Neuaufbau Heimnetzwerk - Bitte um Tipps beim Aufteilung/HW-Kauf

eehm

Lieutenant
Registriert
Juli 2009
Beiträge
557
Hallo,

ich möchte nach dem Umzug mein Heimnetzwerk neu aufbauen.
Es sollte möglichst sicher sein und für mich als Laien auch noch ohne monatelange Einarbeitung konfigurierbar bleiben.
Vernetzt werden müssten:
  • 15 Doppelnetzwerkdosen (anfangs würde auch nur ein Port je Dose reichen)
  • 3 Außen-IP-Kameras (PoE)
  • 3 Access-Points für WLAN
  • Fritz-Box mit Internet einbinden
Ich hätte gerne separate LANs oder VLANs für:
  • Netzwerkdosen
  • WLAN
  • Gast-WLAN
  • IP-Kameras
Die Frage ist jetzt, ob es am besten ist, dass ich mit irgendeinem hochwertigen Router das Netzwerk aufteile und an jeden Port ein separates Switch für die getrennten LANs/VLANs hänge oder ob ich es mit einer Fritzbox und einen managed Switch inkl. POE-Injektoren aufbaue?
Bzw. vielleicht ist diese Idee sowieso sinnfrei und ich sollte euerer Meinung nach einen ganz anderen Ansatz verfolgen?
Vielleicht mag auch der ein oder andere kurz schildern, wie er es bei sich selbst zu Hause gelöst hat?
 
Lord_Dragon schrieb:
Du hast einen wichtigen Punkt vergessen: Das Budget
Danke für den Hinweis.
Budget sollte in diesem Fall nicht das Thema sein.
Wenn jetzt keiner hier sehr teure 10Gbit-HW vorschlägt, dann passt das bestimmt. Aber um eine Summe zu nennen: weniger als 3000 Euro (ohne IP-Kameras)
 
eehm schrieb:
Ich hätte gerne separate LANs oder VLANs für:
  • Netzwerkdosen
  • WLAN
  • Gast-WLAN
  • IP-Kameras
Das ergibt wenig Sinn. Was soll die Unterscheidung Netzwerkdosen vs WLAN? Du weißt was VLANs sind und wie sie funktionieren? Scheinbar nicht.

Wenn du selbst schon einräumst, dass du Laie bist, ist ein komplexes Netzwerk mit mehreren VLANs eigentlich hinfällig. VLANs erstellt man nicht einfach und klickt dann ein paar Kabel in Ports, sondern es kommt auf die Verbindungen untereinander sowie deren Regeln.

Ein Gastnetzwerk via VLAN ist simpel, wenn eine Fritzbox als Router dient. LAN4 als Gast konfigurieren und mit einem VLAN-fähigen Switch auf einem Port mit einem untagged VLAN verbinden. Die Fritzbox regelt alles rund um Zugriff, Firewall, etc.

Dementgegen steht ein separates VLAN für die Kameras. Zum einen die Frage: Warum? Es gibt Gründe dafür und Gründe dagegen. Mit einer Fritzbox allein geht das aber nicht, weil Fritzboxxen nur genau 2 lokale Netzwerke verwalten können, Haupt- und Gastnetz. Für ein separates Kamera-Netzwerk müsste also ein fortgeschrittener Router bzw L3-Switch her. Anschließend muss man eben diesem Router genau sagen was in das bzw aus dem Kameranetz erlaubt ist oder nicht.


Du siehst, dass die Thematik alles andere als trivial ist - und ich habe hier nur 2 Punkte angerissen. Alles in allem liest sich das erstmal so als wenn du irgendwo Begriffe wie "VLAN" aufgeschnappt hast, aber eigentlich nicht wirklich etwas damit anfangen kannst - aber du willst es haben. Da steckt aber wie gesagt mehr dahinter als nur die 4 Buchstaben V, L, A und N.
 
