugriffe notwendig sind. Z.B. von deinem Handy das via WLAN im VLAN2 hängt auf deine Heizungssteuerung in VLAN4.
Zum Vergrößern anklicken....
Hm, ja für den Querzugriff spricht natürlich einiges. Aber genau darin sehen ich die Schwachstelle vom System. Ich hab bisher wohl namhafte Hersteller, aber die können ja auch mal ein Sicherheitsleck haben und ich möchte nicht, dass z.B. über meine Bosch Smart Home Steuerung ein zugriff auf meinen Rechner oder mein NAS erfolgt, deshalb hab ich diese Systeme in ein eigenes Netz.
Nilson schrieb:
Interessant wird es dann, wenn es nicht nur dabei bleiben soll und die VLAN untereinander reden sollen (z.B. wenn der Bruder ans NAS will, oder du von deinem PC die Heizungssteuerung aufrufen willst, oder du und der Bruder ins Internet wollen)
Dann braucht du ein Gerät, die die Kommunikation zwischen den VLAN herstellt, also eine passenden Router. Und der will richtig eingestellt sein.
Zum Vergrößern anklicken....
Mein Bruder bekommt keinen Zugriff auf das NAS. Seine 2 LAN Netzwerkdosen werden dem VLAN 2 zugewiesen. Damit kann er in das Internet bzw. er braucht natürlich die AP, die wir beide nutzen.
Wenn ich von extern auf die Heizung zugreife, dachte ich an VPN.
Bisher läuft das USG und ich stelle gerade auf die unifi UMD Pro um, damit sollte das einstellbar sein.

ma
 
Hast du IOT Geräte, die wlan brauchen, z.B. die Gartenbewässerung?

Falls ja, kann dein AP mit mehreren wlan-Netzen die verschiedenen vlans zugeordnet sind umgehen? Das ist eher ein Enterprise-Feature, bei den AVM Fritz!Sonstwas Geräten kannst du das z.B. vergessen.
 
Vlan1 ist die Default ID und wuerde ich mit Ausnahme eines (ungenutzten) Ports leer lassen.
 
  • Gefällt mir
Reaktionen: up.whatever
frosch006 schrieb:
Hm, ja für den Querzugriff spricht natürlich einiges. Aber genau darin sehen ich die Schwachstelle vom System
Zum Vergrößern anklicken....
Gerade bei Smart Home ist das der Knackpunkt. Viele IoT-Geräte am Markt sind nicht für komplexe Netzwerke designed. D.h. sie sind sehr rudimentär gestaltet und die Apps für Smartphone und Tablet suchen nach den einzelnen Geräten und/oder Bridges ausschließlich im lokalen Subnetz. Der Sicherheitsaspekt ist da gar nicht mal das Entscheidende, weil sie in vielen Fällen subnetzübergreifend schlichtweg gar nicht funktionieren...

Ist dein Handy also im Haupt-WLAN eingeloggt, das ins VLAN 3 verbindet, stehen die Chancen gut, dass du so gut wie keine deiner smarten Geräte aus VLAN 4 finden wirst - es sei denn du steckst viel KnowHow rein und arbeitest mit Broadcast-Relays und solchen Dingen....

Nach und nach kommen die Hersteller zwar auf den Trichter, dass man auch explizite Verbindungen via IP konfigurieren kann, aber das bieten momentan noch die wenigsten. Die Philips Hue App konnte das anfangs auch nicht, aber mittlerweile gibt es in den Optionen eine Möglichkeit, die IP der Bridge einzugeben, wenn die automatische Suche im lokalen Subnetz fehlschlägt.


Grundsätzlich muss man zu VLANs sagen, dass man nur so viele erstellen sollte wie man selbst auch handhaben kann. Ohne nennenswerte Kenntnisse handelst du dir sonst einen derart hohen Aufwand bei Einrichtung und Wartung ein, dass du binnen einer Woche keine Haare mehr auf dem Kopf haben wirst. Meine Empfehlung wäre daher, erstmal mit Haupt- und Gast-VLAN anzufangen, ggfs noch den Bruder als drittes, weil alle 3 ja scheinbar vollständig isoliert sein sollen. Mehr ist erst sinnvoll, wenn du weißt was du da tust, weil wie gesagt gerade IoT eine bitch sein kann.....
 
