Heimnetztopologie Smarthome

[basti2551]

Hallo,

bin gerade dabei mir gedanken über die Netzwerkkomponenten und Verbindungsregeln meines Heimnetzes zu machen (Gebäudesanierung).
Es sind in allen Räumen Netzwerkdosen installiert welche mit einem Netzwerkschrank verbunden sind.

Da es um ein Zweiparteienhaus mit gemeinsamer Internetnutzung geht, folgt direkt nach dem Providerrouter die Aufteilung in Partei A und Partei B. Für Partei B reicht ein normaler Router mit Wlan-Funktion. (z.B. Asus RT-AC68U, den hatte ich vorher) und soll nur Zugriff auf das Internet haben.

Meine Idee für das restliche Netz wäre wie folgt:

Separate Netze für:

• Internal
  • KNX IP
  • Smarthome-Server
  • IP-Kamera
  • Türklingel
  • PV-Anlage (Ohne Internetzugang)
  • Tablet mit Smarthome GUI (Wlan)
• Home
  • Notebook (Wlan)
  • PC
  • NAS
  • Smartphone (Wlan)
• IOT
  • Waschmaschine
  • Trockner
• Gast
  • Notebook (Wlan)
  • Smartphone (Wlan)

Verbindungen zwischen den Netzen:

1. Die IP-Kamera bzw. der Smarthome-Server Zugriff auf Daten vom NAS haben.
2. Das Internal-Netz sollte bis auf bestimmte API requests, z.B. Wetterdaten bzw. VPN-Zugang vom Internet getrennt sein.
3. IOT und Internal --> bsp. wenn genügend Strom von der PV-Anlage erzeugt wird startet die beladene Waschmaschine

was haltet Ihr von dem?

Könnt ihr mir Geräte mit dehnen dies möglich ist empfehlen.

Ich habe bezüglich Netzwerktechnik etwas Erfahrung. (Informatikschule vor 12 Jahren), jedoch keinerlei in Sachen VLAN.

Vielen Dank im vorraus.

Sebastian

 

[conf_t]

Wie bei all solchen Themen, VLAN alleine bringen nichts. Du musst sie auf IP Ebene mit einer Firewall oder ähnlichen Trennen. Die Mühen in Ehren, aber meist ist eine solche Mikro Nanosegmentierung einfach realtitätsfern (Ressourcen (Zeit/Geld), Aufwand (Stress wenn mal was nicht klappt, wieviel Geduld hat deine Familie/Partner)), das eigene Wissen sowas um zu setzen.

Für ein Einparteien Haus:
Es fängt schon damit an, dass die Fritzbox kein VLAn kann. Du kannst nur Gast-LAN und normales LAN an zwei verschiedenen Ports ausleiten und damit einen Switch füttern, der damit 2 VLANs bedienen kann.
Das ist dann getrennt. Zusätzlich kannst du noch Gast-WLAN einsetzen.

Alles was vertrauenswürdig ist kommt ist normale LAN/WLAN und der Rest (z.B. IOT/Gast) ins Gast-(W)-LAN. Für 99% der Anwendungsfälle im privaten reicht das. Gerade wenn du bei AVM-APs bleibst, hast du auf allen APs dann WLAN ohne extra was zu machen.

Wenn du das für 2 Parteien auf splitten willst.

bekommt jede Partei 1 Router, den du jeweils dann an die 7530 hängst.

und ab dem Router pro Partei kannst du das Konzept des 1 Parteien-Hauses von oben anwendnen

Hier mal ein vereinfachtes Beispiel:
Default VLAN (non-tagged) = normales LAn
VLAN 20 = Gast VLAN für wired IOT.
GastWLAN = wird über AVM Mesh getrennt und überall verteilt

 

[dermoritz]

Aus meiner Sicht macht eine weitere Unterteilung als zwischen Gast und dem Rest keinen Sinn.
Ich würde also nur Home und Gast machen.

Damit hat wer in Home ist erstmal Zugriff auf alle Geräte. Was normalerweise ja gewünscht ist oder willst du auf die IP-Kamera mit einem anderen Smartphone zugreifen oder jedesmal das Netz ändern?

