Planung Heimnetzwerk

[Heimnetzfrage]

Hallo,

ich baue zurzeit und beschäftige mich nun mit der Planung des Netzwerks. Dazu bräuchte ich ein wenig Unterstützung. Mich würde erst mal interessieren, ob das so funktioniert und welche Hardware ich dazu brauche. In die Details zur Konfiguration würde ich mich schrittweise einarbeiten. Ich bin grundsätzlich IT-affin und habe mich hier schon eingelesen, kenne mich aber bei Netzwerkthemen bisher nicht im Detail aus.

In das Netzwerk sollen neben den üblichen Endgeräten die folgenden Komponenten:

• KNX Visualisierung
• Kamerüberwachung (PoE)
• NAS

Die unterschiedlichen Themen sollen per VLAN getrennt werden. Dazu habe ich mir diese Aufteilung überlegt:
VLAN 1: Admin-Zugriff auf Router, Switches
VLAN 2: Gästenetz (WLAN)
VLAN 3: Standardnetz für eigene PCs, Tablets, Smartphones
VLAN 4: Multimedia-Geräte
VLAN 5: Drucker
VLAN 6: Fest installierte PoE-Tablets zur Anzeige der Kameras und KNX Visualisierung
VLAN 7: PoE Kameras/NAS/KNX Visualisierung

Internetzugriff erst mal nur für VLAN 2, 3, 4.
Langfristig vielleicht von unterwegs VPN-Zugriff auf VLAN 7

Außerdem sollen die folgenden Zugriffe per Routing erlaubt werden:
Von VLAN 3 nach VLAN 5, 7
Von VLAN 6 nach VLAN 7

Fragen:

Macht das so grundsätzlich Sinn oder sollte man die VLAN anders strukturieren?

WLAN:
Der Zugriff per WLAN soll nur auf die VLAN 2, 3, 4 möglich sein. Dazu sind 2 - 3 PoE Access Points geplant. Der Zugriff auf die anderen VLAN soll ausschließlich per Netzwerkkabel erfolgen.
Welche Access Points (Marke/Produkt) würdet ihr empfehlen die mit mehreren WLAN/VLAN umgehen können? Die Access Points sollen ein einheitliches WLAN bilden (Mesh o.ä.).
Verständnisfrage: Kommunizieren die Access Points dann per Tagged VLAN Richtung Switch oder wie wird das getrennt? Und kann ich das im Switch dann so konfigurieren dass nur bestimmte VLAN per Tag erreichbar sind?

Switch, Firewall, Router:
Für die VLAN brauche ich soweit ich hier gelesen habe einen Managed Switch. Außerdem für das Routing auf Layer 3 einen Router. Soweit richtig?
Aus Sicherheitsgründen hätte ich außerdem gerne eine gute Firewalllösung, entweder kombiniert mit dem Router oder separat.

Welche Hardwarekomponenten (Marke/Produkt) würdet ihr als (PoE-)Switch, Firewall, Router für diese Anforderungen empfehlen?

Ich bedanke mich bei allen, die sich die Zeit nehmen auf meine Fragen einzugehen.

 

[DJMadMax]

@Heimnetzfrage
Ahoi und herzlich Willkommen im Forum.

Die erste Frage tut sich direkt bei deiner Vernarrtheit in VLANs auf: weißt du denn, was das bedeutet? Normalerweise nutzt man VLANs, wenn diese zwar physikalisch miteinander verbunden, sonst aber voneinander getrennt sein sollen - oder exakt anders herum, eben zwei getrennte Netzte über ein VLAN zusammenzupacken.

Beides ist aber im heimischen Gebrauch überhaupt nicht notwendig und auch nicht üblich. Wieso z.B. soll ein einzelner Drucker (oder auch fünf) in ein vollkommen eigenes VLAN gepackt werden?

Du solltest dur erst einmal im Klaren sein, ob dein "Techniknetz" (KNX, Kameras) autark arbeiten soll oder ob du es von jedem Rechner / Handy / etcpp. im Netzwerk aus zwingend erreichen können musst. Je mehr Vernetzung du betreibst, umso mehr Arbeit hast du auch und zwar nicht nur einmalig bei der Einrichtung.

Von daher würde ich mir an deiner Stelle, bevor du überhaupt weiter ins Detail gehst, noch einmal ganz genau überlegen, was du da für ein Ziel anstrebst.

Deutlich einfacher und vor Allem auch mit i.d.R. nur einmaliger Arbeit verbunden wäre es, mit einem ordentlichen DHCP und entsprechend definierter IP-Range oder/und Subnets zu arbeiten.

