Heimnetz segmentieren mit VLAN und neuer Hardware
Hallo Admins!
ich bin die Nela und bin nach langem einlesen wie man sein Netzwerk sicherer und strukturierter macht her gelandet.
Aktuell habe ich einen Kabel Zugang über Vodafone mit einer 500er Leitung mit welcher ich über eine FRITZ!Box ins Internet gehe. Über diese Box läuft so ziemlich alles wie es gerade kommt Und das mit noch nichtmal gutem Wifi das gerade die Kids verrückt macht. Als Automatisierungstechnikerin und den LAN Party der Kids ist einiges an Basis Wissen da. Alles andere lese ich mich intensiv rein.
Falls die Wortwahl missverständlich ist tut es mir leid, ich versuche alles so wiederzugeben wie ich es hoffentlich verstanden habe.
Nun bin ich nach etlichem lesen schon soweit gegangen das ich mit viel Glück ein TC4400 bekommen habe und daran eine APU4D4 mit pfSense laufen lassen möchte. Von dem APU soll eine Leitung zu einem Switch ins Wohnzimmer gehen der nach Möglichkeit lüfterlos ist und ich per POE (möchte mir noch mehr Kabel legen sparen) einen Accesspoint betreiben kann.
Von diesem wiederum soll mit einem Trunkport ein weiterer Switch im Büro versorgt werden an welchem dann die restliche Technik angeschlossen ist. Nun wird das alles in VLAN segmentiert wovon ich auch schon einiges gelesen habe.
Das ganze sieht dann so aus:
VLAN 1 Admin
VLAN 2 Entertain
VLAN 3 Office
VLAN 4 Printer
VLAN 5 mobile Devices
VLAN 6 Smarthome
VLAN 7 Gast
Wohnzimmer
—————————————-
TV (2)
AppleTV 4K (2)
Sonos (2)
Bosch Smarthome HUB (6)
Büro
—————————————-
PC 1 (3)
PC 2 (3)
Drucker AirPrint (4)
MacBook (3)
Konsole (2)
WIFI Geräte
—————————————-
AppleTV (2)
iPhone 1 (4)
iPhone 2 (4)
iPad (4)
Cam 1 (6)
Cam 2 (6)
Cam 3 (6)
Gast WLAN Zugang (7)
An Hardware ist bereits:
- Modem TC4400
- Firewall APU4D4
In Überlegung (für Änderungen offen):
- Switch Wohnzimmer Mikrotik RB5909
- Switch Büro Mikrotik CRS112
- Accesspoint TP Link EAP653
An was ich derzeit vom Verständnis noch hänge ist das mit dem Zugriff der Apple Geräten mit Sonos und HomeKit. Da lese ich immer das ein Switch mDNS können muss und das nicht viele beherschen. Was genau ist das bzw gibt es dazu auch Anleitungen?
Zudem wollte ich fragen wie die Erfahrungen / Empfehlungen mit VPN sind. IPSec vs Wireguard vs OpenVPN? Ein Informatik Freund meinte ohne zu Zucken das IPSec ein Oldie gut Goodie ist und ich das am besten nehme, jedoch WireGuard theoretisch performanter is, sehr leicht einzurichten, aber im Verhältnis sehr jung. Wie steht man hier dazu?
Danke schonmal vorab
ich bin die Nela und bin nach langem einlesen wie man sein Netzwerk sicherer und strukturierter macht her gelandet.
Aktuell habe ich einen Kabel Zugang über Vodafone mit einer 500er Leitung mit welcher ich über eine FRITZ!Box ins Internet gehe. Über diese Box läuft so ziemlich alles wie es gerade kommt Und das mit noch nichtmal gutem Wifi das gerade die Kids verrückt macht. Als Automatisierungstechnikerin und den LAN Party der Kids ist einiges an Basis Wissen da. Alles andere lese ich mich intensiv rein.
Falls die Wortwahl missverständlich ist tut es mir leid, ich versuche alles so wiederzugeben wie ich es hoffentlich verstanden habe.
Nun bin ich nach etlichem lesen schon soweit gegangen das ich mit viel Glück ein TC4400 bekommen habe und daran eine APU4D4 mit pfSense laufen lassen möchte. Von dem APU soll eine Leitung zu einem Switch ins Wohnzimmer gehen der nach Möglichkeit lüfterlos ist und ich per POE (möchte mir noch mehr Kabel legen sparen) einen Accesspoint betreiben kann.