  • Gefällt mir
Reaktionen: t-6, frosch006 und PERKELE
Raijin schrieb:
Gerade bei Smart Home ist das der Knackpunkt. Viele IoT-Geräte am Markt sind nicht für komplexe Netzwerke designed. D.h. sie sind sehr rudimentär gestaltet und die Apps für Smartphone und Tablet suchen nach den einzelnen Geräten und/oder Bridges ausschließlich im lokalen Subnetz. Der Sicherheitsaspekt ist da gar nicht mal das Entscheidende, weil sie in vielen Fällen subnetzübergreifend schlichtweg gar nicht funktionieren...

Ist dein Handy also im Haupt-WLAN eingeloggt, das ins VLAN 3 verbindet, stehen die Chancen gut, dass du so gut wie keine deiner smarten Geräte aus VLAN 4 finden wirst - es sei denn du steckst viel KnowHow rein und arbeitest mit Broadcast-Relays und solchen Dingen....

Nach und nach kommen die Hersteller zwar auf den Trichter, dass man auch explizite Verbindungen via IP konfigurieren kann, aber das bieten momentan noch die wenigsten. Die Philips Hue App konnte das anfangs auch nicht, aber mittlerweile gibt es in den Optionen eine Möglichkeit, die IP der Bridge einzugeben, wenn die automatische Suche im lokalen Subnetz fehlschlägt.


Grundsätzlich muss man zu VLANs sagen, dass man nur so viele erstellen sollte wie man selbst auch handhaben kann. Ohne nennenswerte Kenntnisse handelst du dir sonst einen derart hohen Aufwand bei Einrichtung und Wartung ein, dass du binnen einer Woche keine Haare mehr auf dem Kopf haben wirst. Meine Empfehlung wäre daher, erstmal mit Haupt- und Gast-VLAN anzufangen, ggfs noch den Bruder als drittes, weil alle 3 ja scheinbar vollständig isoliert sein sollen. Mehr ist erst sinnvoll, wenn du weißt was du da tust, weil wie gesagt gerade IoT eine bitch sein kann.....
Zum Vergrößern anklicken....
Hallo Raijin,
ich werde Deinen Rat mit den 3 Netzen befolgen und ja die 3 Netze sollen soweit wie möglich getrennt sein.
Das heißt für mich ich nehme die VLAN 1, 3 und 4 zusammen für meinen Gebrauch und lasse VLAN 2 für meinen Bruder und das VLAN 5 als Gastnetzwerk.
Funktioniert das dann, dass mein Bruder und das Gastnetzwerk eine WLAN Verbindung mit Internetzugriff haben? Das kann ich dann mit den Regeln erstellen, oder?

ma
 
frosch006 schrieb:
Funktioniert das dann, dass mein Bruder und das Gastnetzwerk eine WLAN Verbindung mit Internetzugriff haben?
Zum Vergrößern anklicken....
Prinzipiell ja. Für WLAN brauchst du natürlich geeignete Access Points, die ihrerseits auf dem LAN-Uplink alle notwendigen VLAN-Tags bekommen und dafür jeweils eine eigene SSID erstellen.

Kleiner Tip noch: Ich würde die Subnetze für die VLANs an die VLAN-IDs anlehnen. Beispielsweise VLAN x = 10.11.x.0/24 und VLAN y = 10.11.y.0/24 usw

So kann man direkt anhand der IP schon sehen in welchem VLAN man sich bewegt bzw. andersherum die IP sofort aus der VLAN-ID erschließen. Um später Konflikte beim Routing mit einer VPN-Verbindung, sollte man dabei auch gleich darauf achten, sich nicht zu sehr an die Werkseinstellungen der Router zu klammern. 192.168.x.0/24 mit x = 0, 1, 2, 178 sollten also gemieden werden. Auch müssen die VLAN-IDs nicht zwingend aufeinanderfolgend sein. VLAN 10, 20, 59, 148, 236 tun's auch. Kreativität lohnt sich. Natürlich nicht zu kreativ wählen, weil man es sich ja noch merken muss.

