Entscheidungshilfe Netzwerksegmentierung
Hallo Admin-Community,
ich bin neu hier im Forum. Mich hat vor allem dieser Beitrag auf euch aufmerksam gemacht.
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik, allerdings bereit mich in die Themen einzuarbeiten. Ich stehe aktuell vor der Herausforderung unser privates Netzwerk sinnvoll und einigermaßen sicher aufzubauen. Dabei kommt man unter anderem an der Netzwerksegmentierung vorbei worauf mein Beitrag abzielt.
Meine Situation:
- Sternverkabelung mit .Cat 7 Kabel und .Cat 6A Keystone Modulen -> 1Gbit/s Netzwerk
- 3 einfache Switches von Netgear vorhanden
- 2 Asus RT-AX92U vorhanden
- Ein Internetzugang (Aktuell DSL bei Vodafone, wird sich zu Glasfaser bei Vodafone ändern)
- Kinder
Meine Ziele:
- Prio 1: vollständig getrenntes Netzwerk mit Internetzugang für die Klingelanlage, da Kabel von außen und der Einliegerwohnung zugänglich
- Prio 2: Weiteres separates Netzwerk mit eingeschränktem Internetzugang für die Hausautomatisierung und die Überwachungskameras mit eventueller Schnittstelle in das Netzwerk der Klingelanlage um die Bilder der Kameras auf der Klingelanlage zu haben.
- Prio 3: Separate WLAN-Netzwerke für Gäste, Einliegerwohnung (alle 6 Monate neue Studenten), IoT-Geräte, Home-Office (bis Prio 4 umgesetzt)
- Prio 4: Separates Unternetzwerk im Hauptnetzwerk für die Arbeit mit Zugriff auf die NAS im Hauptnetzwerk
Hier mal meine beschriebenen Ziele visuell dargestellt:
Nun zu meinen Fragen bei den ich aktuell etwas unsicher bin:
1. Macht in meinem Fall die dargestellte physikalische Segmentierung aus Sicht Energieeinsatz, Übersichtlichkeit, Komplexität und Geschwindigkeit Sinn? Nach meiner bisherigen Recherche schrecke ich noch etwas zurück mich in VLANs und Firewalls einzuarbeiten. Außerdem könnte ich vermutlich meine bisherigen Switches (Layer 1) nicht verwenden. Potentiell könnten auch noch Netzwerke dazukommen, z.B. für LAN-gebundene IoT-Geräte.
2. Das Thema Telefonie könnte ich über den Einwahlrouter laufen lassen, oder?
3. Wie handhabe ich am Besten den Unsicherheitsfaktor Kinder? Einfach ein separates WLAN-Netz? Wenn LAN dazukommt dann nochmals ein getrenntes Netzwerk?
4. Bei meinen Access Points gibt es diese Möglichkeit Gästenetzwerke zu erstellen:
Wenn ich auswähle, dass Kein Zugriff auf das Intranet bestehen soll, sind die Netzwerke dann relativ sicher getrennt, oder benötigt es hier nur einfach Mittel? Im Handbuch gibt es dazu keine weiteren Angaben.
Vielen Dank schonmal für euren Support
ich bin neu hier im Forum. Mich hat vor allem dieser Beitrag auf euch aufmerksam gemacht.
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik, allerdings bereit mich in die Themen einzuarbeiten. Ich stehe aktuell vor der Herausforderung unser privates Netzwerk sinnvoll und einigermaßen sicher aufzubauen. Dabei kommt man unter anderem an der Netzwerksegmentierung vorbei worauf mein Beitrag abzielt.
Meine Situation:
- Sternverkabelung mit .Cat 7 Kabel und .Cat 6A Keystone Modulen -> 1Gbit/s Netzwerk
- 3 einfache Switches von Netgear vorhanden
- 2 Asus RT-AX92U vorhanden
- Ein Internetzugang (Aktuell DSL bei Vodafone, wird sich zu Glasfaser bei Vodafone ändern)
- Kinder
Meine Ziele:
- Prio 1: vollständig getrenntes Netzwerk mit Internetzugang für die Klingelanlage, da Kabel von außen und der Einliegerwohnung zugänglich
- Prio 2: Weiteres separates Netzwerk mit eingeschränktem Internetzugang für die Hausautomatisierung und die Überwachungskameras mit eventueller Schnittstelle in das Netzwerk der Klingelanlage um die Bilder der Kameras auf der Klingelanlage zu haben.
