VLAN in meinem Heimnetzwerk

[CoregaTab]

Ich bin zwar was PC betrifft ein alter Hase aber was Netzwerktechnik betrifft habe ich mich kaum beschäftigt.
In der Mietwohnung reichte mir das banale WLAN der Fritzbox.

Jetzt will ich mich mit dem Thema mehr beschäftigen und würde mich freuen von euch ein paar Ratschläge zu bekommen und auch Erklärungen um etwas zu lernen.

Erst mal zu meiner jetzigen Situation.
Ich habe die Fritzbox umgestellt auf PPPoE Einwahl umgestellt das ich mein komplettes Netzwerk auf UniFi umgestellt habe.
Dabei musste ich schon mal lernen das 2 NAT nicht gut sind. Deswegen die Einwahl.

Als Hardware nutze ich 2 Accesspoint UniFi AP Pro, den UniFi Cloud Gateway Ultra und einen Switch Lite 8 PoE.

Das Netzwerk im Haus habe ich jetzt folgendermaßen angeschlossen.
Alle LAN Kabel laufen auf ein Patch Panel. Von da teile ich auf
Switch
LAN 1 Reserve (PoE)
LAN 2 Reserve (PoE)
LAN 3 AP Flur
LAN 4 AP Wohnzimmer
LAN 5 PC Kinderzimmer
LAN 6 Wohnzimmer
LAN 7 Reserve DG
LAN 8 Gateway

Gateway
LAN 1 PC Arbeitszimmer
LAN 2 NAS
LAN 3 NAS
LAN 4 Switch

Ich habe 3 WLAN Netze aufgebaut.
WLAN 1 für PC, Handy usw.
WLAN 2 für alles was zum Streamen genutzt wird wie Fire Stick und Alexa Zeug
WLAN 3 für alles was mit Smarthome zu tun hat wie Kamera, WLAN Steckdosen oder sonstige Sensoren die WLAN nutzen

Jetzt habe ich ein Video gesehen wo man erklärt bekommt wie man VLAN mit dem Gateway aufbaut und das es sicherer ist.
Da ich an dem Punkt noch Jungfrau bin würde mich das interessieren ob es Sinn machen würde auch in meinem Netzwerk zu realisieren.
Da ich alles gerne aufgelistet habe bekommen bei mir alle Geräte eine feste IP. So weiss ich das im Bereich 100-110 die PC und Laptop sind, 200-220 sind die Kamera usw.
Ich denke mal das Potential durch die Hardware ist das um es auch zu nutzen und gleichzeitig auch was dabei zu lernen.
Jetzt wäre ich über eure Infos dankbar wie ihr ggf. Netzwerke trennen würdet. Zumindest verstehe ich das im VLAN so das ich z.B. den Fire Stick vom Netz der PC trennen könnte was als Paranoid sicherer ist da Fire TV kein zugriff auf die PC hätte. Wobei ich dann aber vermute das ich dann auch den NAS ins gleiche VAN setzen muss das ich mit Kodi zugriff habe.

Danke schonmal

 

[razzy]

Also fangen wir mal an.
VLANs trennen das Netz zunächst mal auf einer logischen Ebene.
Eine Verbindung zwischen den VLANs erhältst du über ein Gateway durch Subinterface (tagged) oder durch einzelne Beinchen pro VLAN.

Sicher(er) ist es erstmal nicht.

Ein VLAN wiederum ist EINE Broadcast Domäne -> ein Broadcast bleibt IMMER innerhalb eines VLANs, außer wir wandeln diesen in einen Unicast um (z.B. DHCP Relay).
Wenn du also Dienste benutzt mit deinem Handy, die einen Broadcast benötigen, könnte es zu schwierigkeiten kommen.
Es gibt hier aber genug einschlägige Literatur.
Soviel zunächst für die Layer2 Thematik.

Kommen wir zum Layer3 (Routing)
Wie schon erwähnt, brauchst du, um mit allen VLANs kommunizieren zu können (auch ins Internet) ein Gateway pro VLAN. Dies wird meist durch Subinterface (tagged) oder durch einzelne physische Interface pro VLAN geregelt.
Hier kann man dann zB auch AccessListen einbinden, was wer wie wo und wohin darf.