  • Gefällt mir
Reaktionen: bender_ und eehm
Die Dosen würde ich jetzt direkt in einem Aufwasch in den Räumen und am Patchfeld auflegen. Dann ist das alles gemacht und du kannst testen, ob irgendwo ein Kabel defekt ist. Später hat man dazu keine Lust mehr.
Bei 15 Doppeldosen nur für die Räume und dann noch Anschlüsse für Router, Uplink (s.u.) landest du bei einem 48-Port Switch. Da würde ich mal bei ebay (Kleinanzeigen) deine Gegend durchforsten, ob da Firmen nicht ihre "alten" Geräte wegen Wechsel auf 10 Gbit/s aussortieren.

Bei 3 AP und 3 Kameras würde ich nicht mit PoE-Injektoren rumfummeln. Das ist ineffizient und Netzteile samt Kabel nehmen Platz im Serverschrank weg.
Ich würde einen großen Switch (s.o.) für die ganzen Endgeräte und Verbindung zu Router, NAS etc. ohne PoE nehmen. Für die PoE-Geräte dann einen kleinen 8-Port-Switch mit PoE. Diese beiden Switche dann über einen Uplink verbinden.

Die Kabel legst du dann im Anschlussraum auf ein geerdeten Patchfeld.

Mehr als zwei Netze gehen mit der Fritzbox nicht bzw. nur durch Routerkaskade. VLAN gehen mit AVM nicht.
Des Weiteren kannst du nicht per Firewallregel ins andere Netz zugreifen.
Was als Router/Modem in Frage kommt, hängt von deinem Anschluss ab. Bei Glasfaser wird meistens ein Medienkonverter gesetzt und du brauchst kein Modem mehr.

An die Netzwerkdose in den Räumen schließt man entweder ein Endgerät an (PC, Notebook, Drucker usw. an) oder einen WLAN-AP. Ein Rumgefummel mit weiteren Switchen vermeidet man durch ausreichende Dosen.

Sicher und Laie in Kombination mit VLAN usw. beißt sich. Man sollte da schon wissen, was man macht. Ansonsten erreicht man eher das Gegenteil.
Du solltest zumindest Grundlagenkenntnisse in Bezug auf VLAN und Firewall haben.
 
  • Gefällt mir
Reaktionen: eehm
eehm schrieb:
3 Access-Points für WLAN
Bei AVM kannst Du Gast-WLAN auch ohne VLANs erreichen, also einfach FRITZ!Repeater mit Ethernet-Buchse kaufen. Die Kameras kommen dann leider ins normale Heimsegment. Also noch, PoE-Switch, fertig. Du musst nur darauf achten, dass das Gesamt-Budget passt. Und ob Du PoE oder sogar PoE+ brauchst.
eehm schrieb:
3 Access-Points für WLAN
Klingt für mich nach zu wenig. Daher erstmal einfach aufbauen und dann messen …
eehm schrieb:
5 Doppelnetzwerkdosen (anfangs würde auch nur ein Port je Dose reichen)
5 + 3 +1 = 9: Hier lohnt sich beide Switche zusammen zu kaufen … wieder, falls das Gesamt-Budget ausreicht. Wenn Du ein Gerät direkt in die FRITZ!Box stecken könntest, gingen auch viel günstigere 8er-Switche …
eehm schrieb:
Welchen Internet-Anbieter in welchem Land? Welche Zugangstechnologie (DSL, Cable, Fiber oder Mobilfunk)?
 
  • Gefällt mir
Reaktionen: eehm
Omada ist m.E. ein guter Kompromiss (stehe vor einer aehnlichen Fragestellung).

https://www.tp-link.com/en/business-networking/omada-sdn-switch/tl-sg3210xhp-m2/

APs und Kameras an diesen switch und dann diesen hier per 10GBe anbinden

https://www.tp-link.com/en/business-networking/omada-sdn-switch/tl-sg3428x/

Im Hinblick auf immer schnellere Internet Speeds und Bandbreite von Wifi 6/7 wuerde ich mindestens auf 2.5G fuer die Anbindung der APs setzen. TP-Link EAP670 und dazu noch den Omada VPN und Controller und du hast eine intergriertes System fuer ca. 1.5k Euro - sogar mit 4x SFP+ 10GBe um Workstation und NAS anzuschliessen
 