Ansonsten: Dokumentation ist alles! Und wenn es am Ende nur eine banale Excel-Tabelle ist wo man die Subnetze und einige wichtige IP-Adressen der Infrastruktur festhält.
 
Raijin schrieb:
Prinzipiell ja. Für WLAN brauchst du natürlich geeignete Access Points, die ihrerseits auf dem LAN-Uplink alle notwendigen VLAN-Tags bekommen und dafür jeweils eine eigene SSID erstellen
Zum Vergrößern anklicken....
Hallo,
ich hab aktuell 2x UAP-AC-LITE und 2x UAP-AC-M
Vermutlich kommt demnächst noch ein UAP-AC-IW in Wall AP hinzu, da ich in dem einem Raum eine schlechte Ausleuchtung vom AP auf diesem Geschoss habe.

ma
 
Hallo,
ich komme vermutlich endlich dieses Wochenende dazu die Umstellung vorzunehmen.
Wenn ich jetzt ein Netz anlege, 10.11.2.0/24 da könnte ich dann 252 Geräte anschließen, von 10.11.2.1 bis 10.11.2.253 oder? Bin am überlegen den Geräten wie den AP und Switch feste ip Adressen zu vergeben, bzw. alle fest verbundenen Geräten, wie fernseher, nas, cameras. Was meint ihr?
ma
 
frosch006 schrieb:
da könnte ich dann 252 Geräte anschließen, von 10.11.2.1 bis 10.11.2.253 oder?
Zum Vergrößern anklicken....
Fast. 253 Geräte. .1 - .254



frosch006 schrieb:
Bin am überlegen den Geräten wie den AP und Switch feste ip Adressen zu vergeben, bzw. alle fest verbundenen Geräten, wie fernseher, nas, cameras.
Zum Vergrößern anklicken....
Wozu? Was versprichst du dir von einem Fernseher mit statischer IP?

APs und Switches kann man gerne statische IPs verpassen, weil sie zur Infrastruktur gehören und dann auch ohne DHCP definiert erreichbar sind. Auch Server/NAS können eine statische IP bekommen. Alle anderen Geräte sollten ihre IP vom DHCP bekommen, maximal mit statischer Reservierung, aber eigentlich ist es vollkommen egal welche IP sie haben, weil es dafür ja die Namensauflösung gibt - wenn man denn überhaupt irgendwann mal in die Situation kommt, darauf zugreifen zu wollen.

DHCP und DNS machen das Netzwerk deutlich komfortabler und es wäre dumm, wenn man das bewusst außer Acht lässt - es sei denn man hat spezifische Gründe dafür.
 
Ich möchte noch etwas ergänzen, um Missverständnisse zu vermeiden.

Es gibt 3 Arten der Vergabe von IP-Adressen:

  1. Dynamisch via DHCP ohne nennenswerte Reservierung (zB 24h)
    Das Endgerät bezieht seine IP-Adresse vom DHCP und behält diese auch für die Dauer der Lease-Time (zB 24h). Nach Ablauf der Lease-Time kann diese IP-Adresse vom DHCP-Server neu vergeben werden. Es besteht also keinerlei Garantie, dass das Endgerät immer unter dieser IP erreichbar sein wird.

  2. Dynamisch via DHCP mit statischer Reservierung (permanent)
    Das Endgerät bezieht seine IP-Adresse vom DHCP wie bei 1., aber im DHCP-Server ist eine separate Reservierung konfiguriert, die bewirkt, dass dieses Gerät vom DHCP immer dieselbe IP-Adresse bekommt - nach 24h, 5 Tagen, 8 Montagen oder 6 Jahren.

  3. Statisch am Endgerät konfiguriert
    Die IP-Adresse wird händisch am Gerät eingestellt. Je nach Gerät kann das zB in einer WebGUI passieren, auf einem Display am Gerät oder mit einem Konfigurationstool des Herstellers.