 

[Twostone]

Meinst Du nicht, daß das ein paar viele VLANS für ein Eigenheim ist?

Ich würde ein VLAN für Server und Desktops einrichtein, Dinge, die per Ethernet angebunden sind. Zwei VLANs für WLAN, eines für die eigenen WLAN-Geräte und eines für Homeoffice, ggf. auch eines für den Smart-TV und IoT-Dinge wie eben die Kameras, etc.

Also einfach tendenziell Geräte, die potenziell sicher sind von Geräten, die definitiv ein Sicherheitsrisiko darstellen werden, trennen. Bedenke dabei immer, daß für VLAN-übergreifende Kommunikation Dein Gateway mit seiner Rechenleistung zum Flaschenhals werden könnte.

Verständnisfrage: Kommunizieren die Access Points dann per Tagged VLAN Richtung Switch oder wie wird das getrennt? Und kann ich das im Switch dann so konfigurieren dass nur bestimmte VLAN per Tag erreichbar sind?

Der erste Satz kann so umgesetzt werden. Aber: Du wirst von VLAN x zu VLAN y die Kommunikation über Deinen Gateway routen müssen, wenn Du wirklich sinnvollen Nutzen aus der Segmentierung haben willst.

 

[oicfar]

Bei der Komplexität verweise ich auf meine Umfrage:

https://www.computerbase.de/forum/t...dem-setup-wenn-man-nicht-mehr-da-ist.2180332/

 

[arktom]

Am besten trennst du auch noch Handys und deine Rechner. Ein befallenes Handy hat es so dann schwerer, deine Rechner zu beeinträchtigen und umgekehrt.
Wenn du einen wirklichen Sicherheitsgewinn möchtest, solltest du - wie du schon schreibst - eine Firewall nutzen, ich würde diese auch in jedem Fall routen lassen, du hast ja keine tausenden VLANs. Anbieter wie Sophos haben auch Home Lizenzen im Programm.

Nicht alles freizugeben erfordert ein wenig Aufwand, machbar ist das aber alles. Wenn man alles freigibt, um wenig Arbeit zu haben, würde ich mir den Aufwand gleich ganz sparen.

Fraglich ist nur, ob gewisse Geräte von dir Multicast voraussetzen, welches dann netzübergreifend verfügbar sein muss. Kameras also z. B. (kenne deine Modelle nicht), die du von einem Handy aus steuerst, oder Dinge wie Sonos sind da ein ganz schlechtes Beispiel. Auch das wäre dann kein unlösbares Problem, durchaus aber unschön, wie ich finde.

Für zu Hause würde ich an deiner Stelle einfach die nötigen Spezifikationen nehmen und das günstigste an Switches nehmen. Zur Verkabelung wissen wir ja noch nichts. Sollte Glas zum Einsatz kommen, in jedem Fall Drittanbieter-GBICs statt originaler, einfach aus Preisgründen. Und natürlich Multimode.
Kandidaten sind also Mikrotik und ggf. Unifi. Falls gebraucht auch infrage kommt, würde ich nach Aruba 25XX suchen, aber einfach nur, weil ich sie gut kenne, andere Hersteller kochen da auch nur mit Wasser.

Die Sophos Home Firewall kannst du virtualisieren oder auf einem Rechner installieren (musst nur zusehen, dass du die auch auf Hardware als Software installierst, aus Lizenzgründen, ich hoffe, das habe ich noch richtig im Kopf).
Ansonsten pfsense.

Sinnvoll ist das alles, ob es das einem für zu Hause wert ist, muss jeder selbst wissen.

Wie @DJMadMax schreibt, ist die Frage, ob du das wirklich alles möchtest. Wenn man das beruflich macht, ist das etwas anderes als mal eben so, spätestens wenn die Familie quängelt, weil etwas nicht läuft.
Bei der geringen Menge an VLANs - deinen Traffic mutmaße ich jetzt nur - würde ich in keinem Fall davon ausgehen, dass deine Firewall zum Flaschenhals würde, auch nicht mit IPS usw., ggf. für Backup-Traffic ausnehmen und gut.

Edit:
@oicfar interessanter Einwand. Im Zweifel ist alles zurücksetzbar, alles im Internet zu finden. Am Ende stehst du wieder mit deiner FritzBox da, alles in einem Netz. Unrecht hast du natürlich nicht.
Ist immer ein Abwägen. Gleiche Frage ist, was ist, wenn du nicht mehr da bist und keiner mehr weiß, wie das Offsite-Backup zu nutzen ist, weil im Netz etwas befallen wurde. Das ist dann im Zweifel aber nur eines statt mehrerer Probleme. Und das Backup braucht man natürlich auch immer und steht an erster Stelle, vor allem anderen.