- Prio 3: Separate WLAN-Netzwerke für Gäste, Einliegerwohnung (alle 6 Monate neue Studenten), IoT-Geräte, Home-Office (bis Prio 4 umgesetzt)
- Prio 4: Separates Unternetzwerk im Hauptnetzwerk für die Arbeit mit Zugriff auf die NAS im Hauptnetzwerk
Hier mal meine beschriebenen Ziele visuell dargestellt:
Nun zu meinen Fragen bei den ich aktuell etwas unsicher bin:
1. Macht in meinem Fall die dargestellte physikalische Segmentierung aus Sicht Energieeinsatz, Übersichtlichkeit, Komplexität und Geschwindigkeit Sinn? Nach meiner bisherigen Recherche schrecke ich noch etwas zurück mich in VLANs und Firewalls einzuarbeiten. Außerdem könnte ich vermutlich meine bisherigen Switches (Layer 1) nicht verwenden. Potentiell könnten auch noch Netzwerke dazukommen, z.B. für LAN-gebundene IoT-Geräte.
2. Das Thema Telefonie könnte ich über den Einwahlrouter laufen lassen, oder?
3. Wie handhabe ich am Besten den Unsicherheitsfaktor Kinder? Einfach ein separates WLAN-Netz? Wenn LAN dazukommt dann nochmals ein getrenntes Netzwerk?
4. Bei meinen Access Points gibt es diese Möglichkeit Gästenetzwerke zu erstellen:
Vielen Dank schonmal für euren Support
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673213
Url: https://administrator.de/forum/netzwerk-segmentierung-sicherheit-home-673213.html
Ausgedruckt am: 06.06.2025 um 18:06 Uhr
11 Kommentare
Neuester Kommentar
Moin,
zunächst herzlich willkommen!
Welche Geräte hast Du genau im Einsatz?
Und vorab: selbst wenn Du alles mit einzelnen Strippen trennst, Du willst ja Übergänge haben, also benötigst Du in jedem Fall einen dafür geeigneten Router, der wiederum mit einer Firewall kombiniert sein sollte, um den Datenverkehr sauber zu trennen. Dann kannst Du auch an das Thema VLAN ran, was kein Hexenwerk ist.
Und da Du schon über ein Tutorial unseres Hasen (@aqui) kommst: er hat auch ein Super Tutorial zum Thema VLAN im Angebot: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern.
Gruß
DivideByZero
zunächst herzlich willkommen!
Welche Geräte hast Du genau im Einsatz?
Und vorab: selbst wenn Du alles mit einzelnen Strippen trennst, Du willst ja Übergänge haben, also benötigst Du in jedem Fall einen dafür geeigneten Router, der wiederum mit einer Firewall kombiniert sein sollte, um den Datenverkehr sauber zu trennen. Dann kannst Du auch an das Thema VLAN ran, was kein Hexenwerk ist.
Und da Du schon über ein Tutorial unseres Hasen (@aqui) kommst: er hat auch ein Super Tutorial zum Thema VLAN im Angebot: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern.
Gruß
DivideByZero
1
Tolles Vorhaben,
OPNsense Community Edition (kostenlos) wäre meine Empfehlung, dann noch einen managed Switch, und Stück für Stück vorarbeiten.
https://docs.opnsense.org/releases.html
OPNsense Community Edition (kostenlos) wäre meine Empfehlung, dann noch einen managed Switch, und Stück für Stück vorarbeiten.
https://docs.opnsense.org/releases.html
1
Hallo,
ich find's nicht so toll
Kann man so machen, der Betrieb von 5 insgesamt Routern sowie teils redundanten Switchen und APs ist jedoch energetischer und konfigurationstechnischer Overkill. Vom Kabelsalat ganz zu schweigen. Sinnvoller ist es, sich in die VLAN-Thematik einzuarbeiten (Link oben) und das mit einem zentralen Router zu machen.
Wenn es aber darum geht, auf technisch möglichst einfache Weise abgeschottete Netze zu schaffen, ist der Weg vertretbar. Hier ist das Prinzip nochmals bei Heise ganz gut dargestellt: https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html
Und ja, Kinder gehören in ein abgetrenntes Netz. Besonders, wenn auch das Business im Haus ist. Noch wichtiger sind aber elterliche Begleitung, Orientierung und Regeln.