  • Gefällt mir
Reaktionen: Radde
Raijin schrieb:
Das ergibt wenig Sinn. Was soll die Unterscheidung Netzwerkdosen vs WLAN? Du weißt was VLANs sind und wie sie funktionieren?
Das ist ein guter Punkt, WLAN und Netzwerk wird nicht getrennt. Danke.
Generell habe ich mich hierzu schon mal eingelesen und war der Meinung es so halbwegs verstanden zu haben. Das es die Fritz-Box allerdings nicht kann war mir leider nicht klar. Danke für die Info.

Raijin schrieb:
Dementgegen steht ein separates VLAN für die Kameras. Zum einen die Frage: Warum? Es gibt Gründe dafür und Gründe dagegen. Mit einer Fritzbox allein geht das aber nicht, weil Fritzboxxen nur genau 2 lokale Netzwerke verwalten können, Haupt- und Gastnetz. Für ein separates Kamera-Netzwerk müsste also ein fortgeschrittener Router bzw L3-Switch her. Anschließend muss man eben diesem Router genau sagen was in das bzw aus dem Kameranetz erlaubt ist oder nicht.
Ich wollte es zur Sicherheit so lösen. Für die Kameras wollte ich dann ggf. auf meinem ESXi-Server ggf. noch einen Reverse-Proxy einrichten um mein eigenes Netzwerk gegen möglichen Zugriff von außen zu schütze. Aber das müsste ich erst im Nachgang machen und mich davor noch viel einlesen.

norKoeri schrieb:
Welchen Internet-Anbieter in welchem Land? Welche Zugangstechnologie (DSL, Cable, Fiber oder Mobilfunk)?
DSL. Anbieter wird entweder Telekom oder O2 werden. Hier bin ich noch unentschlossen.

Wie könnte den dann ein "einfacher" Aufbau für ein Netzwerk sein mit dem ich verschiedene VLANs erstellen kann?
  • Muss es immer ein L3-Switch sein oder reicht ggf. auch ein Router und daran entsprechend angeschlossene Switches? Falls ja welcher Router von der Stange wäre das dann?
  • Oder ist das alles nicht gut und man sollte in dem Fall den Weg über eine pfSense (z.B. Board mit 4 NICs) gehen die als Router fungiert und daran dann die entsprechenden Switches (L2) anschließen?
 
Du willst dich nicht einarbeiten, sagst aber, dass du einen ESXi-Server hast und dann fallen auch noch Begriffe wie pfSense. Wenn du da nicht weiß, was du machst, hast du im Extremfall kein Internet oder ein offenes Scheunentor.
Um dir und uns einen gefallen zu tun, wäre es sinnvoll zu skizzieren, was du willst und kannst.

Ansonsten gilt: KISS - Keep it simple, stupid
Bei drei Netzen zur Not eine Routerkaskade. Um auf die Kameras zuzugreifen, verbindest du dich mit dem entsprechenden (W)LAN.

Alles, was nicht von außen erreichbar sein muss, ist gut.

Welcher Router das am Ende wird, liegt bei dir. Schau dir einfach mal ein paar Sachen an. Wichtig ist, dass du dich damit zurechtfindest. Du musst das am Ende einrichten (s.o.) und warten.

Beispiel für VLAN (VLAN ID 1 lasse ich weg weil das Tagging mich persönlich nervt):
VLAN ID 10: privates Netz
VLAN ID 20: IoT, z.B. Kameras
VLAN ID 30: Gastnetzwerk

Das sind erstmal nur Netze und sagen nichts über das Medium aus. Diese kannst du über ein klassische Kupferkabel, per LWL, per WLAN oder sogar Richtfunk ausbreiten. Das hat den Vorteil, dass dein PC im gleichen Netz wie dein Handy ist.
Die Fritzbox macht ja nichts anderes. Die hat halt nur ein "VLAN". Das macht die über LAN und WLAN.
 