 

[Das MatZe]

WLAN:
Der Zugriff per WLAN soll nur auf die VLAN 2, 3, 4 möglich sein. Der Zugriff auf die anderen VLAN soll ausschließlich per Netzwerkkabel erfolgen.

Dann musst du dafür auch wieder eigene VLANs schaffen. Dem Router ist es egal, ob das Paket mal über ein WLAN transportiert wurde oder nur über ein Kabel.

Welche Access Points (Marke/Produkt) würdet ihr empfehlen die mit mehreren WLAN/VLAN umgehen können? Die Access Points sollen ein einheitliches WLAN bilden (Mesh o.ä.).

Ubiquiti/Unify liest man häufig, ebenso TP Link Omada.

Verständnisfrage: Kommunizieren die Access Points dann per Tagged VLAN Richtung Switch oder wie wird das getrennt?

Wenn du den SSIDs entsprechende VLAN tags zuweist: Ja.

Und kann ich das im Switch dann so konfigurieren dass nur bestimmte VLAN per Tag erreichbar sind?

Dem Switch gibst du nur mit, welche VLANs auf dem Port erreichbar sind. Das Routing übernimmt ausschließlich der Router. Mehrere VLAN auf demselben Port brauchst du z.B. für die WLAN APs, welche jeweils ein anderen VLAN Tag pro SSID zuweisen.

Für die VLAN brauche ich soweit ich hier gelesen habe einen Managed Switch.

Ja.

Außerdem für das Routing auf Layer 3 einen Router.

Ja.

Aus Sicherheitsgründen hätte ich außerdem gerne eine gute Firewalllösung

Hier werf ich mal pfSense in den Ring.

 

[xammu]

Ja

Oder gleich einen Layer 3 Switch.

 

[Der_Dicke82]

Moin moin,

theoretisch ist das alles möglich so wie du es vor hast! Aber wahrscheinlich nicht besonders sinnvoll, so wie es die vorposter schon geschrieben haben.

1. mal etwas triviales, nutze keine einstelligen VlanIDs, die sind bei einigen Herstellern eventuell hardcoded besonders vlan1

2. VLANs sind keine Zugangsbeschränkungen in Form von Nutzername+Passwort
Beispiel: Du nutzt deinen Laptop auch zum administrieren, schaust ab und zu auf die PoE Kameras, schiebst Daten auf den NAS oder bespielst deine multimediageräte.
Außerdem nutzt du WLAN und LAN

Also braucht dein Laptop Zugang zu allen VLANs.

So baut man keine VLAN Struktur!

Einige Teile würde ich falls möglich eh mit eigener Hardware isolieren. Zum Beispiel die Kameras.

Eine bessere Struktur wäre:
1. Kein Internet
2. Nur Internet
3. Internet + multimedia
4. Vollen Zugriff

Wobei Geräte aus 4 auf alle VLANs zugreifen können, Geräte aus 3 nur auf 3,2 und 1
Und 1 und 2 sind komplett für sich isoliert

 

[HighTech-Freak]

Das ganze macht nur Sinn wenn die VLANs untereinander sinnvoll (!) firewalled sind. Und genau dort liegt der Hund begraben. Ohne vernünftiges Firewalling ist das oben komplett wertlos. Wenn Du Dir das antun willst, go for it. Im Schlimmstfall is eine gute learning experience...
Bei o.g. vernünftigen Firewalling gehts weniger um den technischen Aspekt, als viel mehr die Frage: was muss wirklich womit kommunizieren. Wenn am Ende den RTSP Stream der Cams eventuell direkt am -whs privacy mäßig fragwürdigen- MultiMedia VLAN (TV...) abgreifen willst, ist das VLANen der Kameras schon wieder sehr stark sinnreduziert. Wenn hingegen nur ein NVR exponiert wird, machts natürlich wiederum Sinn. Will man den Drucker nur die tatsächlich nötigen Print Ports durchlassen weil man das Webinterface schützen will? Gute Idee, aber Airprint zB nutzt ebenfalls HTTP. Port based Firewalling wird da schon wieder schwierig.
Die Frage is am Ende aber vA wovor will man sich schützen? Das ist normalerweise ein risk-based approach...

