10
Wie sieht eine vernünftige VLAN-Konfiguration in meinem Fall aus?
Hallo zusammen!
Ich habe mich schon vor ein paar Jahren etwas in VLANs eingelesen, möchte sie aber jetzt zum ersten Mal praktisch umsetzen. Zum Einsatz kommen bei mir Unifi Produkte (Switches, Security Gateway, APs) und von der Einrichtung weiß ich halbwegs, was ich tun muss - vielen Dank an dieser Stelle an die Infos hier auf administrator.de und insbesondere ein riesiges Dankeschön an aqui, durch dessen Tutorials ich eine Menge über VLANs gelernt habe!
Mir fehlt aber noch das Wissen oder/ und die Erfahrung, um zu entscheiden, welche Geräte ich in welches VLAN packen sollte, deswegen wäre es super, wenn ihr da mal draufschauen könntet:
Devices:
Büro-PCs (Win 7 PCs) --> VLAN 1
Gast-WLAN (Captive Portal) --> VLAN 2
Privat (Laptops, Playstation, Receiver, ...) --> VLAN 3? oder sollte da noch stärker zwischen den Laptops und den 'Spielereien' differenziert werden?
Kameras --> VLAN 4
andere Hardware:
Synology Diskstation --> VLAN 5? (darauf sind Bürodaten inkl Emails, private Daten, Kameraaufnahmen, Backups (von Rechnern, die Diskstation selbst wird natürlich noch anders gesichert), es soll auch von unterwegs drauf zugegriffen werden (WebDAV, CalDAV, eventuell VPN, sonst Portfreigabe, ich schätze VPN wäre aber sinnvoller?) die hat aber auch mehrere LAN-Anschlüsse, kommt die überhaupt in ein eigenes VLAN oder ist die dann in VLAN 1, 3 und 4?
Drucker, Scanner, etc --> VLAN 6? (v.a. für Büro-PCs, aber auch privat interessant)
Asterix VoIP-Telefonanlage (Linux Mini PC) --> mit der Diskstation in VLAN 5 ("Server-VLAN)?
VoIP-Hardphones --> gibt es nur 3-5, der Rest sind Softphones auf den Büro-PCs, deswegen vielleicht kein eigenes VLAN erforderlich, sondern auch in VLAN 1? (ich weiß auch nicht, wie gut die VoIP-Anlage mit mehreren VLANs umgehen kann)
VPN --> irgendwo habe ich mal gelesen, dass es dafür ein eigenes VLAN gibt. Ist das sinnvoll? Der VPN ist v.a. zum Zugriff auf die DiskStation, eventuell aber auch interessant, um unterwegs in WLANs sicher unterwegs zu sein
WLAN-Geräte: da hätten wir iPads, privat genutzt, eventuell wäre ein Diskstation Zugriff ganz nett, Druckerzugriff wäre auch nicht schlecht, dann Smartphones, privat genutzt, Laptops privat genutzt (Backup auf Diskstation), "mich" (Laptop, teilweise bisher auch mal per LAN angeschlossen, wenn verlässlicher, WLAN ist aber natürlich angenehmer, geschäftlich genutzt, privat genutzt, Administration aller Geräte), geschäftliche Handys (brauchen aber höchstens CalDAV und WebDAV Zugriff auf Diskstation, eventuell noch eine Verbindung zu Büro-PC für Synchronisation anderer Daten) --> ein riesiges Fragezeichen, wie viele SSIDs sind neben dem Gast-WLAN sinnvoll?
Sonos --> die mögen VLANs nicht allzu gern, die Threads wie es eventuell doch gehen könnte, zum Beispiel in der Sonos Community, sind mir bekannt. Sollte der Aufwand zu groß werden, würde ich die ins gleiche WLAN wie die privaten Devices stecken und kann halt dann aus anderen nicht drauf zugreifen
In diesem Praxisbeispiel gibt es beispielsweise noch ein unsichtbares SSID für die Administration, ich weiß aber nicht so recht, ob das bei mir sinnvoll ist bzw wo der Vorteil ist: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(Edit: ich glaube ich hab's kapiert...die Netzwerkprodukte brauchen ja auch eine IP, also liegen die wohl in einem eigenen VLAN und nur der Admin hat Zugriff)
für einen Teil / alle SSIDs außer dem Gast-WLAN könnte ich mir eine Radius-Authentifizierung vorstellen, wenn sinnvoll (und ich wüsste gerade nicht, was dagegen spricht?) könnte man das wohl auch zumindest für VLAN 1 (Büro-PCs) machen.
(Edit: Auch das hat sich wohl erledigt - Unifi bietet bisher kein 802.1x für LAN-Ports)
Ist meine grobe Einteilung so schon sinnvoll und könnt ihr mir die offenen Fragen beantworten?