F31v3l schrieb:
Du willst dich nicht einarbeiten, sagst aber, dass du einen ESXi-Server hast und dann fallen auch noch Begriffe wie pfSense.
Ich werde mich dann doch einarbeiten müssen.
Ich dachte vieleicht gibt es hier manches von der Stange, aber dem ist nicht so. Ich bin beruflich auch in der Informatik tätig, also mit viel Einlesen traue ich mir das schon zu.
Nur bräuchte ich dann halt ein sinnvolles Paket mit dem ich nicht gleich komplett überfordert bin, aber auch nicht nach kurzer Zeit an technische Grenzen stoße!

F31v3l schrieb:
Wenn du da nicht weiß, was du machst, hast du im Extremfall kein Internet oder ein offenes Scheunentor.
Gibt es vielleicht auch die Möglichkeit während der Einarbeitung in eine HW-Firewall inkl. Router die Fritz-Box davor geschaltet zu haben um kein Scheunentor ins Internet zu öffnen?
 
Fang doch am besten erstmal klein an. Alles zu wollen, ist meistens eine schlechte Idee. Nimm einen alten PC und installiere dort erstmal eine Linux-Distribution Deiner Wahl. Da packst Du dann einen Webserver drauf, installierst vielleicht ein paar Webanwendungen dort und alles was Dich so interessiert und bildest quasi Dein eigenes "Internet" nach. Damit lernst Du schon eine Menge wie das Internet funktioniert, sofern Du das noch nie gemacht hast. Wenn Du das schon gemacht hast, dann sollte es sowieso ein Kindergeburtstag sein. :)
Dann kannst Du Dein Heimnetz über die Firewall mit dem Test-PC verbinden und erstmal spielen. Sprich z. B. mal ein paar Ports freischalten, schauen ob dies und das klappt, SSH nach draußen und drinnen, andere Dienste, etc.
Danach dann einen einfachen Router (ohne Modem) in das Setup integrieren und NAT mit ins Spiel bringen. Irgendwann dann auch mal einen Angriff vom Test-PC auf Dein Heimnetz starten. Wenn Du Dir da dann ausreichend sicher bist, kannst Du den nächsten Step gehen.

Einen Managed Switch kannst Du hier dann auch gleich sinnvoll einsetzen. Ich halte sowas im Privatbereich für Overkill, aber wenn Du in der IT bist und was lernen willst, dann gerne. Dann kannst Du gleich mal versuchen, das Setup so umzusetzen, dass Du nie wieder ein Kabel umstecken musst. Ich würde die VLANs grundsätzlich auch erstmal so machen:

VLAN Kameras
VLAN Ethernet und normales WLAN
VLAN Gast-WLAN
VLAN Testnetzwerk

POE-Switch würde ich hier keinen verwenden, sondern Injektoren, vorausgesetzt dass es in absehbarer Zeit nicht weitere Kameras geben wird. Wenn alles am Managed-Switch angeschlossen ist, kannst Du durch einfaches Konfigurieren der Ports Dein komplettes Netzwerk vom Internet trennen und in das Testnetzwerk wechseln. Port mit der Fritzbox in anderes VLAN und dann den Port mit dem Test-PC in das VLAN mit den Geräten konfigurieren. Ok, man könnte auch einfach das Kabel umstecken, aber wenn man schon einen so smarten Switch hat. ;)

Für den Internetzugang würde ich zunächst einfach bei der Fritzbox bleiben. Die ist idiotensicher (glaub mir) und ich würde im Heimnetzbereich auch nie weiter gehen. Aber Dir geht es ja um das Lernen -denke ich-, also gerne später auch was komplizierteres auf das Problem werfen (man kann ja immer zurück). Jedenfalls auf der Fritzbox LAN4 als Gastzugang freischalten und diesen Port mit dem Gast-VLAN verbinden und LAN1 mit dem anderen VLAN. Das VLAN mit den Kameras würde ich nicht mit dem Internet bzw. der Fritzbox verbinden, sofern das nicht gebraucht wird, da das sonst die Trennung aufhebt. Um auf die Kameras zu kommen, kannst Du dann entweder immer den Port am Switch mit dem PC in das andere VLAN konfigurieren oder in dem PC eine zweite Netzwerkkarte einbauen. Oder einen eigenen PC dafür verwenden, usw. Gibt da einige Möglichkeiten.

