nachhall
Goto Top

Privates Netzwerk: VLAN-Struktur m. DMZ

Hallo zusammen,

ich plane momentan den Neuaufbau unseres Heimnetzes von "irgendwie zusammengestöpselt" hin zu einem strukturierten Aufbau mit VLANs. Mittlerweile habe ich mich durch etliche Threads gelesen und die großartigen Tutorials von @aqui durchgesehen, finde mich aber bisweilen in der gefühlten Vielzahl der Möglichkeiten nicht zurecht. Daher möchte ich gerne einige meiner Fragen an Euch adressieren.

Im Heimnetz werden betrieben
- 2 private Desktop-PCs
- 2 Firmen-PCs
- diverse iPads / iPhones
- Synology NAS
- Amazon Alexa
- Wlan-Türkamera
- Staubsauger-Roboter
- Homematic-System + ioBroker auf Proxmox-VM
- Adguard (Proxmox-VM)
- Wireguard-Client auf Proxmox-VM (im Wesentlichen zum externen Zugriff auf das SmartHome via Jump-Server)
- diverser weiterer SmartHome-Kram, z.B Ikea-Tradfri-Lampen

Um diese Geräte zu "sortieren" plane ich momentan folgende VLANs:
VLAN1: Admin
VLAN10: Heimnetz (private PCs, iPads, iPhones)
VLAN20: Gastnetz / DMZ (Gäste, Firmen-PCs)
VLAN30: Geräte m. Internetzugriff (ioBroker, Homematic, Ikea Tradfri, NAS, Wireguard, Adguard (? - siehe unten) )
VLAN40: Geräte o. Internetzugriff (Drucker, Smarthome-Komponenten)

Zugriff der Geräte untereinander soll später über Firewallregeln nur soweit zugelassen werden, wie nötig.

Geplante Netzwerk-Komponenten (bereits vorhanden):
- Mikrotik RB4011
- 3 Zyxel GS1200-8
- Wifi AP Netgear WAX214
- LTE-Router Vodafone Gigacube/ Huawei B818 (in Ermangelung einer anderen Möglichkeit für eine ordentliche Internetanbindung.) Das Ding ist nur sehr eingeschränkt konfigurierbar (z.B. keine statischen Routen möglich), kann aber auch im Bridge-Modus betrieben werden.

Dazu meine Fragen:
1. Was ist die sinnvollste Möglichkeit, den LTE-Router an den RB4011 zu koppeln? Ist es eine gute Idee, ihn in das DMZ-VLAN20 einzubinden? Gibt es ggf. alternative, bessere Möglichkeiten außerhalb der VLAN-Struktur?

2. Ist es sinnvoll, den Adguard im gleichen Netzbereich zu betreiben, wie den LTE-Router, oder ist das grundsätzlich egal? Da Adguard auf einer VM läuft mit u.a. dem Wireguard-Client (der ja gut geschützt sein sollte), wäre das nach meinem Verständnis nur möglich, wenn der LTE-Router innerhalb der VLAN-Struktur läuft und nicht über ein separates Koppelnetzwerk.

Mir schwirrt noch mehr durch den Kopf, aber vielleicht belasse ich es erst einmal dabei und stelle weitere Fragen (z.B. zur Zuteilung VLAN -> WLAN) später. Ich hoffe meine Fragen sind einigermaßen klar. Ich bin mir sicher, sie können durch bereits vorhandene Threads beantwortet werden, von denen ich bestimmt auch schon einiges gelesen haben. Aber wie oben gesagt, finde ich mich in der Fülle der Informationen nicht mehr ganz zurecht.

Ich freue mich auf Eure Antworten!