Bewerkstelligen lässt sich dein Setup prinzipiell unter Wahrung einer gewissen Usability ohne Kostenexplosion am ehesten mit Unifi. Dort wäre das ganze auch mit verhältnismäßig wenig Konfigurations-Aufwand umsetzbar. Was jedenfalls Frickelei ist, ist eine controller-lose Lösung.
Layer 3 Switches wären in dem Fall definitiv sinnvoll für maximale Performance, aber kein muss... sonst geht's halt über den Router...

Merke: Unifi is routingtechnisch eher feature-schwach. Es wird zwar laufend nachgebessert, aber es gibt so manche Szenarien die sich nicht ohne Zusatzhardware abbilden lassen.

 

[Renegade334]

Wie oben schon geschrieben, ist eine sinnvoll konfigurierte Firewall bei deinem Plan Pflicht.
Dazu solltest du auch bedenken, dass die Firewall deine LAN Geschwindigkeiten schaffen muss. Bei einfachen Portregeln sollte das gut machbar sein, aber je mehr Funktionen du nutzen willst, umso schwieriger wird das. 1GBit/s wäre da vermutlich nicht sehr zukunftssicher. Mein alter Haswell i5 hat damals so gerade über 2GBit/s geschafft, bis 1 Kern gebremst hat. Andererseits ist ein N100 Heute in etwa gleich schnell...

Als Testumgebung für "best practice" kann man so etwas auf jeden Fall umsetzen (hatte ich mit 3 getrennten Netzen auch eine Zeit lang), aber die Gefahr ist dabei natürlich groß, dass verschiedenes nicht funktioniert. Einige Geräte haben z.B. vereinfachte Setups über lokale Broadcasts. Das geht natürlich nicht über Netze Hinweg. Und wenn man es richtig machen will, also z.B. auch komplett durchgehendes Dual Stack bis zum Endgerät, muss man mit so Späßen wie Prefix Wechseln durch den Anbieter rechnen. Mit OPNSense oder ähnlichem kann man das recht gut konfigurieren, aber je mehr Komplexität man einbaut, umso mehr Zeit muss man später in Wartung und Fehlersuche investieren.

Davon unabhängig, weil ich das bisher noch nicht als Kommentar gelesen habe:
Deine VLANs sind nicht die IDs, die du später nutzen möchtest, oder?
Ansonsten baust du dir da Konflikte. Ich würde bei so etwas immer in 10er Schritten planen (VLAN 10, 20, ...).
VLAN 1 ist normalerweise untagged/standard und VLAN 7 wird gerne für den Internetanschluss verwendet.

 

[norKoeri]

Macht das so grundsätzlich Sinn oder sollte man die VLAN anders strukturieren?

Abgesehen von den wertvollen Antworten bisher, kannst Du auch im Archiv unter dem Stichwort VLAN von Nutzer @Raijin suchen. Denn Deine Frage hatten wir so bzw. ähnlich schon öfters.

Welche Hardwarekomponenten (Marke/Produkt) würdet ihr als (PoE-)Switch, Firewall, Router für diese Anforderungen empfehlen?

Welchen Internet-Anbieter nutzt Du, welche Technologie (DSL, Cable, Fiber), in welchem Land? Gibt wenige Router-Plattformen, bei den man sich das graphisch Zusammenklicken kann. Wären Synology, Keenetic, … daher spricht was dagegen Dir selbst einen Computer aufzubauen und OPNsense darauf laufen zu lassen?

(PoE-)Switch

Kannst Du alles Unmögliche nehmen. Der Switch muss nur für jene Geräte ohne 802.1X-Unterstützung das VLAN entfernen können, also jeder heute erhältliche konfigurierbare Switch. Ich würde das daran festmachen, was aktuell gebraucht verfügbar ist. Persönlich würde ich zwei Switche nehmen, also einen für PoE und einen für den Rest, denn so ersparst Du Dir laute, Strom-hungrige Lüfter im Switch. Außer Du willst bereits auf Multi-Gig gehen?

ich baue zurzeit

Liegen die LAN-Dosen schon, bist Du schon kurz vor dem Einzug? Klingt mir erstmal für zu früh … (letzter Absatz)

 

[Heimnetzfrage]

Vielen Dank für diese sehr hilfreichen Antworten!

@Heimnetzfrage
Ahoi und herzlich Willkommen im Forum.

Die erste Frage tut sich direkt bei deiner Vernarrtheit in VLANs auf: weißt du denn, was das bedeutet? Normalerweise nutzt man VLANs, wenn diese zwar physikalisch miteinander verbunden, sonst aber voneinander getrennt sein sollen - oder exakt anders herum, eben zwei getrennte Netzte über ein VLAN zusammenzupacken.