Sofern die Kameras ebenfalls Internetzugang brauchen, muss man etwas improvisieren. Hier ist dann mit einer reinen Fritzbox keine saubere Trennung möglich - wobei ich da nun nicht gleich zusätzliche Geräte auf das Problem werfen würde. Das kann man später immer noch. Ich würde hier trotzdem die Geräte bereits in das korrekte VLAN setzen, dann auch das Kamera-VLAN mit der Fritzbox verbinden, so dass nun das normale Ethernet- und das Kamera-VLAN erstmal im Prinzip ein Netz sind. Den drei Kameras würde ich dann von Hand eine IP-Adresse außerhalb des Netzes der Fritzbox (192.168.178.x) geben, also z. B. 192.168.179.x und die Routingtabelle der Fritzbox so anpassen, dass auch diese Clients Internetzugang bekommen. Das sollte meiner Meinung nach mit der Fritzbox gehen aber kann es nicht sagen, da ich hier einen Speedlink 5501 habe (mit dem das geht).

Im ersten Step ist imho diese Art der Trennung vollkommen ausreichend (Ottonormaluser ausgesperrt) und es ist alles soweit vorbereitet, dass man es später mit pfSense oder anderen Geräten erweitern kann. Man will ja schließlich auch irgendwann fertig werden und wieder Internet haben. :)
 
thom53281 schrieb:
Für den Internetzugang würde ich zunächst einfach bei der Fritzbox bleiben. Die ist idiotensicher (glaub mir) und ich würde im Heimnetzbereich auch nie weiter gehen. Aber Dir geht es ja um das Lernen -denke ich-, also gerne später auch was komplizierteres auf das Problem werfen (man kann ja immer zurück). Jedenfalls auf der Fritzbox LAN4 als Gastzugang freischalten und diesen Port mit dem Gast-VLAN verbinden und LAN1 mit dem anderen VLAN. Das VLAN mit den Kameras würde ich nicht mit dem Internet bzw. der Fritzbox verbinden, sofern das nicht gebraucht wird, da das sonst die Trennung aufhebt. Um auf die Kameras zu kommen, kannst Du dann entweder immer den Port am Switch mit dem PC in das andere VLAN konfigurieren oder in dem PC eine zweite Netzwerkkarte einbauen. Oder einen eigenen PC dafür verwenden, usw. Gibt da einige Möglichkeiten.
Vielen Dank für deinen überaus hilfreichen Beitrag.
Das ist finde ich ein Ansatz mit Sachverstand. Erst mal nicht der technische Overkill mit der Option jederzeit erweitern zu können.
Ich habe mal ein Bild der Topologie gezeichnet. So hast du das denke ich gemeint?
Topologie mit Fritz Box.jpg


Die entsprechenden Geräte muss ich dann im managed Switch per MAC-Filter den entsprechenden VLAN-Subnetzen zuordnen oder ggf. diverse Ports (z.B. Netzwerkdosen) fest einem VLAN zuweisen.
Wobei es wahrscheinlich über die MAC am besten ist, weil dann ein fremdes Geräte an der Netzwerkdose auch automatisch im Gast-VLAN landet.
Wäre das auch das Vorgehen das du hier empfehlen würdest?

