Hallo zusammen,
Ich lese den Thread interessiert mit und hätte auch den Großteil an passenden Geräten zur Verfügung, aber leider bisher wenig Ahnung von VLAN. Könnt ihr etwas zum einlesen empfehlen wie Fallbeispiele oder so? Auch hier gibt es sicher 1000 Sachen die man falsch machen kann…
Gesendet von meinem HUAWEI M2-A01L mit Tapatalk
Aufgrund eurer Antworten merkt man schon, dass Ihr euch damit umfangreich beschäftigt habt. Danke für die Infos vorab.
Ich plane folgenden Aufbau
vorhandene Fritzbox als Modem und Dect-Telefonie
vorhandene Unify APs + Cloud Keyfür Wlan
vorhandenen Layer 2 Switch Netgear
24/7 Rechner mit PFSense - gibt es da einen Flaschenhals, bzw brauch ich einen zusätzlichen Router?
oder
Unify Security Gateway - kann wohl Routing und Firewall übernehmen
Kurz und knapp:
UniFi USG - einfach und unkompliziert (für jeden recht einfach nutzbar, aber eingeschränkte Features - auf deine Fälle bezogen nur das VPN etwas „anders“, aber ein OpenVPN Server ist einfach mit einem Pi gemacht)
Sophos UTM - mittlerer Einrichtungsaufwand und mittel kompliziert (auch als Hobby-User machbar - kann viel, aber auch nicht alles was man vlt erwartet … und WICHTIG - die HOME ist auf 50 Clients/Endgeräte beschränkt). Sophos XG bitte direkt vergessen - wobei die neue Version endlich mehr Features hat)
pfSense - sehr hoher Einrichtungsaufwand und sehr komplex (für jemand ohne bissi mehr „Plan“ von dem Thema absolut nicht zu empfehlen - kann aber ALLES und mehr)
Viele Grüße,
Chris
Nutzt hier jemand die Geräte von Mikrotik?
dann hätte ich zumindest alles aus einer Hand, ob das optimal ist, sei mal dahingestellt.
Ich frage mich aber, ob ich damit die maximale Performance habe (keinen Flaschenhals, kein Umwege der Datenpakete im Netzwerk…)
Gruß oekomat
Wenn du im Privathaushalt einen Flaschenhals hinbekommst, dann mach ich mir Gedanken 
Selbst ich mit meiner extrem übertriebenen Technik laste mein Gigabit Netzwerk nur selten aus. Und selbst da kann man an den entscheidenden Stellen mit einer Link Aggregation „helfen“ - oder bei vielen Leuten im Haushalt auch mit 10G, was mittlerweile echt bezahlbar geworden ist.
EDIT: Und Umwege im Netzwerk…da würde ein Layer 3 Switch helfen - aber passt nicht so zum Sicherheitsgedanken (je nach Anwendungsfall). Finde ich für ein Heimnetz dann doch übertrieben - eine Firewall bekommt das schon hin mit deinem Traffic - einfach die Netze mit den jeweiligen Geräten gut planen und z.B. ein NAS einfach mit mehreren Beinen ins Netzwerk (in die verschiedenen VLAN) hängen usw…
-Chris-
Ich mache es genauso. Ein Vlan nur mit Internet für IOT, Radios, Fernseher usw., ein Vlan für Familie und ein Vlan für den Kern.
Das USG ist als Router OK, solange man das Thread Management nicht aktiviert. Außerdem gehen beim Inter-Vlan Routing die Pakete normalerweise alle über das gleiche Interface rein- und raus. VPN geht so für 1-2 verbindungen, da ist der Flaschenhals mehr das Internet. Außerdem sollte man keine besonderen Anforderungen an die benötigten Parameter haben. L2TP/IPSEC mit Windows10 funktioniert. Das USG ersetzt keine Fritzbox etc, weil es kein Internet-Modem o.ä. hat, nur einen WAN Port, den man dann ans LAN der Fritzbox hängt und freischaltet oder das USG als exposed Host definiert, wenn man weiss, was man macht.
Das Schöne für mich an Ubiquiti war es das man das ganze Netztwerk bequem über den Cloudkey Controler zusammen mit den APs steuern kann, dh. Änderungen an den VLANs, Netzwerken usw. werden gleich mit an die Switche und APs gegeben. Bei mehreren Switchen und APs im Haus ist das sehr angenehm und es gibt keine Limits für die Clients. User mit erweiterten Netzwerk Kenntnissen werden aber viele Optionen vermissen.
Für die gut 100Eur ist das USG OK. Wer mehr will, muss sich mehr auskennen und/oder mehr bezahlen.
Tommi
Für Leute die mit UniFi anfangen wollen - mein Produkt des Jahres von Uniquiti >>> UniFi Dream Machine
Geiles Teil…alles drin (Controller, USG, 4 Port Switch, AP) was man so von UniFi braucht in einem normalen Haushalt. Einfach perfekt für die meisten und zu einem echt fairen Preis.
Klar, wer eine pfSense will für den reicht das nicht - aber für alle „nicht Netzwerk Freaks“ einfach nur perfekt!