Von diesem wiederum soll mit einem Trunkport ein weiterer Switch im Büro versorgt werden an welchem dann die restliche Technik angeschlossen ist. Nun wird das alles in VLAN segmentiert wovon ich auch schon einiges gelesen habe.
Das ganze sieht dann so aus:
VLAN 1 Admin
VLAN 2 Entertain
VLAN 3 Office
VLAN 4 Printer
VLAN 5 mobile Devices
VLAN 6 Smarthome
VLAN 7 Gast
Wohnzimmer
—————————————-
TV (2)
AppleTV 4K (2)
Sonos (2)
Bosch Smarthome HUB (6)
Büro
—————————————-
PC 1 (3)
PC 2 (3)
Drucker AirPrint (4)
MacBook (3)
Konsole (2)
WIFI Geräte
—————————————-
AppleTV (2)
iPhone 1 (4)
iPhone 2 (4)
iPad (4)
Cam 1 (6)
Cam 2 (6)
Cam 3 (6)
Gast WLAN Zugang (7)
An Hardware ist bereits:
- Modem TC4400
- Firewall APU4D4
In Überlegung (für Änderungen offen):
- Switch Wohnzimmer Mikrotik RB5909
- Switch Büro Mikrotik CRS112
- Accesspoint TP Link EAP653
An was ich derzeit vom Verständnis noch hänge ist das mit dem Zugriff der Apple Geräten mit Sonos und HomeKit. Da lese ich immer das ein Switch mDNS können muss und das nicht viele beherschen. Was genau ist das bzw gibt es dazu auch Anleitungen?
Zudem wollte ich fragen wie die Erfahrungen / Empfehlungen mit VPN sind. IPSec vs Wireguard vs OpenVPN? Ein Informatik Freund meinte ohne zu Zucken das IPSec ein Oldie gut Goodie ist und ich das am besten nehme, jedoch WireGuard theoretisch performanter is, sehr leicht einzurichten, aber im Verhältnis sehr jung. Wie steht man hier dazu?
Danke schonmal vorab
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81170568769
Url: https://administrator.de/forum/heimnetz-segmentieren-mit-vlan-und-neuer-hardware-81170568769.html
Ausgedruckt am: 13.05.2025 um 21:05 Uhr
17 Kommentare
Neuester Kommentar
Hallo und willkommen im Forum,
MDNS über mehrere VLANs CISCO und pfsense
https://www.bsdforen.de/threads/mdns-%C3%BCber-vlans-funktioniert-im-wla ...
https://docs.opnsense.org/manual/how-tos/multicast-dns.html
Übertragung von mDNS
https://www.cisco.com/c/de_de/support/docs/wireless-mobility/wireless-mo ...
Gruß,
Peter
Zitat von @SoulSister:
An was ich derzeit vom Verständnis noch hänge ist das mit dem Zugriff der Apple Geräten mit Sonos und HomeKit. Da lese ich immer das ein Switch mDNS können muss und das nicht viele beherschen. Was genau ist das bzw gibt es dazu auch Anleitungen?
https://en.wikipedia.org/wiki/Multicast_DNSAn was ich derzeit vom Verständnis noch hänge ist das mit dem Zugriff der Apple Geräten mit Sonos und HomeKit. Da lese ich immer das ein Switch mDNS können muss und das nicht viele beherschen. Was genau ist das bzw gibt es dazu auch Anleitungen?
MDNS über mehrere VLANs CISCO und pfsense
https://www.bsdforen.de/threads/mdns-%C3%BCber-vlans-funktioniert-im-wla ...
https://docs.opnsense.org/manual/how-tos/multicast-dns.html
Übertragung von mDNS
https://www.cisco.com/c/de_de/support/docs/wireless-mobility/wireless-mo ...
Wie steht man hier dazu?
Nicht jedes Gerät kann Wireguard, aber fast alle können IPSec. Und nicht jede Wireguard Konfig ist nach Wireguard so zum Beispiel die AVM eigene Wireguard KonfigGruß,
Peter
APU4D4 mit pfSense
Guck Dir evtl. auch mal OPNsense an. Kann das selbe aber im moderneren KleidNun wird das alles in VLAN segmentiert
Das würde ich schon in der fw erledigenDas ganze sieht dann so aus:
Das halte ich für übertrieben viele vLANsSwitch mDNS können muss und das nicht viele beherschen.