Wegen den Kameras noch eine Frage.
Die wären dann erst mal in Ihrem festen Kamera-VLAN was den Zugriff darauf erschwert. Gibt es eine Möglichkeit dem Switch beizubringen, dass er einen Port dauerhaft deaktiviert, wenn das Kabel abgesteckt wird und erst wieder freigibt, wenn man den Port wieder von innen öffnet?
Dann wäre das aus meiner Sicht mehr als genug Sicherheit für die Außenanschlüsse und ich könnte das Kamera-VLAN ohne schlechtes Gefühl direkt in das andere Netz routen.
Edit: Das geht leider mit der Fritz-Box nicht, weil sie keine VLANs routen kann. Hier müsste dann ein L3-Switch her oder eben doch ein anderer Router. Einen anderen Weg gibt es hier nicht, richtig?
 
Zuletzt bearbeitet:
eehm schrieb:
Ich werde mich dann doch einarbeiten müssen.
Wenn Du spielerisch herangehen willst, dann könntest Du Synology oder Keenetic nehmen. Beide bieten mehr als zwei Heimsegmente auch über deren graphische Benutzer-Oberfläche. Das Stichwort heißt hier Spielerisch. Bei Produkten aus dem Bereich „Verteilte Systeme“ musst Du Dich immer an die Eigenheiten des jeweiligen Herstellers anpassen. So herum lernt man die Grundlagen nicht, weil die Hersteller die Grundlagen selten richtig abgebildet haben. Was Du lernst, ist die Denkweise des jeweiligen Herstellers. Heul. Daher ist auch erweitern, oder von etwas aus starten, fast unmöglich.
eehm schrieb:
So hast du das denke ich gemeint?
Jein. AVM arbeitet nicht mit VLANs sondern mit logischen Verbindungen. Das bedeutet, Du kaufst nur FRITZ!-Produkte. Überall kannst Du, musst Du aber nicht, ein Gast-WLAN aufspannen. Jene Geräte sind von Deinem Heimnetz komplett isoliert. Was für Switche Du dazwischen hast, ist egal.

Zusätzlich hast Du bei AVM den Gast-Zugang für einen der LAN-Ports. Das dürfte für daheim wirklich ausreichen.
eehm schrieb:
DSL. Anbieter wird entweder Telekom oder O₂ werden.
Bei DSL hast Du Auswahl unter vielen Modems. Wenn Du irgendwann spielen willst, mein Tipp, ein reines Modem zu nehmen … so ist die Hürde geringer (Preis), die Router-Plattform zu wechseln. Bei der Telekom Deutschland hast Du den Vorteil, dass sich das IPv6-Präfix nicht täglich ändert. Trotzdem ist es noch ein dynamischen IPv6-Präfix. Was allein das für ein Drama ist, steht auch in der heute erschienen c’t …

Bei der Telekom Deutschland hast Du als Nachteil deren Internet-Peering. Daher rate ich gerne zu 1&1 über Drillisch. Zwar hast Du dort eine tägliche Zwangstrennung, aber 1&1 bietet (nachdem Du Dir DS-Lite ausschalten hast lassen) neben dem Peering einen weiteren Vorteil: 1&1 bietet Mehrfach-Einwahl. So kannst Du hinter einem DSL-Modem ein Test-Netz aufbauen und Dein normales Heimnetz parallel laufen lassen. Und Du kannst die Netze gegenseitig angreifen, also testen.

Ich glaube nämlich Du bist ein Kandidat, der das mit den vorgefertigten Routern gleich sein lässt und direkt zu pfSense wechselst. Der Heise-Verlag hat dazu aber auch zur Heimsegmentierung allgemein immer mal wieder Artikel veröffentlicht. So ist im Jahr 2017 der selbe Artikel einmal in der c’t in der c’t Wissen und einer c’t Spezial erschienen. Wenn Du sowas suchst, suche ich nochmal weiter.
eehm schrieb:
einen Port dauerhaft deaktiviert, wenn das Kabel abgesteckt wird und erst wieder freigibt, wenn man den Port wieder von innen öffnet?
Das kenne ich jetzt so nicht. Aber jetzt wissen wir, woher das mit dem VLANs kommt. Dafür baut man eigentlich eine Port-basierte Zugangskontrolle auf Basis von EAP bzw. RADIUS auf. Dann kann wirklich nur ausgewählte Geräte diesen Port nutzen. Dafür gab es vor zehn Jahren mal einen Artikel in der c’t. Müsste ich heraussuchen. Aber hat sich seitdem wenig geändert. Man muss nur darauf achten, dass die Kamera und der Switch es kann. RADIUS selbst aufsetzen dürfte Dir nicht so schwer fallen.
 
