querdrift

Entscheidungshilfe Netzwerksegmentierung

Hallo Admin-Community,

ich bin neu hier im Forum. Mich hat vor allem dieser Beitrag auf euch aufmerksam gemacht.
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik, allerdings bereit mich in die Themen einzuarbeiten. Ich stehe aktuell vor der Herausforderung unser privates Netzwerk sinnvoll und einigermaßen sicher aufzubauen. Dabei kommt man unter anderem an der Netzwerksegmentierung vorbei worauf mein Beitrag abzielt.

Meine Situation:
- Sternverkabelung mit .Cat 7 Kabel und .Cat 6A Keystone Modulen -> 1Gbit/s Netzwerk
- 3 einfache Switches von Netgear vorhanden
- 2 Asus RT-AX92U vorhanden
- Ein Internetzugang (Aktuell DSL bei Vodafone, wird sich zu Glasfaser bei Vodafone ändern)
- Kinder

Meine Ziele:
- Prio 1: vollständig getrenntes Netzwerk mit Internetzugang für die Klingelanlage, da Kabel von außen und der Einliegerwohnung zugänglich
- Prio 2: Weiteres separates Netzwerk mit eingeschränktem Internetzugang für die Hausautomatisierung und die Überwachungskameras mit eventueller Schnittstelle in das Netzwerk der Klingelanlage um die Bilder der Kameras auf der Klingelanlage zu haben.
- Prio 3: Separate WLAN-Netzwerke für Gäste, Einliegerwohnung (alle 6 Monate neue Studenten), IoT-Geräte, Home-Office (bis Prio 4 umgesetzt)
- Prio 4: Separates Unternetzwerk im Hauptnetzwerk für die Arbeit mit Zugriff auf die NAS im Hauptnetzwerk

Hier mal meine beschriebenen Ziele visuell dargestellt:

topologie

Nun zu meinen Fragen bei den ich aktuell etwas unsicher bin:
1. Macht in meinem Fall die dargestellte physikalische Segmentierung aus Sicht Energieeinsatz, Übersichtlichkeit, Komplexität und Geschwindigkeit Sinn? Nach meiner bisherigen Recherche schrecke ich noch etwas zurück mich in VLANs und Firewalls einzuarbeiten. Außerdem könnte ich vermutlich meine bisherigen Switches (Layer 1) nicht verwenden. Potentiell könnten auch noch Netzwerke dazukommen, z.B. für LAN-gebundene IoT-Geräte.
2. Das Thema Telefonie könnte ich über den Einwahlrouter laufen lassen, oder?
3. Wie handhabe ich am Besten den Unsicherheitsfaktor Kinder? Einfach ein separates WLAN-Netz? Wenn LAN dazukommt dann nochmals ein getrenntes Netzwerk?
4. Bei meinen Access Points gibt es diese Möglichkeit Gästenetzwerke zu erstellen:
gästenetzwerk
Wenn ich auswähle, dass Kein Zugriff auf das Intranet bestehen soll, sind die Netzwerke dann relativ sicher getrennt, oder benötigt es hier nur einfach Mittel? Im Handbuch gibt es dazu keine weiteren Angaben.

Vielen Dank schonmal für euren Support face-smile
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673213

Url: https://administrator.de/forum/netzwerk-segmentierung-sicherheit-home-673213.html

Ausgedruckt am: 21.06.2025 um 14:06 Uhr

DivideByZero
DivideByZero 05.06.2025 um 16:42:53 Uhr
Goto Top
Moin,

zunächst herzlich willkommen!

Welche Geräte hast Du genau im Einsatz?
Und vorab: selbst wenn Du alles mit einzelnen Strippen trennst, Du willst ja Übergänge haben, also benötigst Du in jedem Fall einen dafür geeigneten Router, der wiederum mit einer Firewall kombiniert sein sollte, um den Datenverkehr sauber zu trennen. Dann kannst Du auch an das Thema VLAN ran, was kein Hexenwerk ist.
Und da Du schon über ein Tutorial unseres Hasen (@aqui) kommst: er hat auch ein Super Tutorial zum Thema VLAN im Angebot: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern.

Gruß

DivideByZero
nachgefragt
nachgefragt 05.06.2025 um 17:54:29 Uhr
Goto Top
Tolles Vorhaben,
OPNsense Community Edition (kostenlos) wäre meine Empfehlung, dann noch einen managed Switch, und Stück für Stück vorarbeiten.
https://docs.opnsense.org/releases.html
commodity
commodity 05.06.2025 aktualisiert um 18:26:03 Uhr
Goto Top
Hallo,
ich find's nicht so toll face-big-smile

Kann man so machen, der Betrieb von 5 insgesamt Routern sowie teils redundanten Switchen und APs ist jedoch energetischer und konfigurationstechnischer Overkill. Vom Kabelsalat ganz zu schweigen. Sinnvoller ist es, sich in die VLAN-Thematik einzuarbeiten (Link oben) und das mit einem zentralen Router zu machen.