Und noch eine blöde Verständnisfrage: Wenn dann so viel zwischen den VLANs geroutet wird, wieso ist es dann so viel sicherer? Also zum Beispiel Daten werden zwischen VLAN 1 und 6 (Büro-PC und Drucker/Scanner) ausgetauscht - für mich als Laien ist jetzt nicht ganz klar, wieso ich die nicht gleich ins gleiche VLAN stecke.
Vielen Dank schonmal und euch einen schönen Abend!
Ich habe mich schon vor ein paar Jahren etwas in VLANs eingelesen, möchte sie aber jetzt zum ersten Mal praktisch umsetzen. Zum Einsatz kommen bei mir Unifi Produkte (Switches, Security Gateway, APs) und von der Einrichtung weiß ich halbwegs, was ich tun muss - vielen Dank an dieser Stelle an die Infos hier auf administrator.de und insbesondere ein riesiges Dankeschön an aqui, durch dessen Tutorials ich eine Menge über VLANs gelernt habe!
Mir fehlt aber noch das Wissen oder/ und die Erfahrung, um zu entscheiden, welche Geräte ich in welches VLAN packen sollte, deswegen wäre es super, wenn ihr da mal draufschauen könntet:
Devices:
Büro-PCs (Win 7 PCs) --> VLAN 1
Gast-WLAN (Captive Portal) --> VLAN 2
Privat (Laptops, Playstation, Receiver, ...) --> VLAN 3? oder sollte da noch stärker zwischen den Laptops und den 'Spielereien' differenziert werden?
Kameras --> VLAN 4
andere Hardware:
Synology Diskstation --> VLAN 5? (darauf sind Bürodaten inkl Emails, private Daten, Kameraaufnahmen, Backups (von Rechnern, die Diskstation selbst wird natürlich noch anders gesichert), es soll auch von unterwegs drauf zugegriffen werden (WebDAV, CalDAV, eventuell VPN, sonst Portfreigabe, ich schätze VPN wäre aber sinnvoller?) die hat aber auch mehrere LAN-Anschlüsse, kommt die überhaupt in ein eigenes VLAN oder ist die dann in VLAN 1, 3 und 4?
Drucker, Scanner, etc --> VLAN 6? (v.a. für Büro-PCs, aber auch privat interessant)
Asterix VoIP-Telefonanlage (Linux Mini PC) --> mit der Diskstation in VLAN 5 ("Server-VLAN)?
VoIP-Hardphones --> gibt es nur 3-5, der Rest sind Softphones auf den Büro-PCs, deswegen vielleicht kein eigenes VLAN erforderlich, sondern auch in VLAN 1? (ich weiß auch nicht, wie gut die VoIP-Anlage mit mehreren VLANs umgehen kann)
VPN --> irgendwo habe ich mal gelesen, dass es dafür ein eigenes VLAN gibt. Ist das sinnvoll? Der VPN ist v.a. zum Zugriff auf die DiskStation, eventuell aber auch interessant, um unterwegs in WLANs sicher unterwegs zu sein
WLAN-Geräte: da hätten wir iPads, privat genutzt, eventuell wäre ein Diskstation Zugriff ganz nett, Druckerzugriff wäre auch nicht schlecht, dann Smartphones, privat genutzt, Laptops privat genutzt (Backup auf Diskstation), "mich" (Laptop, teilweise bisher auch mal per LAN angeschlossen, wenn verlässlicher, WLAN ist aber natürlich angenehmer, geschäftlich genutzt, privat genutzt, Administration aller Geräte), geschäftliche Handys (brauchen aber höchstens CalDAV und WebDAV Zugriff auf Diskstation, eventuell noch eine Verbindung zu Büro-PC für Synchronisation anderer Daten) --> ein riesiges Fragezeichen, wie viele SSIDs sind neben dem Gast-WLAN sinnvoll?
Sonos --> die mögen VLANs nicht allzu gern, die Threads wie es eventuell doch gehen könnte, zum Beispiel in der Sonos Community, sind mir bekannt. Sollte der Aufwand zu groß werden, würde ich die ins gleiche WLAN wie die privaten Devices stecken und kann halt dann aus anderen nicht drauf zugreifen
In diesem Praxisbeispiel gibt es beispielsweise noch ein unsichtbares SSID für die Administration, ich weiß aber nicht so recht, ob das bei mir sinnvoll ist bzw wo der Vorteil ist: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(Edit: ich glaube ich hab's kapiert...die Netzwerkprodukte brauchen ja auch eine IP, also liegen die wohl in einem eigenen VLAN und nur der Admin hat Zugriff)
für einen Teil / alle SSIDs außer dem Gast-WLAN könnte ich mir eine Radius-Authentifizierung vorstellen, wenn sinnvoll (und ich wüsste gerade nicht, was dagegen spricht?) könnte man das wohl auch zumindest für VLAN 1 (Büro-PCs) machen.