Beides ist aber im heimischen Gebrauch überhaupt nicht notwendig und auch nicht üblich. Wieso z.B. soll ein einzelner Drucker (oder auch fünf) in ein vollkommen eigenes VLAN gepackt werden?

Du solltest dur erst einmal im Klaren sein, ob dein "Techniknetz" (KNX, Kameras) autark arbeiten soll oder ob du es von jedem Rechner / Handy / etcpp. im Netzwerk aus zwingend erreichen können musst. Je mehr Vernetzung du betreibst, umso mehr Arbeit hast du auch und zwar nicht nur einmalig bei der Einrichtung.

Von daher würde ich mir an deiner Stelle, bevor du überhaupt weiter ins Detail gehst, noch einmal ganz genau überlegen, was du da für ein Ziel anstrebst.

Deutlich einfacher und vor Allem auch mit i.d.R. nur einmaliger Arbeit verbunden wäre es, mit einem ordentlichen DHCP und entsprechend definierter IP-Range oder/und Subnets zu arbeiten.

Mir geht es darum, die Sicherheit durch Trennung in verschiedene Netze zu erhöhen. Insbesondere sollen möglicherweise unsichere Geräte nicht auf kritische Ressourcen zugreifen können. Z. B. muss der Drucker nicht auf die Kameras oder den NAS zugreifen können. Auch Gäste sollen nur eingeschränkten Zugriff haben, sodass z. B. kompromittierte mobile Endgeräte von Gästen keinen oder nur geringen Schaden anrichten können. Natürlich ist das nicht unbedingt nötig, ich hätte aber auch Spaß daran und könnte mein Wissen zu Netzwerk-Themen vertiefen.

Über die Anzahl der VLANs kann man sicher noch diskutieren.

Wegen der IP-Range oder/und Subnets stehe ich etwas auf dem Schlauch: Was wäre der Vorteil gegenüber den VLANs?

Meinst Du nicht, daß das ein paar viele VLANS für ein Eigenheim ist?

Ich würde ein VLAN für Server und Desktops einrichtein, Dinge, die per Ethernet angebunden sind. Zwei VLANs für WLAN, eines für die eigenen WLAN-Geräte und eines für Homeoffice, ggf. auch eines für den Smart-TV und IoT-Dinge wie eben die Kameras, etc.

Also einfach tendenziell Geräte, die potenziell sicher sind von Geräten, die definitiv ein Sicherheitsrisiko darstellen werden, trennen. Bedenke dabei immer, daß für VLAN-übergreifende Kommunikation Dein Gateway mit seiner Rechenleistung zum Flaschenhals werden könnte.

Der erste Satz kann so umgesetzt werden. Aber: Du wirst von VLAN x zu VLAN y die Kommunikation über Deinen Gateway routen müssen, wenn Du wirklich sinnvollen Nutzen aus der Segmentierung haben willst.

Ja, ich sehe ein, dass das vermutlich zu viele sind. Ich würde erst mal mit einigen wenigen VLANs starten und dann bei Bedarf weiter aufteilen.

Bei der Komplexität verweise ich auf meine Umfrage:

https://www.computerbase.de/forum/t...dem-setup-wenn-man-nicht-mehr-da-ist.2180332/

Danke für den Hinweis. Ich würde das wie arktom sehen: Ich würde ordentlich dokumentieren und notfalls fliegt alles raus und wird durch eine FritzBox ersetzt.

Am besten trennst du auch noch Handys und deine Rechner. Ein befallenes Handy hat es so dann schwerer, deine Rechner zu beeinträchtigen und umgekehrt.
Wenn du einen wirklichen Sicherheitsgewinn möchtest, solltest du - wie du schon schreibst - eine Firewall nutzen, ich würde diese auch in jedem Fall routen lassen, du hast ja keine tausenden VLANs. Anbieter wie Sophos haben auch Home Lizenzen im Programm.

Nicht alles freizugeben erfordert ein wenig Aufwand, machbar ist das aber alles. Wenn man alles freigibt, um wenig Arbeit zu haben, würde ich mir den Aufwand gleich ganz sparen.

Fraglich ist nur, ob gewisse Geräte von dir Multicast voraussetzen, welches dann netzübergreifend verfügbar sein muss. Kameras also z. B. (kenne deine Modelle nicht), die du von einem Handy aus steuerst, oder Dinge wie Sonos sind da ein ganz schlechtes Beispiel. Auch das wäre dann kein unlösbares Problem, durchaus aber unschön, wie ich finde.