Viele Grüße
Nachhall

Content-Key: 4674513728

Url: https://administrator.de/contentid/4674513728

Printed on: March 1, 2024 at 17:03 o'clock

Member: aqui
aqui Nov 18, 2022 updated at 12:53:45 (UTC)
Goto Top
1.)
Ein WAN Interface kommt in der Regel nicht mit in ein Netzwerk eines bestehenden lokalen VLANs. Entweder ist die Frage missverständlich oder falsch gestellt. ­čĄö
Ein Router WAN Port ist meist ein dedizierter Routing Port der KEIN Memberport eines VLANs ist.
Du meinst vermutlich den LTE Router dann separat als normaler NAT Router mit ins DMZ 20 VLAN zu stecken, also dann quasi ein klassisches Kaskaden Design mit VLAN 20 als Koppelnetz?
Das könnte man dann so machen wenn das richtig verstanden ist.
2.)
Das kommt immer darauf an WIE du den LTE Router anschliest.
Im Bridge Mode reicht der ja nur durch und das öffentliche Internet (Provider LTE Netz) ist dann direkt am WAN Port des RB terminiert. Damit entfällt dann logischerweise eine Adaption des Adguard dort.

In einem klassischen Kaskaden Design mit dem LTE als Router macht es dann durchaus Sinn den Adguard mit in das Koppelnetz zu setzen was RB und LTE Router am WAN Port verbindet.
Das entspricht dann der Frage 1.
Dort dann aber gerade das Gastnetz hinzulegen ist keine besonders intelligente Idee, denn Gäste und alle Endgeräte dort mit direktem Zugang zum LTE Router umgehen dann die RB Firewall und sofern du auch ein Captive Portal für Gäste dort einrichtest auch das, was rechtlich problematisch werden kann.
Das unkontrollierte Gäste dann zusammen mit Firmen Endgeräten in einem L2 Segment zusammen sind ist sicher auch nicht optimal. Ob das tolerierbar ist oder nicht kannst wohl nur du selber entscheiden.
Member: Nachhall
Nachhall Nov 18, 2022 updated at 13:08:53 (UTC)
Goto Top
Hallo aqui,

vielen Dank für die schnelle Antwort!

1.) Ja, so war das gemeint, wenngleich es mir auch erst durch deine Ausführungen so richtig klar geworden ist. face-smile

2.)
Der Adguard läuft als VM auf der gleichen Maschine wie auch der Wireguard-Client. Nach meinem Verständnis ist es also nur möglich, ihn in das Koppelnetz aufzunehmen, wenn dies als VLAN ausgeführt ist. Sonst wären ja für Adguard und Wireguard-Client keine unterschiedlichen Netzsegmente möglich. Korrekt?

Nach deinen Erläuterungen ergeben sich eine Reihe von Möglichkeiten, deren Vor- und Nachteile ich kaumbewerten
kann. Daher fällt mir die Entscheidung so schwer.

Möglichkeit 1: LTE-Router an dedizierten Routing-Port als Kaskade; Adguard in VLAN30
Möglichkeit 2: LTE-Router im Bridge-Mode an dediziertem Routing-Port; Adguard in VLAN30
Möglichkeit 3: LTE-Router als NAT Router in seperatem Koppel-VLAN21 (als Beispiel), gemeinsam mit Adguard; Gäste-Netz (VLAN20) bleibt davon getrennt

Kannst du mir einen Hinweis geben, welche dieser Optionen die sinnvollste ist?

VG!
Member: aqui
Solution aqui Nov 18, 2022 updated at 14:51:46 (UTC)
Goto Top
Die Frage 1. war nur vermutlich etwas missverständlich gestellt. Du hattest es sicher so gemeint das VLAN 20 dann dein Koppelnetz zw. VLAN Router und Internet Router ist. Dann ist das natürlich nicht falsch und sollte dich auch nicht verwirren!
Den VLAN Weg musst du gehen wenn du dort den Adguard noch reinbringen willst. Aber auch das muss nicht zwingend sein sollte der LTE Router noch mehr als einen LAN Port haben. Gängige Consumer Router haben ja in der Regel oft mehr als einen LAN Port.
In den Bildern zu der "Gigacube" Gurke ist leider nicht ganz ersichtlich wozu diese 3 Ports an der Rückseite genau sind?
Dann wäre es konfig- und management technisch gesehen besser den WAN Port als dedizierten Ethernet Routing Port am RB zu betreiben. Der LTE Router stellt dir dann, sollte er mehrere LAN Ports haben, so Ports im Koppelnetz zur Verfügung.

