VLANs im Haus richtig strukturieren, trennen?

sg32et3w
Goto Top
Hallo zusammen,

im frisch verkabelten Haus habe ich nun alle Patchpanel Ports am 24er Switch angeschlossen, im Default sind ja alle im gleichen Netz/VLAN 1.
Aufgrund der Vorteile von VLANs möchte ich nun auch das Netz in mehrere kleinere Teile segmentieren, jedoch fängt hier schon das Hauptthema an:

- Wie schneidet man die VLANs am besten, thematisch wie HOME / WORK / IOT oder macht man eher nach Domänen z.B. CLIENTS / SERVER / IOT ?

- In welchem VLAN muss ein WLAN Access Point angehängt sein, es kann ja sein das jemand aus HOME & WORK gleichzeitig WLAN nutzen müsste

- Server wie Hypervisor in ein LAB VLAN setzen?

- NAS Server für zentralen Netzwerkspeicher nur in einem VLAN zur Verfügung stellen?

- IP Adresse basierend auf VLAN ID aufbauen, drittes Oktet die VID setzen:
010-HOME => 192.168.10.*
020-WORK => 192.168.20.*
usw.

Content-Key: 2088411199

Url: https://administrator.de/contentid/2088411199

Ausgedruckt am: 01.07.2022 um 15:07 Uhr

Mitglied: LeReseau
LeReseau 07.03.2022 um 23:13:57 Uhr
Goto Top
In welchem VLAN muss ein WLAN Access Point angehängt sein
Auch ein Laie nutzt dafür immer MSSID fähige APs. Also APs die mehrere WLANs zugleich aufspannen können. Siehe hier.
Mit MSSID APs stellt sich deine Frage also erst gar nicht.
Server wie Hypervisor in ein LAB VLAN setzen
Ja, einfach an einen Port in dem VLAN anklemmen, fertisch.
NAS Server für zentralen Netzwerkspeicher nur in einem VLAN zur Verfügung stellen?
Wie auch den Server oben einfach in dem VLAN anklemmen fertisch. Wenn man aus anderen VLANs nicht drauf zugreifen darf oder soll richtest du einfache eine Firewall Regel dafür ein oder eine Accessliste, fertisch.
IP Adresse basierend auf VLAN ID aufbauen, drittes Oktet die VID setzen:
Wäre intelligent um die VLANs schnell identifizieren zu können. Ein Muss ist das aber nicht nur Kosmetik.
Mitglied: NordicMike
NordicMike 08.03.2022 um 07:30:42 Uhr
Goto Top
Aufgrund der Vorteile von VLANs
Ich sehe keine Vorteile, welche wären das? In einem kleinen Haus sehe ich nur Nachteile, z.B. weil das Handy den Fernseher oder Sonos Player nicht mehr findet.

Wie schneidet man die VLANs am besten, thematisch wie HOME / WORK / IOT oder macht man eher nach Domänen z.B. CLIENTS / SERVER / IOT ?
Man schneidet dort, wo sich etwas gegenseitig nicht stören oder sehen soll, z.B. in einer Firma, wenn ein Kunde oder Besucher nichts ins Hausnetzwerk soll, aber ins Internet muss z.B. Meetingräume. Oder eine Abteilung isoliert wird, die gerne Geräte im Netzwerk testet. Je größer ein Netzwerk ist, desto feiner wird segmentiert. Damit wird auch die Broadcast Domain nicht zu groß. Auch die Sicherheit steigt, wenn die Personalabteilung sich in einer Bewerbungsemail einen Virus eingefangen hat, wird nur das Segment beeinträchtigt, auf das sie Zugriff hat. Zu Hause macht es keinen Sinn, da du nicht jeden einzelnen Rechner isolieren möchtest, das wäre ja dann nur ein PC pro VLAN, wenn überhaupt.

- In welchem VLAN muss ein WLAN Access Point angehängt sein, es kann ja sein das jemand aus HOME & WORK gleichzeitig WLAN nutzen müsste
In beiden. Billige Accesspoints können das zwar nicht, es gibt jedoch VLAN fähige Accesspoints, bei denen man einstellen kann, auf welche VLANs es hören soll. Dort stellt man dann auch ein, welche SSID zu welchem VLAN zugewiesen wird. Nachdem die zwei Netzwerke trotzdem nur mit einem Kabel gefüttert werden, muss der Switch beide VLANs an diesem Port zur Verfügung stellen.

