Sinnvolle Nutzung von VLANs

[WillSmith]

Hallo,

ich befasse mich seit einiger Zeit mit Self-Hosting von verschiedenen Diensten (Nextcloud, Bitwarden etc.). Das ganze läuft auf einem Raspberry Pi Docker Swarm Cluster. Diese nutzen meinen TrueNAS Server als gemeinsamen Storage Server. Zudem habe ich Home Assistant auf einem separaten Raspberry Pi laufen. All die Geräte sind über einen einzigen Switch verbunden. Auf dem NAS läuft ein Plexserver, der von verschiedenen Geräten im Netzwerk genutzt wird (PC, Laptop, TV, Nvidia Shield).

Ansonsten habe ich noch einige Tado Smartthermostate, Yeelight Lampen und Tasmota Smart Switches per WLAN im Betrieb und in Home Assistant eingebunden.

Ich spiele nun mit dem Gedanken, noch eine Pfsense Firewall hinzuzufügen, um die Sicherheit zu verbessern. Ich lese in diesem Zusammenhang immer wieder was über die Nutzung von VLANs, um unterschiedliche Subnetzwerke zu erstellen.

Ich frage mich nun, inwiefern das bei meinem Netzwerk Sinn macht. Ich würde mich da über Feedback, Ideen, Vorschläge etc freuen diesbezüglich.

Liebe Grüße

 

[Merle]

VLANs existieren, um an der Firewall/dem erweiterten Router erzeugte Subnetze ins LAN übertragen zu können.
Stell deine Frage mal ChatGPT, beantwortet präzise. Aber ich nehm noch einmal die Chance war dir als Mensch zu antworten.
VLANs sind faktisch ein Etikett, welches an Ethernetframes angeheftet wird. Jeder kundige Switch (managed o.ä.) kann diese Label lesen. Er weiß dann, VL100 als Beispiel, dieser Traffic darf nur an Ports, die auch dem VLAN 100 angehören.
Vom Router/Firewall zum Switch braucht es einen Ethernet-Trunk, der mehrere VLAN-Tags zulässt. Der Switch muss wissen welche VLANs es gibt und welcher Port tagged/untagged/trunked in das VLAN kommunizieren darf und wie.

Auf diesem Wege wird dann letztendlich die Zonierung und damit die Netztrennung bis zum Endgerät durchgesetzt und nicht nach dem Router wieder „gebrückt“ zusammengeschaltet.

VLANs sind eine rudimentäre und dennoch sehr effektive und sichere Art der Netzwerk-Segmentierung.

*edit:
Übrigens: wenn man die Hardware hat kann es - wenn man den Adminaufwand nicht scheut - nicht genug Netze geben. IoT, Guest, Admin, Print, DMZ sind es bei mir aktuell. Weil… warum nicht? So kann ich immerhin jeden „Zonenübergang“ granular regeln.

 

[WillSmith]

Danke für die ausführliche Erklärung.

Ich möchte es natürlich mit der Zonierung nicht übertreiben. Es sollte Sinn machen. Ich lebe alleine, hab natürlich ab und zu Besuch. Da macht also schon mal ein Gastnetzwerk Sinn.

Meine IoT Geräte sind alle per WLAN verbunden. Home Assistant muss Zugriff auf diese haben und ich muss per WLAN (Handy, Laptop) und LAN (PC) Zugriff auf HA haben.

Irgendwie muss ich dann auch noch Zugriff auf meinen RPI Cluster und NAS haben und diese müssen untereinander kommunizieren können.

Ich frage mich, wie man dieses sinnvoll in unterschiedliche Zonen einteilen könnte. Macht es überhaupt in meinem Kontext Sinn? Meine größte Sorge wäre Zugriff von außerhalb in mein Netzwerk über die Dienste, die vom Internet erreichbar sind (Cloud, Passwortmanager etc). Diese sind Mithilfe eines Cloudflare Tunnels an das Internet angebunden und natürlich mit 2FA zusätzlich abgesichert. Eigentlich habe ich auch Fail2Ban, aber das funktioniert nur mäßig gut aktuell.

Edit: Meine Sorge bei dem Projekt ist das Switch-und Kabelchaos.

 

[Merle]

Eh, was ist wann sinnvoll?
Meine APs machen per Trunk 3 getrennte SSIDs in VLANs getrennt. Die Infra muss schon mitspielen. Wenn dein WLAN nur eine oder 2 SSIDs hat, für die die Nutzung schon feststeht (Admin/Gast als Beispiel), kannst du keine weitere SSID in einem dritten VLAN ausstrahlen. Dann gehts in deinem Beispiel bei IoT nicht.
Man kann die auch in Gast parken, diese Methode würde ich dann wählen.
Zum Übertreiben: wenn deine Hardware alles kann ist Übertreiben immer dann erreicht, wenn es dir zu blöd ist es weiter zu supporten. Vorher: kleinere Netze = mehr Kontrolle. IoT ist hier mein Lieblingsbeispiel. Die Chinesische Hardware (sorry TP Link) darf zu ihrem Updateserver. Und zu mir. Das wars. Das will ich für die ganze Zone steuern nicht per IP Regel. Aber bei mir ist viel „haben will“ und berufliche Neugier, weil ich bin Netzer und betreibe auch ein paar Netze im Umfeld mit VPN, FW usw. Also bedenke, dass meine Ansichten voreingenommen sind.