Das Problem ist nicht mdns innerhalb eines vLANs. Das unterstützten mW. alle Switche, Das Problem sind die vLAN-Schnittstellen. Und hier nicht nur das „finden“ der Geräte, sondern im Anschluss auch die teilw. nicht/mies definierten Ports mit denen die dann arbeiten wollen. Ist die Frage ob bei Dir da nicht die FW die eigentliche mdns-Arbeit macht. In der MT-Welt klappt das nicht out of the box, wogegen Cisco das wohl kann.iPSec/wireguard:
Das würde ich so unterschreiben.PS: Um das zu erklären. vLANs selber sind einfach nur unterschiedliche IP-Bereiche. Die Geräte sehen sich über diese Grenze hinweg nicht automatisch. ABER Du kannst problemlos die Geräte gegenseitig über IP-Adressen ansprechen. Das wird über Router/FW gewährleistet. Willst Du die vLANs komplett absichern, kommt ne FW dazwischen – zusätzlich! Und musst dabei natürlich die jeweiligen genutzten Ports aussparen. Bei Airplay z.B. wechseln die mW. bzw. handeln das selber aus (ohne Deine FW zu fragen 😏)
Alle deine Fragen zum Thema VLAN beantwortet das hiesige Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der mDNS Proxy (Apple etc.) ist für die pfSense kein Problem mit dem AVAHI Package:
Apple AirPrint über VLANs
Das Gastsegment ebenso:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Alle deine Fragen zum Thema VPNs beantworten die folgenden Tutorials:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
pfSense als Wireguard Server
Grob stimmen die für einen Informatiker doch recht pauschalen VPN Aussagen deines Bekannten. Performance Unterschiede WG zu IPsec gibt es aber nicht und WG hat (noch) diverse Einschränkungen was die User Authentisierung angeht und andere Feinheiten angeht. Mit IPsec fährst du also am besten, da universal.
Außerdem besteht dann bei einem Client VPN nicht der Frickelzwang auf allen Endgeräten überflüssige VPN Client Software installieren zu müssen weil du überall die bestehenden onboard VPN Clients mit IKEv2 oder L2TP nutzen kannst. Siehe Tutorials oben.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der mDNS Proxy (Apple etc.) ist für die pfSense kein Problem mit dem AVAHI Package:
Apple AirPrint über VLANs
Das Gastsegment ebenso:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Alle deine Fragen zum Thema VPNs beantworten die folgenden Tutorials:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
pfSense als Wireguard Server
Grob stimmen die für einen Informatiker doch recht pauschalen VPN Aussagen deines Bekannten. Performance Unterschiede WG zu IPsec gibt es aber nicht und WG hat (noch) diverse Einschränkungen was die User Authentisierung angeht und andere Feinheiten angeht. Mit IPsec fährst du also am besten, da universal.
Außerdem besteht dann bei einem Client VPN nicht der Frickelzwang auf allen Endgeräten überflüssige VPN Client Software installieren zu müssen weil du überall die bestehenden onboard VPN Clients mit IKEv2 oder L2TP nutzen kannst. Siehe Tutorials oben.
Moin,
So wenig wie möglich und soviel wie nötig.
Da du dein Netz ja eh mit VLANs segmentieren willst, wäre es einfacher Multi-SSID AP zu nehmen/ zu nutzen. Der EAP653 sollte das können.
cf
Ich war auch etwas am überlegen ob Sinn oder Unsinn bei dem einen oder anderen. Gerade den eigenen mobilen Geräte vertraut man ja und könnte man woanders rein packen. Wie segmentiert man in der Regel denn vernünftig?
So wenig wie möglich und soviel wie nötig.
Wäre es dann evtl sinnig einen weiteren Accesspoint direkt an die Firewall anzuschließen der ausschließlich die ganzen AirPrint , AirPlay …. Geschichten macht? Genug Port an der APU wären ja da.
Da du dein Netz ja eh mit VLANs segmentieren willst, wäre es einfacher Multi-SSID AP zu nehmen/ zu nutzen. Der EAP653 sollte das können.
cf
Wenn ich mir Video anschaue wirkt pfSense für mich etwas aufgeräumter.
Dann würde ich bei der PFsense bleiben. Bei mir ist das genau anderes herum Die OPNsense ist ein abgespalteter Fork der PFsense:
https://de.wikipedia.org/wiki/OPNsense
Das heißt ich mache die Segmentierung in der FW und gehe dann tagged auf einen Switch
So wäre auch meine HerangehensweiseWie segmentiert man in der Regel denn vernünftig?