Die Erklärung ist von mir jetzt erstmal nur auf das mindeste gekürzt. In der Theorie könnte man jetzt einen großen Aufsatz drüber halten

Im Endeffekt, halte ich so ein Vorhaben total überflüssig (IMHO) für ein Heimnetz, außer ich habe jetzt 100 Clients zu Hause. Das ist aber nur meine persönliche Meinung.
Einzig sinvolles wäre eine Trennung von Gästen und Eigentum

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[snakesh1t]

Jetzt habe ich ein Video gesehen wo man erklärt bekommt wie man VLAN mit dem Gateway aufbaut und das es sicherer ist.

Ja und nein: VLAN trennt auf "logischer" Seite mehrere Netzwerke.
Vor Viren oder sonstigen Bedrohungen schützt es nicht.

Du solltest genau wissen, was du am Ende haben möchtest.
Geräte, die im VLAN1 sind können dann nicht mit Geräte in VLAN2 sprechen und umgekehrt.
Also dein Smartphone könnte dann nicht auf dein Smarthome zugreifen!
Dafür müsstest du in der USG/Gateway die Firewall konfigurieren.
Wenn du diese Tür aufmachst, dann brauchst du dir die ganze Arbeit mit VLAN aber nicht machen.

Versuch es doch mal mit was praktischem: 2 VLANs
VLAN1 mit WLAN für die und dein Haushalt, wo all deine Endgeräte drin sind, die miteinander sprechen können.
Und ein VLAN2 mit WLAN, was dann NICHT auf VLAN1 zugreifen kann, z.B. für ein Gäste-WLAN.

 

[nutrix]

Der Aufwand für die Verwaltung steigt mit der Anzahl der VLANs, wo Du - wie @snakesh1t richtig sagte - für jeden Service und Übergang eine Firewallregel erstellen mußt. Klar kann man auch in Netzbereiche NATen, aber dann wäre ja der Sicherheitsgedanke bzw. Netztrennung eh obsolet. Für ein Heimnetz wäre mir das persönlich zu überdimensioniert.

 

[Natriumchlorid]

VLANs trennen auf logischer Ebene dein Netzwerk. Wie @razzy schon richtig erwähnt, erstellst du mittels VLANs eigenständige Broadcast-Domänen. Heisst also Client A wird beispielsweise in VLAN 50 am Port 1 (untagged) nicht mit Client B in VLAN 60 am Port 2 (untagged) kommunizieren können, weil sie sich in unterschiedlichen virtuellen LANs befinden. Es ist gedanklich so, als hättest du die beiden Clients an unterschiedliche Switches angebunden und die Switches sind untereinander nicht verkabelt.

Innerhalb von diesen VLANs kannst du deine IPs frei bestimmen.

Es wäre möglich in VLAN 50 und VLAN 60 jeweils dieselben IPs aus einem Netz zu verwenden, beispielsweise 10.10.50.0/24. Das macht aber in Regel keinen Sinn. Spätestens wenn du von einem Netzwerk ins andere springen willst (Stichwort: Routing) bekommst du Probleme.

Deshalb vergibt man unterschiedliche IP-Adressen innerhalb der VLANs.

Nun, wenn man Sicherheit aus dem Aspekt betrachtet, dass man Clients voneinander isolieren und segmentieren möchte, dann helfen VLANs dabei. Wie sinnvoll das für dich ist, können wir nicht entscheiden.

Als Hinweis: Wenn du IPs über DHCP verteilst, dann brauchst du in jedem dieser virtuellen Netzwerke einen DHCP-Server. Das kann ein einzelner DHCP-Server sein der multi-homed ist, oder mehrere single-homed DHCP-Server, oder ein DHCP-Server mit entsprechenden DHCP-Relays.