Für zu Hause würde ich an deiner Stelle einfach die nötigen Spezifikationen nehmen und das günstigste an Switches nehmen. Zur Verkabelung wissen wir ja noch nichts. Sollte Glas zum Einsatz kommen, in jedem Fall Drittanbieter-GBICs statt originaler, einfach aus Preisgründen. Und natürlich Multimode.
Kandidaten sind also Mikrotik und ggf. Unifi. Falls gebraucht auch infrage kommt, würde ich nach Aruba 25XX suchen, aber einfach nur, weil ich sie gut kenne, andere Hersteller kochen da auch nur mit Wasser.

Die Sophos Home Firewall kannst du virtualisieren oder auf einem Rechner installieren (musst nur zusehen, dass du die auch auf Hardware als Software installierst, aus Lizenzgründen, ich hoffe, das habe ich noch richtig im Kopf).
Ansonsten pfsense.

Sinnvoll ist das alles, ob es das einem für zu Hause wert ist, muss jeder selbst wissen.

Wie @DJMadMax schreibt, ist die Frage, ob du das wirklich alles möchtest. Wenn man das beruflich macht, ist das etwas anderes als mal eben so, spätestens wenn die Familie quängelt, weil etwas nicht läuft.
Bei der geringen Menge an VLANs - deinen Traffic mutmaße ich jetzt nur - würde ich in keinem Fall davon ausgehen, dass deine Firewall zum Flaschenhals würde, auch nicht mit IPS usw., ggf. für Backup-Traffic ausnehmen und gut.

Edit:
@oicfar interessanter Einwand. Im Zweifel ist alles zurücksetzbar, alles im Internet zu finden. Am Ende stehst du wieder mit deiner FritzBox da, alles in einem Netz. Unrecht hast du natürlich nicht.
Ist immer ein Abwägen. Gleiche Frage ist, was ist, wenn du nicht mehr da bist und keiner mehr weiß, wie das Offsite-Backup zu nutzen ist, weil im Netz etwas befallen wurde. Das ist dann im Zweifel aber nur eines statt mehrerer Probleme. Und das Backup braucht man natürlich auch immer und steht an erster Stelle, vor allem anderen.

Im Haus sind normale CAT7 Kabel verlegt. Internet per Glasfaser (Telekom).

Ich habe mir die genannten Produkte angeschaut. Vorallem Unifi klingt interessant, da scheint die Usability im Vordergrund zu stehen, wie auch HighTech-Freak unten schreibt. Mit einer Dream Machine Pro, Unifi Access Points, einem Managed PoE-Switch, einem Managed Switch ohne PoE und dem Telekom-Modem müsste ich alle benötigten Komponenten zusammen haben. Oder übersehe ich etwas?
Das könnte ich erst einmal rudimentär ohne VLAN aufsetzen und dann schrittweise VLANs konfigurieren. Wäre das ein sinnvoller Ansatz?

Dann musst du dafür auch wieder eigene VLANs schaffen. Dem Router ist es egal, ob das Paket mal über ein WLAN transportiert wurde oder nur über ein Kabel.

Ubiquiti/Unify liest man häufig, ebenso TP Link Omada.


Wenn du den SSIDs entsprechende VLAN tags zuweist: Ja.
Dem Switch gibst du nur mit, welche VLANs auf dem Port erreichbar sind. Das Routing übernimmt ausschließlich der Router. Mehrere VLAN auf demselben Port brauchst du z.B. für die WLAN APs, welche jeweils ein anderen VLAN Tag pro SSID zuweisen.


Ja.

Ja.

Hier werf ich mal pfSense in den Ring.

Danke, dann habe ich das richtig verstanden.

Oder gleich einen Layer 3 Switch.

Habe ich das richtig verstanden: Das wäre vorteilhaft bei der Performance und nachteilig bei der Usability.

Moin moin,

theoretisch ist das alles möglich so wie du es vor hast! Aber wahrscheinlich nicht besonders sinnvoll, so wie es die vorposter schon geschrieben haben.

1. mal etwas triviales, nutze keine einstelligen VlanIDs, die sind bei einigen Herstellern eventuell hardcoded besonders vlan1

2. VLANs sind keine Zugangsbeschränkungen in Form von Nutzername+Passwort
Beispiel: Du nutzt deinen Laptop auch zum administrieren, schaust ab und zu auf die PoE Kameras, schiebst Daten auf den NAS oder bespielst deine multimediageräte.
Außerdem nutzt du WLAN und LAN

Also braucht dein Laptop Zugang zu allen VLANs.

