Segmentiertes Heimnetzwerk einrichten - welche hardware / wie einrichten?

[2Stoned]

Frohe Ostern!

Gerne würde ich mein Netzwerk etwas sicherer gestalten. Ich habe mir den nachfolgenden Aufbau überlegt, weiss aber noch nicht so recht wie ich dies umsetzen könnte:

1. Modem
2. Asus-Router mit Asuswrt-Merlin
   Zweck: Ad-Blocking via ABSolution, DNScrypt, load-balancing via LTE-USB-Dongle
3. Firewall (Sophos UTM)
   Zweck: Sicherheit
4. Access-Point
   Ziel: 2 verschiedene, voneinander getrennte Subnetze (VLANs?), z.B. eines für IoT und eines für's Büro
   2 WLAN-Netze, welche an die entsprechenden Subnetze gekoppelt sind
5. Switch, welcher die Subnetze weitergeben kann

Ist das irgendwie möglichst einfach umsetzbar?

Vorhanden ist bisher:

• Asus AC87U Router
• PC für Sophos UTM
• Modem
• einfacher 8-Port Switch.

Ziel wäre, z.B. in VLANs ausgedrückt folgendes:

• VLAN0: nur APs, Router, administratives
• VLAN1: Büro und persönliches; PCs, Drucker, NAS - mit einem entsprechenden WLAN
• VLAN2: TV, Konsolen, IoT - mit einem weiteren entsprechenden WLAN

Oder sollte ich vielleicht einfach nur über die Firewall gerätespezifische Kommunikationsrechte einräumen? Z.B. dass ich halt den IoT-Dingerns nur Internet-Zugang erlaube auf spezifischen Ports und keine interne Kommunikation?

 

[engine]

Frohe Ostern.

Du brauchst in meiner Version jedenfalls einen managed Switch für die 3 Vlans und einen Router, der die 3 Vlans verbinden kann.

 

[wahli]

VLAN2 (z. B. TV) soll aber schon auf VLAN1 (z. B. NAS) zugreifen können?
Und VLAN0 soll vermutlich auf alles zugreifen können?

D. h. du möchtest die verschiedenen VLANs schon miteinander verbinden, aber vermutlich dann eben eingeschränkt nach einstellbaren Regeln? Innerhalb eines VLAN möchtest du keinerlei Einschränkung haben.

Zugriff aufs Internet? Wer darf das? Einzelne Geräte? Ganze VLANs? Einzelne Geräte mit definierten Ports?

 

[Langi]

dass ich halt den IoT-Dingerns nur Internet-Zugang erlaube auf spezifischen Ports und keine interne Kommunikation

Hallo,

Welchen Zweck soll diese "tote" IoT-Dingens dann noch erfüllen? Eine Webcam liefert dir dann keine Bilder mehr, ein Kühlschrank kann dir nicht mehr sagen wieviel Liter Milch noch vorrätig sind, etc.
Wenn, dann würde ich eher den Traffic ins Internet verwehren statt andersrum. Das ist sogar ohne Managed-Switch möglich.

Gruss,
Andi

 

[2Stoned]

VLAN2 (z. B. TV) soll aber schon auf VLAN1 (z. B. NAS) zugreifen können?
Und VLAN0 soll vermutlich auf alles zugreifen können?

Meine Multimedia-Geräte müssen eigentlich nicht auf mein NAS zugreifen können. Iin VLAN2 wären bei mir z.B. 'ne Playstation, welche nur ins Internet muss, 'n Receiver, welcher z.B. für spotify und online-Radio ins Internet muss und allenfalls der TV, welcher sich halt Netflix zieht. Diese Geräte brauchen eigentlich nichts aus dem Heimnetzwerk - mit zwei Ausnahmen:

Ein Chromecast-dongle und der Receiver, da diese vom Smartphone oder PC ihre "Abspiel-Aufträge" für Spotify, Youtube oder Netflix erhalten.

VLAN0 dachte ich, so nach ASA-best-practice als Netz für die eigentliche Infrastruktur, also eben Router, APs, Switches.

Welchen Zweck soll diese "tote" IoT-Dingens dann noch erfüllen?

Stimmt, da habe ich mich falsch ausgedrückt. In dieser Kategorie wären Hue-lights, Steckdosen und Amazon Echo, welche größtenteils lieber gar nicht ins Internet kommen, aber z.B. der Echo muss da natürlich nach Hause telefonieren können.

 

[Twostone]

Na ja, IoT-Krempel in ein eigenes Subnetz auslagern macht imho schon Sinn, aber die Kommunikation intern zu beschneiden eher weniger. Wenn, dann Kommunikation "unter Auflagen", also überwacht, und auch nur zu oder von bestimmten Adressen ausgehend.

Ich persönlich setze dafür schlichtweg vier pcengines APU2 mit zwei 24er managed switches ein, wobei bei Dir wahrscheinlich auch nur ein APU und ein switch ausreichen würden (zwei der APUs sind bei mir dedizierte proxies, einer RADIUS und suricata/snort). Als OS empfiehlt sich dann entweder OPNSense oder pfsense. Beide gut geeignet für den beschriebenen Einsatzzweck.

 

[2Stoned]

Was für Gerätschaften braucht man denn, um WLANs je einem VLAN zuzuordnen? Oder müsste ich da je nen AP an einen entsprechenden Port bei einem dazu fähigen Switch hängen? Oder wie kann man das bewerkstelligen, dass man verschiedene Subnetze hat, welche sowohl LAN als auch WLAN umfassen?

 

[Harrdy]

Es gibt AccessPoints die mehrere SSIDs an unterschiedliche tagged VLANs durchreichen kann.