Wenn Teile des Netzes später abschotten willst kannst du mit VPNs arbeiten - die sind ja genau dafür da.
Das beschriebene Setup unterstützten zumindest die Fritzboxen.

(Dieses setup ist übrigens nicht ungewöhnlich: kleine und mittlere Unternehmen benutzen genau da: im internen Netz sind nur Geräte die du kontrollierst - aber alle. im externen sind Gäste. fertig)

 

[basti2551]

@conft_t: und dermoritz
Vielen Dank für die Erläuterungen. Das mit dem Router bzw. VLAN ist mir nun klar. Aber kann ich vom Home-Netz aus auf z.B. die Waschmaschine zugreifen?

Damit hat wer in Home ist erstmal Zugriff auf alle Geräte. Was normalerweise ja gewünscht ist oder willst du auf die IP-Kamera mit einem anderen Smartphone zugreifen oder jedesmal das Netz ändern?

Die Kamera (Türstation) wäre nur über das Tablet live abrufbar und auf das NAS sollen aufnahmen gespeichert werden.

 

[Joe Dalton]

Wenn Teile des Netzes später abschotten willst kannst du mit VPNs arbeiten - die sind ja genau dafür da.
Das beschriebene Setup unterstützten zumindest die Fritzboxen.

Was soll da mittels VPN abgeschottet werden?
Unterschiedliche Netze bzw. Netzbereiche?

(Dieses setup ist übrigens nicht ungewöhnlich: kleine und mittlere Unternehmen benutzen genau da: im internen Netz sind nur Geräte die du kontrollierst - aber alle. im externen sind Gäste. fertig)

Diese Aufteilung bzw. Segmentierung ist in Teilen überholt bzw. wird überarbeitet, so dass nicht nur der Perimeter mit einer Firewall gesichert wird, sondern auch die LAN-Segmente über eine interne Firewall abgeschottet werden.

"Die Angreifer" sitzen nicht nur draußen und je mehr (schlecht gepflegte) IoT kommt, desto eher sollte man diese auch isolieren. Dafür ist Know-How und passende Hardware notwendig, aber ohne wird's irgendwann unlustig.

@basti2551: Deine Aufteilung in VLANs ist machbar, aber es setzt bessere Hardware als eine Fritz!Box voraus und Du musst Dich im Vorfeld deutlich tiefer in die Materie einarbeiten. Wenn Du die Mühen und Kosten nicht scheust, dann gogogo. Aber, wie @conf_t bereits gesagt hat, es bedeutet einen erheblichen Mehraufwand für Aufbau und Betrieb (Zeit, Wissen, Geld).

 

[conf_t]

Das mit dem Router bzw. VLAN ist mir nun klar. Aber kann ich vom Home-Netz aus auf z.B. die Waschmaschine zugreifen?

Du kannst das IOT-Netz an dem primären Route nutzen. So ist es von den "sicheren" LANs getrennt und kann mit eigener Patchung und eigenem VLAN an den Switch gebracht werden. Du kannst so auch weiterhin aus dem LAN auf das IOT-geraffel Zugreifen aber umgekehrt bist du geschützt.

Sehr einfach gehalten und rudimentär, aber für Heimzwecke ausreichen. Habe sowas selbst im Einsatz.

https://www.heise.de/ratgeber/DMZ-selbst-gebaut-221656.html

Sähe dann so aus:

Von LAN aus kannst du auf alles zu greifen, in der Gegenrichtung bleibt es stets am Router (ohne entsprechende Portweiterleitung) hängen.
Also bei dir dann so:

oder wenn du nur ein Kabel zwischen dem ersten und zweiten Router hast:

Und wenn man das auf die Spitze treiben will:

LAN und VLAN 20 kann sich mit VLAN 30 unterhalten, aber VLAN 30 mit niemandem

 

[norKoeri]

was haltet Ihr von dem?