Hat er nur einen einzigen LAN Port, dann fehlen dir Ports im Koppelnetz und dann musst du natürlich am RB ein VLAN anlegen und mindestens 2 untagged Ports in dieses Koppelvlan legen um auf diese Weise entsprechend freie Ports im Koppelvlan zu bekommen. Eins zum Anschluss des LTE Routers und eins zum Anschluss des Adguards. Bzw. mehr wenn du ggf. mehr benötigst. Entspricht dann deiner Frage 1. oben.

Theoretisch kann der Adguard auch in egal welches VLAN Segment, der Nachteil ist dann aber das du den gesamten DNS Traffic aus den restlichen VLANs über dein FW Regelwerk auf den Adguard in seinem VLAN schicken musst. Das entfällt alles wenn du ihn einfach mit ins Koppelnetz packst.
auf der gleichen Maschine wie auch der Wireguard-Client.
Eigentlich kein gutes VPN Design aber da es ja rein nur ein Client ist (Outbound) nicht wirklich kritisch. Der RB kann ja selber Wireguard und wäre die deutlich bessere Adresse wenn es um einen VPN Site-toSite Kopplung geht!
Goldene Netzwerker Regel: VPN sollte immer in der Peripherie terminiert werden als ungeschützten Traffic ins lokale Netz zu lassen.
Was spricht für oder gegen LTE-Router im Bridge-Mode?
Einmal terminiert man das Internet direkt auf dem Router Port und einmal hat man eine Kaskade davor mit doppeltem Firewalling und doppeltem NAT.
Erstere Option ist besser aus technischer Sicht, weil dann das doppelte Firewalling und NAT und die daraus resultierenden Nachteile entfallen.
Siehe zu dem Thema auch HIER.
Member: Nachhall
Nachhall Nov 18, 2022 at 13:11:36 (UTC)
Goto Top
Jetzt habe ich meine Antwort oben geändert, nachdem ich zwischen gesehen hatte, dass du auch deinen ersten Kommentar angepasst hattest. Sorry für das durcheinander.
Ich lese mir noch einmal alles in Ruhe durch und sortiere meine noch offenen Fragen.
Member: Visucius
Solution Visucius Nov 18, 2022 updated at 13:53:03 (UTC)
Goto Top
Im Prinzip kannst Du "alles" machen face-wink

Koppelnetz ist möglich. Wenn Du den LTE-router wirklich bridgen kannst, würde ich das an Deiner Stelle bevorzugen. Ich habe das hier mit nem Vodafone-Kabelmodem auch so gelöst. Du musst Dich dann nur um ein Gerät kümmern (MT), welches sich auch viel flexibler konfigurieren lässt.

adguard/vlan:
Grundsätzlich ist bei den vLANs nichts "getrennt", solange Du das nicht in einer Firewall konfigurierst! Du kannst problemlos die DNS-Anfragen von einem vLAN in den adguard jagen, der in einem anderen vLAN hängt. Das routet dann Dein Router (MT) entsprechend.

Persönlich sehe ich das Drama nicht so problematisch, mit dem WG-Client. Vor allem, weil Du da mMn. keine Port geöffnet haben musst, weil Du ja nur "raustelefonierst". "Rein" dürfte über LTE vermutlich eh schwierig sein.
Member: Nachhall
Nachhall Nov 18, 2022 updated at 15:30:36 (UTC)
Goto Top
Hallo Visucius, hallo aqui,

die Wireguard-Lösung auf VM ist noch darin begründet, dass bislang das Gigacube-Dings der einzige Router im Netzwerk ist. Sobald ich den RB4011 in Betrieb nehme, werde ich dort den Client einrichten. Das hatte ich beim Schreiben meines ersten Posts nicht mehr ganz präsent - Danke für den Gedankenanstoß!

