17
Heimnetzwerk in VLANs unterteilen
Hallo zusammen,
ich habe insgesamt ca. +-30 Netzwerkgeräte von Multimedia SmartTV, Xbox, Google/Alexa Speaker, Private/Geschäftliche PCs, Smartphones, Tablets und NAS Geräte im Einsatz. Ich habe mir mehrere Managed Switches Zyxel GS1200-8 (https://www.zyxel.com/de/de/products/switch/5-port-8-port-web-managed-gi ..) besorgt und möchte damit das Netzwerk durch VLANs unterteilen und sicherer machen. Ganz vorne dran ist eine einfache Fritzbox, die weiterverwendet werden soll. Hier möchte ich lediglich den Adressbereich vorkonfigurieren und als "permanent" einstellen, also keine IP-Adresserneuerung nach X Tagen. Meine Fritzbox kann leider keine virtuellen VLAN für Wifi, also greife ich hier auf den Gastzugang zurück für alle IoT Geräte und Smartphones/Tablets.
Als VLANs dachte ich grob an:
1. Private PCs
2. Business / Homeoffice / Telefon
4. 3x NAS Geräte
5. Multimedia / Alles mit IoT
6. Proxmox, DMS und andere Server
evtl. kommt später noch was dazu!?
Ich vermute ich werde ein wenig Hilfe mit den VLAN, PVID, Ports Konfiguraiton haben und davor eine Definition einer Kommunikationsmatrix erstellen müssen. Habt Ihr Tipps, wie ich da am Besten anfangen kann?
1. Tipp zum sicheren IP-Adressbereiche an der Fritzbox vordefinieren falls notwendig? Evtl. weitere notwendige Einstellungen?
2. Vorgehensweise zur Übersicht der Geräte und Kommunikationsmatrix? Ich denke gründsätzlich müssen alle Geräte internet-facing sein, da ja Windows Laptops, meine Synology NAS usw. auch Updates benötigen usw.
3. Sinnvolle und kostengünstige Verschaltung der 3 Zyxel Managed Switches +(2 Unmanaged Switches falls notwendig) ohne weiteres Zusatzbudget wenn möglich?
Viele Grüße
Danke
ich habe insgesamt ca. +-30 Netzwerkgeräte von Multimedia SmartTV, Xbox, Google/Alexa Speaker, Private/Geschäftliche PCs, Smartphones, Tablets und NAS Geräte im Einsatz. Ich habe mir mehrere Managed Switches Zyxel GS1200-8 (https://www.zyxel.com/de/de/products/switch/5-port-8-port-web-managed-gi ..) besorgt und möchte damit das Netzwerk durch VLANs unterteilen und sicherer machen. Ganz vorne dran ist eine einfache Fritzbox, die weiterverwendet werden soll. Hier möchte ich lediglich den Adressbereich vorkonfigurieren und als "permanent" einstellen, also keine IP-Adresserneuerung nach X Tagen. Meine Fritzbox kann leider keine virtuellen VLAN für Wifi, also greife ich hier auf den Gastzugang zurück für alle IoT Geräte und Smartphones/Tablets.
Als VLANs dachte ich grob an:
1. Private PCs
2. Business / Homeoffice / Telefon
4. 3x NAS Geräte
5. Multimedia / Alles mit IoT
6. Proxmox, DMS und andere Server
evtl. kommt später noch was dazu!?
Ich vermute ich werde ein wenig Hilfe mit den VLAN, PVID, Ports Konfiguraiton haben und davor eine Definition einer Kommunikationsmatrix erstellen müssen. Habt Ihr Tipps, wie ich da am Besten anfangen kann?
1. Tipp zum sicheren IP-Adressbereiche an der Fritzbox vordefinieren falls notwendig? Evtl. weitere notwendige Einstellungen?
2. Vorgehensweise zur Übersicht der Geräte und Kommunikationsmatrix? Ich denke gründsätzlich müssen alle Geräte internet-facing sein, da ja Windows Laptops, meine Synology NAS usw. auch Updates benötigen usw.
3. Sinnvolle und kostengünstige Verschaltung der 3 Zyxel Managed Switches +(2 Unmanaged Switches falls notwendig) ohne weiteres Zusatzbudget wenn möglich?