-Chris-
Was man sonst so noch beachten muss, wenn man z.B. MagentaTV nutzt, dann muss IGMP V3 vorhanden sein. Das war in der Vergangenheit bei UniFi nicht besonders sauber gelöst, bzw. nicht vorhanden. Für die APs gibts eine Einstellung. Für den Switch muss man Umwege gehen.
Uli
Gesendet von iPhone mit Tapatalk
Ist teilweise bissi tricky mit MagentaTV (und auch manch anderen Anbietern) - aber laut zahlreichen Blogs/Posts funktioniert es mittlerweile gut und auch nicht mehr so umständlich wie früher.
Bin da aber auch nicht so ganz im Thema, hatte das nur 1x vor einiger Zeit.
-Chris-
Hi zusammen,
leider hab ich den Beitrag grade erst gesehen.
Soll jetzt kein Verkaufsthread werden aber ich stelle die Idee hier trotzdem mal zur Debatte:
Hatte Ende letzten Jahres mal die Idee in den Raum gestellt, unsere Firewalls (Watchguard) an Symcon User anzubieten zu einem Sonderpreis mit dem Gedanken: Macht deutsche Smart-Homes sicherer!
Ich arbeite für Watchguard Deutschland - Wir bieten UTM Firewalls für Small und Midsized Business an, unsere T15/T35 Serie wäre sicher ein optimales Gerät um diese Anforderungen abzudecken.
Wenn jemand interesse hat, einfach eine kurze PM und ich kann einen Kontakt zu einem Wiederverkäufer herstellen.
Ich selbst halbe meine Umgebung hier auch in VLANs eingeteilt und Route zwischen den Netzen mit einer entsprechenden Firewall.
Dabei habe ich VLAN in etwa so unterteilt:
Smarthome (IP Symcon, Homematic CCU, KNX Gateways)
Internes Netz über LAN (PCs, Drucker)
Internes Netz über WiFi - Gleiche Rechte wie im LAN aber mehr Übersicht im Traffic durch die Trennung
Guest-Wifi - VLAN für die SSID in der sich Gäste connecten können über ein Portal
Fragwürdige Geräte die mein Netzwerk nicht scannen sollen (Smart TVs, etc) - Hier ist zusätzlich ein Geoblocking aktiv
Dazu kommt dann das rein Firewall interne VLAN in dem die VPN einwahlen landen. Die VPN Einwahl (IKEv2) passiert on Demand, also wenn ich IPS View auf dem Handy öffne z.B. oder meine Kamera.
Die zentrale Routing Instanz(Gateway) ist in jeden VLAN die Firewall, somit stelle ich sicher, dass der gesamte Traffic im kostenfrei enthaltenen Reporting auch sichtbar ist. Dazu kommt, das VLAN A keinen Traffic in VLAN B senden kann, ohne eine Regel die es erlaubt.
Ist sicher overkill an einigen Stellen aber für mich ging es darum, herauszufinden, wie weit man Smarte Devices einschränken kann, ohne Funktionen einzubüßen oder das handling zu verschlechtern.
Der Rattenschwanz mit den VLANs ist sicher nicht zu unterschätzen, aber es gibt auch einen sehr guten Mittelweg aus meiner Sicht.
Anbei mal eine sehr grobe Skizze:
Hi Nocturne!
Ohne deinen Arbeitgeber „schmälern“ zu wollen - aber eine kleine T15 mit 3 Jahren Basic-Security (drunter braucht man von den Features eigentlich gar nicht anfangen - wenn man mit pfSense, Sophos, … vergleichen will) … für rund 750€ … da helfen auch keine 20% oder 30% „SmartHome-Rabatt“
…und steht vlt. nicht unbedingt im passenden Verhältnis zu einer kostenlosen pfSense, kostenlosen Sophos UTM Home (mit eingeschränkter Client-Anzahl, die aber für die meisten ausreicht), kostenlosen Sophos XG (großzügiges Hardware-Limit das für alle ausreicht) oder einer UniFi USG (z.B. schon in der neuen UniFi Dream Machine integriert) 
Ich persönlich bin auch kein Freund von WatchGuard - finde die arg „Altbacken“ und nicht unbedingt übersichtlich - ist aber sicher Geschmackssache. Werde auch in wenigen Wochen wieder eine neue Zweigstelle von WatchGuard zu Sophos UTM migrieren 
„Trotzdem“ Danke für das Angebot und die Übersicht deines Netzwerkes - hilft sicher dem ein oder anderen weiter!
Viele Grüße,
Chris
Moin,
glaube ich gern das der Vergleich zu kostenfreien Lösungen hinkt! Hier muss man einfach unterscheiden, was man will und wie man es aufbaut.
Ich persönlich finde, man sollte einfach mehr Sicherheit in den Bereich Smart-Home bringen, ob mit OpenSource oder einer bezahlten Lösung ist dabei egal. Aus meiner Sicht vernachlässigen viele Hersteller einfach den Security-Aspekt auf Grund von „Easy2Use“. Hier gibt es einfach Ansätze die diese Probleme verbessern können.
