Zur Absicherung und Entkopplung der unterschiedlichen Systeme habe ich mehrere Netzwerksegmente eingerichtet über einen Router, dh. ein Neztwerksegment für die Haussteuerungskomponenten, ein weiteres für die Entertainmentsysteme, wie Fernseher, Radio usw.
Möglich wäre auch die Aufteilung in VLANS
Wie löst ihr den das?
Alles in einem Netzerksegement oder auch aufgeteilt?
Ich hab mein komplette Netzwerk zuhause in 12 unterschiedliches VLAN’s ( sind einige Testnetzte bei die ich zum spielen nutze ) und 4 WLAN’s.
Davor hängt eine Firewall, die die Kommunikation zwischen den VLAN regelt
Klappt das den auch mit den Modulen das sie die unterschiedlichen Systeme in den verschiedenen VLANS finden . Z. B. Der Einsatz von Shellys oder Philips hue. Die werden nicht gefunden wenn man die Module benutzt, oder bin ich mit solchen Problemen alleine?
Hi,
ähnlich wie @Tuxtom007, ein paar VLANs weniger.
VLAN
im Wifi Bereich habe ich vier SSIDs
Das ist auch korrekt, dafür sind VLANs ja da. Das ganze „geschreie“ der Netzwerkteilnehmer soll innerhalb deren Netze stattfinden und nicht übergreifend sein. Aber wie du gemerkt hast, braucht man das ja manchmal doch.
Da gibt es mehrere Varianten…
Beispiel 1. Nur Symcon benötigt Zugriff
Das wäre im Fall E3DC der Fall. Nur Symcon benötigt nämlich Zugriff drauf, in dem Fall hat mein Symconserver zusätzlich zu seinem normalen Lan noch eine IP in dem VLAN des Netzes von E3dc. Symcon holt sich was es braucht.
Beispiel 2. Lokale Geräte benötigen Zugriff
Ich möchte das Symcon als auch Lokale Geräte Zugriff auf die Sonos haben. Hier muss das etwas anders aussehen und dabei hängt es stark davon ab, wie die Discovery Funktion der Hersteller funktionieren. In der Regel läuft sowas über MDNS (Multicast) oder über Broadcast ab.
In beiden Fällen benötigt man nun einen Übersetzer, also ein Stück Software, welches auf einem Gerät läuft, der LAN Seitig auch Zugriff auf die VLANs hat. Und damit sind nicht irgendwelche Policies gemeint, sondern wie im Beispiel 1 eigene IP Adressen im VLAN. Unter Linux wäre da bspw. der mdns-repeater eine einfache Lösung.
In meinem Fall beherrscht die Fortigate MDNS repeating, da die Fortigate Zugriff auf die jeweiligen VLANs hat, kann der auch gleich „Übersetzer“ spielen.
Es gibt auch Geräte die nur ein Broadcast-Schrei absetzen. Ich habe so einen beknackten Etikettendrucker, dessen App-Hersteller wartet nur auf diesen Schrei, empfängt der es, kommuniziert es mit dem Drucker. Dazu gibt es bspw unter Linux das tool bcrelay, wie im Beispiel 1 auch, wird ein Gerät benötigt, welches neben dem lokalen LAN noch das andere Netz bedient, darauf läuft dann der bcrelay. Der nimmt stumpf jeden schrei den es empfängt und übersetzt es in das andere Netz.
Du siehst, es ist komplex und auch nichts für Anfänger. Vor allem steht und fällt das ganze mit Deinem Equipment. Der Switch muss managebar sein und dein Router muss das auch können.
VIele Grüße
Danke für die Rückmeldung. @kris
Ich nutze einen Bintec Router der die für jedes subnet eine eigene Schnittstelle hat.
VLANs habe ich aktuell nicht im Einsatz. Meine HP-Switche können das und der QNAP Switch auf dem die docker-Container unter anderem auch IPS laufen auch. Wäre mal ein Versuch wert
Ich selbst hab’s ehrlich gesagt noch nicht über „ich lasse Gäste nur ins Gäste-WLAN“ hinaus geschafft. Habe zwar Managed Switches und Unifi APs, aber im Bereich Netzwerktechnik mangelt es mir einfach an Kenntnissen… wann immer ich mit VLANs experimentiert habe, bin ich daran gescheitert, dass die dann halt getrennt sind und meine Geräte nicht mehr kommunizieren können. Vielleicht bräuchte ich dafür auch noch ein anderes Gerät.
Ich denke früher oder später wird keiner aus der Nummer mit Segmentierung von Netzwerken kommen und sich damit auseinanderzusetzen.
Hab da mal einen Interessenten Link vom BSI
Auf jeden Fall mal des Lesens wert
Mein IPS hängt im Server-VLAN ( läuft als Linux-Container auf Proxmox ) und hat entsprechende Freigaben über die Firewall ins SmartHome und IoT-VLAN, damit funktioniert alles soweit ich es benötigt.
Ich nutze für die Firewall-Regeln Aliase, die vereinfachen das gewaltig, weil ich bei Änderungen nur den Alias erweitern muss aber nicht die ganzen Firewall-Regeln die diesen Alias dann nutzen.
In der Regel ( mit Ausnahmen ) öffne ich die Firewall immer nur IP + Port basiert für die Ziele, z.b. :
Wenn man so eine Firewall aufbauen will ( ich nutze OPNSense seit 1 Jahr ), rate ich jedem, sich vorher mal Gedanken zu machen, was man bauen will und dann zwei Sachen auf Papier zu bringen:
Ich erlebe es in einem anderen Forum täglich, das die Leute ohne Sinn und Verstand loslegen und sich dann in den Regelwerken verirren und nicht mehr weiter wissen. Gerade die OPNSense ist eine professionelle Firewall-Software und sehr mächtig.