Wenn es aber darum geht, auf technisch möglichst einfache Weise abgeschottete Netze zu schaffen, ist der Weg vertretbar. Hier ist das Prinzip nochmals bei Heise ganz gut dargestellt: https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html

Und ja, Kinder gehören in ein abgetrenntes Netz. Besonders, wenn auch das Business im Haus ist. Noch wichtiger sind aber elterliche Begleitung, Orientierung und Regeln.

Wenn Dein ASUS-AP Gastnetze macht, ist das im Prinzip ausreichend. So sicher man bei ASUS eben sein kann. Also kaum. Aber wenn man sich mit einer 7270 einwählt, ist eh so ziemlich alles wurscht face-wink

Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln. Die gemeinsame Zeit ist wahnsinnig wichtig und geht rasend schnell vorbei. Wenn sie in die Pubertät kommen, wollen sie (meist) eh nicht mehr so viel mit Dir machen - und dann werden die Gefahren im LAN auch größer face-wink

Viele Grüße, commodity
em-pie
em-pie 05.06.2025 um 20:25:53 Uhr
Goto Top
Moin,

@commodity
Und ja, Kinder gehören in ein abgetrenntes Netz.

Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln.

Ich hab auch zweimal lesen müssen, aber der TO meint bei Prio1 nicht Kinder sonder Klingel …

@to
Arbeite dich in VLANs ein. Habe mich am Anfang auch schwer getan und Schiss inne Büchs gehabt, damit anzufangen - wobei es in meinem Dall ein Netzwerk für 90 MAs betraf. Mit der Hilfe von @aqui und den Kollegen hier lief das dann aber face-smile
commodity
commodity 05.06.2025 aktualisiert um 23:44:05 Uhr
Goto Top
Ich hab auch zweimal lesen müssen, aber der TO meint bei Prio1 nicht Kinder sonder Klingel …
Bei Prio1 schon. Aber bei Frage 3. meint er hoffentlich Kinder face-big-smile
3. Wie handhabe ich am Besten den Unsicherheitsfaktor Kinder?
Letztlich sind Kinder und Klingeln netzwerktechnisch ähnlich zu behandeln. Beides total unsicher face-big-smile

Neben @aquis oben bereits verlinktem Tutorial ist dieser Beitrag aus dem Mikrotik-Forum auch jedem ans Herz zu legen, finde ich. Aber nochmals: Kinder: Prio1 face-wink

Viele Grüße, commodity
kpunkt
kpunkt 06.06.2025 aktualisiert um 07:47:17 Uhr
Goto Top
Mach VLAN, ansonsten hast du ja quasi überall Hardware doppelt rumliegen. Bissi vorab planen. Klingel-VLAN, Kinder-VLAN, Privat-VLAN, Schlaues-Eigenheim-VLAN, Einliegerwohnung-VLAN, Business-VLAN, ...
Bei unsicheren Kindern empfehle ich diese Strom-Halsbänder für Kleintiere. Die gibts auch mit GPS und man da auch ganz gut "unsichtbare Zäune" damit basteln.

Fürs erste reicht ja so ein Gast-Wlan. Ich würd das aber auch lieber komplett in einem eigenen VLAN haben wollen. Vor allem, wenn es sich dabei um das Wlan für die Studenten handelt. Ist dann gewerblich und würde ich weg von allem anderen Zeug haben wollen.
Querdrift
Querdrift 06.06.2025 um 07:50:53 Uhr
Goto Top
Vielen Dank für die hilfreichen Kommentare. Ihr bestätigt was mir beim Erstellen der Übersicht immer mehr durch den Kopf ging. Dann werde ich mich nun doch in die Thematik VLAN Schritt für Schritt einarbeiten. Damit wird das ganze dann auch deutlich flexibler.

Zitat von @DivideByZero:
Welche Geräte hast Du genau im Einsatz?
Die hab ich oben in der Übersicht eingetragen. Wenn kein Gerät genannt ist, ist es noch nicht vorhanden.
Und vorab: selbst wenn Du alles mit einzelnen Strippen trennst, Du willst ja Übergänge haben, also benötigst Du in jedem Fall einen dafür geeigneten Router, der wiederum mit einer Firewall kombiniert sein sollte, um den Datenverkehr sauber zu trennen.
So war die Darstellung oben gemeint.

