Privates Netzwerk: VLAN-Struktur m. DMZ
Hallo zusammen,
ich plane momentan den Neuaufbau unseres Heimnetzes von "irgendwie zusammengestöpselt" hin zu einem strukturierten Aufbau mit VLANs. Mittlerweile habe ich mich durch etliche Threads gelesen und die großartigen Tutorials von @aqui durchgesehen, finde mich aber bisweilen in der gefühlten Vielzahl der Möglichkeiten nicht zurecht. Daher möchte ich gerne einige meiner Fragen an Euch adressieren.
Im Heimnetz werden betrieben
- 2 private Desktop-PCs
- 2 Firmen-PCs
- diverse iPads / iPhones
- Synology NAS
- Amazon Alexa
- Wlan-Türkamera
- Staubsauger-Roboter
- Homematic-System + ioBroker auf Proxmox-VM
- Adguard (Proxmox-VM)
- Wireguard-Client auf Proxmox-VM (im Wesentlichen zum externen Zugriff auf das SmartHome via Jump-Server)
- diverser weiterer SmartHome-Kram, z.B Ikea-Tradfri-Lampen
Um diese Geräte zu "sortieren" plane ich momentan folgende VLANs:
VLAN1: Admin
VLAN10: Heimnetz (private PCs, iPads, iPhones)
VLAN20: Gastnetz / DMZ (Gäste, Firmen-PCs)
VLAN30: Geräte m. Internetzugriff (ioBroker, Homematic, Ikea Tradfri, NAS, Wireguard, Adguard (? - siehe unten) )
VLAN40: Geräte o. Internetzugriff (Drucker, Smarthome-Komponenten)
Zugriff der Geräte untereinander soll später über Firewallregeln nur soweit zugelassen werden, wie nötig.
Geplante Netzwerk-Komponenten (bereits vorhanden):
- Mikrotik RB4011
- 3 Zyxel GS1200-8
- Wifi AP Netgear WAX214
- LTE-Router Vodafone Gigacube/ Huawei B818 (in Ermangelung einer anderen Möglichkeit für eine ordentliche Internetanbindung.) Das Ding ist nur sehr eingeschränkt konfigurierbar (z.B. keine statischen Routen möglich), kann aber auch im Bridge-Modus betrieben werden.
Dazu meine Fragen:
1. Was ist die sinnvollste Möglichkeit, den LTE-Router an den RB4011 zu koppeln? Ist es eine gute Idee, ihn in das DMZ-VLAN20 einzubinden? Gibt es ggf. alternative, bessere Möglichkeiten außerhalb der VLAN-Struktur?
2. Ist es sinnvoll, den Adguard im gleichen Netzbereich zu betreiben, wie den LTE-Router, oder ist das grundsätzlich egal? Da Adguard auf einer VM läuft mit u.a. dem Wireguard-Client (der ja gut geschützt sein sollte), wäre das nach meinem Verständnis nur möglich, wenn der LTE-Router innerhalb der VLAN-Struktur läuft und nicht über ein separates Koppelnetzwerk.
Mir schwirrt noch mehr durch den Kopf, aber vielleicht belasse ich es erst einmal dabei und stelle weitere Fragen (z.B. zur Zuteilung VLAN -> WLAN) später. Ich hoffe meine Fragen sind einigermaßen klar. Ich bin mir sicher, sie können durch bereits vorhandene Threads beantwortet werden, von denen ich bestimmt auch schon einiges gelesen haben. Aber wie oben gesagt, finde ich mich in der Fülle der Informationen nicht mehr ganz zurecht.
Ich freue mich auf Eure Antworten!
Viele Grüße
Nachhall
ich plane momentan den Neuaufbau unseres Heimnetzes von "irgendwie zusammengestöpselt" hin zu einem strukturierten Aufbau mit VLANs. Mittlerweile habe ich mich durch etliche Threads gelesen und die großartigen Tutorials von @aqui durchgesehen, finde mich aber bisweilen in der gefühlten Vielzahl der Möglichkeiten nicht zurecht. Daher möchte ich gerne einige meiner Fragen an Euch adressieren.