Aber auch so möchte ich den NUC, auf dem momentan die Wireguard und AdGuard VMs laufen, nicht nur für AdGuard verschwenden. Aber vielleicht sind Raspberries ja mal wieder zu zivilen Preisen verfügbar, und dann wäre ein separater solcher nur für AdGuard eine gute Möglichkeit. Der dürfte dann auch gerne ins Koppelnetz.

Wireguard muss aufgrund von DS-Lite bei mir ohnehin über einen Jumphost laufen; das funktioniert auch problemlos. Damit bleibt nach meinem Verständnis als Nachteil einer Routerkaskade der Performanceverlust durch doppeltes NAT. Vorteil wäre wiederum die Möglichkeit, den AdGuard im Koppelnetz einzubinden und damit VLAN-internen DNS-Traffic zu vermeiden.

Ich habe momentan max. 200 MBit/s im Downstream, 50 im Upstream und nur wenig hochvolumigen netzwerkinternen Datenverkehr. Kann ich davon ausgehen, dass die Performance-Unterschiede für mich nicht relevant sind?

VG
Member: aqui
aqui Nov 18, 2022 at 15:43:45 (UTC)
Goto Top
Ja, das ist dann eher vernachlässigbar. Die Performance ist so oder so viel abhängiger von der Auslastung der Funkzelle. Deine Routerkomponenten könnten rein physisch ja deutlich mehr.
Member: Visucius
Visucius Nov 18, 2022 updated at 16:01:38 (UTC)
Goto Top
guck Dir für adguard/pihole evtl. das Thema Docker/Container auf dem MT mal an. Ich meine dazu gabs von MT auch youtube-videos.

Was Du allerdings berücksichtigen solltest: mdns reflector bzw. repeater
Member: Nachhall
Nachhall Nov 18, 2022 at 19:00:12 (UTC)
Goto Top
Vielen Dank euch beiden! Das hat mir sehr geholfen, pragmatisch eine der Lösungen auszusuchen.

Zitat von @Visucius:
Was Du allerdings berücksichtigen solltest: mdns reflector bzw. repeater

Das sagt mir jetzt noch gar nix, aber ich werde mich schlau machen. face-smile

Aus meiner Sicht kann der Thread dann geschlossen werden.

Sicherlich bis bald! Wenn ich mit RB4011-Konfig und VLANs beginne, wird bestimmt die eine oder andere Frage auftauchen.

VG & schönen Abend!
Member: Visucius
Visucius Nov 18, 2022 at 21:59:08 (UTC)
Goto Top
1. Du markierst einen oder mehrere Beiträge als „Lösung“

2 Mir dem Reflector machst Du Airplay und ähnliches über die vLANs bekannt/verfügbar

Viel Erfolg
Member: aqui
aqui Nov 19, 2022 at 08:34:40 (UTC)
Goto Top
Aus meiner Sicht kann der Thread dann geschlossen werden.
Das machst, aus guten Gründen, immer nur DU selber als Threadowner!
Member: Nachhall
Nachhall Nov 20, 2022 at 10:51:23 (UTC)
Goto Top
Schon erledigt! Danke noch einmal für die gute Unterstützung.
Dank der tollen Tutorials hier läuft der RB4011 schon mit den o.g. VLANs. GigaCube momentan als Router, das stelle ich demnächst noch um auf Bridge Mode.
Als nächstes mache ich mich an die Einrichtung eines Radius-Server für mein WLAN.

Schönen Sonntag!
Member: Visucius
Visucius Nov 20, 2022 at 11:07:56 (UTC)
Goto Top
Glückwunsch!