Wurde schon teilweise gesagt, nur nochmals anders formuliert:

Wenn zwei Netzsegmente ausreichen würden, dann könntest Du eine FRITZ!Box als Internet-Router nehmen. Und einen FRITZ!Repeater bei Deiner zweiten Partei; die käme ins Gastnetz. Den FRITZ!Repeater schaltest Du als LAN-Brücke. AVM macht für jeden Gast intern ein VPN auf, daher sind sogar die Switche dazwischen egal (also brauchst Du nicht einmal konfigurierbare Switche oder gar VLANs). Alles andere käme ins Heimnetz und Du würdest dann über Kindersicherungen das Internet sperren.

Willst Du nicht mit FRITZ!Repeater als WLAN-Access-Points arbeiten, Gastzugang für LAN 4, konfigurierbare Switche die das auf VLAN legen und dann WLAN-Access-Points mit zwei SSIDs.

 

[basti2551]

Vielen Dank für die vielen Kommentare und Vorschläge.

Im allgemeinen möchte ich mich schon näher mit der Materie auseinandersetzen. Die Zeit ist das Thema.
Das Netz "Internal" möchte ich auf jeden Fall von Notebook, Smartphone, IOT, ... trennen. Deshalb gefällt mir die DMZ-Lösung gut. Ob ich jetzt wirklich noch eine Trennung von IOT und NAS bzw. den Notebooks und Smartphones brauche muss ich mir noch überlegen.

IOT-Geräte habe ich aktuell: Waschmaschine, Trockner, TV, AV-Receiver.
Die Geräte/Komponenten müssen nicht zwingend von AVM sein. Die Fritz box wird nur von meinem Provider bereitgestellt.

Dachte an den TP-LINK ER605 für die DMZ bzw. das "Internal" Netz und an den TL-SG3428. Dann kann ich je nach verfügbarer Zeit mich doch mit VLAN beschäftigen und optional später mir noch einen Router besorgen wenn ich eine weitere Trennung zwischen NAS und IOT haben möchte. Access Point (2 Stück) könnten dann auch von TP-LINK sein.
Was haltet ihr von den Geräten für dieses Vorhaben?

 

[norKoeri]

Puh. Jener TP-Link ist eine fertige „Büchse“. Ähnliches bekommst Du gebraucht auch von Lancom, DrayTek oder Bintec-Elmeg. Nachteil dieser Büchsen ist, dass Du Dich auf deren Denkweise einlassen musst. Und das „Gelernte“ kaum übertragbar ist. Im Fehlerfall allein dastehst, weil deren Web-Community sehr klein ist. Und Du mit deren Software-Bugs leben musst. Wenn Du Dich mit der Materie auseinandersetzen willst und vom Fach bist, wäre mein Tipp gleich einen Software-basierten Router aufbauen, also OPNsense oder Ähnliches.

WLAN genau das selbe Spiel. Eine fertige Büchse oder was Open-Source mäßiges wie OpenWRT. Nochmal, lernen wirst Du nix, sondern Dich nur in eine Denkweise einarbeiten (müssen). Du machst Dir ein neues Hobby auf. Willst Du das, gerne. Helfen wir Dir gerne bei. Willst Du Dein Gelerntes auffrischen, nein, so bitte nicht. Willst Du einfach nur ein ordentliches Heimnetz haben, dann nein, bitte so kein Nano-Management.

TP-Link ER605 […] TL-SG3428 […] WLAN-Access-Points (2 Stück)

Der einzige Vorteil ist, dass Du Dir einen Software-Controller aufsetzen kannst (sehr, sehr aufwendig zu warten, weil Du das Betriebssystem nachziehen musst) und alles unter einem User-Interface verwalten kannst. Aber bei TP-Link sind viele Funktionen nicht im Controller, man muss dann wieder Standalone zurück. Andere Funktionen gibt es nicht über die Standalone-Web-Oberfläche, man muss dann wieder auf den Controller zurück. Diese Eine-Sicht-auf-Alles-Oberfläche bekommst Du inzwischen von vielen Herstellern … Wenn Du das willst, dann wäre mein Tipp UniFi. Super teuer, aber Jahre voraus. Wenn zu teuer, dann MikroTik. Aber auch hier: Man lernt nix Allgemeines, Übertragbares, man hat dann halt nur eine Sichte auf Alles.