VLAN Segmentierung Best Practices?

[apfeI]

Ich überlege mein Netzwerk via VLANs in mehrere Segmente zu unterteilen und würde gerne wissen, ob es generelle Empfehlungen gibt an denen man sich bei der Segmentierung orientieren kann. Ich will das Ganze nicht zu kompliziert aufziehen, aber würde gerne unsichere Geräte von sicheren und den Traffic wo es sinnvoll ist voneinander trennen.

Aktuell habe ich folgende Komponenten:

Verkabelt:

• VLAN fähigen Switch
• OPNSense Router
• PCs
• Proxmox HA Cluster mit Ceph (3 Geräte mit jeweils 2 NICs)
  • virtuelle PiHole DNS Server
  • virtuelles System zum Managen der Switches und AccessPoints (Unifi Controller)
  • virtueller Server zum SmartHome Management
  • virtuelles Monitoring System für Hardware und Smart Home
• DECT VoIP Station mit insgesamt 2 Telefonen
• 3 Access Points
• NAS
  • PhotoBackup für Smartphones

Wifi:

• Smartphones
• Notebooks
• Tonieboxen
• Smart TV
• Konsolen
• Drucker
• SmartHome MQTT Devices

 

[Termy]

Keine Ahnung ob man es Best Practice nennen kann, aber ich habe drei VLANs:

• eins für meine wirklich kontrollierten Geräte (PC, ungoogled Handy, Proxmox Server), dies hat Zugriff auf alle anderen VLANs und Internet
• eins für "unsichere" Geräte/IoT (Smart TV, Windows-PC, Valetudo-Saugroboter und solche Sachen), das standardmäßig keinen Zugriff aufs Internet und zwischen den Geräten erlaubt, mit entsprechenden Ausnahmen wie z.b. Internet für den SmartTV
• eins für Gäste ohne Zugriff auf die anderen, aber mit Internetzugang.

 

[Raijin]

Ich weiß nicht genau was du jetzt hören willst. Ein allgemeingültiges Patentrezept gibt es nicht. Man kann höchstens auf das KISS-Prinzip verweisen, Keep It Simple (and) Stupid. Du musst dir überlegen wie viele Netzwerkebenen du sinnvoll nutzen willst und kannst. Letzteres hängt nicht nur von deinen Kenntnissen im Bereich Routing, Firewall und ggfs NAT ab, sondern auch davon welche Systeme du trennen willst und wie sie netzübergreifend interagieren sollen und können.

Beispiel IoT:
Auch wenn IoT oft mt dem Stichwort "smart" einhergeht, sind viele dieser Geräte doch nicht so smart. Das heißt sie sind nicht auf Multi-Netzwerke ausgelegt, weil sie beispielsweise mittels Broadcasts mit einer App gefunden/gesteuert werden. Broadcasts werden nicht geroutet und somit hätte das Smartphone mit der App in Netzwerk#1 keine Verbindung zum IoT-Gerät in Netzwerk#2.

Es ist nicht sinnvoll, VLANs einfach nur für eine "gerordnete Aufteilung" der Geräte zu verwenden. Beispielsweise Drucker einfach nur in ein separates VLAN zu packen, weil es Drucker sind. Abgesehen davon ist es natürlich auch ziemlich sinnfrei, wenn man am Ende ein Dutzend VLANs hat, die alle untereinander munter 1:1 kommunizieren dürfen, weil man nicht weiß warum und wie man die Firewall zwischen ihnen konfigurieren sollte.

Wenn man wenig Erfahrung hat, sollte man nicht mehr als ~3 VLANs erstellen. Ein Hauptnetzwerk, ein Gastnetzwerk und eine DMZ. Das ist schon anspruchsvoll genug.