Viele Grüße
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32214378788
Url: https://administrator.de/contentid/32214378788
Printed on: April 27, 2024 at 08:04 o'clock
17 Comments
Latest comment
Hallo,
da Du sicher auch routen willst, mach Dich besser erstmal an die Basics.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sicher wäre es auch zielführend, wenn Du zunächst versuchst, die Inhalte des weitgehend redundanten Freds vom Oktober zunächst zu verstehen. Dieser ist auch noch nicht geschlossen.
How can I mark a post as solved?
- wie iÜ alle Deine bisherigen Freds. Nicht so prall.
Viele Grüße, commodity
da Du sicher auch routen willst, mach Dich besser erstmal an die Basics.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sicher wäre es auch zielführend, wenn Du zunächst versuchst, die Inhalte des weitgehend redundanten Freds vom Oktober zunächst zu verstehen. Dieser ist auch noch nicht geschlossen.
How can I mark a post as solved?
- wie iÜ alle Deine bisherigen Freds. Nicht so prall.
Viele Grüße, commodity
3
ohne weiteres Zusatzbudget wenn möglich?
Wie soll das gehen ohne vLAN-fähigen Router bzw. Firewall?1
Hallo,
Indem der TO in seiner nicht vLAN fähige Fritte die magische IP 127.6.6.255/-255 verwendet. Damm kann auch sein dortiges Gast LAN erfolgreich mit seinen LAN/WLAN Geräten zwitschern
Gruß,
Peter
Indem der TO in seiner nicht vLAN fähige Fritte die magische IP 127.6.6.255/-255 verwendet. Damm kann auch sein dortiges Gast LAN erfolgreich mit seinen LAN/WLAN Geräten zwitschern
Gruß,
Peter
1
Ich bin der Meinung, dass VLANs ohne einer Firewall keinen Sicherheits Gewinn bringen.
Du benötigst eine Firewall die zwischen den Netzen regelbasiert routet.
Fertig ist der Drops.
Du benötigst eine Firewall die zwischen den Netzen regelbasiert routet.
Fertig ist der Drops.
1
Moin,
die VLANs bringen dir nichts, wenn sie niemand routen kann.
Die Kollegen haben bereits verwandte Artikel gepostet, welche dir weiterhelfen können.
Nach meiner Einschätzung willst Du aber mit "recht einfachen" mitteln, maximal viel Sicherheit gewinnen.
Wenn keine Vorerfahrung mit Firewall-Systemen wie z.B. der genannten PFSense vorhanden sind, würde ich dir ganz ehrlich raten die Finger davon zu lassen.
Wenn dein Anliegen dir wirklich wichtig ist, nimm lieber Geld in die Hand und kauf dir sowas wie TP-Link Omada oder vergleichbar.
Ich persönlich würde es nicht nutzen, da ich mein "Ökosystem" lieber selbst bestimmen möchte. Für jemanden wie Dich, der in diesem Bereich aber keinerlei Erfahrung vorweisen kann, endet "selbst schrauben" schnell in viel Frust und am Ende wird eh wieder so lange bastelt, bis es "irgendwie" aber nicht zwingend sicher funktioniert.
Schau dich daher lieber nach fertigen Lösungen um.
die VLANs bringen dir nichts, wenn sie niemand routen kann.
Die Kollegen haben bereits verwandte Artikel gepostet, welche dir weiterhelfen können.
Nach meiner Einschätzung willst Du aber mit "recht einfachen" mitteln, maximal viel Sicherheit gewinnen.
Wenn keine Vorerfahrung mit Firewall-Systemen wie z.B. der genannten PFSense vorhanden sind, würde ich dir ganz ehrlich raten die Finger davon zu lassen.
Wenn dein Anliegen dir wirklich wichtig ist, nimm lieber Geld in die Hand und kauf dir sowas wie TP-Link Omada oder vergleichbar.