Zitat von @commodity:
Und ja, Kinder gehören in ein abgetrenntes Netz. Besonders, wenn auch das Business im Haus ist. Noch wichtiger sind aber elterliche Begleitung, Orientierung und Regeln.
Sehe ich genauso, das Thema Internet wird bei uns auch noch lange nicht relevant. Je nach Netzwerktopologie aber eventuell schon wichtig.
Wenn Dein ASUS-AP Gastnetze macht, ist das im Prinzip ausreichend. So sicher man bei ASUS eben sein kann. Also kaum. Aber wenn man sich mit einer 7270 einwählt, ist eh so ziemlich alles wurscht
Dem kann ich nichts entgegensetzen ... Sowas passiert mit Provisorien, wenn die Gründe nicht verschwinden -> Glasfaseranschluss sollte schon seit einem Jahr fertig sein ;)
Ganz persönlich: Wenn die Kinder <12 sind, mach lieber was mit denen, als am Netzwerk herumzufummeln. Die gemeinsame Zeit ist wahnsinnig wichtig und geht rasend schnell vorbei. Wenn sie in die Pubertät kommen, wollen sie (meist) eh nicht mehr so viel mit Dir machen - und dann werden die Gefahren im LAN auch größer
Ja, da hast du Recht. Idealerweise wäre das Haus fertig gewesen, bevor die Kinder da sind. Aber was läuft schon optimal ... Beim Thema Netzwerk natürlich nicht möglich, aber bei anderen Arbeiten kann man die Kinder ja auch einbeziehen. Aktuell haben sie daran viel Spaß.

Zitat von @em-pie:
Arbeite dich in VLANs ein. Habe mich am Anfang auch schwer getan und Schiss inne Büchs gehabt, damit anzufangen - wobei es in meinem Dall ein Netzwerk für 90 MAs betraf. Mit der Hilfe von @aqui und den Kollegen hier lief das dann aber face-smile
Respekt, das ist nochmal eine andere Hausnummer!

Ein Gedanke der mir nicht aus dem Kopf geht: Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen? Im ersten Schritt wäre eine Kommunikation zwischen den Netzwerken nicht notwendig. Damit könnte ich vorerst meine bestehenden Switches einsetzen und erst bei Bedarf umrüsten. Damit wäre relativ schnell mein Netzwerk mit den Grundfunktionalitäten eingerichtet.
godlie
godlie 06.06.2025 aktualisiert um 08:27:14 Uhr
Goto Top
Hallo,

Ein Gedanke der mir nicht aus dem Kopf geht: Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?

du kannst einfach einen mikrotik HexS an deine Fritzbox hängen, einen Port als Uplink und den Rest als Vlans abbilden ( dort dann deine bisherigen Switches ran, die dann gegen intelligentere austauschen )

grüße
aqui
aqui 06.06.2025 aktualisiert um 11:37:06 Uhr
Goto Top
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik
Dann sollte man aber in einem Administrator Forum bei der Angabe der Nutzergruppe etwas selbstreflektierter sein! 🧐

Oben ist ja schon alles Wesentliche gesagt worden.
Es braucht keine 3 oder mehr separaten Router für die Netzwerksegmente oder Segmentierung. Sowas macht eine einzige, kleine zusätzliche Routing Box oder ein Layer 3 Switch.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Lesen und verstehen... face-wink
Gleich 4 Gäste WLANs benötigt auch niemand. In der Regel reicht ein Einziges und die anderen bedient man mit MSSID fähigen APs wie das "Praxisbeispiel" im o.a. Tutorial zeigt.
Daraufhin solltest du dein ansonsten sinnvolles Konzept von oben noch einmal etwas überarbeiten. Thema VLANs...

Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?
Das wäre der richtige Weg und klappt natürlich problemlos. So kann man die Netgear Gurken weiterbetreiben. Das o.a. Mikrotik Tutorial bzw. das L3 Konzept sagt dir wie das genau geht.

Ein sicheres Umfeld für die Kinder mit entsprechenden Content Filtern und App Blocking erreichst du mit einem PiHole oder Adguard DNS Filter. Mit einem 10€ Raspberry Pi Zero ist das im Handumdrehen erledigt und lässt auch den Rest der Familie sich werbe- und malwarefrei im Internet bewegen. Wer solche DNS und App Filter einmal nutzt will sie aus guten Gründen nie mehr missen!
https://www.heise.de/ratgeber/Adblocker-fuers-Netz-Starthilfe-und-Tipps- ...

Zur Frage der Asus Sicherheit lässt man am besten die jahrzehntelange berühmt berüchtigte miese und nicht abreissende Security Historie dieses Herstellers für sich sprechen... Für ein sicheres Netzwerk bekanntlich keine gute Wahl. face-sad
https://www.heise.de/news/Neustart-und-Firmware-Update-zwecklos-Tausende ...
https://www.heise.de/news/Asus-Router-Sicherheitsluecke-ermoeglicht-unbe ...
https://www.heise.de/news/Stimmen-die-Voraussetzungen-kann-Schadcode-auf ...
https://www.heise.de/news/Sicherheitsupdates-Vielfaeltige-Attacken-auf-A ...
Querdrift
Querdrift 06.06.2025 um 09:46:49 Uhr
Goto Top
Zitat von @aqui:
Ich bin definitiv kein Experte auf dem Gebiet der Netzwerktechnik
Dann sollte man aber in einem Administrator Forum bei der Angabe der Nutzergruppe etwas selbstreflektierter sein! 🧐
Ich hab es aktualisiert. Ich hatte es eher aus dem Blickwinkel aus welcher Rolle ich mich an euch wende, gesehen und nicht wie tief meine Kenntnisse in dieser Rolle sind ;)