Wenn du neugierig bist, dann würde ich dir empfehlen erstmal zwei VLANs zu erstellen, zwei Clients in die virtuellen Netzwerke zu packen und ein bisschen zu experimentieren. Es ist wichtig zu verstehen, wie VLANs erstellt und verwaltet werden, was die Unterschiede zwischen tagged und untagged Ports sind, was die PVID macht, und so weiter.

Persönlich hab ich meine Hosts und Netzwerke auch in unterschiedliche VLANs (LAN, DMZ, Gäste-WLAN, ...) segmentiert. Ich erlaube zwar das Routing zwischen den Netzwerken implizit, da alle VLANs auf der Firewall terminieren, schränke jedoch mittels Firewalling den Zugriff zwischen den Netzwerken auf das Nötigste ein.

Bei dem Thema kommen einige Komponenten aus der Netzwerklehre zusammen.

 

[Tzk]

Ich rate ebenfalls dazu nicht blind VLAN als Allheilmittel einzusetzen, sondern genau zu überlegen was eigentlich das Ziel ist. Generell erachte ich persönlich die Trennung vom Heimnetz in einen "privaten" Teil und ein Gastnetz für sinnvoll, weil man nicht jedem fremden Gerät Vollzugriff geben sollte.

Ob dann noch weiter segmentiert wird, also z.B. Spielekonsole, Smarthome etc. getrennt von Handys, Computern und Speicher (NAS) laufen sollen oder ob man auch dort weiter aufsplittet, das steht auf einem ganz anderen Blatt.

Tendenziell würde ich versuchen das Konstrukt so einfach und simpel wie möglich zu bauen, aber halt so komplex wie nötig. Es nützt keinem eine extra komplizierte Netzwerkkonfiguration was, wenn die dann nicht mehr vernünftig nutz- und konfigurierbar ist.

 

[CoregaTab]

ok, wenn ich das richtig verstanden habe ist ein VLAN ggf. übertrieben gesagt getrennte Netzwerke so als würde ich alles mit einem eigenen Router trennen und ein Netzwerk aufbauen.

Es würde also keinen Sinn machen das Handy, Fire TV und NAS in unterschiedliche VLAN zu packen da ich dadurch keinen zugriff mehr auf den NAS habe. Man könnte es ggf. durch eine Regel möglich machen was aber am ende den Sinn eines VLAN unsinnig machen würde.

In meinem Fall, auch wenn es fast schon Sinnfrei wäre es sei denn man will es als Übung sehen, packe ich die Ring Cam in ein VLAN das dann direkt zugriff zum Internet hat aber keine Möglichkeit hätte andere Geräte in meinem Netzwerk zu finden.
Ich könnte auch alles im Smart Home in ein VLAN Packen (Ich nutze Homeassistant inkl. Cloud). So hätte im Fall des Falles die Pi von Homeassistant nur zugriff auf die WLAN Schalter und Stecker plus das Internet aber könnte nicht auf meine PC, Handy und NAS zugreifen. Dazu könnte ich ggf. Homeassistant VLAN so einstellen das er im Internet nur zugriff auf eine bestimmte Homepage hat die für die Cloud zuständig ist.

Des weiteren könnte ich ein VLAN einrichten für Tablet und PC meines Kindes bei dem die Firewall extrem eingestellt wäre und auch bei einem Fehler keine Bösen Programme und Co. das ganze Netzwerk angreifen könnte.

Plus, natürlich das Gäste WLAN das nur Internet hat und sonst nichts.

 

[Raijin]

Ich habe 3 WLAN Netze aufgebaut.

Jein#1
Du hast 3 SSIDs, die aber höchstwahrscheinlich alle auf dasselbe Netzwerk zeigen. Das ist nix anderes als wenn man in einem Haus 3 Haustüren (rot, grün, blau) mit separaten Schlüsseln nebeneinanderbaut - alle führen in dasselbe Haus, sogar auf denselben Flur. Sicherheit? Trennung? Weder das eine noch das andere.

Jetzt habe ich ein Video gesehen wo man erklärt bekommt wie man VLAN mit dem Gateway aufbaut und das es sicherer ist.

