V-Lans zuhause einrichten.
URL: https://www.overclockers.at/netzwerktechnik/v-lans-zuhause-einrichten_263113/page_1 - zur Vollversion wechseln!
charmin schrieb am 08.02.2024 um 19:47
Servus,
schizo hat mir im Hausautomations-Thread mitgeteilt, dass mein Heimnetzwerk schei**e is und ich ein Looser bin. 
Ich bin vor einiger Zeit auf Shelly, Wiz etc umgestiegen und habe nun einige WiFi Geräte im Netz.
Die Idee wäre nun (laut schizo ), dass ich mir ein V-Lan einrichte.
Ich habe mehrere Deco X60, die als AP fungieren. Die IP Adressen im LAN und im W-Lan verteilt ein PiHole DHCP in nem Docker aufm Heimserver bei mir.
schizo war so net, mir eine Liste mit managed switches zu senden, welche in meinen 10" schrank passen.
Der ist zu breit für 10".
Hier wäre eine Liste von GBit 10" Managed Switches, dass PoE hier weit verbreitet ist ist ein Zufall. Von den Geräten würde ich wohl zu UI greifen, falls sie Mal verfügbar sind, alternativ zu Linksys.
Der Aussage, dass GBit heutzutage eventuell zu wenig ist stimme ich grundsätzlich zu. Aber 10" verteuert das ganz ungemein. Der billigste Switch mit 2 SFP+ Ports kostet gleich 540€. Bei 19" wäre die Auswahl deutlich größer und günstiger.
Was muss ich jetzt wie machen?
Einfach den Switch austauschen, dort 2 oder mehrere V-Lans definieren und das wars?
IP Adressen verteile ich über MAC über DHCP. Kann der DHCP auch Adressen verteilen fürs VLAN 2 obwohl er im VLAN 1 hängt?
Kann ich dann auch Vlans im WiFi haben unter derselben SSID usw?
tia! bin netzwerk noob.
schizo schrieb am 08.02.2024 um 20:07
neue VLans am Router konfigurieren, am Routerport, an dem der Switch hängt VLan0 auf Access, alle weiteren VLans Tagged, auf den Switchports für den Router und den APs selbiges.
Wenn du z.B. VLan10 für deine Rechner und VLan20 für IoT Devices verwendest auf den Switchports für die Rechner VLan10 auf Access, falls wo verkabelte IoT Devices hängen sollten dort den Switchport mit Access auf VLan20 konfigurieren.
Auf den APs richtest du dann eine SSID für deine PCs mit VLan10 ein und eine Gäste/IoT SSID mit VLan20, dort drehst du auch AP Isolation auf (Achtung, trotz AP Isolation dürfen Wireless Clients in der SSID mit Wired Clients aus dem selben VLan sprechen, also eventuell trennst du auch noch das IoT Netz in ein wired und wireless IoT Netze (optimal wäre ja ein /30 Subnet für jedes wired device, damit sich dieses nicht mit anderen wired IoT Devices unterhalten dürfen).
Du musst die DHCP Config anpassen und am Router ein DHCP relay/DHCP forwarding für das zusätzliche VLan konfigurieren, damit die DHCP Requests zum piHole weitergeleitet werden.
Pro VLan benötigst du eine eigene SSID. Die maximale Anzahl an SSIDs ist begrenzt, die Decos unterstützen scheinbar bis zu 6 SSIDs (allerdings habe ich auf die Schnelle nicht gefunden, ob dies pro Frequenz - also 2,4 und 5GHz - ist oder gesamt).
edit: welchen Router hast du in Verwendung? Dort wird vermutlich auch eine Firewall drauf laufen können. Auf dieser solltest du einrichten, dass die Kommunikation aus dem IoT Lan mit Ausnahme von DHCP und DNS ins PC Lan unterbunden wird.
charmin schrieb am 08.02.2024 um 20:15
ui ok, danke
ich kann keine Vlans machen bei dem Deco Zeugs.
Ich kann höchstens eine SSID und passwort vergeben fürs WLAN und dann noch 1 checkbox machen für ein Gäste WLAN.
Das wars dann. :/
und mein router kann genau gar nix ausser portfreigabe, leider.
das is nur ein FTTH modem.
dann bräuchte ich wohl neue WLAN hardware und auch noch einen router?
Rogaahl schrieb am 08.02.2024 um 20:21
Ich bin mir nicht sicher, kann später nachsehen. Kann man beim Deko nicht für Gäste so wie für IoT eine VLAN ID setzen?
schizo schrieb am 08.02.2024 um 20:26
Uh, damit habe ich nicht gerechnet.
Du könntest die APs auf einen Switchport mit Access ins IoT (oder Guest) VLan einrichten und am Router die Firewall konfigurieren, welche IPs mit deinen wired Clients kommunizieren dürfen. Aber so wäre es theoretisch möglich, dass ein malicious client statische IPs durchprobiert, ob irgendwo eine Kommunikation mit deinem internen Netz möglich wäre. Solang das nicht der Fall ist und die Clients die IPs nicht ändern könntest du so dennoch verhindern, dass IoT Devices Zugriff auf dein internes Netz haben.