Genau wie für mich Username und Passwort kein ausreichender Schutz von Onlinezugängen ist. Bei einer Einwahl von Extern auf mein Smarthome, gehört für mich mindestens beim ersten wenn nich jedem Connect eine Multifaktor Authentifizierung dazu.
Wir machen ja nicht nur Firewalls… 
Was deine Vorliebe für die dunkle Seite angeht, kenne beide Produkte sehr gut. Da ist es wirklich eine Frage des Geschmacks!
Aber gern können wir das Thema per PN fortsetzen um den Thread hier im Topic zu halten.
100% Zustimmung - leider 
Ich hatte auch schon mal das ganze Netz mit VLAN auf Basis von Ubiquity aufgebaut.
Leider hatte ich mir auch einen dämlichen Fehlerpunkt mit PoE Switch eingebaut.
Es lief insgesamt sehr gut, ist aber auch ein sehr großer Administrationsaufwand.
Außerdem kann da nicht mal eben jemand eingreifen, und etwas richten, wenn man mal selbst verhindert ist.
Auch gibt es die Ersatzteile nicht im MediaMarkt. Ich empfehle also entsprechenden Ersatz vorrätig zu halten.
Es geht sicher etwas kaputt, wenn Du auf einer einwöchigen Dienstreise bist.
Was passiert, dann, wer kann eingreifen, wie reagiert die Familie.
Das Thema Sonos und App sowie Zugriffe aus IPS heraus ist etwas problematisch. Hier musst Du mal suchen.
Ich habe mittlerweile wieder zurückgebaut, denn manchmal ist die Einfachheit die bessere Lösung.
Gruß
Christian
Moin Chris, danke nochmal für dei e Einschätzung. Warum die XG wieder vergessen? Home reicht bei mir nicht, sind sind schon ü50 Clients im Spiel.
Dream Maschine Guck ich mir parallel mal an.
Gruß oekomat
Moin!
Als ich grad so die Punkte runtergeschrieben habe bzgl. „was ist doof an der XG“, ist mir aufgefallen, dass das alles keine Punkte sind die einen Firewall-Neueinsteiger und „normalen“ IT- und SmartHome-Anwender „stören“
Die XG verfolgt im Vergleich zur UTM oder pfSense halt einen etwas anderen Ansatz. Aber zum Absichern eines Privathaus ist die eigentlich (mittlerweile) echt ok 
Auch hat sich seit den ersten Releases echt viel getan! Aber man stolpert in der Arbeitswelt doch immer wieder über unbegreifliche Dinge
Kurz gesagt - FALLS einem die UniFi Dream Machine (oder auch die UniFi USG, falls der Rest der Dream Machine nicht benötigt wird) nicht zusagt…dann wäre die Sophos XG eine gute und kostenfreie Möglichkeit.
Für „Einsteiger“ und Privatleute würde ich trotzdem UniFi empfehlen - es gibt nichts einfacheres (und viel Infos/Videos dazu online) und das WLAN von UniFi ist wirklich TOP und 1A
Viele Grüße,
Chris
Ich denke auch, hab ja die APs schon im Einsatz i.V.m. einem Cloudkey.
Was mich noch zweifeln lässt, dass ich die ganze Geschichte wieder umstellen muss, falls Magenta TV mal Thema wird und/oder die Bastellösung mit dem Pi und VPN an Grenzen (Konfig/Sicherheit/Performance) stößt.
Gruß Oekomat
Wobei ich bei der DreamMachine schon 2 Schwachpunkte ausgemacht habe:
Aber ansonsten bin ich bei dir, 4 Geräte in einem zu einem recht vernüftigen Preis.
Hallo Oekomat,
das mit MagentaTV hinter einer Firewall ist ein nicht zu unterschätzendes Thema. Ich hatte bis Anfang des Jahres PCs/Tablets mit VLC zum Fernsehen von EntertainTV im Betrieb, die hinter einer IP-Fire standen. Die Videostreams habe ich über udpxy auf einem PI vor der Firewall bereit gestellt. Dies lief über Jahre extrem stabil. Am 9. Januar hat die Telekom dann die Entertain-Server wie lange angekündigt abgeschaltet. MagentaTV setzt nun eine andere Streamingtechnik ein (IGMPv3 mit SSM). Der alte udpxy kann das aber nicht mehr umsetzen. Ob der Nachfolger (GIGAPXY - jetzt ein kommerzielles Produkt) das kann, ist mir nicht bekannt. Einige experimentieren mit TvHeadend, aber das ist auch komplex und Resourcen aufwendig. Ich selbst habe für mich noch keine passende Lösung gefunden.
Ist eventuell alles etwas OffTopic, zeigt aber welche Dinge bei Netzwerksparierungen über Firewalls alles beachtet werden muessen. Vor allem wenn spezielle Protokolle wie IGMPv3 mit Source Specific Multicast (SSM) eingesetzt werden sollen.
Gruss
Bernd