Ich persönlich würde es nicht nutzen, da ich mein "Ökosystem" lieber selbst bestimmen möchte. Für jemanden wie Dich, der in diesem Bereich aber keinerlei Erfahrung vorweisen kann, endet "selbst schrauben" schnell in viel Frust und am Ende wird eh wieder so lange bastelt, bis es "irgendwie" aber nicht zwingend sicher funktioniert.
Schau dich daher lieber nach fertigen Lösungen um.
1
Welche Bandbreiten sollen denn erreicht werden? was machen denn die NAS so? Ist da etwas dabei, was von viel Forward profitieren würde?
Was genau macht die Fritzbox, außer Netzabschluss zum WAN? DSL?
Zugriff von Außen ist auf was geplant?
Was genau macht die Fritzbox, außer Netzabschluss zum WAN? DSL?
Zugriff von Außen ist auf was geplant?
1
Moin.
Das ist leider nicht einmal ungewöhnlich, auch nicht im Geschäftsbereich: VLANs bilden die am Ende doch wieder zusammenlaufen und alles miteinander kommunizieren dürfen.
Hat dein Zyxel Switch die Funktion Access Control List (ACL), so könntest du den Verkehr zwischen den VLANs einschränken.
Deine Fritzbox sollte eigentlich über LAN4 ein eigenes Gast-Netzwerk abbilden können, welches auch wieder getrennt vom primären Netz ist, gleiches mit Gast WLAN.
Das ist leider nicht einmal ungewöhnlich, auch nicht im Geschäftsbereich: VLANs bilden die am Ende doch wieder zusammenlaufen und alles miteinander kommunizieren dürfen.
Hat dein Zyxel Switch die Funktion Access Control List (ACL), so könntest du den Verkehr zwischen den VLANs einschränken.
Deine Fritzbox sollte eigentlich über LAN4 ein eigenes Gast-Netzwerk abbilden können, welches auch wieder getrennt vom primären Netz ist, gleiches mit Gast WLAN.
1
Vielen Dank für die zahlreichen Antworten und Rückfragen! Ich werde mich parallel noch einarbeiten in das Thema und genannten Artikel.
Um im Vorfeld etwas Orientierung zu bekommen anbei meine Antworten und Rückfragen.
@commodity
Werde ich nochmals durchgehen und schließen.
@Visucius
@Pjordorf
Das ist richtig so, geplant war das WLAN und das LAN über die zugehörige Option Gästenetz -und Primärnetztrennung für Privat und Business zu unterteilen.
@leon123
Verstehe ich es richtig, dass die zuzätzliche Firewall zwischen den VLANs empfehlenswert ist? Praktisch wäre aber auch die VLANs ohne Firewall technisch möglich, nur halt nicht so sicher wie mit FW?
@Cloudrakete
Meinst du dieses Gerät: https://www.amazon.de/hochsicheres-Management-intelligente-%C3%9Cberwach ...
@8585324113
1 Gbit LAN sollte funktionieren. Mein aktuelles Synology DS423 könnte potentiell Double-Link, aber das können die anderen Geräte nicht.
Das aktuelle Geräte würde als Backup für die Infrastruktur und Clients dienen (Active Backup for Business). Die anderen beiden dienen momentan zur Datenablage.
Die FritzBox dient aktuell als DSL-Router/Netzabschluss zu WAN und Firewall, welche ich grundsätzlich auch so weiterhin verwenden wollte, falls möglich und sinnvoll.
Zugriff von außen ist nicht erforderlich und nicht geplant.
@nachgefragt
Ich habe mal schnell die Anleitung durchsucht (https://download.zyxel.com/GS1200-8/user_guide/GS1200-8_V2.00_Ed1.pdf), leider hat der Zyxel Switch kein ACL. Aber die Fritzbox hat grunsätzlich die Möglichkeit im Menü Heimnetz > Heimnetzübersicht > Netzwerkverbindungen due Geräte einzuschränken bzw. IP-Adressen und Mac Adressen zu hinterlegen. Ich vermute das hilft in Zusammenhang mit den managed Zyxel Switches nicht weiter, oder?
Gast WLAN/LAN und Trennung von primären Netz ist mit der Fritzbox möglich.