Ich nehme einen VLAN fähigen Router mit x Ports, an dem ich dann unabhängige Netzwerke an jedem Port konfiguriere. Ist es jetzt nicht möglich meine Layer 1 Switches an diese Ports zu hängen?
Das wäre der richtige Weg und klappt natürlich problemlos. So kann man die Netgear Gurken weiterbetreiben. Das o.a. Mikrotik Tutorial bzw. das L3 Konzept sagt dir wie das genau geht.
Zitat von @godlie:
du kannst einfach einen mikrotik HexS an deine Fritzbox hängen, einen Port als Uplink und den Rest als Vlans abbilden ( dort dann deine bisherigen Switches ran, die dann gegen intelligentere austauschen )
Perfekt, das ist genau der Zwischenschritt, der es mir ermöglicht an das Thema Schritt für Schritt ranzukommen.

Danke für die Zusammenstellung der Links.
Fürs Erste hab ich alles was ich brauche. Vielen Dank.
aqui
aqui 06.06.2025 aktualisiert um 11:30:57 Uhr
Goto Top
Wenn du keinen Glasfaserport (SFP) am Mikrotik benötigst dann wäre der hEX Refresh ggf. eine Alternative mit nur Kupferports.
commodity
commodity 07.06.2025 um 14:42:58 Uhr
Goto Top
Wenn der TO sich wirklich an Mikrotik heranwagen möchte, empfehle ich - zukunftssicher - gern das RB5009. Die kleine Mehrinvestition zahlt sich auf lange Sicht aus. Wenn man noch unsicher ist, ob man mit Mikrotik zurecht kommt, ist einer der empfohlenen hEX die ideale Wahl (und auch die Switche sind prima). Eine (z.B.) OpenSense ist für den Anfang aber vielleicht weniger anspruchsvoll und mindestens genau so zielführend. Aus heutiger Sicht würde ich natürlich immer Mikrotik wählen face-big-smile. Aber die Kinder hier sind auch schon groß face-wink

Viele Grüße, commodity
aqui
aqui 07.06.2025 um 14:54:43 Uhr
Goto Top
Ist aber in seinem Setup etwas Kanonen auf Spatzen, denn eine rein lokale L3 Segmentierung schafft der hEX Refresh auch in Wirespeed.
Der RB5009 macht nur dann Sinn wenn er die Fritte auch mit entsorgen will und alles mit einem zentralen Router regeln möchte. Sicher das bessere Design aber dann auch etwas "anstrengender" fürs Portemonaie und die Lernkurve. face-wink
Querdrift
Querdrift 07.06.2025 um 16:26:25 Uhr
Goto Top
Ich hab mich jetzt für den hEX S (2025) entschieden. Er kam heute sogar schon an face-smile
Ich denke wenn ich das Setup am Laufen habe, werde ich die nächsten Jahre wenig Zeit haben das Setup grundlegend zu ändern oder zu erweitern. Dann ist die Frage ob in einigen Jahren das Thema 10 Gbit/s schon erschwinglicher und notwendiger werden könnte. Wenn unser Glasfaseranschluss mal fertig sein wird hab ich mit dem hEX noch Möglichkeiten mit dem 2,5 Gbit/s SFP Port. Sollte ich doch noch erweitern müssen kann ich ja auch nen Layer 2 oder 3 Switch dazu stellen. Ich denke ich bin erstmal gut ausgerüstet.
aqui
aqui 07.06.2025 aktualisiert um 17:39:31 Uhr
Goto Top
👉🏽 Achte beim ersten Setup auf folgende wichtige Punkte:
  • Das WinBox Tool zur Installation macht es MT Anfängern deutlich einfacher die ersten Konfig Schritte zu gehen.
  • Update auf die latest Stable entweder automatisch unter System -> Packages oder per Drag and Drop über das Files Menü. Achte auf den Bootloader unter System -> Routerboard das der auch auf der gleichen Version rennt wie die Firmware!
  • Für deine 3 nicht VLAN fähigen Switches benötigst du erstmal KEIN VLAN Setup auf dem MT! Es ist einfacher du erstellst ein schlichtes Routing Setup direkt über die Ports wie es HIER im Detail beschrieben ist.
Wenn es wider Erwarten kneifen sollte weisst du ja wo du fragen kannst. face-wink
Viel Erfolg!
nachgefragt
nachgefragt 07.06.2025 aktualisiert um 17:08:53 Uhr
Goto Top
Für das Gast WLAN der Studenten könnte evtl. ein Content Filter interessant sein.
https://docs.opnsense.org/manual/how-tos/proxywebfilter.html

Prio 1: vollständig getrenntes Netzwerk mit Internetzugang für die Klingelanlage, da Kabel von außen und der Einliegerwohnung zugänglich
Fritzbox Gastnetz auf LAN Port 4 ist eine Option, auch kannst du die Nutzung reklementieren und die Bandbreite senken.
https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7590/294_WLAN-G ...
Querdrift
Querdrift 08.06.2025 aktualisiert um 12:34:10 Uhr
Goto Top
@aqui:
Danke für die 3 Punkte, werde ich berücksichtigen face-smile
Prinzipiell könnte ich aber mit VLAN arbeiten, oder? Ich überlege mir, um die Asus APs los zu werden, cAPs von Mikrotik mit dem Ziel MSSIDs zu verwenden einzusetzen. Die dummen Switche wären dann jeweils in einem VLAN. Die cAPs müssten natürlich direkt an meinen hEX dran.