- Server wie Hypervisor in ein LAB VLAN setzen?
Der Hypervisor wird VMs beinhalten, die verschiedene VLANs benötigen. Deswergen muss der Switch Port, an dem der Hypervisor angesteckt ist, alle VLANs zur Verfügung stellen, die die VMs auch benutzen wollen. Der Hypervisor selbst kann dann auch sagen auf welches VLAN davon er horchen soll - wenn es einen Grund für die Isolation gibt <- wie gesagt, in großen Firmen: ja, zu Hause eher nicht - bzw. höchstens um zu lernen.

NAS Server für zentralen Netzwerkspeicher nur in einem VLAN zur Verfügung stellen?
Es geht beides:
1) Du kannst es in ein VLAN rein stecken und "routen", falls jemand aus einem anderen VLAN darauf zugreifen möchte, oder
2) das NAS hört auf mehrere VLANs. Deswegen wird bei mehreren VLANs das über einen Anschluss läuft, auch geTAGt (markiert), damit die Geräte wissen zu welchem VLAN das ankommende Paket gehört.

Nachdem du jedoch auch Geräte aus mehreren VLANs ansprechen willst, die nicht VLAN fähig sind, kommt eher die "routing" Methode in Frage. Du benötigst also einen VLAN fähigen Router, das zwischen den VLANs vermittelt. Eine Fritzbox z.B. kann das nicht. Üblicher Weise stellt dieser Router dann auch DHCP und DNS für jedes VLAN zur Verfügung.

- IP Adresse basierend auf VLAN ID aufbauen, drittes Oktet die VID setzen:
010-HOME => 192.168.10.*
020-WORK => 192.168.20.*
usw.
**
Ja, das erleichtert zumindest die Übersicht und der Router weiss dann auch wohin er routen soll.
Mitglied: Visucius
Visucius 08.03.2022 aktualisiert um 08:13:39 Uhr
Goto Top
Wie schneidet man die VLANs am besten, thematisch wie HOME / WORK / IOT oder macht man eher nach Domänen z.B. CLIENTS / SERVER / IOT ?
Ich würde mit "thematisch" loslegen. Wenn Dir das am Ende nicht genügt, kannst Du ja horizontal (Server/Client) auch nochmal trennen ... oder nach Übertragungsmedium (Kabel, Wifi). Das hat den Vorteil, dass der Kram erstmal läuft und Du nicht komplett den Überblick verlierst. Zudem wirst Du festellen, dass der Zirkus für nen Heimnetzwerk einfach unsinnig ist (iPhones finden die Lautsprecher, TVs oder Drucker nicht mehr usw.). Gibt immer Lösungen ist halt nur affig aufwändig.

Zum Verständnis: Die Trennung der IP-Bereiche lässt Dich aber immer noch die Geräte pingen, bzw. ansprechen. Nur die bequemen, automatischen Erkennungsmöglichkeiten sind dann weg. Wenn Du das "sicher" haben willst, müsste zwischen die vLANs jeweils ne Firewall!

In welchem VLAN muss ein WLAN Access Point angehängt sein, es kann ja sein das jemand aus HOME & WORK gleichzeitig WLAN nutzen müsste
Der AP sollte Multi-SSID-tauglich sein - für den Anfang. Du spannst also für jedes vLAN nen eigenen "Netznamen" mit eigenen Zugangsdaten auf. Der AP wird so konfiguriert, dass er alle benötigten Netze versorgt. Später könnte man das auch "dynamisch" gestalten: Ein Wifi und die Zuordnung z.B. über die MAC-Adresse und/oder User-Verwaltung.

Server wie Hypervisor in ein LAB VLAN setzen?
siehe Wifi-AP

NAS Server für zentralen Netzwerkspeicher nur in einem VLAN zur Verfügung stellen?
Ebenso wie Wifi-AP aber eben nur für ein(!) vLAN. Der Netzwerk-Port definiert das dann.