Allgemein:
Zu erwähnen ist, die Geräte - vor allem die ca. 6 Laptops sind an 3 Docking Stations, so dass sie nicht immer an und im Netz sind (nur aktuell bei Bedarf).
Wie würde hier die korrekte VLAN Zuordnung für die Einsatzgebiete funktionieren - über die Switch Ports, dann müsste ich vermutlich darauf auchten, an welcher der 3 Docking Stations ich den jeweiligen Laptop einhänge, oder? Gibt es eine andere Möglichkeit, z.B. über MAC-Adressen?
Um im Vorfeld etwas Orientierung zu bekommen anbei meine Antworten und Rückfragen.
@commodity
Werde ich nochmals durchgehen und schließen.
@Visucius
@Pjordorf
Das ist richtig so, geplant war das WLAN und das LAN über die zugehörige Option Gästenetz -und Primärnetztrennung für Privat und Business zu unterteilen.
@leon123
Verstehe ich es richtig, dass die zuzätzliche Firewall zwischen den VLANs empfehlenswert ist? Praktisch wäre aber auch die VLANs ohne Firewall technisch möglich, nur halt nicht so sicher wie mit FW?
@Cloudrakete
Meinst du dieses Gerät: https://www.amazon.de/hochsicheres-Management-intelligente-%C3%9Cberwach ...
@8585324113
1 Gbit LAN sollte funktionieren. Mein aktuelles Synology DS423 könnte potentiell Double-Link, aber das können die anderen Geräte nicht.
Das aktuelle Geräte würde als Backup für die Infrastruktur und Clients dienen (Active Backup for Business). Die anderen beiden dienen momentan zur Datenablage.
Die FritzBox dient aktuell als DSL-Router/Netzabschluss zu WAN und Firewall, welche ich grundsätzlich auch so weiterhin verwenden wollte, falls möglich und sinnvoll.
Zugriff von außen ist nicht erforderlich und nicht geplant.
@nachgefragt
Ich habe mal schnell die Anleitung durchsucht (https://download.zyxel.com/GS1200-8/user_guide/GS1200-8_V2.00_Ed1.pdf), leider hat der Zyxel Switch kein ACL. Aber die Fritzbox hat grunsätzlich die Möglichkeit im Menü Heimnetz > Heimnetzübersicht > Netzwerkverbindungen due Geräte einzuschränken bzw. IP-Adressen und Mac Adressen zu hinterlegen. Ich vermute das hilft in Zusammenhang mit den managed Zyxel Switches nicht weiter, oder?
Gast WLAN/LAN und Trennung von primären Netz ist mit der Fritzbox möglich.
Allgemein:
Zu erwähnen ist, die Geräte - vor allem die ca. 6 Laptops sind an 3 Docking Stations, so dass sie nicht immer an und im Netz sind (nur aktuell bei Bedarf).
Wie würde hier die korrekte VLAN Zuordnung für die Einsatzgebiete funktionieren - über die Switch Ports, dann müsste ich vermutlich darauf auchten, an welcher der 3 Docking Stations ich den jeweiligen Laptop einhänge, oder? Gibt es eine andere Möglichkeit, z.B. über MAC-Adressen?
Verstehe ich es richtig, dass die zuzätzliche Firewall zwischen den VLANs empfehlenswert ist? Praktisch wäre aber auch die VLANs ohne Firewall technisch möglich, nur halt nicht so sicher wie mit FW?
Das Problem ist doch hier, dass die Fritze - zwischen LAN und GästeLAN - nur zwei Optionen zulässt:
alles auf oder alles zu.
Also entweder das ist strikt getrennt: Arbeitsrechner/Drucker im GästeLAN z.B.
oder Du oder ein anderer Mitbewohner möchtest auf irgendein Gerät (Alexa und Konsorten) über die Grenze hinweg zugreifen, dann muss alles auf.
Kann sogar sein, dass "alles auf" nur für Wifi geht?
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/294_WLAN-Gast ...
1
Dann mach das doch bitte, bevor Du weitere Fragen stellst, die längst beantwortet sind, wenn Du das Tutorial durchgegangen bist
Viele Grüße, commodity
Viele Grüße, commodity
1
Ja ohne Firewall bringen dir die VLANs gar nichts.
