Aufbau Heimnetzwerk - VLAN

[Markus1505]

Hallo zusammen,

ich bräuchte mal wieder ein bisschen Hilfe. Ich möchte mein LAN etwas sicher machen bzw. umbauen.

Ich würde gerne meine SmartHome-Devices (u.a. Philips Hue, Sonos, Amazon Echo etc.) in einem eigenen Bereich haben (Bereich 2). Meine Rechner, Tablets, Smartphones und das NAS sollen getrennt betrieben werden (Bereich 1). Allerdings soll es möglich sein von Bereich 1 auf den Bereich 2 zuzugreifen bzw. zu steuern. Darüber hinaus sollen Überwachungskameras in einen dritten Bereich, der wiederum die Daten auf der NAS im Bereich 1 speichern soll. EIN VPN Zugriff von außen zur Steuerung und Überwachung soll möglich sein.

Als Hardware stehen aktuell ein Zyxel 24 Port Gigabit Managed Switch, ein Netgear 8 PORT POE Managed Switch (für aktuell 3 Kameras) sowie eine Fritzbox 7490 zur Verfügung.

Das Ganze lässt sich denke ich über Vlans realisieren. Nun meine Frage hat jemand ein ähnliches Szenario und kann mir Tipps geben, wie ich es am besten umsetzen kann? Macht die Anschaffung einer eigenen Hardwarefirewall ggf. Sinn? Hatte auch schon überlegt das Ganze wie in der aktuellen CT über kaskadierende Router umzusetzen. Das Ganze ist rein privater Natur.

Ich habe zwar eine IT-Ausbildung habe soetwas bisher leider noch nie umgesetzt. Ich wäre dankbar über Möglichkeiten, wie ich mein Netz am besten aufbauen und später administrieren kann. Bin selbstverständlich bereit mich in das Thema einzuarbeiten.

Ich bedanke mich für eure Hilfe

Viele Grüße

Markus

 

[PHuV]

Aus meiner Erfahrung kann ich sagen, daß VLAN-Tagging zu Problemen im Netzwerk führen kann, wenn nicht alle Endgeräte vernünftig das Tagging verstehen. Das fängt beim Router an und geht weiter über die Switche. Laut unseren Netzwerkadmin beherrscht nur Cisco sauber VLAN-Tagging, oder man nutzt die komplette-Infrastruktur durchweg mit einem Hersteller. In unserem Fall haben diverse Switche von anderen Herstellern zu Loops und Netzwerkausfällen in diversen Segmenten geführt, weil sie das VLAN nicht entsprechend durchgereicht hatten, weil die Hersteller die Implementierung nicht sauber durchführten.

Hier ist beispielsweise Deine Umgebung schon suboptiomal, weil Du Geräte gemischt von mehreren Herstellern nutzt. Allein die AVM 7490 kann nur ein VLAN-Tag setzen (per Oberfläche), dann ist Schluß. Dafür müßtest Du dann teurere Router kaufen (Draytek, Cisco und Co.), die aber deutlich komplizierter zu administrieren sind, oder die Fritzbox verändern und per Kommandozeile verändern (dahinter ist an sich auch nur eine spezielles Linux dahinter) mit dem Risiko, daß Du den Support von AVM verlierst. Zudem erhöhst Du unnötig die Fehlerquellen und die Fehlerrate in Deinem Netzwerk.

VLANs sind eigentlich dafür gedacht, verschiedene Dienste im Netz zu trennen, und nicht Geräte, beispielsweise Video-Streaming, Audiostreaming wie VoIP, Datenverkehr in die DMZ usw.

Warum probierst Du nicht erst mal eine Trennung mit verschiedenen Subnetzen? Wenn das dann läuft, erst dann würde ich mal testweise VoIP und Video probieren, sie per VLAN entsprechend zu trennen. Aber dafür brauchst Du dann eventuell einen anderen Router.

 

[poons]

VLANs sind sehr wohl dafür gedacht physische in virtuelle Netze zu unterteilen ;-)

 

[PHuV]

Dann formuliere ich es anders, siehe Definition
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Ältere VLAN-fähige Switches beherrschen nur portbasierte VLANs, die statisch konfiguriert werden mussten. Erst später entwickelten sich dynamische VLANs und proprietäre tagged VLANs. Schließlich entstanden aus den proprietären tagged VLANs die heute dominierenden standardisierten tagged VLANs nach IEEE 802.1Q.

Ich kenn halt noch die "alte" Variante, als das nur für VoIP und sowas verwendet wurde. Aber ja, Du hast recht.

@TS, da hilft nur einlesen, z.B.:

VLAN: Grundlagen virtueller LANs

 

[Harrdy]

Auch sollte man differenzieren ob Tagged und Untagged VLAN. Du kannst natürlich einen VLAN Fähigen Switch so konfigurieren um an unterschiedlichen physischen Ports unterschiedliche VLANs erreichbar zu machen. Wenn diese Ports dann entsprechend Untagged konfigruiert sind mit dem entsprechenden VLAN ist es nicht nötig das die Geräte welche daran angeschlossen werden etwas von VLANs wissen müssen.

Auch lassen sich mit der Fritzbox bis zu 2 VLans an 2 Untagged Ports getrennt ins Internet schleußen ohne das die Fritzbox irgendetwas von VLAN tagging wissen muss (Port1-3 + 4 als Gastnetz). Erst wenn es um InterVLAN Routing geht brauchst du einen Router der mit VLANs umgehen kann bzw. einen L3 Switch der dies kann.

Und ob man nun Dienste oder Hosts/Subnets per VLAN trennt spielt keine Rolle. Beides ist möglich. So werden VLANs auch genutzt um eine Produktivumgebung und eine Testumgebung voneinander zu trennen.

 

[Markus1505]

Vielen Dank für die ganzen Antworten. Werde mich mal in das Thema einarbeiten