Da gibts hier bestimmt unterschiedliche Ansichten. Ich würde ja - gerade im Hinblick - auf mdns erstmal die jeweiilgen Clients und Hots vorrangig in das jeweils gleiche vLAN packen, bzw. nur da trennen, wo es wirklich notwendig ist (z.B. Gast). Die Kollegen hier bevorzugen aber die Wifi-Clients grundsätzlich von Kabelnetzwerk zu trennen. Ob das aus Sciherheitsgründen in einem Homenetzwerk relevant ist, muss jeder für sich abwägen. Manche Geräte sollen auch in ein vLAN, damit sie nicht mehr mit dem Internet kommunizieren können – wobei man das bestimmt auch anders lösen könnte.Ist aber auch etwas, was man später noch erweitern/diversifizieren kann.
PS: Alternativ einfach Gast und Büro vom Rest trennen und im restlichen "privaten" Netzwerk verhindern, dass sich fremde noch einklinken können (MAC-Adresse). Nicht, dass Deine Kids (aus Versehen) das falsche Wifi-PW weitergeben, weil ihre Freunde sonst nicht auf die Sonos können
Das heißt ich mache die Segmentierung in der FW
Das ist deine persönliche Entscheidung ob du ein Layer 2 wie das obige oder ein Layer 3 Konzept umsetzt. Für eins musst du ich entscheiden. Beide haben Pros und Conns.Grob gesagt:
- L3 = Pro: Schnelleres Routing da L3 Switch perfromanter ist da loklaer Traffic nicht zur FW und zurück geroutet wird. Con: Zugangskontrolle über Switch ACLs die nicht stateful sind. Ok, Mikrotik ist hier eine Ausnhame bei den L3 Switches, da Router OS einen vollständige SPIU Firewall mitbringt.
- L2 = Pro: Sicherer durch Stateful Filter, Con: Durch Design bedingtes langsameres l3 Forwarding was man aber ggf. mit einem LAG wieder etwas kompensieren kann.
In Bezug auf die Mikrotiks ist deine HW Wahl zumindestens was den Wohnzimmer Switch betrifft etwas unglücklich, denn der RB5900 ("Router"Board) ist primär ein reiner Router und kein Switch! Man kann ihn dazu zwingen ist aber keine gute Idee und auch deutlich zu teuer!
L3 Switches sind die CRS Modelle und L2 Switches die CSS Modelle (R=Routing, S=Switching)
Kann man diesen Multi SSID auch sperrte Einschränkungen geben sprich aktiver Zeiten für Kids, maximale Geschwindigkeiten, automatisches trennen von Gästen nach x Zeit? Das würde gerade als Kindersicherung komplett neue Möglichkeiten bieten.
Multi-SSID bedeutet, dass du im Prinzip nur einen physischen AP hast, der aber mehrere WLAN-Netze ausstrahlen kann, die du auch in die entsprechenden VLAN packen kannst. Bsp. WLAN1 für Büro, WLAN2 für IoT, WLAN3 für Gäste.
Hallo,
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)#Layer-2-_und_Laye ...
https://www.txo.com/de/frage/was-sind-die-verschiedenen-arten-von-netzwe ...
https://community.fs.com/de/article/layer-2-switch-vs-layer-3-switch-wha ...
https://de.wikipedia.org/wiki/Layer-3-Switch
Gruß,
Peter
Zitat von @SoulSister:
Die genauen Unterschiede der beiden Konzepte L2 und L3 ist etwas das ich ehrlich gesagt noch nicht ganz verstanden habe.
https://en.wikipedia.org/wiki/Multilayer_switch#Layer-2_switchingDie genauen Unterschiede der beiden Konzepte L2 und L3 ist etwas das ich ehrlich gesagt noch nicht ganz verstanden habe.
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)#Layer-2-_und_Laye ...
https://www.txo.com/de/frage/was-sind-die-verschiedenen-arten-von-netzwe ...
https://community.fs.com/de/article/layer-2-switch-vs-layer-3-switch-wha ...
https://de.wikipedia.org/wiki/Layer-3-Switch
Gruß,
Peter
Hallo,
Nicht nur können. Muss über vLAN verfügen. Oder willst du für jede MSSID jeweils einen anderen LAN Port haben? Erst mit vLAN macht MSSID sinn.
Gruß,
Peter
Nicht nur können. Muss über vLAN verfügen. Oder willst du für jede MSSID jeweils einen anderen LAN Port haben? Erst mit vLAN macht MSSID sinn.
