VLANs im Haus richtig strukturieren, trennen?

Ich sehe keine Vorteile, welche wären das? In einem kleinen Haus sehe ich nur Nachteile, z.B. weil das Handy den Fernseher oder Sonos Player nicht mehr findet.

Man schneidet dort, wo sich etwas gegenseitig nicht stören oder sehen soll, z.B. in einer Firma, wenn ein Kunde oder Besucher nichts ins Hausnetzwerk soll, aber ins Internet muss z.B. Meetingräume. Oder eine Abteilung isoliert wird, die gerne Geräte im Netzwerk testet. Je größer ein Netzwerk ist, desto feiner wird segmentiert. Damit wird auch die Broadcast Domain nicht zu groß. Auch die Sicherheit steigt, wenn die Personalabteilung sich in einer Bewerbungsemail einen Virus eingefangen hat, wird nur das Segment beeinträchtigt, auf das sie Zugriff hat. Zu Hause macht es keinen Sinn, da du nicht jeden einzelnen Rechner isolieren möchtest, das wäre ja dann nur ein PC pro VLAN, wenn überhaupt.

In beiden. Billige Accesspoints können das zwar nicht, es gibt jedoch VLAN fähige Accesspoints, bei denen man einstellen kann, auf welche VLANs es hören soll. Dort stellt man dann auch ein, welche SSID zu welchem VLAN zugewiesen wird. Nachdem die zwei Netzwerke trotzdem nur mit einem Kabel gefüttert werden, muss der Switch beide VLANs an diesem Port zur Verfügung stellen.

Der Hypervisor wird VMs beinhalten, die verschiedene VLANs benötigen. Deswergen muss der Switch Port, an dem der Hypervisor angesteckt ist, alle VLANs zur Verfügung stellen, die die VMs auch benutzen wollen. Der Hypervisor selbst kann dann auch sagen auf welches VLAN davon er horchen soll - wenn es einen Grund für die Isolation gibt <- wie gesagt, in großen Firmen: ja, zu Hause eher nicht - bzw. höchstens um zu lernen.

Es geht beides:
1) Du kannst es in ein VLAN rein stecken und "routen", falls jemand aus einem anderen VLAN darauf zugreifen möchte, oder
2) das NAS hört auf mehrere VLANs. Deswegen wird bei mehreren VLANs das über einen Anschluss läuft, auch geTAGt (markiert), damit die Geräte wissen zu welchem VLAN das ankommende Paket gehört.

Nachdem du jedoch auch Geräte aus mehreren VLANs ansprechen willst, die nicht VLAN fähig sind, kommt eher die "routing" Methode in Frage. Du benötigst also einen VLAN fähigen Router, das zwischen den VLANs vermittelt. Eine Fritzbox z.B. kann das nicht. Üblicher Weise stellt dieser Router dann auch DHCP und DNS für jedes VLAN zur Verfügung.

Ja, das erleichtert zumindest die Übersicht und der Router weiss dann auch wohin er routen soll.

Ich würde mit "thematisch" loslegen. Wenn Dir das am Ende nicht genügt, kannst Du ja horizontal (Server/Client) auch nochmal trennen ... oder nach Übertragungsmedium (Kabel, Wifi). Das hat den Vorteil, dass der Kram erstmal läuft und Du nicht komplett den Überblick verlierst. Zudem wirst Du festellen, dass der Zirkus für nen Heimnetzwerk einfach unsinnig ist (iPhones finden die Lautsprecher, TVs oder Drucker nicht mehr usw.). Gibt immer Lösungen ist halt nur affig aufwändig.

Zum Verständnis: Die Trennung der IP-Bereiche lässt Dich aber immer noch die Geräte pingen, bzw. ansprechen. Nur die bequemen, automatischen Erkennungsmöglichkeiten sind dann weg. Wenn Du das "sicher" haben willst, müsste zwischen die vLANs jeweils ne Firewall!

Der AP sollte Multi-SSID-tauglich sein - für den Anfang. Du spannst also für jedes vLAN nen eigenen "Netznamen" mit eigenen Zugangsdaten auf. Der AP wird so konfiguriert, dass er alle benötigten Netze versorgt. Später könnte man das auch "dynamisch" gestalten: Ein Wifi und die Zuordnung z.B. über die MAC-Adresse und/oder User-Verwaltung.

siehe Wifi-AP

Ebenso wie Wifi-AP aber eben nur für ein(!) vLAN. Der Netzwerk-Port definiert das dann.

010-HOME => 192.168.10.*
020-WORK => 192.168.20.*
usw.

Macht wohl fast jeder so. Kannste aber auch wild würfeln oder 11, 22, 33 nutzen.

PS: Teile mal Deine vorhandene HW - ob das damit möglich ist.

Ich würde nicht nur nach Client / Server gehen, sondern nach dem, was Du trennen willst. Mit ACLs kannst Du das dann abdichten. WLAN mit Multi-SSID-VLAN APs an einem Tagged Port. Die Benennung ist Deine Sache, würde Dir das aber laut Deinem Beispiel empfehlen.


Ich finde es gar nicht so verkehrt, bin aber eben auch etwas paranoid und klar nimmt es viel Komfort weg.
Ich habe bei mir privat z.B.:
- VLAN für Verwaltung (Admin)
- VLAN für meine Geräte
- VLAN für die Chefin und TVs, Spielekonsolen etc.
- VLAN für IOT (Lampen- und Heizungssteuerung, Staubsaugerroboter)
- VLAN für HomeOffice

Und das alles mittels ACLs voneinander getrennt.

Viele Grüße
Trommel

Moin,

mal ein Vorschlag fürs WLan: Warum nicht mit Radius und 802.1x?
Fürs Gastnetz legst Du ein User Gast mit Kennwort und Zuweisung ins Gast VLan und der Erlaubnis mehrerer gleichzeitiger Logins.
Die anderen Benutzer schubst Du auch, via Radius, einfach ins passende VLan Privat oder Arbeit
Nur fürs IoT solltest Du über eine separate SSID mit WPA2/3 nachdenken, es gibt Geräte die mit 802.1x nicht können. Ob Du dem IoT WLan die gleiche SSID wie dem privatem Netz verpasst musst Du selber entscheiden damit die Bedienbarkeit deinen Wünschen entspricht.

Mit der HW kannst Du alle oben genannten Optionen umsetzen - zumindest hinter der Fritze

Viel Erfolg