Viper780 schrieb am 09.02.2024 um 12:21
VLAN muss man sich geistig wie einzelne abgetrennte Netzwerke vorstellen. Will man kommunizieren braucht man einen Router dazwischen.
Etwas Technischer:
Im OSI-Layermodell arbeiten virtual LAN im Link Layer (2. Schicht) aber emulieren dir Quasi einen Layer 1 (physikal Layer). Was dir mehrere, von sich getrennte, Netzwerk Ebenen (3. Schicht) ermöglicht.
Ich hab bei mir aktuell 3 VLAN eingerichtet in verwendungung.
- Gäste / Streaming
- IoT
- User / default
Das default VLAN darf überall drauf zugreifen, also auch in andere VLAN und ins Internet.
Sort sind alle eigenen Smartphones, Tablet, Desktop, NAS, DNS-Server drinnen
Das Gäste / Streaming darf nur ins Internet. Dort können sich Gäste ins Wlan hängen und ist für die Nest Geräte, Chromecast, Smart TV, Gaming Konsolen. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat.
IoT VLAN ist dann für die Shelly, den Drucker und was sonst nirgends hin darf und auch nicht ins Internet kann. DNS und DHCP wird von Router/Firewall ausgeliefert welcher nur die internen DNS Resolver als upstream hat
In Zukunft will ich das default LAN noch weiter segmentieren.
Was man dafür benötigt:
- Router der VLAN kann und einfache Firewallregeln beherrscht
- Switch der mit VLAN umgehen kann
- WLAN Hardware welche mit VLAN umgehen kann (und unterschiedliche SSID damit auch trennt)
Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN.
Du müsstest deine gesamte Hardware wohl tauschen
davebastard schrieb am 09.02.2024 um 12:43
es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum
mr.nice. schrieb am 09.02.2024 um 12:50
Es gibt ein paar Dinge die es bei solchen Einrichtungen zu beachten gilt
Switch und Router sollten über einen oder mehrere Trunkports verbunden sein, über den die vorhandenen VLANs drübergehen.
Die VLANs müssen am Switch und am Router eingerichtet werden.
Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann.
Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können.
Die Endgeräte auf den Access Ports am Switch müssen nicht unbedingt VLAN fähig sein, die Segmentierung passiert schon am Switch und das Routing am Router.
Wenn du ein VLAN segmentiertes WLAN mit mehreren SSIDs auch willst, dann brauchst du Access Points bzw. WLAN Controller, die das können.
schizo schrieb am 09.02.2024 um 12:59
Leider kann im consumer Markt kaum ein Netzwerkgerät VLAN.
Du müsstest deine gesamte Hardware wohl tauschen
Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q?
Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€
Bei mir sinds mittlerweile 15 VLans:
- meine Clients
- restlichen Clients
- Gäste
- Firmengeräte
- Management
- DMZ
- sonstige Server
- IoT
- sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage)
- Bridge Interfaces
- todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten
Wie Viper schon erwähnt hat ist der Betrieb von zentralen Komponenten (DNS, DHCP) am Router sicher einfacher zu konfigurieren als einen entsprechenden Server in einem eigenen VLan stehen zu haben.
rad1oactive schrieb am 09.02.2024 um 13:22
Ich habs ähnlich wie Viper780 realisiert, dadurch dass ich die ganze netzwerkinfrastruktur im Haus mit unify Geräten realisiert habe, gings eigentlich relativ problemlos.
Hab ein default vlan, eins für IoT, eins für IPcams und ein Gäste.
Viper780 schrieb am 09.02.2024 um 13:46
Disclaimer: Ich bin im Netzwerkbereich auch Laie, habe keine Zertifizierungen und es ist alles selbst beigebracht.
Da gibts andere, wie zB schizo die sich da wirklich auskennen
es kommt aber imho drauf an was man verwendet... ich hab z.b kaum home automation geräte mit wlan, wenn dann haben die tasmota... da hab ich auch kein problem die im selben lan zu haben. blöd wirds wenn du z.B. kühlschrank mut ethernet oda sowas hast dann kommst um vlans ned herum
Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea 
Mit offener, alternativer Firmware ist man sicherlich ein etwas kleineres Ziel und die Chance ausspioniert zu werden halte ich auch für geringer.
Trotzdem versuche ich auch privat etwas mehr auf security und privacy zu achten. Deshalb verwende ich auch immer mehr Konzepte aus dem Zero trust umfeld.
Die VLANs müssen am Switch und am Router eingerichtet werden.
"it depends"
Erstens wie man VLAN implementiert.
früher waren die VLAN alle Port basiert und da musste man sie überall durch konfigurieren.
Mittlerweile kenn ich nur mehr Tagged VLAN. Wenn man nicht explizit einzelne VLAN von gewissen Ports vernhalten will (was sinnvoll ist!) muss man da nicht viel machen.
Der Router sollte für jedes VLAN eine eigene DHCP range anbieten, damit man sinnvoll zwischen den VLANs routen kann.