Wenn Dein ASUS-AP Gastnetze macht, ist das im Prinzip ausreichend. So sicher man bei ASUS eben sein kann. Also kaum. Aber wenn man sich mit einer 7270 einwählt, ist eh so ziemlich alles wurscht
Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln. Die gemeinsame Zeit ist wahnsinnig wichtig und geht rasend schnell vorbei. Wenn sie in die Pubertät kommen, wollen sie (meist) eh nicht mehr so viel mit Dir machen - und dann werden die Gefahren im LAN auch größer
Viele Grüße, commodity
ich find's nicht so toll
Kann man so machen, der Betrieb von 5 insgesamt Routern sowie teils redundanten Switchen und APs ist jedoch energetischer und konfigurationstechnischer Overkill. Vom Kabelsalat ganz zu schweigen. Sinnvoller ist es, sich in die VLAN-Thematik einzuarbeiten (Link oben) und das mit einem zentralen Router zu machen.
Wenn es aber darum geht, auf technisch möglichst einfache Weise abgeschottete Netze zu schaffen, ist der Weg vertretbar. Hier ist das Prinzip nochmals bei Heise ganz gut dargestellt: https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html
Und ja, Kinder gehören in ein abgetrenntes Netz. Besonders, wenn auch das Business im Haus ist. Noch wichtiger sind aber elterliche Begleitung, Orientierung und Regeln.
Wenn Dein ASUS-AP Gastnetze macht, ist das im Prinzip ausreichend. So sicher man bei ASUS eben sein kann. Also kaum. Aber wenn man sich mit einer 7270 einwählt, ist eh so ziemlich alles wurscht
Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln. Die gemeinsame Zeit ist wahnsinnig wichtig und geht rasend schnell vorbei. Wenn sie in die Pubertät kommen, wollen sie (meist) eh nicht mehr so viel mit Dir machen - und dann werden die Gefahren im LAN auch größer
Viele Grüße, commodity
1
Moin,
@commodity
Ich hab auch zweimal lesen müssen, aber der TO meint bei Prio1 nicht Kinder sonder Klingel …
@to
Arbeite dich in VLANs ein. Habe mich am Anfang auch schwer getan und Schiss inne Büchs gehabt, damit anzufangen - wobei es in meinem Dall ein Netzwerk für 90 MAs betraf. Mit der Hilfe von @aqui und den Kollegen hier lief das dann aber
@commodity
Und ja, Kinder gehören in ein abgetrenntes Netz.
…
Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln.
…
Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln.
Ich hab auch zweimal lesen müssen, aber der TO meint bei Prio1 nicht Kinder sonder Klingel …
@to
Arbeite dich in VLANs ein. Habe mich am Anfang auch schwer getan und Schiss inne Büchs gehabt, damit anzufangen - wobei es in meinem Dall ein Netzwerk für 90 MAs betraf. Mit der Hilfe von @aqui und den Kollegen hier lief das dann aber
Ich hab auch zweimal lesen müssen, aber der TO meint bei Prio1 nicht Kinder sonder Klingel …
Bei Prio1 schon. Aber bei Frage 3. meint er hoffentlich Kinder 3. Wie handhabe ich am Besten den Unsicherheitsfaktor Kinder?
Letztlich sind Kinder und Klingeln netzwerktechnisch ähnlich zu behandeln. Beides total unsicher Neben @aquis oben bereits verlinktem Tutorial ist dieser Beitrag aus dem Mikrotik-Forum auch jedem ans Herz zu legen, finde ich. Aber nochmals: Kinder: Prio1
Viele Grüße, commodity
Mach VLAN, ansonsten hast du ja quasi überall Hardware doppelt rumliegen. Bissi vorab planen. Klingel-VLAN, Kinder-VLAN, Privat-VLAN, Schlaues-Eigenheim-VLAN, Einliegerwohnung-VLAN, Business-VLAN, ...
Bei unsicheren Kindern empfehle ich diese Strom-Halsbänder für Kleintiere. Die gibts auch mit GPS und man da auch ganz gut "unsichtbare Zäune" damit basteln.
Fürs erste reicht ja so ein Gast-Wlan. Ich würd das aber auch lieber komplett in einem eigenen VLAN haben wollen. Vor allem, wenn es sich dabei um das Wlan für die Studenten handelt. Ist dann gewerblich und würde ich weg von allem anderen Zeug haben wollen.