@nachgefragt:
Content Filter schau ich mir an. Sicherlich sinnvoll beim Teilen der Internetverbindung mit Fremden. Rechtlich versuche ich mich zumindest mit einem Standard-WLAN-Vereinbarung abzusichern, aber was die schlussendlich wirklich hilft bleibt hoffentlich immer ungewiss ;)

Die FritzBox muss schnellstens weg. Leider kann ich sie ohne weiteres nicht als reines Modem benutzen und selbst wenn ich Umwege gehe, könnte sie noch immer ein Sicherheitsrisiko darstellen. Daher gehen meine Überlegungen, auch wenn sie nur von kurzer Dauer sein wird, in Richtung DrayTek Vigor167 oder Zyxel VMG4005-B50A Modem. Vorteil wäre, dass ich nach dem Umstellen auf Glasfaser das Setup mit getrenntem Modem und Router schon installiert hätte. Das Modem kann ich ja wieder verkaufen.

Jetzt hab ich auch verstanden, warum ich den RB5009 benötige.
aqui
aqui 08.06.2025 um 12:56:04 Uhr
Goto Top
Prinzipiell könnte ich aber mit VLAN arbeiten, oder?
Ja klar, das geht natürlich auch. Die Switchports der "dummen" nicht VLAN fähigen NetGears setzt du dann halt auf die PVID in denen diese Switches arbeiten sollen.
Mit den cAPs rennt es genau so wie von dir geschildert. face-wink
Querdrift
Querdrift 08.06.2025 aktualisiert um 13:35:38 Uhr
Goto Top
Die cAPs haben ja 2 Ethernet Ports. Einer bekommt Tagged VLAN. Kann ich an den anderen ein Untagged VLAN zuweisen? Sprich kann der cAP als Switch Layer2/3 agieren? Dann könnte ich mit dem hEX hinkommen, da ich an jedem AP-Zugang 2 Leitungen liegen hab. Wäre allerdings schon etwas gestückelt...
Wie viele SSIDs kann ich denn mit denen aufspannen?
aqui
aqui 08.06.2025 um 13:25:20 Uhr
Goto Top
Kann ich an den anderen ein Untagged VLAN zuweisen? Sprich kann der cAP als Switch Layer2/3 agieren?
Ja, das klappt problemlos. Man kann dort Endgeräte anschliessen oder z.B. auch einen weiteren AP kaskadieren. Es verhält sich genau wie ein 2 Port VLAN Switch.
commodity
commodity 08.06.2025 um 20:07:08 Uhr
Goto Top
Wie viele SSIDs kann ich denn mit denen aufspannen?
Sicher mehr als Du brauchst.
https://forum.mikrotik.com/viewtopic.php?t=189473
Mir ist keine Grenze bekannt. Aber ob das sinnvoll ist, ist eine andere Frage. Ich habe im Max 6 SSIDs im Einsatz.

Viele Grüße, commodity
BiberMan
BiberMan 08.06.2025 aktualisiert um 21:09:58 Uhr
Goto Top
Zitat von @commodity:

Wie viele SSIDs kann ich denn mit denen aufspannen?
Sicher mehr als Du brauchst.
https://forum.mikrotik.com/viewtopic.php?t=189473
Mir ist keine Grenze bekannt. Aber ob das sinnvoll ist, ist eine andere Frage.

Jepp, den massiv steigenden Overhead für die Beacons je mehr SSIDs zum Einsatz kommen, sollte man im Hinterkopf behalten .
https://wlanprofessionals.com/wifi-ssid-overhead-calculator/
Sinnvoller statt ausufernden SSIDs wäre dann wohl eher ein WPA-Enterprise mit Radius Auth und dynamischen Zuweisung zu den VLANs wenn möglich.
Querdrift
Querdrift 08.06.2025 aktualisiert um 21:46:32 Uhr
Goto Top
Das ist mein Ergebnis meiner Recherche und Planung von heute:
netzwerk

Ich würde also den hEX S doch durch einen RB5009 ersetzen. Die Asus APs durch cAPs und die Fritzbox durch einen DrayTek Vigor167 (In der Übersicht ist der Zielzustand mit Glasfaser dargestellt). Ich denke damit habe ich mein Netzwerk deutlich sicherer gemacht.
Die Kinder könnte ich ins Gästenetz nehmen (Falls mehr SSIDs noch sinnvoll sind auch separat) und über LAN8.
Gibt es noch Verbesserungsvorschläge?