 

[azereus]

trusted, untrusted, guest
firewallregeln

 

[Raijin]

trusted, untrusted, guest

Manchmal wünschte ich mir, dass ich das auch so knackig auf den Punkt bringen könnte. Leider komme ich aus meiner NetzwErklärbär-Haut aber nicht so einfach raus ^^

 

[azereus]

sorry wir ergänzen uns sehr oft sehr gut

 

[Crumar]

Also ich habe

vlan	note
guest	internetuplink, sonst nichts
home automation	alles was smarthome betrifft bspw. shellys
management	proxmox,switches, APs, openwrt router, server VMs
regular	alle eigenen geraete / notwendige smart geraete die ich noch richtig konfigurieren muss bzgl. broadcast etc.
arbeit-ich	firmenlaptop, internetuplink, sonst nichts
arbeit-frau	firmenlaptop, internetuplink, sonst nichts

traefik ist gleichzeitig in management und regular
home assistant vm ist in management und home automation

 

[KillerCow]

Gab schon genug sehr gute Infos. Ich muss an der Stelle noch einwerfen, dass man vor allem auch verstehen sollte, was/wofür ein VLAN ist (Layer 2, Segmentierung, Kollisions-/Broadcastdomänen) und wie das mit einem IP-Netzwerk (Layer 3, Routing) im Verhältnis steht.
Das ist nämlich nicht zwingend eine 1:1 Beziehung (1 VLAN = 1 IP-Netz), auch wenn das "in der Regel" so gelebt wird und in den meisten Fällen Sinn ergibt.

 

[Joe Dalton]

Leider komme ich aus meiner NetzwErklärbär-Haut aber nicht so einfach raus ^^

Besser einmal ausführlich und richtig als immer nur halbgar. ;-)

 

[foofoobar]

Definiere die Risiken (Was soll wovor geschützt werden) vor denen unterschiedliche Netze einen Schutz bieten können und dann definiere die Schadenshöhen und die Eintrittswahrscheinlickeiten. Und danach definierst du die Segmente und die Policys welche Kommunikation zwischen den unterschiedlichen Netzen erlaubt sein soll.

Als Beispiel: Je nachdem könnte zum Beispiel rauskommen das das automatische Haus den höchsten Schutz benötigt, wenn z.b. Versorgungseinrichtungen oder Zugangskontrolle darüber laufen.

 

[qiller]

• VLAN fähigen Switch

Ich nehme mal an, dass es (zumindest teilweise) zu einer Kommunikation zwischen den VLANs, aber wahrscheinlich immer mit dem Internet stattfinden soll. Da ist ein nur VLAN-fähiger Switch nicht sooo praktisch. Da solltest drauf achten, dass das ein Layer-3-Switch ist (ist praktisch ein Multiport-Router) - idealerweise mit so Tools wie Firewallregeln oder auch DHCP-Relays (wenn man nicht überall mit manuell festgelegten IP-Adressen oder mehreren DHCP-Servern arbeiten will).

 

[Raijin]

Ein Layer3 Switch ist in keinster Weise notwendig. Den benötigt man eigentlich nur dann, wenn signifikanter Traffic zwischen den VLANs zu erwarten ist. Das ist weitestgehend nur in großen Netzwerken mit vielen parallel aktiven Clients der Fall. Für ein Heimnetzwerk bietet ein L3-Switch keine nennenswerten Vorteile gegenüber einem L2+ Switch und einen Router, der mit den Netzen umgehen kann, wie hier zB ein OPNsense Router.

Der Vorteil von L3 Switches liegt daran, dass sie sozusagen VLAN-übergreifend direkt switchen können - Inter-VLAN-Routing. Mit einem L2+ Switch muss die Verbindung durch den/die Uplinks zum Router. Natürlich ist das ein potentieller Flaschenhals, aber bei vereinzelten Clients, die eh nicht parallel großartig Bandbreite beanspruchen, spielt das keine Geige.

Klar ist es "besser" mit einem L3-Switch, aber für Heimnetzwerke nicht notwendig und sofern man nu nicht gerade für schmales Geld an einen gebrauchten L3-Switch kommt auch tendenziell unnötig teuer - vor allem wenn ansonsten alles vorhanden wäre.

 

[qiller]

Ah ok, wusste nicht, dass bei Opnsense solche Möglichkeiten bietet. Nachteil ist natürlich klar, alles muss durch die Opsense durch (mit evt. Performancenachteilen). Aber das kann man auch als Vorteil sehen, denn jetzt kann man auch sämtliche Firewallregeln einheitlich in der Opnsense hinterlegen.

 

[Joe Dalton]

Ich nehme mal an, dass es (zumindest teilweise) zu einer Kommunikation zwischen den VLANs, aber wahrscheinlich immer mit dem Internet stattfinden soll. Da ist ein nur VLAN-fähiger Switch nicht sooo praktisch.

Doch, finde ich schon. Wenn ich mehr "Security" will, dann hilft mir kein reines Routing weiter.

Da solltest drauf achten, dass das ein Layer-3-Switch ist (ist praktisch ein Multiport-Router) - idealerweise mit so Tools wie Firewallregeln oder auch DHCP-Relays (wenn man nicht überall mit manuell festgelegten IP-Adressen oder mehreren DHCP-Servern arbeiten will).

Welche Layer3-Switches mit vollständiger Firewallfunktionalität kennst Du? ACLs greifen zu kurz, SPI machen nur sehr wenige Switches und letztlich ist eine (NG-)Firewall genau dafür da. DHCP-Relay ist ein Thema, um das man sich kümmern sollte. Aber die OpenSense bekommt das hoffentlich auf die Reihe.

Hat irgendein SOHO-Anbieter Switches mit nennenswerten FW-Funktionen?

Routingperformance ist bei den x86-Firewalls ein Thema, da hinken sie den richtigen L3-Switches deutlich hinterher. Aber für den Hausgebrauch sollte es reichen, sofern man nicht auf die 10 Gbit/s oder mehr schielt.
Wenn ich bedenke, dass es div. Firewallhersteller gibt, deren Produkte nur auf x86-CPUs basieren, dann sollte das in der heimischen Umgebung relativ stressfrei sein.

 

[qiller]

Welche Layer3-Switches mit vollständiger Firewallfunktionalität kennst Du

Ja, also das sind natürlich keine richtigen FWs. Aber einfache Filterregeln sind np, kann sogar unser HP OfficeConnect-Switch.

 

[apfeI]

Super, danke schonmal für die ganzen Inputs, ich werde dann wohl erstmal klein anfangen mit einem Guest und einem Internet Only VLAN, da sollten sich die Regeln und die Migrationsarbeit für die einzelnen Komponenten in Grenzen halten.
Später nehme ich dann eines für Server/Management hinzu und dannach prüfe ich ob für mich noch weitere sinnvoll/notwendig sind.

Ich habe an der OpnSense Box einen WAN und 5 mögliche Ports für mein internes Netzwerk. Öffne ich die internen Ports dann einfach für alle VLANs?

 

[qiller]

Wenn du eh 5 LAN-Ports an der OPNSense hast, könntest die Performance ja verbessern, indem jedes VLAN seine eigene Verbindung zum Switch hat. Nachteil ist natürlich der Mehrverbrauch an Ports.

Ansonsten müssten die VLANs getagged werden, wenn nur ein Zuleitung zur OPNSense genutzt werden soll.

 

[Raijin]

Hat irgendein SOHO-Anbieter Switches mit nennenswerten FW-Funktionen?

Vernutlich kommen die CRS - CloudRouterSwitches - von MikroTik dem am nächsten, zumindest im bezahlbaren Rahmen. Die CRS kann mam mit MikroTiks RouterOS flashen und dann sind das effektiv Router. Wie sich die Modelle von der Performance so verhalten, weiß ich allerdings nicht.

Ich habe an der OpnSense Box einen WAN und 5 mögliche Ports für mein internes Netzwerk. Öffne ich die internen Ports dann einfach für alle VLANs?

Die OPNsense muss in dem von @qiller skizzierten Szenario überhaupt nichts von den VLANs wissen. Damit ist gemeint, dass die OPNsense keinerlei VLAN-Konfiguration benötigt, keine VLAN-ID, kein gar nichts. Du richtest lediglich die LAN1/2/3 Ports aus @qiller `s Skizze für 3 autarke Netzweke ein. Dabei denkst du dir für jedes Netzwerk ein eindeutiges, nicht überlappendes Subnetz aus und gibst OPNsense auf dem entsprechenden Port die erste IP aus diesem Subnetz. zB LAN1 = 192.168.11.1 /24 und LAN2 = 192.168.12.1 /24 und LAN3 = 192.168.13.1 /24. Nun fügst du für jedes dieser Subnetze in OPNsense einen DHCP-Server hinzu und setzt den Pool zB auf .100 - .199.

VLANs kommen in diesem Szenario erst im Switch zum Tragen. Dort erstellst du 3 VLANs und weist ihnen wie gewünscht die Ports zu. Der Router wird dann wie dargestellt mit jeweils einem Kabel mit den drei Teil-Switches verbunden und du hast erstmal ein funktionierendes Netzwerk. Alle Geräte sollten bereits Internetzugriff haben und auch das Routing untereinander wird erstmal freigeschaltet sein, weil Routing nun mal die Aufgabe eines Routers ist.

Im nächsten Schritt wird nun die Firewall so konfiguriert, dass die gegenseitigen Zugriffe bzw. die Zugriffe auf das Internet entsprechend reglementiert werden. Spätestens hier wirst du merken, dass es gar nicht so einfach ist, das vernünftig zu konfigurieren. Normalerweise verfolgt man dabei nämlich eine "default drop" Politik und gibt gezielt nur das frei, was man freigeben möchte. Wenn man sich da noch nicht so sicher ist was wie und wo, führt das in der ersten Zeit regelmäßig dazu, dass Verbindungen blockiert werden, weil man eben noch keine zulassende Regel dafür implementiert hat. Mit der Zeit sammelt man aber Erfahrung und es gibt auch für bestimmte Szenarien wie zB ein Gastnetzwerk auch einige Hilfestellungen im Netz oder auch hier.


*edit
Wenn du dir Subnetze für dein Netzwerk überlegst, sei möglichst kreativ. Viele nehmen instinktiv als erstes bekannte Subnetze wie das ihrer alten Fritzbox (192.168.178.0/24) oder fangen einfach ganz vorne an zu zählen (192.168.0.0, .1.0, .2.0 usw). Das sind aber schlechte Ideen und auch meine Beispiele sind nicht optimal, aber immerhin besser. Es geht nämlich darum, dass du dir womöglich irgendwann ins eigene Knie schießt, wenn du dir einen VPN-Zugang von außen einrichtest. Bist du zB im Urlaub an der Ostsee in einer Ferienwohnung und da hängt ne Fritzbox an der Wand und du hast zu Hause das Fritz-Subnetz laufen, dann wirst du Probleme haben, deine Geräte daheim zu erreichen, weil ein Routing-Konflikt entsteht. Deswegen sollte man Subnetze möglichst kreativ wählen, um die Wahrscheinlichkeit von Überschneidungen im Urlaub, o.ä. möglichst gering zu halten.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Da kannst du dich beliebig austoben, denk dir was schönes aus. Ich nehme immer Geburtstage und bau sie ins Subnetz ein, leicht zu merken.

 

[Joe Dalton]

Ja, also das sind natürlich keine richtigen FWs. Aber einfache Filterregeln sind np, kann sogar unser HP OfficeConnect-Switch.

ACLs... nicht statefull... Es muss ja keinen Spaß machen, aber das ist schon ein wenig Selbstkasteiung.

 

[qiller]

Kann @Raijin nur zustimmen. Ich selber nutze ja IPFire (Nachfolger vom guten alten IPCop - wer kennts noch?^^). Dort sind allerdings mehrere "LAN"-Netze (heißt da "grünes Netz") nicht vorgesehen. Könnte man natürlich nachfummeln (ist auch nurn Linux), aber einige Automatiken müsste man dann auch nachfriemeln. Aber gerade für sowas wie DMZ- oder WLAN-Trennung ist das recht gut, da schon fertig eingebaut.