Im Heimnetz werden betrieben
- 2 private Desktop-PCs
- 2 Firmen-PCs
- diverse iPads / iPhones
- Synology NAS
- Amazon Alexa
- Wlan-Türkamera
- Staubsauger-Roboter
- Homematic-System + ioBroker auf Proxmox-VM
- Adguard (Proxmox-VM)
- Wireguard-Client auf Proxmox-VM (im Wesentlichen zum externen Zugriff auf das SmartHome via Jump-Server)
- diverser weiterer SmartHome-Kram, z.B Ikea-Tradfri-Lampen
Um diese Geräte zu "sortieren" plane ich momentan folgende VLANs:
VLAN1: Admin
VLAN10: Heimnetz (private PCs, iPads, iPhones)
VLAN20: Gastnetz / DMZ (Gäste, Firmen-PCs)
VLAN30: Geräte m. Internetzugriff (ioBroker, Homematic, Ikea Tradfri, NAS, Wireguard, Adguard (? - siehe unten) )
VLAN40: Geräte o. Internetzugriff (Drucker, Smarthome-Komponenten)
Zugriff der Geräte untereinander soll später über Firewallregeln nur soweit zugelassen werden, wie nötig.
Geplante Netzwerk-Komponenten (bereits vorhanden):
- Mikrotik RB4011
- 3 Zyxel GS1200-8
- Wifi AP Netgear WAX214
- LTE-Router Vodafone Gigacube/ Huawei B818 (in Ermangelung einer anderen Möglichkeit für eine ordentliche Internetanbindung.) Das Ding ist nur sehr eingeschränkt konfigurierbar (z.B. keine statischen Routen möglich), kann aber auch im Bridge-Modus betrieben werden.
Dazu meine Fragen:
1. Was ist die sinnvollste Möglichkeit, den LTE-Router an den RB4011 zu koppeln? Ist es eine gute Idee, ihn in das DMZ-VLAN20 einzubinden? Gibt es ggf. alternative, bessere Möglichkeiten außerhalb der VLAN-Struktur?
2. Ist es sinnvoll, den Adguard im gleichen Netzbereich zu betreiben, wie den LTE-Router, oder ist das grundsätzlich egal? Da Adguard auf einer VM läuft mit u.a. dem Wireguard-Client (der ja gut geschützt sein sollte), wäre das nach meinem Verständnis nur möglich, wenn der LTE-Router innerhalb der VLAN-Struktur läuft und nicht über ein separates Koppelnetzwerk.
Mir schwirrt noch mehr durch den Kopf, aber vielleicht belasse ich es erst einmal dabei und stelle weitere Fragen (z.B. zur Zuteilung VLAN -> WLAN) später. Ich hoffe meine Fragen sind einigermaßen klar. Ich bin mir sicher, sie können durch bereits vorhandene Threads beantwortet werden, von denen ich bestimmt auch schon einiges gelesen haben. Aber wie oben gesagt, finde ich mich in der Fülle der Informationen nicht mehr ganz zurecht.
Ich freue mich auf Eure Antworten!
Viele Grüße
Nachhall
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4674513728
Url: https://administrator.de/forum/privates-netzwerk-vlan-struktur-m-dmz-4674513728.html
Ausgedruckt am: 20.04.2025 um 07:04 Uhr
13 Kommentare
Neuester Kommentar
1.)
Ein WAN Interface kommt in der Regel nicht mit in ein Netzwerk eines bestehenden lokalen VLANs. Entweder ist die Frage missverständlich oder falsch gestellt. 🤔
Ein Router WAN Port ist meist ein dedizierter Routing Port der KEIN Memberport eines VLANs ist.
Du meinst vermutlich den LTE Router dann separat als normaler NAT Router mit ins DMZ 20 VLAN zu stecken, also dann quasi ein klassisches Kaskaden Design mit VLAN 20 als Koppelnetz?
Das könnte man dann so machen wenn das richtig verstanden ist.
2.)
Das kommt immer darauf an WIE du den LTE Router anschliest.
Im Bridge Mode reicht der ja nur durch und das öffentliche Internet (Provider LTE Netz) ist dann direkt am WAN Port des RB terminiert. Damit entfällt dann logischerweise eine Adaption des Adguard dort.
In einem klassischen Kaskaden Design mit dem LTE als Router macht es dann durchaus Sinn den Adguard mit in das Koppelnetz zu setzen was RB und LTE Router am WAN Port verbindet.
Das entspricht dann der Frage 1.