Zitat von @BiberMan:
Da bin ich mit meinem Wissen noch weit weg um das zu verstehen. Könnte das oben gezeigte Setup (3 APs und 4-5 SSIDs) unter diesem Gesichtspunkt (Overhead) funktionieren?
DivideByZero
DivideByZero 08.06.2025 um 22:09:58 Uhr
Goto Top
Moin,

worin liegt denn der Grund für einen Unterschied zwischen WLAN Haupt und WLAN Office? Kann das nicht in eines, oder was tummeln sich da für Geräte? Wenn Du die ELW (Einliegerwohnung, denke ich) separat vermietest, würde ich da vorsorglich gar nichts mischen, nicht einmal mit eigenen Gästen, und entsprechend das WLAN auch nur in der Einliegerwohnung und nicht auf den anderen APs ausspielen.

Kinder: das ist ja eine Frage der Zeit, wann die von untrusted=Gäste Stück für Stück zu trusted Usern werden und auch Daten speichern (NAS etc.). Kannst Du so anfangen, dann nur nicht vergessen, die soäter mal in andere Netze oder doch schon heute in eigenes zu nehmen, damit nicht eines Tages Gäste auch auf NAS etc. zugreifen können (weil für die Kinder geöffnet).

Gruß

DivideByZero
BiberMan
BiberMan 08.06.2025 aktualisiert um 22:34:02 Uhr
Goto Top
Zitat von @Querdrift:

Zitat von @BiberMan:
Da bin ich mit meinem Wissen noch weit weg um das zu verstehen. Könnte das oben gezeigte Setup (3 APs und 4-5 SSIDs) unter diesem Gesichtspunkt (Overhead) funktionieren?
Ja auf jeden Fall. Man sollte das nur im Hinterkopf behalten, je mehr SSIDs man nutzt desto weniger nutzbare Airtime für den Netto-Durchsatz, also das was an nutzbarer Datenräte hinterher raus kommt. Aus der Tabelle kannst du in diesem Beispiel ablesen das bei einem AP (auf einem Kanal) mit 4 SSIDs ein Overhead von 12,9% entsteht der nur für das Announcement der SSIDs benutzt wird. Hast du also bspw. einen Netto-Durchsatz von 100MBit/s bleibt dir davon noch 87,1MBit/s für die tatsächlich zu übertragenden Daten übrig.
Wenn da noch andere APs auf dem selben Kanal funken, dementsprechend weniger, bei zwei wären das schon knapp 30% an Overhead, das kann die also je nach Umgebung und Menge an SSiDs ins Gewicht fallen. Beacons, das sind die Pakete die dein Netz in der Umgebung bekannt machen, kosten also Airtime, und die ist eben begrenztes gut.
Ich bin mit der Regel, nie mehr wie 3-4 SSIDs bisher immer gut gefahren wenn es sie muss. Ansonsten ist WPA-Enterprise mit Radius Auth bei vielen Netzen aber definitiv die bessere Wahl sofern alle Clients da mitmachen. Nicht jeder Client spricht WPA-Enterprise, das sollte man vorher ausloten für welchen Zweck das Netz dient und ob man sicherstellen kann das alle Clients es supporten.
Bei Gastnetzen eher nicht der Fall, beim eigenen LAN schon eher. Mischen ist ja auch kein Problem.
Querdrift
Querdrift 08.06.2025 aktualisiert um 22:40:09 Uhr
Goto Top
Zitat von @DivideByZero:
worin liegt denn der Grund für einen Unterschied zwischen WLAN Haupt und WLAN Office? Kann das nicht in eines, oder was tummeln sich da für Geräte?

Die Idee war mein Arbeitshandy und Laptop in das Netzwerk zu stecken, damit mein Arbeitgeber nicht in meinem privaten Netz unterwegs sein könnte.

Wenn Du die ELW (Einliegerwohnung, denke ich) separat vermietest, würde ich da vorsorglich gar nichts mischen, nicht einmal mit eigenen Gästen, und entsprechend das WLAN auch nur in der Einliegerwohnung und nicht auf den anderen APs ausspielen.
Ja, das stimmt. Muss ja dann nur im UG ausgespielt werden. Alternativ lege ich ne Leitung rüber (ist vorbereitet) und die ELW bekommt einen eigenen AP

Ja das Thema Kinder ist noch ein wenig hin. Zunächst definitiv separat und wenn dann auch das Verständnis für die Freunde im Gastnetzwerk da ist kommen sie ins Hauptnetz.

Zitat von @BiberMan:
Wenn da noch andere APs auf dem selben Kanal funken, dementsprechend weniger
Daher geht es eher um meine Umgebung. Meine APs sollten also auf unterschiedlichen Kanälen funken. Hab da was von 2 Kanäle Abstand im Kopf.
DivideByZero
DivideByZero 08.06.2025 um 23:33:57 Uhr
Goto Top
Zitat von @Querdrift:

Zitat von @DivideByZero:

Die Idee war mein Arbeitshandy und Laptop in das Netzwerk zu stecken, damit mein Arbeitgeber nicht in meinem privaten Netz unterwegs sein könnte.