So baut man keine VLAN Struktur!

Einige Teile würde ich falls möglich eh mit eigener Hardware isolieren. Zum Beispiel die Kameras.

Eine bessere Struktur wäre:
1. Kein Internet
2. Nur Internet
3. Internet + multimedia
4. Vollen Zugriff

Wobei Geräte aus 4 auf alle VLANs zugreifen können, Geräte aus 3 nur auf 3,2 und 1
Und 1 und 2 sind komplett für sich isoliert

Danke, die Strukturierung der VLANs muss ich noch mal überdenken. Meine Nummerierung soll nicht die VLAN-IDs darstellen. Da werde ich zweistellige IDs verwenden.

Das ganze macht nur Sinn wenn die VLANs untereinander sinnvoll (!) firewalled sind. Und genau dort liegt der Hund begraben. Ohne vernünftiges Firewalling ist das oben komplett wertlos. Wenn Du Dir das antun willst, go for it. Im Schlimmstfall is eine gute learning experience...
Bei o.g. vernünftigen Firewalling gehts weniger um den technischen Aspekt, als viel mehr die Frage: was muss wirklich womit kommunizieren. Wenn am Ende den RTSP Stream der Cams eventuell direkt am -whs privacy mäßig fragwürdigen- MultiMedia VLAN (TV...) abgreifen willst, ist das VLANen der Kameras schon wieder sehr stark sinnreduziert. Wenn hingegen nur ein NVR exponiert wird, machts natürlich wiederum Sinn. Will man den Drucker nur die tatsächlich nötigen Print Ports durchlassen weil man das Webinterface schützen will? Gute Idee, aber Airprint zB nutzt ebenfalls HTTP. Port based Firewalling wird da schon wieder schwierig.
Die Frage is am Ende aber vA wovor will man sich schützen? Das ist normalerweise ein risk-based approach...

Bewerkstelligen lässt sich dein Setup prinzipiell unter Wahrung einer gewissen Usability ohne Kostenexplosion am ehesten mit Unifi. Dort wäre das ganze auch mit verhältnismäßig wenig Konfigurations-Aufwand umsetzbar. Was jedenfalls Frickelei ist, ist eine controller-lose Lösung.
Layer 3 Switches wären in dem Fall definitiv sinnvoll für maximale Performance, aber kein muss... sonst geht's halt über den Router...

Merke: Unifi is routingtechnisch eher feature-schwach. Es wird zwar laufend nachgebessert, aber es gibt so manche Szenarien die sich nicht ohne Zusatzhardware abbilden lassen.

Danke, Unifi gefällt mir auf den ersten Blick. Wäre meine oben beschriebene Einkaufsliste so in Ordnung?

Wie oben schon geschrieben, ist eine sinnvoll konfigurierte Firewall bei deinem Plan Pflicht.
Dazu solltest du auch bedenken, dass die Firewall deine LAN Geschwindigkeiten schaffen muss. Bei einfachen Portregeln sollte das gut machbar sein, aber je mehr Funktionen du nutzen willst, umso schwieriger wird das. 1GBit/s wäre da vermutlich nicht sehr zukunftssicher. Mein alter Haswell i5 hat damals so gerade über 2GBit/s geschafft, bis 1 Kern gebremst hat. Andererseits ist ein N100 Heute in etwa gleich schnell...

Als Testumgebung für "best practice" kann man so etwas auf jeden Fall umsetzen (hatte ich mit 3 getrennten Netzen auch eine Zeit lang), aber die Gefahr ist dabei natürlich groß, dass verschiedenes nicht funktioniert. Einige Geräte haben z.B. vereinfachte Setups über lokale Broadcasts. Das geht natürlich nicht über Netze Hinweg. Und wenn man es richtig machen will, also z.B. auch komplett durchgehendes Dual Stack bis zum Endgerät, muss man mit so Späßen wie Prefix Wechseln durch den Anbieter rechnen. Mit OPNSense oder ähnlichem kann man das recht gut konfigurieren, aber je mehr Komplexität man einbaut, umso mehr Zeit muss man später in Wartung und Fehlersuche investieren.

Davon unabhängig, weil ich das bisher noch nicht als Kommentar gelesen habe:
Deine VLANs sind nicht die IDs, die du später nutzen möchtest, oder?
Ansonsten baust du dir da Konflikte. Ich würde bei so etwas immer in 10er Schritten planen (VLAN 10, 20, ...).
VLAN 1 ist normalerweise untagged/standard und VLAN 7 wird gerne für den Internetanschluss verwendet.