Bei unsicheren Kindern empfehle ich diese Strom-Halsbänder für Kleintiere. Die gibts auch mit GPS und man da auch ganz gut "unsichtbare Zäune" damit basteln.
Fürs erste reicht ja so ein Gast-Wlan. Ich würd das aber auch lieber komplett in einem eigenen VLAN haben wollen. Vor allem, wenn es sich dabei um das Wlan für die Studenten handelt. Ist dann gewerblich und würde ich weg von allem anderen Zeug haben wollen.
Vielen Dank für die hilfreichen Kommentare. Ihr bestätigt was mir beim Erstellen der Übersicht immer mehr durch den Kopf ging. Dann werde ich mich nun doch in die Thematik VLAN Schritt für Schritt einarbeiten. Damit wird das ganze dann auch deutlich flexibler.
Zitat von @DivideByZero:
Zitat von @commodity:
Zitat von @em-pie:
Ein Gedanke der mir nicht aus dem Kopf geht: Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen? Im ersten Schritt wäre eine Kommunikation zwischen den Netzwerken nicht notwendig. Damit könnte ich vorerst meine bestehenden Switches einsetzen und erst bei Bedarf umrüsten. Damit wäre relativ schnell mein Netzwerk mit den Grundfunktionalitäten eingerichtet.
Zitat von @DivideByZero:
Welche Geräte hast Du genau im Einsatz?
Die hab ich oben in der Übersicht eingetragen. Wenn kein Gerät genannt ist, ist es noch nicht vorhanden.Und vorab: selbst wenn Du alles mit einzelnen Strippen trennst, Du willst ja Übergänge haben, also benötigst Du in jedem Fall einen dafür geeigneten Router, der wiederum mit einer Firewall kombiniert sein sollte, um den Datenverkehr sauber zu trennen.
So war die Darstellung oben gemeint.Zitat von @commodity:
Und ja, Kinder gehören in ein abgetrenntes Netz. Besonders, wenn auch das Business im Haus ist. Noch wichtiger sind aber elterliche Begleitung, Orientierung und Regeln.
Sehe ich genauso, das Thema Internet wird bei uns auch noch lange nicht relevant. Je nach Netzwerktopologie aber eventuell schon wichtig.Wenn Dein ASUS-AP Gastnetze macht, ist das im Prinzip ausreichend. So sicher man bei ASUS eben sein kann. Also kaum. Aber wenn man sich mit einer 7270 einwählt, ist eh so ziemlich alles wurscht
Dem kann ich nichts entgegensetzen ... Sowas passiert mit Provisorien, wenn die Gründe nicht verschwinden -> Glasfaseranschluss sollte schon seit einem Jahr fertig sein ;)Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln. Die gemeinsame Zeit ist wahnsinnig wichtig und geht rasend schnell vorbei. Wenn sie in die Pubertät kommen, wollen sie (meist) eh nicht mehr so viel mit Dir machen - und dann werden die Gefahren im LAN auch größer
Ja, da hast du Recht. Idealerweise wäre das Haus fertig gewesen, bevor die Kinder da sind. Aber was läuft schon optimal ... Beim Thema Netzwerk natürlich nicht möglich, aber bei anderen Arbeiten kann man die Kinder ja auch einbeziehen. Aktuell haben sie daran viel Spaß.Zitat von @em-pie:
Arbeite dich in VLANs ein. Habe mich am Anfang auch schwer getan und Schiss inne Büchs gehabt, damit anzufangen - wobei es in meinem Dall ein Netzwerk für 90 MAs betraf. Mit der Hilfe von @aqui und den Kollegen hier lief das dann aber
Respekt, das ist nochmal eine andere Hausnummer!Ein Gedanke der mir nicht aus dem Kopf geht: Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen? Im ersten Schritt wäre eine Kommunikation zwischen den Netzwerken nicht notwendig. Damit könnte ich vorerst meine bestehenden Switches einsetzen und erst bei Bedarf umrüsten. Damit wäre relativ schnell mein Netzwerk mit den Grundfunktionalitäten eingerichtet.