norKoeri schrieb:
Jein. AVM arbeitet nicht mit VLANs sondern mit logischen Verbindungen. Das bedeutet, Du kaufst nur FRITZ!-Produkte. Überall kannst Du, musst Du aber nicht, ein Gast-WLAN aufspannen. Jene Geräte sind von Deinem Heimnetz komplett isoliert. Was für Switche Du dazwischen hast, ist egal.
Jein. Nur Fritz-Produkte zu kaufen kann man machen, ja. Aber gedacht war das anders. Man kann ja ein VLAN an den normalen Port der Fritzbox und ein VLAN an den Gast-Port der Fritzbox anstecken. Schon hat man beide Netze über den Switch zur Verfügung.

Den Ansatz, die Geräte anhand der MAC-Adresse einem VLAN zuzuordnen, halte ich aber nicht für eine gute Praxislösung. Schon alleine wenn man bedenkt, wie leicht man eine MAC fälschen kann. Ich würde einfach einen Accesspoint nehmen, der zwei verschiedene SSID kann und diese Geräte dann mit einem VLAN-Tag versieht. Oder gleich zwei separate Accesspoints, einen für die normalen Geräte und einen für die Gäste. Dann kann man den für die Gäste auch einfach bei Bedarf einschalten und sonst bleibt der aus. Wenn kein Gast da ist, braucht schließlich auch niemand das WLAN.

Hoffe, ich habe hier grad keinen Denkfehler drin.

eehm schrieb:
Dann wäre das aus meiner Sicht mehr als genug Sicherheit für die Außenanschlüsse und ich könnte das Kamera-VLAN ohne schlechtes Gefühl direkt in das andere Netz routen.
Ah, jetzt verstehe ich das Problem. Außenanschlüsse, klar.

Ja, leider ist das nicht leicht, in dem Fall. Da brauchst Du irgendwas zusätzliches. Im Zweifelsfall würde ich die Kameras dann einfach in das Gastnetz hängen und ihnen einen separaten IP-Adressbereich geben und das Gerät auf das gesichert wird, mit einem halbwegs sicheren Kennwort sichern. Ist natürlich nun nicht supersicher, aber dann passiert zumindest nicht gleich was. Zumindest wenn ich nicht grad einen Denkfehler habe. Ich mein, der Angreifer braucht ja auch einen physischen Zugriff und der wird sich da jetzt nicht stundenlang mit einem LAN-Kabel anstecken und rumbasteln bis er da ein Ergebnis hat.

Oder eben, wie schon gesagt, die Netze komplett trennen bis dann die entsprechenden Geräte startbereit sind.
 
  • Gefällt mir
Reaktionen: eehm
thom53281 schrieb:
Den Ansatz, die Geräte anhand der MAC-Adresse einem VLAN zuzuordnen, halte ich aber nicht für eine gute Praxislösung. Schon alleine wenn man bedenkt, wie leicht man eine MAC fälschen kann. Ich würde einfach einen Accesspoint nehmen, der zwei verschiedene SSID kann und diese Geräte dann mit einem VLAN-Tag versieht. Oder gleich zwei separate Accesspoints, einen für die normalen Geräte und einen für die Gäste. Dann kann man den für die Gäste auch einfach bei Bedarf einschalten und sonst bleibt der aus. Wenn kein Gast da ist, braucht schließlich auch niemand das WLAN.
Da hast du recht der Ansatz mit den SSIDs ist im WLAN sicher die beste Lösung.
Gibt es an den Netzwerkdosen dann auch noch Alternativen zur MAC Filterung? Allerdings glaube ich nicht, dass bei mir Leute ein- und ausgehen die hier eine MAC-Adresse faken würden :D

thom53281 schrieb:
Oder eben, wie schon gesagt, die Netze komplett trennen bis dann die entsprechenden Geräte startbereit sind.
OK ich verstehe. Das geht dann aber nur mit einem Router und Firewall richtig?
 