IP Adresse basierend auf VLAN ID aufbauen, drittes Oktet die VID setzen:
010-HOME => 192.168.10.*
020-WORK => 192.168.20.*
usw.

Macht wohl fast jeder so. Kannste aber auch wild würfeln oder 11, 22, 33 nutzen.

PS: Teile mal Deine vorhandene HW - ob das damit möglich ist.
Mitglied: Trommel
Trommel 08.03.2022 aktualisiert um 11:33:51 Uhr
Goto Top
Ich würde nicht nur nach Client / Server gehen, sondern nach dem, was Du trennen willst. Mit ACLs kannst Du das dann abdichten. WLAN mit Multi-SSID-VLAN APs an einem Tagged Port. Die Benennung ist Deine Sache, würde Dir das aber laut Deinem Beispiel empfehlen.

Zitat von @NordicMike:

Aufgrund der Vorteile von VLANs
Ich sehe keine Vorteile, welche wären das? In einem kleinen Haus sehe ich nur Nachteile, z.B. weil das Handy den Fernseher oder Sonos Player nicht mehr findet.

Ich finde es gar nicht so verkehrt, bin aber eben auch etwas paranoid :-) face-smile und klar nimmt es viel Komfort weg.
Ich habe bei mir privat z.B.:
- VLAN für Verwaltung (Admin)
- VLAN für meine Geräte
- VLAN für die Chefin und TVs, Spielekonsolen etc. :) face-smile
- VLAN für IOT (Lampen- und Heizungssteuerung, Staubsaugerroboter)
- VLAN für HomeOffice

Und das alles mittels ACLs voneinander getrennt.

Viele Grüße
Trommel
Mitglied: magicteddy
magicteddy 08.03.2022 um 16:47:52 Uhr
Goto Top
Moin,

mal ein Vorschlag fürs WLan: Warum nicht mit Radius und 802.1x?
Fürs Gastnetz legst Du ein User Gast mit Kennwort und Zuweisung ins Gast VLan und der Erlaubnis mehrerer gleichzeitiger Logins.
Die anderen Benutzer schubst Du auch, via Radius, einfach ins passende VLan Privat oder Arbeit
Nur fürs IoT solltest Du über eine separate SSID mit WPA2/3 nachdenken, es gibt Geräte die mit 802.1x nicht können. Ob Du dem IoT WLan die gleiche SSID wie dem privatem Netz verpasst musst Du selber entscheiden damit die Bedienbarkeit deinen Wünschen entspricht.
Mitglied: sg32et3w
sg32et3w 08.03.2022 um 20:30:51 Uhr
Goto Top
Super danke für den Input, scheint unterschiedliche Meinungen zu VLANs zu geben :-) face-smile

Zu meiner Hardware:

Modem: FritzBox 7530 (https://avm.de/produkte/fritzbox/fritzbox-7530/technische-daten/)
Firewall: pfSense 2.6 (PC Engines APU2C4)
Switch: Mikrotik CRS328-24P-4S+RM (https://mikrotik.com/product/crs328_24p_4s_rm)
APs: Mikrotik cAP ac (Bridge Mode) - (https://mikrotik.com/product/cap_ac)

Im einfachsten Fall für den Anfang mache ich erstmal nur 2 VLANs, ich würde HOME und IOT trennen erstmal ausprobieren, später kann man aus HOME Devices extrahieren.
Mitglied: Visucius
Visucius 08.03.2022 um 20:59:44 Uhr
Goto Top
Mit der HW kannst Du alle oben genannten Optionen umsetzen - zumindest hinter der Fritze ;-) face-wink

Viel Erfolg
Mitglied: LeReseau
LeReseau 09.03.2022 aktualisiert um 09:40:36 Uhr
Goto Top
scheint unterschiedliche Meinungen zu VLANs zu geben
Nein, normalerweise gibt es die nicht !
ich würde HOME und IOT trennen erstmal ausprobieren, später kann man aus HOME Devices extrahieren.
Ein guter und sinnvoller Anfang ! Alles andere erklärt das Tutorial.
https://administrator.de/faq/32