Dort dann aber gerade das Gastnetz hinzulegen ist keine besonders intelligente Idee, denn Gäste und alle Endgeräte dort mit direktem Zugang zum LTE Router umgehen dann die RB Firewall und sofern du auch ein Captive Portal für Gäste dort einrichtest auch das, was rechtlich problematisch werden kann.
Das unkontrollierte Gäste dann zusammen mit Firmen Endgeräten in einem L2 Segment zusammen sind ist sicher auch nicht optimal. Ob das tolerierbar ist oder nicht kannst wohl nur du selber entscheiden.
Ein WAN Interface kommt in der Regel nicht mit in ein Netzwerk eines bestehenden lokalen VLANs. Entweder ist die Frage missverständlich oder falsch gestellt. 🤔
Ein Router WAN Port ist meist ein dedizierter Routing Port der KEIN Memberport eines VLANs ist.
Du meinst vermutlich den LTE Router dann separat als normaler NAT Router mit ins DMZ 20 VLAN zu stecken, also dann quasi ein klassisches Kaskaden Design mit VLAN 20 als Koppelnetz?
Das könnte man dann so machen wenn das richtig verstanden ist.
2.)
Das kommt immer darauf an WIE du den LTE Router anschliest.
Im Bridge Mode reicht der ja nur durch und das öffentliche Internet (Provider LTE Netz) ist dann direkt am WAN Port des RB terminiert. Damit entfällt dann logischerweise eine Adaption des Adguard dort.
In einem klassischen Kaskaden Design mit dem LTE als Router macht es dann durchaus Sinn den Adguard mit in das Koppelnetz zu setzen was RB und LTE Router am WAN Port verbindet.
Das entspricht dann der Frage 1.
Dort dann aber gerade das Gastnetz hinzulegen ist keine besonders intelligente Idee, denn Gäste und alle Endgeräte dort mit direktem Zugang zum LTE Router umgehen dann die RB Firewall und sofern du auch ein Captive Portal für Gäste dort einrichtest auch das, was rechtlich problematisch werden kann.
Das unkontrollierte Gäste dann zusammen mit Firmen Endgeräten in einem L2 Segment zusammen sind ist sicher auch nicht optimal. Ob das tolerierbar ist oder nicht kannst wohl nur du selber entscheiden.
Die Frage 1. war nur vermutlich etwas missverständlich gestellt. Du hattest es sicher so gemeint das VLAN 20 dann dein Koppelnetz zw. VLAN Router und Internet Router ist. Dann ist das natürlich nicht falsch und sollte dich auch nicht verwirren!
Den VLAN Weg musst du gehen wenn du dort den Adguard noch reinbringen willst. Aber auch das muss nicht zwingend sein sollte der LTE Router noch mehr als einen LAN Port haben. Gängige Consumer Router haben ja in der Regel oft mehr als einen LAN Port.
In den Bildern zu der "Gigacube" Gurke ist leider nicht ganz ersichtlich wozu diese 3 Ports an der Rückseite genau sind?
Dann wäre es konfig- und management technisch gesehen besser den WAN Port als dedizierten Ethernet Routing Port am RB zu betreiben. Der LTE Router stellt dir dann, sollte er mehrere LAN Ports haben, so Ports im Koppelnetz zur Verfügung.
Hat er nur einen einzigen LAN Port, dann fehlen dir Ports im Koppelnetz und dann musst du natürlich am RB ein VLAN anlegen und mindestens 2 untagged Ports in dieses Koppelvlan legen um auf diese Weise entsprechend freie Ports im Koppelvlan zu bekommen. Eins zum Anschluss des LTE Routers und eins zum Anschluss des Adguards. Bzw. mehr wenn du ggf. mehr benötigst. Entspricht dann deiner Frage 1. oben.
Theoretisch kann der Adguard auch in egal welches VLAN Segment, der Nachteil ist dann aber das du den gesamten DNS Traffic aus den restlichen VLANs über dein FW Regelwerk auf den Adguard in seinem VLAN schicken musst. Das entfällt alles wenn du ihn einfach mit ins Koppelnetz packst.
Goldene Netzwerker Regel: VPN sollte immer in der Peripherie terminiert werden als ungeschützten Traffic ins lokale Netz zu lassen.
Erstere Option ist besser aus technischer Sicht, weil dann das doppelte Firewalling und NAT und die daraus resultierenden Nachteile entfallen.
Siehe zu dem Thema auch HIER.