 

[F31v3l]

Ich würde mir die Frage stellen, welche Geräte müssen in meinem privaten Netz sein. Denn prinzipiell kann alles eine Bedrohung darstellen. Von außen rein ist schwieriger als wenn ich innen ein Gerät übernehme.
Das fängt mit PV-Anlagen (patcht der Hersteller auch noch in 5, 10 oder 15 Jahren) an, geht über Datenkraken wie Amazon, Apple und Google und endet bei chinesischer Elektronik (soll jeder selbst entscheiden, ob er Hisense, Huawei, Xiaomi, Roborock usw.) in seinem privaten Netz will).

Man kann z.B. die HA-Instanz in ein eigenes Netz packen. Die Devices wieder in ein anderes Netz (ohne Zugriff auf andere Geräte im Netz oder nach außen). Auf der Sense erlaubt man HA explizit den Zugriff auf die einzelnen Device. So kann man auch den Zugriff auf HA selbst von den private Endgeräten regeln.

Man sollte aber schon wissen, was man bei einer Sense mittels VLAN bzw. den Regeln macht. Gibt man zu viel frei, erreicht man das Gegenteil von dem, was man mittelbs VLANs eigentlich erreichen will.

 

[Hammelkoppter]

Moin,

habe VLANs bei mir für folgende Zwecke im Einsatz:

DMZ - da sind alle Services drin auf die ich von außen zugreifen z.B. nen Reverse Proxy und nen VPN Server.

Dann habe ich ein VLAN für meine internen Docker Services. Der NGINX leitet z.B. Anfragen an die Services weiter aber es wird halt nochmal durch IPS der Firewall geleitet.

Weiterhin nen VLAN für meine IP Kameras und eins für alle möglichen IOT Devices wie FireTV Sticks, Soundbar, LED Strips, Hue usw. also alles mögliche was so im Netz rum eiert.

Dann habe ich nen VLAN für meine Clients d.h. Laptops, PCs usw.

Zu guter Letzt noch nen Mgmt VLAN in dem die Management Zugänge meiner Infrastruktur drin sind.

Zwischen den Netzen sind nen ganzer Haufen Firewall Regeln.

Alles in allem klappt bzw. hat alles mit der Einrichtung geklappt. Wichtig wenn du Regeln baust, ist ein gutes übersichtliches Logging. Nur so findest du raus warum bestimmte Sachen nicht funktionieren. Bei mir war es z.B. die LG Soundbar die unbedingt mit den Google DNS reden will. Ohne diese Kommunikation funktioniert kein Casting. Habe nen PiHole am laufen aber die Soundbar versucht nicht mal über den was aufzulösen. Scheint Hardcoded zu sein. Könnte es hier vielleicht nochmal mit Destination NAT versuchen - hab nur noch keine Zeit und Muse gehabt es zu testen.

Kann also hier und da etwas fummelig werden.

 

[Raijin]

Keep It Simple, Stupid. Auch bekannt als das KISS-Prinzip. Mit VLANs kann man ein Netzwerk mit geeigneter Hardware in verschiedene Teilnetzwerke segmentieren. Das heißt aber nicht, dass man das auch für alles und jeden tun sollte.

Ein herkömmliches Heimnetzwerk besteht aus einem Haupt- und gegebenenfalls einem Gastnetzwerk. Damit lässt sich schon einiges anfangen - zB ganz viele Alexas ins Gastnetz packen. Natürlich hat das aber Grenzen, weil die Gastfunktion eines Consumer-Routers eine Blackbox ist und so gut wie keine Einstellungen bietet - nicht zuletzt um zu verhindern, dass Peter Planlos daran rumfummelt und die Sicherheitsfunktionen des Gastnetzwerks aushebelt

Wenn du meinst, mehr als Haupt- und Gastnetzwerk zu brauchen, kannst du natürlich mit pfSense und entsprechend VLAN-fähigen Switches und Access Points mehrere VLANs aufziehen. Bedenke dazu aber das besagte KISS-Prinzip. Mehrere Netzwerke bedeutet Routing. Es bedeutet auch Firewall - sowohl im Router als auch auf den Servergeräten. Letztere sind unter Umständen gar nicht für komplexe Netzwerke konzipiert und funktionieren in gerouteten VLANs nicht oder nur zum Teil. Gerade IoT basiert häufig auf Broadcasts, die per Definition nicht von einem ins andere Netz geroutet werden.