Das ist ein Punkt, aber dann brauchst Du doch wahrscheinlich nur Internet und kannst das Gästenetz nutzen, oder? Sonst halt separates Netz, wie geplant.
commodity
commodity 08.06.2025 um 23:42:44 Uhr
Goto Top
Kinder ist noch ein wenig hin. ... kommen sie ins Hauptnetz.
Und schon ist die schöne Sicherheit futsch face-big-smile Außer, das "Haupt-"Netz ist nicht wichtig.

Sorry, beim Thema Datensicherheit bin ich eher konservativ face-smile

Viele Grüße, commodity
Querdrift
Querdrift 09.06.2025 aktualisiert um 07:08:13 Uhr
Goto Top
Zitat von @DivideByZero:
Das ist ein Punkt, aber dann brauchst Du doch wahrscheinlich nur Internet und kannst das Gästenetz nutzen, oder? Sonst halt separates Netz, wie geplant.
Ja stimmt, brauche für meine Arbeitsgeräte nur Internet und könnte das Gastnetz benutzen. Wenn meine Frau wieder arbeitet müsste sie mit ihrem privaten Rechner Daten auf der NAS im Hauptnetz ablegen. Da es keine 2 Laptops (privat/geschäftlich) gibt, macht ein separates Office Netz überhaupt keinen Sinn. Die Daten werden dann separat verschlüsselt mit Benutzersteuerung auf der NAS abgelegt und gut ist.

Zitat von @commodity:
Kinder ist noch ein wenig hin. ... kommen sie ins Hauptnetz.
Und schon ist die schöne Sicherheit futsch face-big-smile Außer, das "Haupt-"Netz ist nicht wichtig.

Dabei hatte ich an die NAS gedacht, aber könnte ihnen ja auch einen USB Speicher am Mikrotik bereitstellen und in einem separaten Netz belassen. Steuerung von Spotify im Hauptnetz und oder Hausautomatisierungsnetz dann über die Firewall.

Ich glaube ich sollte mir eine Übersicht bis auf Clientebene machen und die Funktionen dazu schreiben, damit ich sehe welches Netz wo zugreifen soll. Dann komme ich so langsam allerdings zu dem Thema, dass meine Switch zu VLAN besser Layer 3 Switch werden sollten um jedes Gerät zu steuern. Das ist aktuell aber definitiv nicht drin.
BiberMan
BiberMan 09.06.2025 aktualisiert um 08:18:29 Uhr
Goto Top
Zitat von @Querdrift:

Daher geht es eher um meine Umgebung. Meine APs sollten also auf unterschiedlichen Kanälen funken. Hab da was von 2 Kanäle Abstand im Kopf.

Da liegst du leider etwas daneben, bei 2,4 GHz und 20MHz bspw. muss man um überlappungsfrei zu arbeiten mindestens 4 Kanäle abstand halten

clipboard-image

clipboard-image

https://en.m.wikipedia.org/wiki/List_of_WLAN_channels
commodity
commodity 09.06.2025 um 14:14:28 Uhr
Goto Top
dass meine Switch zu VLAN besser Layer 3 Switch werden sollten um jedes Gerät zu steuern.
nein, das ist nicht notwendig. VLAN-fähige L2-Switche sind völlig ausreichend und zentralisieren auch die Sicherheit besser, weil alles über die Firewall läuft (= übersichtlicher). L3-Switching würde ich nur dort einsetzen, wo die Firewall sonst zu überlasten droht. Das ist bei einem Home-Setup, vor allem mit einem 5009, nicht zu befürchten.

Viele Grüße, commodity
Querdrift
Querdrift 09.06.2025 aktualisiert um 17:02:36 Uhr
Goto Top
Alles klar, gut zu wissen. Da hab ich wohl noch etwas vor mir 😉 Aber zentral gefällt mir immer sehr gut 😁

Hat jemand Erfahrung, oder das Verständnis, ob ich die cAPs auch legen kann? Würde gerne einen auf die Küche legen und einen auf ein Regal. Hab ca. 10 cm Abstand zur 14 cm abgehängten Decke. Rohdecke ist aus Porenbeton mit Stahl drin.
aqui
aqui 09.06.2025 aktualisiert um 17:28:22 Uhr
Goto Top
Du kannst sie auch Pink anmalen und mit einer Schleife versehen... Du weisst selber das die Hochfrequenz gerade im SHF Bereich immer individuelle Wege geht die essentiell von der Bausubstanz und Raumaufteilung und, und, und... abhängen. Auch die Clients haben je nach Antennenausstattung, MIMO usw. einen Anteil. Genauso wie Störungen von Nachbar WLAN Zellen durch Kanalüberschneidungen usw. usw.
Es ist für einen Externen schlichtweg unmöglich solche Situationen quasi durch "Forenhellsehen" zu beurteilen. Weisst du ja auch selber...?!