Fritzbox (Exposed Host) - Firewall - Switch - VLANs
Die Firewall routet zwischen den Netzen und in Regeln wird erlaubt.
Alles andere bringt dir keinen Sicherheits Gewinn
Fritzbox (Exposed Host) - Firewall - Switch - VLANs
Die Firewall routet zwischen den Netzen und in Regeln wird erlaubt.
Alles andere bringt dir keinen Sicherheits Gewinn
1Zitat von @Crossaint:
Ich vermute das hilft in Zusammenhang mit den managed Zyxel Switches nicht weiter, oder?
Nein.Ich vermute das hilft in Zusammenhang mit den managed Zyxel Switches nicht weiter, oder?
Wenn es es könnte dann könntest du über die ACL direkt sagen wer mit wem über was kommunizieren darf, sodass die Arbeit nicht auf der Firewall allein liegt, welch u.U. der Flaschenhals ist.
Ob bei 8 Geräten ein VLAN überhaupt notwendig ist müsste man prüfen, d.h. ob man viele Clients zu einem VLAN zusammenfassen kann. Und nein, eine Firewall ist nicht unbedingt notwendig, vielen lässt sich schon über ACL abfackeln.
Bei 99€ geht es los, 30 Tage Teststellung ordern und ACL ausprobieren.
https://www.fs.com/de/c/1-25g-enterprise-switches-4245?195=30647&sor ...
z.B. nach deiner Vorgabe
1. Private PCs
2. Business / Homeoffice / Telefon
4. 3x NAS Geräte
Port 1 darf nicht mit Port 2 kommunizieren.
Port 1 darf mit Port 3 über TCP445 (SMB) kommunizieren.
Port 2 darf mit Port 3 über TCP445 (SMB) kommunizieren.
usw.
1
Nach Projektpause und Beschaffung vom zusätzlichen preisgünstigen Router-Gerät mit integrierter Firewall und ACL (https://www.tp-link.com/de/business-networking/omada-router-wired-router ..) möchte ich gerne ein Konzept zeigen, wie ich mir das vorstelle. (Die VPN Funktionalität des Routers ist für mich erstmal nicht entscheidend und wird nicht genutzt).
Ziel ist es, aktuell sinnlose Kaskaden mit Switches aufzulösen und ein im Vergleich zu heute preisgünstiges und sichereres Netzwerk (Geschäftliche-, Private-, Gast Nutzung aufzusetzen. Auch werden alle Geräte nicht immer ON bzw. verbunden sein. So kann ich z.B. die SmartTV und NAS-Geräte inklusive Switches auch mal ausgeschalten lassen.
1) Die Fritzbox / alternativ ein ASUS DSL Router stellt als WAN-Modem die Verbindung zum Internet her
2) Die Fritzbox / alternativ ein ASUS DSL Router dient auch als WLAN/WiFi Access Point und DECT für Schnurlostelefon
3) Mein neuer Router siehe Link soll als Firewall und ACL für die untergelagerten 3x Managed- und 1x Unmanaged Switch dienen
4) Der einzige 8-Port Unmanaged Switch ohne VLAN-Möglichkeit verbindet die Smart TV, HTPC und unsicheren Geräte miteinander
5) Die insgesamt 3x 8-Port Managed Switche mit VLAN-Möglichkeit unterteilen die Geräte in unterschiedliche VLANs
Frage:
a) Was meint ihr dazu und ist mein Konzept prinzipiell so realisierbar und wie findet ihr das Netzwerkdesign?
b) Falls ich hinterher merke, dass ich die Kommunikation zw. unterschiedlichen VLANs z.B. 10-40 und VLAN 60 brauche, kann ich das kurzerhand in der ACL und an den Switches so konfigurieren oder muss ich auch physikalisch die Ethernetkabel umstecken?
c) Welche simple/kostenlose Software nutzt ihr um einfache Netzwerkvisualisierungen zu machen (in meinem Fall MS Powerpoint)
Danke und Gruß
Ziel ist es, aktuell sinnlose Kaskaden mit Switches aufzulösen und ein im Vergleich zu heute preisgünstiges und sichereres Netzwerk (Geschäftliche-, Private-, Gast Nutzung aufzusetzen. Auch werden alle Geräte nicht immer ON bzw. verbunden sein. So kann ich z.B. die SmartTV und NAS-Geräte inklusive Switches auch mal ausgeschalten lassen.