Hallo,
du kannst einfach einen mikrotik HexS an deine Fritzbox hängen, einen Port als Uplink und den Rest als Vlans abbilden ( dort dann deine bisherigen Switches ran, die dann gegen intelligentere austauschen )
grüße
Ein Gedanke der mir nicht aus dem Kopf geht: Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?
du kannst einfach einen mikrotik HexS an deine Fritzbox hängen, einen Port als Uplink und den Rest als Vlans abbilden ( dort dann deine bisherigen Switches ran, die dann gegen intelligentere austauschen )
grüße
1
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik
Dann sollte man aber in einem Administrator Forum bei der Angabe der Nutzergruppe etwas selbstreflektierter sein! 🧐Oben ist ja schon alles Wesentliche gesagt worden.
Es braucht keine 3 oder mehr separaten Router für die Netzwerksegmente oder Segmentierung. Sowas macht eine einzige, kleine zusätzliche Routing Box oder ein Layer 3 Switch.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Lesen und verstehen...
Gleich 4 Gäste WLANs benötigt auch niemand. In der Regel reicht ein Einziges und die anderen bedient man mit MSSID fähigen APs wie das "Praxisbeispiel" im o.a. Tutorial zeigt.
Daraufhin solltest du dein ansonsten sinnvolles Konzept von oben noch einmal etwas überarbeiten. Thema VLANs...
Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?
Das wäre der richtige Weg und klappt natürlich problemlos. So kann man die Netgear Gurken weiterbetreiben. Das o.a. Mikrotik Tutorial bzw. das L3 Konzept sagt dir wie das genau geht.Ein sicheres Umfeld für die Kinder mit entsprechenden Content Filtern und App Blocking erreichst du mit einem PiHole oder Adguard DNS Filter. Mit einem 10€ Raspberry Pi Zero ist das im Handumdrehen erledigt und lässt auch den Rest der Familie sich werbe- und malwarefrei im Internet bewegen. Wer solche DNS und App Filter einmal nutzt will sie aus guten Gründen nie mehr missen!
https://www.heise.de/ratgeber/Adblocker-fuers-Netz-Starthilfe-und-Tipps- ...
Zur Frage der Asus Sicherheit lässt man am besten die jahrzehntelange berühmt berüchtigte miese und nicht abreissende Security Historie dieses Herstellers für sich sprechen... Für ein sicheres Netzwerk bekanntlich keine gute Wahl.
https://www.heise.de/news/Neustart-und-Firmware-Update-zwecklos-Tausende ...
https://www.heise.de/news/Asus-Router-Sicherheitsluecke-ermoeglicht-unbe ...
https://www.heise.de/news/Stimmen-die-Voraussetzungen-kann-Schadcode-auf ...
https://www.heise.de/news/Sicherheitsupdates-Vielfaeltige-Attacken-auf-A ...
Zitat von @aqui:
Ich hab es aktualisiert. Ich hatte es eher aus dem Blickwinkel aus welcher Rolle ich mich an euch wende, gesehen und nicht wie tief meine Kenntnisse in dieser Rolle sind ;)
Danke für die Zusammenstellung der Links.
Fürs Erste hab ich alles was ich brauche. Vielen Dank.
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik
Dann sollte man aber in einem Administrator Forum bei der Angabe der Nutzergruppe etwas selbstreflektierter sein! 🧐Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?
Das wäre der richtige Weg und klappt natürlich problemlos. So kann man die Netgear Gurken weiterbetreiben. Das o.a. Mikrotik Tutorial bzw. das L3 Konzept sagt dir wie das genau geht.
Zitat von @godlie:Das wäre der richtige Weg und klappt natürlich problemlos. So kann man die Netgear Gurken weiterbetreiben. Das o.a. Mikrotik Tutorial bzw. das L3 Konzept sagt dir wie das genau geht.
du kannst einfach einen mikrotik HexS an deine Fritzbox hängen, einen Port als Uplink und den Rest als Vlans abbilden ( dort dann deine bisherigen Switches ran, die dann gegen intelligentere austauschen )
Perfekt, das ist genau der Zwischenschritt, der es mir ermöglicht an das Thema Schritt für Schritt ranzukommen.Danke für die Zusammenstellung der Links.
Fürs Erste hab ich alles was ich brauche. Vielen Dank.
Wenn du keinen Glasfaserport (SFP) am Mikrotik benötigst dann wäre der hEX Refresh ggf. eine Alternative mit nur Kupferports.