Wichtig zu wissen ist, dass 1 und 2 beide vom DHCP-Server abhängig sind und quasi äquivalent sind, weil die IP in jedem Fall dynamisch ist. Bei 3 ist der DHCP-Server aus dem Spiel. Eine statische IP am Endgerät sollte man nur dann verwenden, wenn dieses Gerät auch im Falle eines Ausfalls des DHCP-Servers erreichbar sein soll. Das kann zB für Geräte der Infrastruktur gelten wie ich oben schon angedeutet hatte. Für alle anderen Geräte ist die IP entweder vollkommen egal oder sie bekommen eine Reservierung im DHCP-Server. Aber selbst ohne Reservierung und sporadisch wechselnder IP-Adresse kann man die Geräte immer noch mit Namen ansprechen. Das NAS bliebe also mit "ping mynas" erreichbar, egal ob die IP gestern noch eine andere war.

Fazit: Statische IP-Adressen nur in Ausnahmefällen, ansonsten dem DHCP-Server die IP-Vergabe überlassen.
 
Zuletzt bearbeitet:
Hallo,
ok, soweit macht das natürlich Sinn. Gedanke mit den Festen war einfach, weil ich manche Geräte im Netzwerk nicht zuordnen konnte, weil zum Teil nur die ip Adresse ausgegeben, bzw. angezeigt wurde. Kann ich einen Bereich für statische ip Adressen reservieren? Es werden mit der Zeit sicher noch feste Geräte dazu kommen, z.b. weiterer Switch, AP, Camera, usw.
kann ich mir z.B. den Bereich, 10.11.2.1 bis 10.11.2.29 für statische ip reservieren und den Bereich 10.11.2.30 bis 10.11.2.254 per DHCP zuweisen lassen. Auch wenn ich jetzt evtl nur 15 statische ip Adressen benötige, dass ich dann noch die reserve von 14 ip Adressen habe die ich in den Geräten fest zuweisen kann.
ma
 
frosch006 schrieb:
kann ich mir z.B. den Bereich, 10.11.2.1 bis 10.11.2.29 für statische ip reservieren und den Bereich 10.11.2.30 bis 10.11.2.254 per DHCP zuweisen lassen.
Zum Vergrößern anklicken....
Ähm, ja? Ganz einfach indem du den DHCP-Bereich so einstellst wie du es schreibst, der Rest bleibt vom DHCP-Server unangetastet und kann von dir frei und ohne schlechtes Gewissen belegt werden. Das A und O dabei ist aber die Dokumentation, und wenn es nur eine Excel-Tabelle ist.

Der DHCP-Bereich sollte eigentlich immer so groß wie nötig, aber so klein wie möglich gehalten werden (wobei letzteres halb so wild ist). Man nehme die Anzahl an Geräten mit dynamischer IP, überlege sich wie häufig neue Geräte hinzukommen, definiere daraufhin die Größe des Bereichs und die Lease Time.

Bei mir setze ich den DHCP-Bereich immer bei .100 - .199 an. So habe ich 100 IPs für den DHCP, von denen ich tatsächlich nur einen Bruchteil benötige, habe aber davor/dahinter noch ausreichend Platz für Geräte, die ich gerne außerhalb platzieren möchte. Auch die Bereiche sind zu groß, aber ein Standard-Heimnetzwerk ist nun mal mit 254 Host-Adressen ausgestattet und da hat man ausreichend Platz, um auf etwas Luft zu lassen. Daher würde ich in deinem Falle hinten auch etwas Platz lassen, einfach weil man es kann.
 
Hallo,
kurz noch zum Verständnis. Ich geb dann z.b. dem Modem die 10.11.2.29 und der Dream Machine Pro die 10.11.2.1 subnetz ist 255.255.255.0 oder muss ich da was an den Einstellungen ändern?
Ursprünglich wollte ich das Netz 192.168.1.x aufbauen, eben das übliche. Hätte dann dem Modem die 192.168.1.254 und der UDMP die 192.168.1.1 gegeben. Hab mir aber den Rat von Raijin zu Herzen genommen, wenn ich das jetzt eh alles mal neu machen möchte dann gleich richtig.
ma
 
Zuletzt bearbeitet:
frosch006 schrieb:
dem Modem die 10.11.2.29 und der Dream Machine Pro die 10.11.2.1
Zum Vergrößern anklicken....
Ein Modem hat in der Regel nur exakt eine Verbindung zum WAN-Port des Routers. Diese Verbindung ist autark und hat nichts mit dem Netzwerk hinter dem Router gemein, auch nicht das Subnetz. Bei Modem<>Router muss man sich auch keinen Kopf um IP-Adressen machen, alles auf Standard lassen und beim Router am WAN auf DHCP stellen. Das Modem macht den Rest.