Gruß,
Peter
Nicht nur können. Muss über vLAN verfügen. Oder willst du für jede MSSID jeweils einen anderen LAN Port haben? Erst mit vLAN macht MSSID sinn.
Nicht zwangsläufig. Ich hatte, bevor ich auch noch in VLAN getrennt habe, ein WLAN mit WPA für das doofe alte Internetradio und eins für die etwas schlaueren Clients mit WPA Enterprise.
L2 und L3 ist etwas das ich ehrlich gesagt noch nicht ganz verstanden habe.
Was ist daran schwer zu verstehen...?!L2 muss das layer 3 Forwarding extern machen mit einem sog. "one armed" Router oder Firewall oder Router oder Firewall "on the stick".
Sprich zu routender Traffic muss aus dem L2 Core zu einem externen Device hin und wieder zurück. Ein Engpass ist dann immer die Anbindung die den doppelten Traffic bei inter VLAN Routing verarbeiten muss. Ein LAG oder MLAG kann das etwas verbessern aber erreicht durch Hashing Verfahren niemals die Performance die ein Layer 3 Switch erreicht der das L3 Forwarding direkt auf seinem onboard Silizium in Wirespeed macht. Die Firewall/Router bedient dann lediglich nur noch externen (Internet) Traffic.
Leuchtet einem doch mit dem gesunden IT Verstand auch sofort ein wenn man etwas nachdenkt und sich die Traffic Wege einmal in aller Ruhe vor Augen führt. Schwer ist das doch nun wahrlich nicht?! 🤔
hab ich mal bei Cisco fürs Wohnzimmer den CBS350 und Büro den 250er ins Auge gefasst
250er benötigst du das nicht. Der 220er ist die bessere Wahl. Diese Kombi benötigst du aber auch nur wenn du ein L3 Konzept bevorzugst.Bei einem L2 Konzept kannst du schlicht und einfach 2mal 220er nehmen, denn da reichen ja L2.
muss ich erstmal schauen was stateful / stateless ACLs sind genauso das Thema LAG.
Oha...noch viel lernen du noch musst würde Meister Yoda da sagen. Zieh dir die Tutorials rein dann weisst du schon mal 60%
Kann man diesen Multi SSID auch sperrte Einschränkungen geben
Ja, entweder über den AP selber (Zeitsteuerung Senden) oder über die Firewall/Switch mit einer zeitgesteuerten Regel oder ACL. Das ist ne Lachnummer.Du kannst im Regelwerk auch zeitgesteuert nur die Webseite mit der Maus durchlassen usw. usw.
Noch besse rin Kombination mit einem DNS Filter wie PiHole oder Adguard, dann arbeitest du sogar komplett werbe- und virenfrei sowie ohne Schnüffeltrojanier und pixel im Netz und hast die Option böse Apps wie Facebook und den ganzen anderen Social Schrott zu blocken.
Gäste bedienst du immer über ein Captive Portal mit entsprechenden Einmalvouchern auf deiner pfSense. Natürlich auch mit zeitbasierter Regelsteuerung wenn du willst.
ein WLAN mit WPA für das doofe alte Internetradio und eins für die etwas schlaueren Clients mit WPA Enterprise.
Wobei man sich das hätte sparen können und auch das Radio mit MAP (Mac Auth Bypass) übers WPA-Enterprise mit hätte bedienen können. Das man für L3 forwarding externe Hardware braucht die durch diesen erheblich mehr Datenfluss traffic generiert hat mir zu all dem Verständnis gefehlt.
Mit anderen Worten du hast das dir oben mehrfach zitierte Tutorial nicht gelesen und nicht einmal die bunten Bilder dort angesehen die das sofort klar gemacht hätten. Dann kann man hier natürlich viel tippen... 😡Auch wenn ein L2 Konzept wahrscheinlich für Anfänger besser wäre
Nee, das wäre ein L3 Konzept, denn das braucht ja keine weitere Hardware außer dem Switch... Nur die wenigsten können eben einen Layer 3 Switch ihr eigenen nennen.Das kann ich problemlos auf der pfSense laufen lassen?
https://broadband.forum/threads/installing-adguard-home-on-pfsense.20588 ...Sinnvoller wäre es aber irgendwo einen 15 Euro Raspberry Pi Zero laufen zu lassen mit dem Adguard oder PiHole drauf. Eine Firewall ist eine Firewall und sollte das auch bleiben.
So, nun bist du dran mit Taten!
Wenn es das denn nun war:
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?