(Edit: Auch das hat sich wohl erledigt - Unifi bietet bisher kein 802.1x für LAN-Ports)
Ist meine grobe Einteilung so schon sinnvoll und könnt ihr mir die offenen Fragen beantworten?
Und noch eine blöde Verständnisfrage: Wenn dann so viel zwischen den VLANs geroutet wird, wieso ist es dann so viel sicherer? Also zum Beispiel Daten werden zwischen VLAN 1 und 6 (Büro-PC und Drucker/Scanner) ausgetauscht - für mich als Laien ist jetzt nicht ganz klar, wieso ich die nicht gleich ins gleiche VLAN stecke.
Vielen Dank schonmal und euch einen schönen Abend!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355365
Url: https://administrator.de/contentid/355365
Ausgedruckt am: 15.11.2024 um 01:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
2 Änderungsvorschläge:
Nimm nicht VLAN 1 und pack die VoIP Geräte definitiv in ein eigenes VLAN.
VLAN 1 ist das Default VLAN aller Switche.
Ein weiteres VLAN für VPN kannst du bei Bedarf immer noch hinzufügen
Brammer
2 Änderungsvorschläge:
Nimm nicht VLAN 1 und pack die VoIP Geräte definitiv in ein eigenes VLAN.
VLAN 1 ist das Default VLAN aller Switche.
Ein weiteres VLAN für VPN kannst du bei Bedarf immer noch hinzufügen
Brammer
Danke und sorry, das hätte ich noch dazu sagen sollen, die Nummerierung oben war jetzt willkürlich, die 1 hätte ich nicht verwendet. Umso mehr vielen Dank, dass du da noch einmal drauf aufmerksam gemacht hast!
Wieso denn für VoIP ein eigenes VLAN, wenn das meiste sowieso nur Softphones sind? Oder können die Softphones auch das VoIP VLAN nutzen, also ein anderes als der "Host-PC"?
Edit: Wie "abgeschottet" sind die VLANs dann jeweils? Bei Unifi ist standardmäßig in der Firewall jeder interVLAN Traffic erlaubt - das kommt mir etwas seltsam vor? Allerdings verstehe ich dann nicht, wie ich zum Beispiel (nachdem ich jeden interVLAN Verkehr gesperrt habe) Ausnahmen wie "VLAN 2 soll auf Port 80 mit VLAN 3 kommunizieren können" einbaue, denn ich kann in Unifi für eine "Lan IN" Firewall Regel als Quelle ein VLAN ODER eine Kombination aus IP-Adresse und Port angeben. Wäre es dann nicht sinnvoll VLAN UND Port angeben zu können?
Oder würde man alle IP-Adressen des VLANs zusammen mit den relevanten Ports angeben?
Oder denke ich viel zu kompliziert und man lässt jeden interVLAN Traffic zu?
Wieso denn für VoIP ein eigenes VLAN, wenn das meiste sowieso nur Softphones sind? Oder können die Softphones auch das VoIP VLAN nutzen, also ein anderes als der "Host-PC"?
Edit: Wie "abgeschottet" sind die VLANs dann jeweils? Bei Unifi ist standardmäßig in der Firewall jeder interVLAN Traffic erlaubt - das kommt mir etwas seltsam vor? Allerdings verstehe ich dann nicht, wie ich zum Beispiel (nachdem ich jeden interVLAN Verkehr gesperrt habe) Ausnahmen wie "VLAN 2 soll auf Port 80 mit VLAN 3 kommunizieren können" einbaue, denn ich kann in Unifi für eine "Lan IN" Firewall Regel als Quelle ein VLAN ODER eine Kombination aus IP-Adresse und Port angeben. Wäre es dann nicht sinnvoll VLAN UND Port angeben zu können?
Oder würde man alle IP-Adressen des VLANs zusammen mit den relevanten Ports angeben?
Oder denke ich viel zu kompliziert und man lässt jeden interVLAN Traffic zu?
Hallo,
das mit dem Softphone für VoIP hatte ich überlesen.... dann macht eine Trennung des VoIP Traffic in ein weiteres VLAN keinen Sinn.
Traffic zwischen VLAN ist normalerweise komplett voneinander abgeschottet es sei denn du lässt ihn explizit zu.
brammer
das mit dem Softphone für VoIP hatte ich überlesen.... dann macht eine Trennung des VoIP Traffic in ein weiteres VLAN keinen Sinn.
Traffic zwischen VLAN ist normalerweise komplett voneinander abgeschottet es sei denn du lässt ihn explizit zu.
brammer
Ist es denn sinnvoll die Synology in ein eigenes VLAn zu stecken? Oder mit einem LAN-Port in das Geschäfts, mit einem in das private und vielleicht mit einem noch in ein extra VLAN für den Zugriff aus dem Internet?