Jein#2
Wie schon gesagt wurde sind VLANs kein Sicherheitsfeature. VLANs dienen gewissermaßen der virtuellen Mehrfachnutzung ein und derselben physischen Infrastruktur - aus einem physischen Switch werden mit 3 VLANs eben 3 Teil-Switches. Das muss man sich auch wirklich so vorstellen, dass man aus einem 24er Switch zB 3 8er Switches baut oder 4 6er Switches oder einen 12er, 8er und 4er Switch, wie einzeln gekauft.

Ich denke mal das Potential durch die Hardware ist das um es auch zu nutzen und gleichzeitig auch was dabei zu lernen.

Jein#3
VLANs sind prinzipiell erstmal autarke Netzwerke, die sich lediglich virtuell die Kabel, Switches, etc. teilen. Was fehlt also? Ein Router, der diese Netzwerke gegeneinander reglementiert, also Verbindungen blockt oder erlaubt. Fritzboxxen unterstützen keine VLANs, sie können lediglich LAN1-3 als Haupt- und LAN4 als Gastnetzwerk ausgeben und diese beiden Netzwerke kann man mit VLAN-Switches verteilen, aber weder kann man den gegenseitigen Zugriff beeinflussen noch kann man ein 3. VLAN mit der Fritzbox verheiraten. Dazu benötigt man entweder einen Router, der seinerseits VLANs unterstützt oder über ausreichend autarke physische LAN-Schnittstellen verfügt.


VLANs klingen erstmal cool, aber sie erfüllen einen technischen Zweck. Hat man dafür keinen Anwendungsfall, braucht man keine VLANs. Ich finde die VLAN-Grundlagen werden bei Thomas-Krenn sehr anschaulich erklärt. In der IT gilt allgemein das KISS-Prinzip. So simpel wie möglich, aber so komplex wie nötig. VLANs einfach nur der VLANs willen einzusetzen, ist nicht zielführend und führt am Ende zu mehr Problemen als dass es irgendwelche löst. Beispiel SmartHome-VLAN und Steuergerät wie Handy im Haupt-VLAN. Tendenziell problematisch (Stichwort: Broadcasts).

 

[nutrix]

Dazu benötigt man entweder einen Router, der seinerseits VLANs unterstützt oder über ausreichend autarke physische LAN-Schnittstellen verfügt.

Oder man hängt entsprechende Switches und HW-Firewall dran, die das kann.

 

[norKoeri]

Video gesehen

man erklärt bekommt

VLAN

sicherer

Eigentlich ist es nicht unsere Aufgabe, didaktisch schlecht aufbereitete Anleitungen Anderer zu reparieren. Wenn Du Computer-affin bist und das Video nicht verstanden hast, dann bist nicht Du als Schüler sondern der Lehrer Schuld. Du hast nämlich gezahlt, denn diese „Lehrer“ verdienen an Dir als Zuschauer Geld, egal wie schlecht sie sind. Hast Du bereits den Verfasser jenes Videos angehauen oder in einer seiner Communities (Kommentar zum Video, Blog-Post zum Video, …) gepostet? Wenn Du mit jenem Verfasser nichts mehr zu tun haben willst, dann poste bitte wenigstens das Video, damit wir erahnen können, auf welche Holzwege Du geschickt wurdest.

UniFi Cloud Gateway Ultra

Fritzbox umgestellt auf PPPoE Einwahl

Kannst Du das ein wenig ausführen? Ich vermute, Du hast in der FRITZ!Box den Haken bei PPPoE-Passthrough gemacht. Brauchst Du die FRITZ!Box noch für irgendwas anderes, also Telefonie, Smart-Home oder VPN? Wenn nicht, dann wäre mein Tipp die FRITZ!Box durch ein DSL-Modem zu ersetzen. Nutzt Du überhaupt DSL oder Cable oder Fiber?

UniFi Cloud Gateway Ultra

Warum überhaupt UniFi als Router? Wenn Du nur die UniFi-Geräte steuern willst, dann eigentlich den UCK-G2(-PLUS).