Den VLAN Weg musst du gehen wenn du dort den Adguard noch reinbringen willst. Aber auch das muss nicht zwingend sein sollte der LTE Router noch mehr als einen LAN Port haben. Gängige Consumer Router haben ja in der Regel oft mehr als einen LAN Port.
In den Bildern zu der "Gigacube" Gurke ist leider nicht ganz ersichtlich wozu diese 3 Ports an der Rückseite genau sind?
Dann wäre es konfig- und management technisch gesehen besser den WAN Port als dedizierten Ethernet Routing Port am RB zu betreiben. Der LTE Router stellt dir dann, sollte er mehrere LAN Ports haben, so Ports im Koppelnetz zur Verfügung.
Hat er nur einen einzigen LAN Port, dann fehlen dir Ports im Koppelnetz und dann musst du natürlich am RB ein VLAN anlegen und mindestens 2 untagged Ports in dieses Koppelvlan legen um auf diese Weise entsprechend freie Ports im Koppelvlan zu bekommen. Eins zum Anschluss des LTE Routers und eins zum Anschluss des Adguards. Bzw. mehr wenn du ggf. mehr benötigst. Entspricht dann deiner Frage 1. oben.
Theoretisch kann der Adguard auch in egal welches VLAN Segment, der Nachteil ist dann aber das du den gesamten DNS Traffic aus den restlichen VLANs über dein FW Regelwerk auf den Adguard in seinem VLAN schicken musst. Das entfällt alles wenn du ihn einfach mit ins Koppelnetz packst.
auf der gleichen Maschine wie auch der Wireguard-Client.
Eigentlich kein gutes VPN Design aber da es ja rein nur ein Client ist (Outbound) nicht wirklich kritisch. Der RB kann ja selber Wireguard und wäre die deutlich bessere Adresse wenn es um einen VPN Site-toSite Kopplung geht!Goldene Netzwerker Regel: VPN sollte immer in der Peripherie terminiert werden als ungeschützten Traffic ins lokale Netz zu lassen.
Was spricht für oder gegen LTE-Router im Bridge-Mode?
Einmal terminiert man das Internet direkt auf dem Router Port und einmal hat man eine Kaskade davor mit doppeltem Firewalling und doppeltem NAT.Erstere Option ist besser aus technischer Sicht, weil dann das doppelte Firewalling und NAT und die daraus resultierenden Nachteile entfallen.
Siehe zu dem Thema auch HIER.
Im Prinzip kannst Du "alles" machen 
Koppelnetz ist möglich. Wenn Du den LTE-router wirklich bridgen kannst, würde ich das an Deiner Stelle bevorzugen. Ich habe das hier mit nem Vodafone-Kabelmodem auch so gelöst. Du musst Dich dann nur um ein Gerät kümmern (MT), welches sich auch viel flexibler konfigurieren lässt.
adguard/vlan:
Grundsätzlich ist bei den vLANs nichts "getrennt", solange Du das nicht in einer Firewall konfigurierst! Du kannst problemlos die DNS-Anfragen von einem vLAN in den adguard jagen, der in einem anderen vLAN hängt. Das routet dann Dein Router (MT) entsprechend.
Persönlich sehe ich das Drama nicht so problematisch, mit dem WG-Client. Vor allem, weil Du da mMn. keine Port geöffnet haben musst, weil Du ja nur "raustelefonierst". "Rein" dürfte über LTE vermutlich eh schwierig sein.
Koppelnetz ist möglich. Wenn Du den LTE-router wirklich bridgen kannst, würde ich das an Deiner Stelle bevorzugen. Ich habe das hier mit nem Vodafone-Kabelmodem auch so gelöst. Du musst Dich dann nur um ein Gerät kümmern (MT), welches sich auch viel flexibler konfigurieren lässt.
adguard/vlan:
Grundsätzlich ist bei den vLANs nichts "getrennt", solange Du das nicht in einer Firewall konfigurierst! Du kannst problemlos die DNS-Anfragen von einem vLAN in den adguard jagen, der in einem anderen vLAN hängt. Das routet dann Dein Router (MT) entsprechend.
Persönlich sehe ich das Drama nicht so problematisch, mit dem WG-Client. Vor allem, weil Du da mMn. keine Port geöffnet haben musst, weil Du ja nur "raustelefonierst". "Rein" dürfte über LTE vermutlich eh schwierig sein.