Ja, dann brauchst Du ein entsprechendes Routing. Für sowas ist ein Switch zu dumm.

An den Netzwerkdosen gibt es keine Alternativen zu einer MAC-Filterung wenn Du diese absichern möchtest. Man könnte höchstens selbst gecrimpte Netzwerkkabel mit einer abweichenden Belegung am Switch verwenden, sprich wo z. B. 1-2 und 7-8 gekreuzt sind und die eigenen Geräte mit eben solchen Spezialkabeln anschließen. Dann kriegt niemand sonst einen Link an den Dosen zustande, der das nicht weiß. :freak:
 
eehm schrieb:
Vielleicht mag auch der ein oder andere kurz schildern, wie er es bei sich selbst zu Hause gelöst hat?
Gar kein Heimnetzwerk, ein bißchen LTE und das war's. 😉

Aber bei einer geplanten Installation deiner Größe würde ich tatsächlich eine Fachfirma damit beauftragen, da gibt es so viele Fallstricke, daß selbst jemand mit etwas Background in ITK zu viele Fehler einbauen würde, wenn man das nicht jeden Tag macht. Die Ergebnisse kann man dann in irgendwelchen Untergrundforen begutachten, wo irgendwelche privaten IP-Kameras eifrig gestreamt werden.
 
Wechsler schrieb:
Aber bei einer geplanten Installation deiner Größe würde ich tatsächlich eine Fachfirma damit beauftragen, da gibt es so viele Fallstricke, daß selbst jemand mit etwas Background in ITK zu viele Fehler einbauen würde, wenn man das nicht jeden Tag macht. Die Ergebnisse kann man dann in irgendwelchen Untergrundforen begutachten, wo irgendwelche privaten IP-Kameras eifrig gestreamt werden.
Da muss ich leider sagen, dass das schon sein kann wenn die Firma gut ist. Meine Handwerksbetriebe beim Umbau waren es z.B. am Bau leider überhaupt nicht! :(
Ansonsten würde ich es so und so alles verstehen wollen und nachprüfen, dann kann ich mir finde ich das Geld auch sparen und es gleich selbst machen.

norKoeri schrieb:
Die oben von mir erwähnte Port-basierte Zugangskontrolle mittels IEEE 802.1X. Gute Switche können das.
Das heißt, in diesem Fall könnte ich den Vorschlag mit der Fritz-Box wählen?
LAN1 ist das Netz für "Alles" und LAN4 ist der Gastzugang.
Am Switch ordne ich dann LAN1 einem VLAN-Internet und LAN4 einem VLAN-Gast zu.

Die Sicherheit der Außenanschlüsse und den Zugriff auf die Ports löse ich dann mit 802.1X.
Jetzt wird es aber interessant.
Gibt es Switche die den Radius Server integriert haben und ist so eine Konfiguration recht kompliziert?
Oder welche Hardware benötige ich um sowas aufzubauen?
 
eehm schrieb:
Die Sicherheit der Außenanschlüsse und den Zugriff auf die Ports löse ich dann mit 802.1X.
Bedenke, das deine Kameras das dann auch beherrschen müssen. Ich weiß nicht, wie das bei Kameras aussieht.
eehm schrieb:
Gibt es Switche die den Radius Server integriert haben und ist so eine Konfiguration recht kompliziert?
Ich würde letzteres sagen, besonders für Netzwerkanfänger. Google mal nach „Switch radius“. Die ersten Treffer sind von den großen Herstellern, Ubiquiti scheint es aber auch zu können.
 
Zurück
Oben