1) Die Fritzbox / alternativ ein ASUS DSL Router stellt als WAN-Modem die Verbindung zum Internet her
2) Die Fritzbox / alternativ ein ASUS DSL Router dient auch als WLAN/WiFi Access Point und DECT für Schnurlostelefon
3) Mein neuer Router siehe Link soll als Firewall und ACL für die untergelagerten 3x Managed- und 1x Unmanaged Switch dienen
4) Der einzige 8-Port Unmanaged Switch ohne VLAN-Möglichkeit verbindet die Smart TV, HTPC und unsicheren Geräte miteinander
5) Die insgesamt 3x 8-Port Managed Switche mit VLAN-Möglichkeit unterteilen die Geräte in unterschiedliche VLANs
Frage:
a) Was meint ihr dazu und ist mein Konzept prinzipiell so realisierbar und wie findet ihr das Netzwerkdesign?
b) Falls ich hinterher merke, dass ich die Kommunikation zw. unterschiedlichen VLANs z.B. 10-40 und VLAN 60 brauche, kann ich das kurzerhand in der ACL und an den Switches so konfigurieren oder muss ich auch physikalisch die Ethernetkabel umstecken?
c) Welche simple/kostenlose Software nutzt ihr um einfache Netzwerkvisualisierungen zu machen (in meinem Fall MS Powerpoint)
Danke und Gruß
a) Naja, kommt eben immer auf den eigenen Wusch an, z.B: TVs im Netzwerk oder Gastnetz? Smart-Features vs. Sicherheit.
b) Was hast du selbst herausgefunden?
c) Libreoffice Draw, draw.io
b) Was hast du selbst herausgefunden?
c) Libreoffice Draw, draw.io
Danke!
Zu a) Stimmt, ich könnte die SmartTVs (links im Bild) auf das Gastnetzwerk legen, welches über den TP-Link Omada angelegt wird. Dann wäre es zumindest nochmals zusätzlich von dem sicheren Netzwerk abgeschottet, richtig?
b) Leider noch nichts
c) Klasse Werkzeuge! Ich glaube die teure Lösung wäre sonst alternativ MS Visio, die ich jetzt nicht mehr brauche, danke!
Zu a) Stimmt, ich könnte die SmartTVs (links im Bild) auf das Gastnetzwerk legen, welches über den TP-Link Omada angelegt wird. Dann wäre es zumindest nochmals zusätzlich von dem sicheren Netzwerk abgeschottet, richtig?
b) Leider noch nichts
c) Klasse Werkzeuge! Ich glaube die teure Lösung wäre sonst alternativ MS Visio, die ich jetzt nicht mehr brauche, danke!
Moin @Crossaint,
warum tauschst Du den TP Router und die drei managend Switch nicht gegen ein großen L3 Switch. Der kann auch Routing und Du sparst viele Geräte. Oder sollte die drei managend Switch nur ein Gerät werden und für die Übersichtlichkeit von den VLAN 10-60 hast Du drei eingezeichnet?
Gruß
warum tauschst Du den TP Router und die drei managend Switch nicht gegen ein großen L3 Switch. Der kann auch Routing und Du sparst viele Geräte. Oder sollte die drei managend Switch nur ein Gerät werden und für die Übersichtlichkeit von den VLAN 10-60 hast Du drei eingezeichnet?
Gruß
Hi, ja wahrscheinlich hätte ich auch 1x großen L3 Switch nehmen können. Allerdings habe ich in der Wohnung nur limietierte Orte zum aufstellen des Gerätes, so müsste ich 5x Kabel durch Wände zu den Smart Geräten ziehen. Laut Zeichnung brauche ich nur 1x LAN Kabel zum Switch ziehen und die restlichen vom Gerät zu den nahestehenden Smart-Geräten. Außerdem zieht ein großer L3 auch mehr Strom, als 2 kleine Switches wenn die laufen.