Modem ~~~ModemNetz~~~ Router --- Heimnetzwerk


frosch006 schrieb:
Hätte dann dem Modem die 192.168.1.254 und der UDMP die 192.168.1.1 gegeben.
Zum Vergrößern anklicken....
Mal ungeachtet der obigen Ausführungen: Wenn du bei 192.168.0.x eine IP gerne so und so vergeben hättest, spricht nichts dagegen, dies auch bei 10.11.2.x so zu tun.
Üblicherweise gibt man dem Router immer die .1. Etwaige zusätzliche Gateways (zB ein PI mit Cyberghost VPN) gibt man dann sinnvollerweise die .2 oder die .254, weil man sich das einfacher merken kann. Eine IP mittendrin ist schlecht zu merken, es sei denn es ist eine "schöne". Mein Drucker hat zB die .250, easy und einfacher als .247 oder war es doch .246?
 
Raijin schrieb:
Ein Modem hat in der Regel nur exakt eine Verbindung zum WAN-Port des Routers. Diese Verbindung ist autark und hat nichts mit dem Netzwerk hinter dem Router gemein, auch nicht das Subnetz. Bei Modem<>Router muss man sich auch keinen Kopf um IP-Adressen machen, alles auf Standard lassen und beim Router am WAN auf DHCP stellen. Das Modem macht den Rest.
Zum Vergrößern anklicken....

Guten Morgen,
ich dachte wenn ich das Netz auf 10.1.2.x einstelle, dass ich keine Verbindung zum Modem herstellen kann, da es außerhalb des Adress Bereichs liegt Wenn ich das Modem auf der Adresse 192.168.1.254 lasse.
Ok, dann lass ich das Modem ( Vigor 166) auf der ip 192.168.1.254
die 192.168.1.1 möchte ich der Dream machine pro Vorbehalten. Ich hatte damals mit meinem UniFi USG Security Gateway Probleme, weil der immer die .1 haben wollte.
ma
 
Wie gesagt, das sind zwei separate Netzwerke. Modem<>Router besteht ausschließlich aus dem Modem und dem Router. Es ist in der Regel sogar so, dass ein drittes Gerät dort gar keine IP vom DHCP im Modem bekommen würde, weil das eine reine 1:1 Verbindung ist. Welche IP-Adressen für Modem und Router (WAN-Port) verwendet werden ist in der Regel irrelevant, sofern es nicht dasselbe Subnetz ist wie am LAN-Port des Routers. Man kann also den Standard aus dem Handbuch des Modems einfach so belassen und muss sich keine Gedanken darüber machen.

Das ist zB eine legitime Konfiguration:

Modem
(LAN @ 192.168.1.254)
|
(WAN @ 192.168.1.1)
Router
(LAN @ 10.1.2.1)
|
Heimnetzwerk 10.1.2.x


Die IPs Modem<>Router kann man nach Modem-Handbuch belegen bzw in der Regel läuft im Modem dafür ein DHCP-Server mit genau einer IP, für den Router. Solange das nicht ebenfalls 10.1.2.x ist, was zu Konflikten führen würde, kann man sich ein Ei drauf backen ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

I
Netzwerke trennen, Vlan
Antworten
15
Aufrufe
2.026
norKoeri
N
V
Mehrere Netzwerke mit einem Router
2
Antworten
20
Aufrufe
4.212
syhm
S
S
Netzwerklaufwerk löschen/trennen
Antworten
4
Aufrufe
1.546
Schraubenwender
S
J
Ein Internetanschluss (Glasfaser) für zwei Wohnungen (getrennte Netzwerke)
2
Antworten
25
Aufrufe
3.811
blastinMot
B
skorpion1800
Netzwerke abtrennen und sichern im Netz
Antworten
10
Aufrufe
724
Bob.Dig
Bob.Dig
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz