V-Lans zuhause einrichten.

charmin

Super Moderator
10x

Registered: Dec 2002
Location: aut_sbg
Posts: 14663

08.02.2024 - 19:47

Servus,

schizo hat mir im Hausautomations-Thread mitgeteilt, dass mein Heimnetzwerk schei**e is und ich ein Looser bin.

Ich bin vor einiger Zeit auf Shelly, Wiz etc umgestiegen und habe nun einige WiFi Geräte im Netz.
Die Idee wäre nun (laut schizo

), dass ich mir ein V-Lan einrichte.

Ich habe mehrere Deco X60, die als AP fungieren. Die IP Adressen im LAN und im W-Lan verteilt ein PiHole DHCP in nem Docker aufm Heimserver bei mir.

schizo war so net, mir eine Liste mit managed switches zu senden, welche in meinen 10" schrank passen.

Zitat aus einem Post von schizo
Der ist zu breit für 10".

Hier wäre eine Liste von GBit 10" Managed Switches, dass PoE hier weit verbreitet ist ist ein Zufall. Von den Geräten würde ich wohl zu UI greifen, falls sie Mal verfügbar sind, alternativ zu Linksys.

Der Aussage, dass GBit heutzutage eventuell zu wenig ist stimme ich grundsätzlich zu. Aber 10" verteuert das ganz ungemein. Der billigste Switch mit 2 SFP+ Ports kostet gleich 540€. Bei 19" wäre die Auswahl deutlich größer und günstiger.

Was muss ich jetzt wie machen?

Einfach den Switch austauschen, dort 2 oder mehrere V-Lans definieren und das wars?
IP Adressen verteile ich über MAC über DHCP. Kann der DHCP auch Adressen verteilen fürs VLAN 2 obwohl er im VLAN 1 hängt?

Kann ich dann auch Vlans im WiFi haben unter derselben SSID usw?

tia! bin netzwerk noob.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2550

08.02.2024 - 20:07

neue VLans am Router konfigurieren, am Routerport, an dem der Switch hängt VLan0 auf Access, alle weiteren VLans Tagged, auf den Switchports für den Router und den APs selbiges.
Wenn du z.B. VLan10 für deine Rechner und VLan20 für IoT Devices verwendest auf den Switchports für die Rechner VLan10 auf Access, falls wo verkabelte IoT Devices hängen sollten dort den Switchport mit Access auf VLan20 konfigurieren.

Auf den APs richtest du dann eine SSID für deine PCs mit VLan10 ein und eine Gäste/IoT SSID mit VLan20, dort drehst du auch AP Isolation auf (Achtung, trotz AP Isolation dürfen Wireless Clients in der SSID mit Wired Clients aus dem selben VLan sprechen, also eventuell trennst du auch noch das IoT Netz in ein wired und wireless IoT Netze (optimal wäre ja ein /30 Subnet für jedes wired device, damit sich dieses nicht mit anderen wired IoT Devices unterhalten dürfen).

Du musst die DHCP Config anpassen und am Router ein DHCP relay/DHCP forwarding für das zusätzliche VLan konfigurieren, damit die DHCP Requests zum piHole weitergeleitet werden.
Pro VLan benötigst du eine eigene SSID. Die maximale Anzahl an SSIDs ist begrenzt, die Decos unterstützen scheinbar bis zu 6 SSIDs (allerdings habe ich auf die Schnelle nicht gefunden, ob dies pro Frequenz - also 2,4 und 5GHz - ist oder gesamt).

edit: welchen Router hast du in Verwendung? Dort wird vermutlich auch eine Firewall drauf laufen können. Auf dieser solltest du einrichten, dass die Kommunikation aus dem IoT Lan mit Ausnahme von DHCP und DNS ins PC Lan unterbunden wird.

Bearbeitet von schizo am 08.02.2024, 20:13

charmin

Super Moderator
10x

Registered: Dec 2002
Location: aut_sbg
Posts: 14663

08.02.2024 - 20:15

ui ok, danke

ich kann keine Vlans machen bei dem Deco Zeugs.
Ich kann höchstens eine SSID und passwort vergeben fürs WLAN und dann noch 1 checkbox machen für ein Gäste WLAN.
Das wars dann. :/

und mein router kann genau gar nix ausser portfreigabe, leider.
das is nur ein FTTH modem.

dann bräuchte ich wohl neue WLAN hardware und auch noch einen router?

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2334

08.02.2024 - 20:21

Ich bin mir nicht sicher, kann später nachsehen. Kann man beim Deko nicht für Gäste so wie für IoT eine VLAN ID setzen?

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2550

08.02.2024 - 20:26

Uh, damit habe ich nicht gerechnet.
Du könntest die APs auf einen Switchport mit Access ins IoT (oder Guest) VLan einrichten und am Router die Firewall konfigurieren, welche IPs mit deinen wired Clients kommunizieren dürfen. Aber so wäre es theoretisch möglich, dass ein malicious client statische IPs durchprobiert, ob irgendwo eine Kommunikation mit deinem internen Netz möglich wäre. Solang das nicht der Fall ist und die Clients die IPs nicht ändern könntest du so dennoch verhindern, dass IoT Devices Zugriff auf dein internes Netz haben.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50069

09.02.2024 - 12:21

VLAN muss man sich geistig wie einzelne abgetrennte Netzwerke vorstellen. Will man kommunizieren braucht man einen Router dazwischen.

Etwas Technischer:
Im OSI-Layermodell arbeiten virtual LAN im Link Layer (2. Schicht) aber emulieren dir Quasi einen Layer 1 (physikal Layer). Was dir mehrere, von sich getrennte, Netzwerk Ebenen (3. Schicht) ermöglicht.

Ich hab bei mir aktuell 3 VLAN ~~eingerichtet~~ in verwendungung.

Gäste / Streaming
IoT
User / default

Das default VLAN darf überall drauf zugreifen, also auch in andere VLAN und ins Internet.
Sort sind alle eigenen Smartphones, Tablet, Desktop, NAS, DNS-Server drinnen

Das Gäste / Streaming darf nur ins Internet. Dort können sich Gäste ins Wlan hängen und ist für die Nest Geräte, Chromecast, Smart TV, Gaming Konsolen. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat.

IoT VLAN ist dann für die Shelly, den Drucker und was sonst nirgends hin darf und auch nicht ins Internet kann. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat

In Zukunft will ich das default LAN noch weiter segmentieren.

Was man dafür benötigt:

Router der VLAN kann und einfache Firewallregeln beherrscht
Switch der mit VLAN umgehen kann
WLAN Hardware welche mit VLAN umgehen kann (und unterschiedliche SSID damit auch trennt)

Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN.
Du müsstest deine gesamte Hardware wohl tauschen

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12276

09.02.2024 - 12:43

es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6481

09.02.2024 - 12:50

Es gibt ein paar Dinge die es bei solchen Einrichtungen zu beachten gilt

Switch und Router sollten über einen oder mehrere Trunkports verbunden sein, über den die vorhandenen VLANs drübergehen.
Die VLANs müssen am Switch und am Router eingerichtet werden.
Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann.
Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können.
Die Endgeräte auf den Access Ports am Switch müssen nicht unbedingt VLAN fähig sein, die Segmentierung passiert schon am Switch und das Routing am Router.
Wenn du ein VLAN segmentiertes WLAN mit mehreren SSIDs auch willst, dann brauchst du Access Points bzw. WLAN Controller, die das können.

Bearbeitet von mr.nice. am 09.02.2024, 13:01

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2550

09.02.2024 - 12:59

Zitat aus einem Post von Viper780
Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN.
Du müsstest deine gesamte Hardware wohl tauschen

Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q?
Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€

Bei mir sinds mittlerweile 15 VLans:
- meine Clients
- restlichen Clients
- Gäste
- Firmengeräte
- Management
- DMZ
- sonstige Server
- IoT
- sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage)
- Bridge Interfaces
- todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten

Wie Viper schon erwähnt hat ist der Betrieb von zentralen Komponenten (DNS, DHCP) am Router sicher einfacher zu konfigurieren als einen entsprechenden Server in einem eigenen VLan stehen zu haben.

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12590

09.02.2024 - 13:22

Ich habs ähnlich wie Viper780 realisiert, dadurch dass ich die ganze netzwerkinfrastruktur im Haus mit unify Geräten realisiert habe, gings eigentlich relativ problemlos.
Hab ein default vlan, eins für IoT, eins für IPcams und ein Gäste.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50069

09.02.2024 - 13:46

Disclaimer: Ich bin im Netzwerkbereich auch Laie, habe keine Zertifizierungen und es ist alles selbst beigebracht.

Da gibts andere, wie zB schizo die sich da wirklich auskennen

Zitat aus einem Post von davebastard
es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum

Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea

Mit offener, alternativer Firmware ist man sicherlich ein etwas kleineres Ziel und die Chance ausspioniert zu werden halte ich auch für geringer.
Trotzdem versuche ich auch privat etwas mehr auf security und privacy zu achten. Deshalb verwende ich auch immer mehr Konzepte aus dem Zero trust umfeld.

Zitat aus einem Post von mr.nice.
Die VLANs müssen am Switch und am Router eingerichtet werden.

"it depends"
Erstens wie man VLAN implementiert.
früher waren die VLAN alle Port basiert und da musste man sie überall durch konfigurieren.
Mittlerweile kenn ich nur mehr Tagged VLAN. Wenn man nicht explizit einzelne VLAN von gewissen Ports vernhalten will (was sinnvoll ist!) muss man da nicht viel machen.

Zitat aus einem Post von mr.nice.
Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann.
Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können.

DHCP ist ja auch "nur" eine Serveranwendung. Hat man zwei Netze, braucht man auch zwei DHCP Server. Die üblichen Router welche mit VLAN umgehen können erledigen dass im Hintergrund.
Verschiedene Ranges machen einem das Leben deutlich leichter (sonst würde man NAT benötigen).

DHCP Snooping soll eigentlich verhindern dass irgend jemand irgend welchen DHCP Pakete verschickt. Also auch ohne würden die Geräte in den VLAN eine IP bekommen.
Es ist aber trotzdem gut es zu aktivieren, speziell wenn man mehrere DHCP Server am laufen hat.

Zitat aus einem Post von schizo
Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q?
Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€

Die Hardware kann es eigentlich eh immer. Die Software gibt einem selten eine möglichkeit es zu konfigurieren.
Sobald man da etwas besseres nimmt geht das dann. Somit ja mit OpenWRT fähiger Hardware ist man gut dabei.

Deine Segmentierung ist schon deutlich weiter fortgeschritten.
Soviele Geräte hab ich nichtmal.

Ich will auch noch gerne das Firmennotebook in ein eigenes VLAN geben (aktuell im Gäste Netz). Ein internes Server VLAN aufbauen und ein DMZ/externes welches per VPN erreichbar ist um anderen ein paar Services bereitstellen zu können.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19718

09.02.2024 - 20:22

Zitat aus einem Post von schizo
Bei mir sinds mittlerweile 15 VLans:
- meine Clients
- restlichen Clients
- Gäste
- Firmengeräte
- Management
- DMZ
- sonstige Server
- IoT
- sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage)
- Bridge Interfaces
- todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten

Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist :confused:

Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2550

09.02.2024 - 21:00

Zitat aus einem Post von daisho
Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist
Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12276

09.02.2024 - 21:26

Zitat
Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea

ja doch, bei dem verbreitungsgrad den der chip hat UND in kombination mit quelloffener software. Wäre schon aufgefallen wenn der nach hause telefoniert oder ähnliches (auf hardware ebene mein ich, software ist ja opensource mit tasmota oder esphome)
Aber was mir in meinen Gefielden sofort einfällt sind china 3d drucker... speziell die mit closed source firmware... das wär wsl ein noch praktikableres Beispiel als der Samsung Kühlschrank.
Hab ich persönlich jetzt auch ned aber z.B. bambulab ist ja weit verbreitet. da gabs ja auch schon den fall das sich drucker "von selber" gestartet haben weil der praktikant bei bambu das falsche knopferl gedruckt hat.

edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran"

. ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld

(Mietwohnung mit keiner Leerverrohrung)

Bearbeitet von davebastard am 09.02.2024, 21:31

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2550

09.02.2024 - 21:45

Zitat aus einem Post von davebastard
edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran" . ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld (Mietwohnung mit keiner Leerverrohrung)

Ich hab den Umzug und Renovierung gleich für eine Greenfield Installation genutzt. Nachdem ich doch ein _klein wenig_ Kupfer in der Wand habe hat ein zentraler 48 Port Switch mit 6 SFP+ Ports gut dazugepasst. So habe ich die wichtigsten Geräte mit 10G angebunden und der Konfigurationsaufwand hält sich imo auch in Grenzen.
Ich muss somit am Router und Switch die jeweiligen VLans definieren, ein zusätzliches VLan zu konfigurieren benötigt so ~10 Minuten.
Klar sind 15 VLans im Heimgebrauch viel und ich könnte auch mit weniger auskommen. Aber andererseits, was spricht gegen den Exzess? Ich spiel da z.B. lieber mit dem Gedanken, dem Nachwuchs ein eigenes VLan einzurichten, als dass ich mich um die Analyse und Bereinigung des Heimnetzwerks kümmern möchte, wenn dieser später mal beginnt sich irgendwelche Viren einzufangen. Und wenn die Devices sinnvoll in diverse VLans unterteilt werden ist es auch nicht mehr sonderlich kompliziert ein straffes Firewall Ruleset zu erstellen.

charmin Super Moderator 10x Registered: Dec 2002 Location: aut_sbg Posts: 14663	08.02.2024 - 19:47 Servus, schizo hat mir im Hausautomations-Thread mitgeteilt, dass mein Heimnetzwerk schei*e is und ich ein Looser bin. Ich bin vor einiger Zeit auf Shelly, Wiz etc umgestiegen und habe nun einige WiFi Geräte im Netz. Die Idee wäre nun (laut schizo ), dass ich mir ein V-Lan einrichte. Ich habe mehrere Deco X60, die als AP fungieren. Die IP Adressen im LAN und im W-Lan verteilt ein PiHole DHCP in nem Docker aufm Heimserver bei mir. schizo war so net, mir eine Liste mit managed switches zu senden, welche in meinen 10" schrank passen. Zitat aus einem Post von schizo* Der ist zu breit für 10". Hier wäre eine Liste von GBit 10" Managed Switches, dass PoE hier weit verbreitet ist ist ein Zufall. Von den Geräten würde ich wohl zu UI greifen, falls sie Mal verfügbar sind, alternativ zu Linksys. Der Aussage, dass GBit heutzutage eventuell zu wenig ist stimme ich grundsätzlich zu. Aber 10" verteuert das ganz ungemein. Der billigste Switch mit 2 SFP+ Ports kostet gleich 540€. Bei 19" wäre die Auswahl deutlich größer und günstiger. Was muss ich jetzt wie machen? Einfach den Switch austauschen, dort 2 oder mehrere V-Lans definieren und das wars? IP Adressen verteile ich über MAC über DHCP. Kann der DHCP auch Adressen verteilen fürs VLAN 2 obwohl er im VLAN 1 hängt? Kann ich dann auch Vlans im WiFi haben unter derselben SSID usw? tia! bin netzwerk noob.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2550	08.02.2024 - 20:07 neue VLans am Router konfigurieren, am Routerport, an dem der Switch hängt VLan0 auf Access, alle weiteren VLans Tagged, auf den Switchports für den Router und den APs selbiges. Wenn du z.B. VLan10 für deine Rechner und VLan20 für IoT Devices verwendest auf den Switchports für die Rechner VLan10 auf Access, falls wo verkabelte IoT Devices hängen sollten dort den Switchport mit Access auf VLan20 konfigurieren. Auf den APs richtest du dann eine SSID für deine PCs mit VLan10 ein und eine Gäste/IoT SSID mit VLan20, dort drehst du auch AP Isolation auf (Achtung, trotz AP Isolation dürfen Wireless Clients in der SSID mit Wired Clients aus dem selben VLan sprechen, also eventuell trennst du auch noch das IoT Netz in ein wired und wireless IoT Netze (optimal wäre ja ein /30 Subnet für jedes wired device, damit sich dieses nicht mit anderen wired IoT Devices unterhalten dürfen). Du musst die DHCP Config anpassen und am Router ein DHCP relay/DHCP forwarding für das zusätzliche VLan konfigurieren, damit die DHCP Requests zum piHole weitergeleitet werden. Pro VLan benötigst du eine eigene SSID. Die maximale Anzahl an SSIDs ist begrenzt, die Decos unterstützen scheinbar bis zu 6 SSIDs (allerdings habe ich auf die Schnelle nicht gefunden, ob dies pro Frequenz - also 2,4 und 5GHz - ist oder gesamt). edit: welchen Router hast du in Verwendung? Dort wird vermutlich auch eine Firewall drauf laufen können. Auf dieser solltest du einrichten, dass die Kommunikation aus dem IoT Lan mit Ausnahme von DHCP und DNS ins PC Lan unterbunden wird. Bearbeitet von schizo am 08.02.2024, 20:13
charmin Super Moderator 10x Registered: Dec 2002 Location: aut_sbg Posts: 14663	08.02.2024 - 20:15 ui ok, danke ich kann keine Vlans machen bei dem Deco Zeugs. Ich kann höchstens eine SSID und passwort vergeben fürs WLAN und dann noch 1 checkbox machen für ein Gäste WLAN. Das wars dann. :/ und mein router kann genau gar nix ausser portfreigabe, leider. das is nur ein FTTH modem. dann bräuchte ich wohl neue WLAN hardware und auch noch einen router?
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2334	08.02.2024 - 20:21 Ich bin mir nicht sicher, kann später nachsehen. Kann man beim Deko nicht für Gäste so wie für IoT eine VLAN ID setzen?
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2550	08.02.2024 - 20:26 Uh, damit habe ich nicht gerechnet. Du könntest die APs auf einen Switchport mit Access ins IoT (oder Guest) VLan einrichten und am Router die Firewall konfigurieren, welche IPs mit deinen wired Clients kommunizieren dürfen. Aber so wäre es theoretisch möglich, dass ein malicious client statische IPs durchprobiert, ob irgendwo eine Kommunikation mit deinem internen Netz möglich wäre. Solang das nicht der Fall ist und die Clients die IPs nicht ändern könntest du so dennoch verhindern, dass IoT Devices Zugriff auf dein internes Netz haben.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50069	09.02.2024 - 12:21 VLAN muss man sich geistig wie einzelne abgetrennte Netzwerke vorstellen. Will man kommunizieren braucht man einen Router dazwischen. Etwas Technischer: Im OSI-Layermodell arbeiten virtual LAN im Link Layer (2. Schicht) aber emulieren dir Quasi einen Layer 1 (physikal Layer). Was dir mehrere, von sich getrennte, Netzwerk Ebenen (3. Schicht) ermöglicht. Ich hab bei mir aktuell 3 VLAN ~~eingerichtet~~ in verwendungung. Gäste / Streaming IoT User / default Das default VLAN darf überall drauf zugreifen, also auch in andere VLAN und ins Internet. Sort sind alle eigenen Smartphones, Tablet, Desktop, NAS, DNS-Server drinnen Das Gäste / Streaming darf nur ins Internet. Dort können sich Gäste ins Wlan hängen und ist für die Nest Geräte, Chromecast, Smart TV, Gaming Konsolen. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat. IoT VLAN ist dann für die Shelly, den Drucker und was sonst nirgends hin darf und auch nicht ins Internet kann. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat In Zukunft will ich das default LAN noch weiter segmentieren. Was man dafür benötigt: Router der VLAN kann und einfache Firewallregeln beherrscht Switch der mit VLAN umgehen kann WLAN Hardware welche mit VLAN umgehen kann (und unterschiedliche SSID damit auch trennt) Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN. Du müsstest deine gesamte Hardware wohl tauschen
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12276	09.02.2024 - 12:43 es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6481	09.02.2024 - 12:50 Es gibt ein paar Dinge die es bei solchen Einrichtungen zu beachten gilt Switch und Router sollten über einen oder mehrere Trunkports verbunden sein, über den die vorhandenen VLANs drübergehen. Die VLANs müssen am Switch und am Router eingerichtet werden. Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann. Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können. Die Endgeräte auf den Access Ports am Switch müssen nicht unbedingt VLAN fähig sein, die Segmentierung passiert schon am Switch und das Routing am Router. Wenn du ein VLAN segmentiertes WLAN mit mehreren SSIDs auch willst, dann brauchst du Access Points bzw. WLAN Controller, die das können. Bearbeitet von mr.nice. am 09.02.2024, 13:01
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2550	09.02.2024 - 12:59 Zitat aus einem Post von Viper780 Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN. Du müsstest deine gesamte Hardware wohl tauschen Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q? Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€ Bei mir sinds mittlerweile 15 VLans: - meine Clients - restlichen Clients - Gäste - Firmengeräte - Management - DMZ - sonstige Server - IoT - sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage) - Bridge Interfaces - todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten Wie Viper schon erwähnt hat ist der Betrieb von zentralen Komponenten (DNS, DHCP) am Router sicher einfacher zu konfigurieren als einen entsprechenden Server in einem eigenen VLan stehen zu haben.
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12590	09.02.2024 - 13:22 Ich habs ähnlich wie Viper780 realisiert, dadurch dass ich die ganze netzwerkinfrastruktur im Haus mit unify Geräten realisiert habe, gings eigentlich relativ problemlos. Hab ein default vlan, eins für IoT, eins für IPcams und ein Gäste.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50069	09.02.2024 - 13:46 Disclaimer: Ich bin im Netzwerkbereich auch Laie, habe keine Zertifizierungen und es ist alles selbst beigebracht. Da gibts andere, wie zB schizo die sich da wirklich auskennen Zitat aus einem Post von davebastard es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea Mit offener, alternativer Firmware ist man sicherlich ein etwas kleineres Ziel und die Chance ausspioniert zu werden halte ich auch für geringer. Trotzdem versuche ich auch privat etwas mehr auf security und privacy zu achten. Deshalb verwende ich auch immer mehr Konzepte aus dem Zero trust umfeld. Zitat aus einem Post von mr.nice. Die VLANs müssen am Switch und am Router eingerichtet werden. "it depends" Erstens wie man VLAN implementiert. früher waren die VLAN alle Port basiert und da musste man sie überall durch konfigurieren. Mittlerweile kenn ich nur mehr Tagged VLAN. Wenn man nicht explizit einzelne VLAN von gewissen Ports vernhalten will (was sinnvoll ist!) muss man da nicht viel machen. Zitat aus einem Post von mr.nice. Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann. Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können. DHCP ist ja auch "nur" eine Serveranwendung. Hat man zwei Netze, braucht man auch zwei DHCP Server. Die üblichen Router welche mit VLAN umgehen können erledigen dass im Hintergrund. Verschiedene Ranges machen einem das Leben deutlich leichter (sonst würde man NAT benötigen). DHCP Snooping soll eigentlich verhindern dass irgend jemand irgend welchen DHCP Pakete verschickt. Also auch ohne würden die Geräte in den VLAN eine IP bekommen. Es ist aber trotzdem gut es zu aktivieren, speziell wenn man mehrere DHCP Server am laufen hat. Zitat aus einem Post von schizo Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q? Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€ Die Hardware kann es eigentlich eh immer. Die Software gibt einem selten eine möglichkeit es zu konfigurieren. Sobald man da etwas besseres nimmt geht das dann. Somit ja mit OpenWRT fähiger Hardware ist man gut dabei. Deine Segmentierung ist schon deutlich weiter fortgeschritten. Soviele Geräte hab ich nichtmal. Ich will auch noch gerne das Firmennotebook in ein eigenes VLAN geben (aktuell im Gäste Netz). Ein internes Server VLAN aufbauen und ein DMZ/externes welches per VPN erreichbar ist um anderen ein paar Services bereitstellen zu können.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19718	09.02.2024 - 20:22 Zitat aus einem Post von schizo Bei mir sinds mittlerweile 15 VLans: - meine Clients - restlichen Clients - Gäste - Firmengeräte - Management - DMZ - sonstige Server - IoT - sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage) - Bridge Interfaces - todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2550	09.02.2024 - 21:00 Zitat aus einem Post von daisho Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12276	09.02.2024 - 21:26 Zitat Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea ja doch, bei dem verbreitungsgrad den der chip hat UND in kombination mit quelloffener software. Wäre schon aufgefallen wenn der nach hause telefoniert oder ähnliches (auf hardware ebene mein ich, software ist ja opensource mit tasmota oder esphome) Aber was mir in meinen Gefielden sofort einfällt sind china 3d drucker... speziell die mit closed source firmware... das wär wsl ein noch praktikableres Beispiel als der Samsung Kühlschrank. Hab ich persönlich jetzt auch ned aber z.B. bambulab ist ja weit verbreitet. da gabs ja auch schon den fall das sich drucker "von selber" gestartet haben weil der praktikant bei bambu das falsche knopferl gedruckt hat. edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran" . ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld (Mietwohnung mit keiner Leerverrohrung) Bearbeitet von davebastard am 09.02.2024, 21:31
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2550	09.02.2024 - 21:45 Zitat aus einem Post von davebastard edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran" . ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld (Mietwohnung mit keiner Leerverrohrung) Ich hab den Umzug und Renovierung gleich für eine Greenfield Installation genutzt. Nachdem ich doch ein _klein wenig_ Kupfer in der Wand habe hat ein zentraler 48 Port Switch mit 6 SFP+ Ports gut dazugepasst. So habe ich die wichtigsten Geräte mit 10G angebunden und der Konfigurationsaufwand hält sich imo auch in Grenzen. Ich muss somit am Router und Switch die jeweiligen VLans definieren, ein zusätzliches VLan zu konfigurieren benötigt so ~10 Minuten. Klar sind 15 VLans im Heimgebrauch viel und ich könnte auch mit weniger auskommen. Aber andererseits, was spricht gegen den Exzess? Ich spiel da z.B. lieber mit dem Gedanken, dem Nachwuchs ein eigenes VLan einzurichten, als dass ich mich um die Analyse und Bereinigung des Heimnetzwerks kümmern möchte, wenn dieser später mal beginnt sich irgendwelche Viren einzufangen. Und wenn die Devices sinnvoll in diverse VLans unterteilt werden ist es auch nicht mehr sonderlich kompliziert ein straffes Firewall Ruleset zu erstellen.

V-Lans zuhause einrichten.

Forum Index > Hardware > Peripherie > Netzwerktechnik

charmin

schizo

charmin

Rogaahl

schizo

Viper780

davebastard

mr.nice.

schizo

rad1oactive

Viper780

daisho

schizo

davebastard

schizo