Backe zunächst also kleine Brötchen und starte zB mit Haupt- und Gastnetz sowie DMZ. Bis das sauber läuft mit allen nötigen Einstellungen- zB die Firewall der DMZ - wird es schon mal eine Weile dauern. Und nein, "Youtube nachklicken" reicht da nicht. Wenn man das ganze Projekt aufgrund von Sicherheitsbedenken startet, muss man verstehen was in den Tutorials passiert. Es ist also essentiell, zB die Syntax von iptables bzw nftables zu verstehen und mit dem Konzept von Netzwerkverbindungen (Aufbau Handshake, Ports, etc) vertraut zu sein. Sonst klickt man am Ende blind Tutorials nach, die gar nicht zu deinem Szenario passen und mehr Sicherheitslecks beinhalten als du glaubst...
Sicherheit durch VLAN-Segmentierung kommt durch die korrekte Konfiguration für das spezifische Szenario und nicht allein durch die 4 Buchstaben V, L, A und N und auch nicht allein durch den reinen Einsatz von pfSense und Co - falsch konfiguriert ist auch pfSense offen wie ein Scheunentor.

Orientiere dich beim Umfang der VLANs auch nicht hier am Forum. Hier tummeln sich viele fachkundige Nutzer, die ähnlich wie @Merle deutlich mehr VLANs haben - oder wie ich mit meinen aktuell 11 VLANs (u.a. Netzwerklabor im Keller)

Also klein starten und wenn das läuft, kannst du immer noch anfangen, IoT oder sonstwas in eigene VLANs zu packen

 

[WillSmith]

Danke für die ganzen hilfreichen Tipps! Ich hab auf jeden Fall ein besseres Bild von dem ganzen bekommen können. Muss mir da nochmal Gedanken zu machen. Das kostet natürlich auch alles viel Zeit (und Geld), was mir gerade aufgrund meiner Prüfungsphase fehlt. Viele Youtuber in der Self-Hosting-Szene sprechen immer wieder von einer Firewall wie Pfsense und wie wichtig diese sei. Möchte mein Netzwerk von außen etwas sicherer machen, da man natürlich mit einer Cloud oder Passwort-Manager auch Zugriff auf viele sensible Daten bekommen kann.

 

[Raijin]

Viele Youtuber in der Self-Hosting-Szene sprechen immer wieder von einer Firewall wie Pfsense und wie wichtig diese sei. Möchte mein Netzwerk von außen etwas sicherer machen

Viele Youtuber verfügen auch nur über gefährliches Halbwissen. Davon sollte man grundsätzlich bei jedem im Internet ausgehen, weil man selbst keine Ahnung hat ob derjenige, der vorgibt Ahnung zu haben, tatsächlich so viel Ahnung hat wie er vorgibt zu haben... Ähm.. ja.. Das gilt im übrigen auch für anonyme Nutzer in einem Forum wie diesem hier, inkl @Merle und meiner Person - obwohl.. ich habe natürlich gaaanz viel Ahnung

Wie dem auch sei, unabhängig von erweiterten Funktionen wie VLANs ist es so, dass der vermeintliche Gewinn an Sicherheit durch pfSense und Co im Vergleich zu 08/15 Consumerroutern nur dann gegeben ist, wenn man weiß was man tut. Fritzboxxen und Co stellen überhaupt nur einen Bruchteil des Themenbereichs "Netzwerk und Internet" dar und der Rest versteckt sich in einer Black Box. Die GUI des Routers zeigt "Firewall Regeln: keine"? Weit gefehlt, weil die Firewall hinter den Kulissen voller Regeln steckt, seien es Drops für invalid packets, blocks für bogon IPs oder auch Shortcuts für established/related connections. Weiß man davon nix, lässt man das bei einer pfSense entsprechend weg.. Bei Firewalls trifft der Spruch weniger ist mehr" aber nicht zwangsläufig zu (andersherum auch nicht, aber egal).

Fakt ist, dass normale Heimrouter für die breite Masse bereits sicher genug sind, weil sie ab Werk von fachkundigen Leuten vorkonfiguriert sind. Eine pfSense bringt nicht per Definition mehr Sicherheit, sondern eher mehr Freiheit bzw Flexibilität und mehr Gefahren durch Fehlkonfiguration, die bei einer Fritzbox durch Wizards ohne direkte Kontrolle und eingeschränkten Funktionsumfang weitestgehend ausgeschlossen wird.

 

[Merle]

Ähm.. ja.. Das gilt im übrigen auch für anonyme Nutzer in einem Forum wie diesem hier, inkl @Merle und meiner Person - obwohl.. ich habe natürlich gaaanz viel Ahnung

Hihi wenn die alle wüssten, dass ich noch nie n CLI gesehen habe. Mwahaha (lacht in diabolisch).

 

[WillSmith]

Vielen Dank für euren ganzen Input! Ich muss mir das ganze einfach nochmal durch den Kopf gehen lassen.