Danke. Ich würde die Anzahl VLANs erst mal reduzieren und mich schrittweise vorarbeiten. Danke für den Hinweis mit den IDs.

Abgesehen von den wertvollen Antworten bisher, kannst Du auch im Archiv unter dem Stichwort VLAN von Nutzer @Raijin suchen. Denn Deine Frage hatten wir so bzw. ähnlich schon öfters.

Welchen Internet-Anbieter nutzt Du, welche Technologie (DSL, Cable, Fiber), in welchem Land? Gibt wenige Router-Plattformen, bei den man sich das graphisch Zusammenklicken kann. Wären Synology, Keenetic, … daher spricht was dagegen Dir selbst einen Computer aufzubauen und OPNsense darauf laufen zu lassen?

Kannst Du alles Unmögliche nehmen. Der Switch muss nur für jene Geräte ohne 802.1X-Unterstützung das VLAN entfernen können, also jeder heute erhältliche konfigurierbare Switch. Ich würde das daran festmachen, was aktuell gebraucht verfügbar ist. Persönlich würde ich zwei Switche nehmen, also einen für PoE und einen für den Rest, denn so ersparst Du Dir laute, Strom-hungrige Lüfter im Switch. Außer Du willst bereits auf Multi-Gig gehen?

Liegen die LAN-Dosen schon, bist Du schon kurz vor dem Einzug? Klingt mir erstmal für zu früh … (letzter Absatz)

Danke, die Beiträge von Raijin sind sehr hilfreich. Internet per Glasfaser (Telekom) in Deutschland.
Die LAN-Dosen liegen tatsächlich schon, der Einzug ist in einigen Wochen geplant.

 

[Das MatZe]

Ja, ich sehe ein, dass das vermutlich zu viele sind. Ich würde erst mal mit einigen wenigen VLANs starten und dann bei Bedarf weiter aufteilen.

Für den Anfang reichen ja sogar erst mal zwei. Hauptnetz und Gastnetz. Wichtiger ist, dass die Familie ein (funktionierendes) WLAN hat und begreift, dass man Gästen eben nicht gleich Zugang zum Hauptnetz gibt sondern diesen am besten einen ausgedruckten Zettel mit QR-Code (Und Passwort für die Apfelnutzer) fürs Gastnetz unter die Nase hält

und dem Telekom-Modem

https://geschaeftskunden.telekom.de/internet-dsl/produkt/digitalisierungsbox-glasfasermodem-kaufen
Dann besteht das Glasfasermodem nur noch aus nem SFP Modul, welches du in die Dream Machine steckst.
Oder dem Switch, was du dann an den Router der Wahl durchreichst.

Das könnte ich erst einmal rudimentär ohne VLAN aufsetzen und dann schrittweise VLANs konfigurieren. Wäre das ein sinnvoller Ansatz?

Siehe oben. Passt so.

Habe ich das richtig verstanden: Das wäre vorteilhaft bei der Performance und nachteilig bei der Usability.

Jo. Wobei letzteres nicht zwingend zutreffend sein muss.
Aber dann muss eben nicht alles zwingend durch den Router, sobald traffic zwischen den VLANs da ist.

Wenn du z.B. nen NVR (Network Video Recorder) in VLAN 20 hast und willst die Daten auf ein NAS in VLAN 10 kopieren, geht 1GBit vom NVR zum Router und 1GBit vom Router zum NAS.
Ein Layer 3 Switch kann das "Hausintern" abfrühstücken.

 

[norKoeri]

Die LAN-Dosen liegen tatsächlich schon

Wo sind die Dosen, an der Decke, Wand oder Sockelleiste?

Ich würde mit einer gebrauchten FRITZ!Box 7520 anfangen, damit Ihr WLAN und Internet habt. Dadurch hast Du auch ein Gast-Netz.

Dann das Haus bezüglich WLAN durchmessen … also ermitteln, wo überall ein WLAN-Punkt hin sollte. Normalerweise ein 2,4-GHz-Punkt pro Stockwerk. Und dann zusätzlich 5-GHz-Punkte in den Lümmelecken. Habt Ihr bevorrechtigte Nutzer in jenem WLAN-Band, dann WLAN-Punkte mit zwei Funk-Einheiten oder wenigstens Zero-Wait-DFS. Oder zusätzlich 6-GHz-WLAN.

Dann gebraucht einen konfigurierbaren Switch holen.

UniFi klingt interessant

Gibt noch einige mehr …