Gäste-VLAN (reines WLAN ) und Büro-VLAN ( nur LAN ) ist bei mir komplett vom Rest abgeschottet, die kommen nur ins Internet raus, da ist nicht mal den PiHole als Werbeblocker zwischen geschaltet.
Wie realisierst du es dann, dass Clients auf WebFronts usw zugreifen können?
per Firewall-Regel:
Privat-VLAN, Source: any, Destination IP vom IPS, Port 3777
Hi,
Dafür sind routen notwendig. Entweder mittels einem Layer3 switch, oder aber mittels einer Firewall. L3 switch wäre aber suboptimal da Geräte nach korrekter konfiguration ungehindert daten austauschen können. Über eine firewall kann man noch ein regelwerk festlegen.
Was für einen router nutzt du denn?
Viele grüsse
Also „Router“ im Sinne von Webzugangs-Plastikteil ist eine Fritzbox Cable. DHCP usw. macht aber der eine von den beiden Switches, das ist ein T2600G-28TS von TP-Link. Und im EG ist nochmal ein ähnlicher Switch, das Nachfolgemodell T2600G-28TS 4.0. Die beiden sind über eine Glasfaser miteinander verbunden, das ist sozusagen das Rückgrat von dem ganzen Netzwerk.
Eine Hardware-Firewall habe ich bislang nicht. Wenn man sowas braucht dann wäre das ja eine Erklärung warum ich es nicht hinbekommen habe 
Hi,
Dein T2600 ist ein L2+, das + erlaubt tatsächlich statische routen zwischen den Vlans zu erstellen. Ist zwar ohne Policies aber zum spielen und lernen ok
Ich kenne TP-Link nicht im Detail (bzw ist bei mir schon wirklich ewig her) aber du müsstest pro vlan im Switch ein virtuelles Interface erstellen, eine feste IP vergeben und anschließend eine route erstellen können. Das ganze würde sich inter-vlan routing nennen.
Die Fritzbox kann kein VLAN (nicht ganz korrekt, auf der WAN Seite erstellt es bei bedarf ein VLAN, wenn man bspw Internet und TV empfängt).
Viele Grüße
Aber wenn ich es richtig verstehe, könnte ich mit einer Hardware Firewall das präziser einstellen?
(Bspw sowas wie der TP-LINK ER605?)
Ich nutze fr die Segmentierung einen Router RS123 von Bintec. Eine zusätzliche Firewall brauch ich da nicht da an Bord. Die Segmente erreich ich über statische Routen. Das ganze über VLAN zu lösen will ich mal testen da ich das Problem mit den Modulen hue und Shelly habe. Multicast habe ich noch nicht umgesetzt
Es gibt viele Möglichkeiten aber es ist sehr interessant wie und mit welchem Aufwand man etwas umsetzt. Eine opensense Firewall ist voll und eine Fortinet ist eine Liga die für viele am Geld scheitern wird. Ist eben auch die Frage was will man investieren um die IT-Sicherheit einigermaßen zu gewährleisten.
Eins ist klar, die Umsetzung ist nicht trivial und mal so eben gemacht
Ich bin jetzt gerade wieder weg von dem Gedanken an irgendein instabiles Billigteil und überlege eher, ob ich entweder einen geeigneten Mini-PC mit OPNSense einsetzen sollte oder auch die Unifi Dream Machine oder wie sich das ding schimpft. Hat das irgendwer im Einsatz? War da bisher unwillens, weil ich gelesen habe dass sich das Ding sehr schwer mit „nicht standard“ IP-Konfigurationen tut.
Ich würde auch zu einer OPNSense oder vielleicht zu Sophos xg Firewall ( gibt es für den privaten Gebrauch eine Lizenz) tendieren. Wichtig ist eine gute Community die bei Fragen unterstützt.
Ich kenne niemand mit einer Unifi Dream machine
Hmmm, mal eine naive Zwischenfrage: Warum das alles ?
Einfach nur weil es Spass macht, oder bringt es auch was ? Wann ja was ?
Hab hier nur ein Haupt und ein noch nie benütztes Gast Netz.
Bis auf die Handys hat jeder Node hat seine fixe IP. Fernseher und IPCAM dürfen nicht nach draußen. Das wars dann aber auch schon hinsichtlich Konfiguration.
Brauch ich mehr ?
gruß
bb
Von der Unifi DreamMaschine würde ich dir dringend abraten - aus eigener Erfahrung und Erfahrung bei zwei Bekannten.
Ich hab das Teil bei mir rausgeworfen, weil ich keine Lust mehr hatte, mich mit den ständigen Unzulänglichkeiten seitens der Software rumzuärgern.
Das Teil kann vieles aber nichts richtig.
Switch und Access-Points von Unifi sind für den Hausgebrauch gut, keine Fragen ( wobei ich da aber auch mittlerweile eher zu TP-Link OMADA tendiere ) aber mit der DreamMaschine hat Unifi den Vogel abgeschossen.
Für das Geld kaufst du besser einen MiniPC mit mehrere LAN-Interfacen, packst OPNSense drauf und die läuft - lernen wir ne Firewall funktioniert und konfiguriert wird, muss du eh bei beiden.
Welche Probleme hast du damit? Die Discovery Instanzen brauchst du nicht zwingend um die Module zu nutzen.