Am Switch muss man ein DHCP snooping einrichten, damit die Geräte die IPs für ihr VLAN beziehen können.
DHCP ist ja auch "nur" eine Serveranwendung. Hat man zwei Netze, braucht man auch zwei DHCP Server. Die üblichen Router welche mit VLAN umgehen können erledigen dass im Hintergrund.
Verschiedene Ranges machen einem das Leben deutlich leichter (sonst würde man NAT benötigen).
DHCP Snooping soll eigentlich verhindern dass irgend jemand irgend welchen DHCP Pakete verschickt. Also auch ohne würden die Geräte in den VLAN eine IP bekommen.
Es ist aber trotzdem gut es zu aktivieren, speziell wenn man mehrere DHCP Server am laufen hat.
Beherrscht nicht so ziemlich jedes WRT fähige Device 802.1q?
Einen passenden Switch benötigt man halt, da bewegt man sich je nach Größe/Features um die 100-400€
Die Hardware kann es eigentlich eh immer. Die Software gibt einem selten eine möglichkeit es zu konfigurieren.
Sobald man da etwas besseres nimmt geht das dann. Somit ja mit OpenWRT fähiger Hardware ist man gut dabei.
Deine Segmentierung ist schon deutlich weiter fortgeschritten.
Soviele Geräte hab ich nichtmal.
Ich will auch noch gerne das Firmennotebook in ein eigenes VLAN geben (aktuell im Gäste Netz). Ein internes Server VLAN aufbauen und ein DMZ/externes welches per VPN erreichbar ist um anderen ein paar Services bereitstellen zu können.
daisho schrieb am 09.02.2024 um 20:22
Bei mir sinds mittlerweile 15 VLans:
- meine Clients
- restlichen Clients
- Gäste
- Firmengeräte
- Management
- DMZ
- sonstige Server
- IoT
- sonstige wired IoT Devices, pro Anwendungsfall ein eigenes VLan (Photovoltaik, Alarmanlage)
- Bridge Interfaces
- todo: ein Jumpserver VLan, um die Berechtigungen meiner Clients noch weiter einschränken zu können bzw. auch die Berechtigungen der Jumpserver sauberer zu verwalten
Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist 
Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen 
schizo schrieb am 09.02.2024 um 21:00
Bitte sag mir "bei mir" heißt du hostest eine Firmen-IT oder so, sonst muss ich davon ausgehen dass das irgendeine Manie ist
Jumpserver daheim, wtf? Ist ja jedem selbst überlassen aber man kann es sich natürlich auch schwer machen
davebastard schrieb am 09.02.2024 um 21:26
Warum traust du dem Espresif Chip aus China mehr als dem Kühlschrank aus Korea
ja doch, bei dem verbreitungsgrad den der chip hat UND in kombination mit quelloffener software. Wäre schon aufgefallen wenn der nach hause telefoniert oder ähnliches (auf hardware ebene mein ich, software ist ja opensource mit tasmota oder esphome)
Aber was mir in meinen Gefielden sofort einfällt sind china 3d drucker... speziell die mit closed source firmware... das wär wsl ein noch praktikableres Beispiel als der Samsung Kühlschrank.
Hab ich persönlich jetzt auch ned aber z.B. bambulab ist ja weit verbreitet. da gabs ja auch schon den fall das sich drucker "von selber" gestartet haben weil der praktikant bei bambu das falsche knopferl gedruckt hat.
edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran" . ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld (Mietwohnung mit keiner Leerverrohrung)
schizo schrieb am 09.02.2024 um 21:45
edit: ich würd ja das rumspielen mit VLANs im heimnetzwerk auch gern mal angehen aber mein Netzwerk ist eher so ... "häng ma noch einen switch dran" . ich glaub ich bräucht 3x 5 port managed switches. Und wenn ich die dann auch noch in 10G kauf geht das ins Geld (Mietwohnung mit keiner Leerverrohrung)
Ich hab den Umzug und Renovierung gleich für eine Greenfield Installation genutzt. Nachdem ich doch ein _klein wenig_ Kupfer in der Wand habe hat ein zentraler 48 Port Switch mit 6 SFP+ Ports gut dazugepasst. So habe ich die wichtigsten Geräte mit 10G angebunden und der Konfigurationsaufwand hält sich imo auch in Grenzen.
Ich muss somit am Router und Switch die jeweiligen VLans definieren, ein zusätzliches VLan zu konfigurieren benötigt so ~10 Minuten.
Klar sind 15 VLans im Heimgebrauch viel und ich könnte auch mit weniger auskommen. Aber andererseits, was spricht gegen den Exzess? Ich spiel da z.B. lieber mit dem Gedanken, dem Nachwuchs ein eigenes VLan einzurichten, als dass ich mich um die Analyse und Bereinigung des Heimnetzwerks kümmern möchte, wenn dieser später mal beginnt sich irgendwelche Viren einzufangen. Und wenn die Devices sinnvoll in diverse VLans unterteilt werden ist es auch nicht mehr sonderlich kompliziert ein straffes Firewall Ruleset zu erstellen.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025