Konfiguriere den AP einfach mit einer Testkonfig und lasse ihn in beiden Bändern senden. Dann rennst du rum mit einem WLAN Scanner wie
und siehst dir an den Lokationen, wo gemeinhin viele WLAN Clients sind, die HF Feldstärke an mit den o.a. Scannern. Die sollte nicht unter -75 bis max. -80 dbm fallen um das WLAN noch einigermaßen performant zu betreiben.
wlan
So bekommst du ein individuelles Live Ausleuchtungsbild mit in die Küche legen, aufs Regal, Pink anmalen, Schleife oder ohne.
Versuch macht klug...ist die einfache Devise des pfiffigen WLAN Admins! 😉
commodity
commodity 09.06.2025 aktualisiert um 20:03:43 Uhr
Goto Top
ob ich die cAPs auch legen kann
ich persönlich bevorzuge eh die hAPs (ax2), die haben einen kleinen Ständer, wenn man sie nicht an die Wand bringen will und dann stehen sie senkrecht. Höhe stehend: 11,8 cm (gerade mal gemessen face-smile)
An die Wand/Decke bringen kann man die natürlich auch. Abstrahlungstests habe ich allerdings noch keine gemacht.

Ich habe bei einem Kunden einen mAP lite (für Admin-Zwecke) einfach an einen Untertisch-Switch gehängt. dessen Signal ist stärker, als das der zwei Sophos-Schrott-APs, die mein Vorgänger installiert hat und die fast das 10-fache gekostet haben. face-big-smile

Viele Grüße, commodity
BiberMan
BiberMan 10.06.2025 aktualisiert um 07:52:51 Uhr
Goto Top
Zitat von @Querdrift:
Hat jemand Erfahrung, oder das Verständnis, ob ich die cAPs auch legen kann? Würde gerne einen auf die Küche legen und einen auf ein Regal. Hab ca. 10 cm Abstand zur 14 cm abgehängten Decke. Rohdecke ist aus Porenbeton mit Stahl drin.
Die cAPs sind vornehmlich ausgelegt für die Montage an der Decke oder der Wand. Sie haben in etwa eine Abstrahlcharacteristik wie ein Donut den du Horizontal halbierst, und zwar wenn er an der Decke hängt nach Unten. Wenn du ihn also auf einen Schrank mit Montageseite nach unten legst strahlt er also häuptsächlich die Decke an, genau das Gegenteil was du erreichen willst, damit verschenkst du einiges an Leistung, auch da die Antennen mit 6dbi stärker fokussiert sind als bei anderen. Deswegen heißen die DInger auch cAP (Ceiling) weil sie vornehmlich für die Montage an Decken ausgelegt sind.
Querdrift
Querdrift 10.06.2025 um 20:41:37 Uhr
Goto Top
Zitat von @aqui:
Konfiguriere den AP einfach mit einer Testkonfig und lasse ihn in beiden Bändern senden. Dann rennst du rum mit einem WLAN Scanner wie
und siehst dir an den Lokationen, wo gemeinhin viele WLAN Clients sind, die HF Feldstärke an mit den o.a. Scannern. Die sollte nicht unter -75 bis max. -80 dbm fallen um das WLAN noch einigermaßen performant zu betreiben.
Danke für den Tipp, hatte diese Möglichkeit so noch nicht auf dem Schirm.

Zitat von @commodity:
ich persönlich bevorzuge eh die hAPs (ax2), die haben einen kleinen Ständer, wenn man sie nicht an die Wand bringen will und dann stehen sie senkrecht. Höhe stehend: 11,8 cm (gerade mal gemessen face-smile)
An die Wand/Decke bringen kann man die natürlich auch. Abstrahlungstests habe ich allerdings noch keine gemacht.
Danke für den Tipp, den stell ich mir in den Keller. Für das EG bleib ich bei dem cAP, Wenn der dann doch an die Decke muss, sieht man ihn unter Umständen und der cAP ist definitiv schöner ;)

Zitat von @BiberMan:
Die cAPs sind vornehmlich ausgelegt für die Montage an der Decke oder der Wand. Sie haben in etwa eine Abstrahlcharacteristik wie ein Donut den du Horizontal halbierst, und zwar wenn er an der Decke hängt nach Unten. Wenn du ihn also auf einen Schrank mit Montageseite nach unten legst strahlt er also häuptsächlich die Decke an, genau das Gegenteil was du erreichen willst, damit verschenkst du einiges an Leistung, auch da die Antennen mit 6dbi stärker fokussiert sind als bei anderen. Deswegen heißen die DInger auch cAP (Ceiling) weil sie vornehmlich für die Montage an Decken ausgelegt sind.
Dann versuche ich es mal mit Montageseite nach oben auf die Küche legen. An die Decke könnte ich ja auch noch, falls notwendig.
godlie
godlie 11.06.2025 um 08:47:51 Uhr
Goto Top
Dann versuche ich es mal mit Montageseite nach oben auf die Küche legen. An die Decke könnte ich ja auch noch, falls notwendig.

Da ist es sinnvoller einen HAP zu stellen bzw. zu legen als eine CAP, da das Abstrahlverhalten anders ist.