(wenn das überhaupt geht)
(es gibt dann noch eine Synology für Backups von der 1. Synology)
(wenn das überhaupt geht)
(es gibt dann noch eine Synology für Backups von der 1. Synology)
Hallo,
dann die Synology in ein eigenes VLAN.
Dann kannst du die Zugriffe über Routing / Switching lösen und nicht über Kabel Wirrwar....
brammer
dann die Synology in ein eigenes VLAN.
Dann kannst du die Zugriffe über Routing / Switching lösen und nicht über Kabel Wirrwar....
brammer
Hallo,
stimmt, macht Sinn, danke!
Gibt es irgendwo eine Einführung in VLAN Firewalls? Ideal wäre natürlich eine zu Unifi, da die das etwas anders zu handhaben scheinen. Schon kurios, dass da standardmäßig alles geroutet wird.
Jonas
stimmt, macht Sinn, danke!
Gibt es irgendwo eine Einführung in VLAN Firewalls? Ideal wäre natürlich eine zu Unifi, da die das etwas anders zu handhaben scheinen. Schon kurios, dass da standardmäßig alles geroutet wird.
Jonas
Hallo,
was sind "VLAN Firewalls"?
brammer
was sind "VLAN Firewalls"?
brammer
Hallo,
gemeint war die Konfiguration der Firewall zwischen den einzelnen VLANs, das heißt wenn Traffic zwischen VLANs normalerweise komplett abgeschottet ist, dann gehe ich mal davon aus, dass es dazwischen eine Firewall ähnlich der zum Internet gibt und ich zum Beispiel für das Drucker VLAN die Ports freigebe, die zum Drucken erforderlich sind?
Jonas
gemeint war die Konfiguration der Firewall zwischen den einzelnen VLANs, das heißt wenn Traffic zwischen VLANs normalerweise komplett abgeschottet ist, dann gehe ich mal davon aus, dass es dazwischen eine Firewall ähnlich der zum Internet gibt und ich zum Beispiel für das Drucker VLAN die Ports freigebe, die zum Drucken erforderlich sind?
Jonas
Hallo,
das ist das Routing auf dem Layer 3 Switch ....
du musst nur die entsprechenden Routen setzen...
brammer
das ist das Routing auf dem Layer 3 Switch ....
du musst nur die entsprechenden Routen setzen...
brammer
Die Unifi Switches wurden, soweit ich das jetzt auf die Schnelle herausfinden konnte, mal mit Layer 3 Fähigkeiten beworben, anscheinend gibt es diese aber nicht.
Ist es dramatisch, wenn das über den Router läuft? (Mein Verständnis ist, dass bei Layer 2 Switches der Router das übernehmen muss.)
Ich könnte die wohl auch noch umtauschen, sind Layer 3 Switche viel sinnvoller?
Wobei ich ungern eine noch komplexere Konfiguration als bei Unifi möchte, da ist für mich irgendwann der Punkt erreicht, an dem ich dann lieber auf VLANs verzichte.
Was genau muss ich mir unter einer Route vorstellen? Wird da alles geroutet oder ein bestimmter Port etc?
Edit: Eigentlich habe ich die v.a. gekauft, da mir QoS wichtig war - jetzt erfahre ich aber gerade, dass Unifi gar kein richtiges QoS hat. zum Beispiel ein Edge Switch würde nicht mehr kosten und hat Layer 3 und QoS, dafür nicht die Unifi Software. Macht es Sinn, wenn ich den stattdessen nehme?
(etwa 15 Benutzer, meistens eher <10, 50MBit/s, 10 MBit/s upload, mir geht es v.a. darum VoIP Probleme zu vermeiden)
Ist es dramatisch, wenn das über den Router läuft? (Mein Verständnis ist, dass bei Layer 2 Switches der Router das übernehmen muss.)
Ich könnte die wohl auch noch umtauschen, sind Layer 3 Switche viel sinnvoller?
Wobei ich ungern eine noch komplexere Konfiguration als bei Unifi möchte, da ist für mich irgendwann der Punkt erreicht, an dem ich dann lieber auf VLANs verzichte.
Was genau muss ich mir unter einer Route vorstellen? Wird da alles geroutet oder ein bestimmter Port etc?
Edit: Eigentlich habe ich die v.a. gekauft, da mir QoS wichtig war - jetzt erfahre ich aber gerade, dass Unifi gar kein richtiges QoS hat. zum Beispiel ein Edge Switch würde nicht mehr kosten und hat Layer 3 und QoS, dafür nicht die Unifi Software. Macht es Sinn, wenn ich den stattdessen nehme?
(etwa 15 Benutzer, meistens eher <10, 50MBit/s, 10 MBit/s upload, mir geht es v.a. darum VoIP Probleme zu vermeiden)
