Empfehlung Router/Firewall für VLAN

mdrmdr

Cadet 3rd Year
Registriert
Mai 2015
Beiträge
57
Ich habe mir bereits einen VLAN fähigen Switch (TP-LINKs TL-SG1024DE) für mein Haus-LAN angeschafft.
Um nun VLANs zu erzeugen die regelbasiert miteinander kommunizieren dürfen und um IoT Geräte (bei mir Daikin Klimaanlage und Syr Leckageschutz), die eine Herstellerverbindung haben, vom restlichen LAN zu trennen, will ich mir einen Router mit Firewall Funktionalität anschaffen. Grundsätzlich sollte es so aussehen wie auf dem angefügten Bild.

Meine Frage: Der MikroTik hEX mit RouterOS kann das alles, ist aber rel. komplex zu konfigurieren. Gibt es einfachere Lösungen bzw. Router mit FW?
 

Anhänge

  • VLAN.jpg
    VLAN.jpg
    121,4 KB · Aufrufe: 637
Der Switch kann IEEE802.1q, damit sollte Tagged-VLAN möglich sein, aka du brauchst nur ein Uplink zum Router.
Als Alternative wäre der Ubiquiti EdgeRouter X zu nennen. Aber auch der ist nicht trivial, für diese Semi-Professionellen Router braucht man schon etwas Know-How
 
  • Gefällt mir
Reaktionen: madmax2010
Für den Preis eines Mikrotik wirst du kaum etwas vergleichbares finden, ist der Preis aber nicht ganz so wichtig gibt es da durchaus alternativen.
Ich habe bei mir einen kleinen Firewall-PC in dieser Art laufen: https://www.amazon.de/Upgraded-Firewall-Appliance-Compatible-Pfsense/dp/B09P3RVDJ3
Die gibt es von zahlreichen Herstellern immer in leicht unterschiedlicher Ausführung.

Darauf kannst du dann installieren was dir am besten gefällt. Ich habe hier Sophos UTM Home laufen weil deren Oberfläche mit Abstand am besten ist und man für ein kostenloses Produkt sehr viele Features bekommt.
 
  • Gefällt mir
Reaktionen: Roesi
Was genau unterscheidet Dein VLAN1 von VLAN2?
Ich hätte nämlich einfach den Gastzugang auf der FRITZ!Box aktiviert und die IoT-Geräte in LAN4 gesteckt.
mdrmdr schrieb:
Gibt es einfachere Lösungen bzw. Router mit [Firewall]?
Mit „Firewall“ meinst Du einen Router der mehrere Subnetze im LAN aufspannt und diese Subnetze voneinander trennt, richtig? Welchen Internet-Anschluss hast Du (DSL, Cable, Mobilfunk oder Fiber)?
 
Ich habe eine 7590 mit 250 Mbit/s DSL Anschluss. Das Gastnetz will ich für den Setup nicht verwenden, da zu unflexibel. Z.B. kann man ohne Verrenkungen nicht vom LAN auf's Gast-LAN zugreifen.

Im VLAN2 sind Geräte die durchaus auf einige, aber nicht alle LAN Geräte zugreifen dürfen. Z.B. der TV auf den Plex-Server auf der NAS. Aber auf sonst nichts.

Der EdgeRouter X ist ein guter Tipp. Werde mal RouterOS und EdgeOS vergleichen. Muss auch noch den Durchsatz des EdgeRouter finden. Bei MikroTik ist das veröffentlicht: https://mikrotik.com/product/RB750Gr3#fndtn-testresults.

Bzgl. "Firewall" meine ich eine regelbasierte Verbindung der VLANs untereinander und mit dem Internet. Aber das können ja beide o.g. Router soweit ich das sehe.

Vergleich auf die Schnelle gefunden:
 
Zuletzt bearbeitet:
Edgerouter findest du im Netz etliche Hilfen. Mikrotik kann auch viel, allerdings sind die wohl nicht trivial.
Alternativ wäre eine pfSense/OPNsense als VM oder Bare-Metal.

Was die Leistungs angeht, kommt es darauf an, was du brauchst. Bisschen Firewall und Routing kriegen die schon all hin. Wenn du allerdings Dinge wie IDS, IPS und noch schön VPN darüber jagen willst, brauchst halte Leistung.

Wenn du den Weg über VLANs gehen willst/musst, würde ich mir überlegen, wie die VLANs aufgebaut werden sollen. Verfolge das KISS-Prinzip.
 
  • Gefällt mir
Reaktionen: Raijin
Klar, HW (am besten einen Raspberry Pi 4) und o.g. SW selbst zusammenstellen wäre auch eine Option. Ich möchte aber eine out-of-the-box Lösung. Mit Raspberry's, NanoPi's etc. mache ich schon genügend rum für meine Hausautomatisierung. Am attraktivsten scheint mir momentan der EdgeRouter. Den werde ich mir in den nächsten Tagen genauer ansehen. Und für 50-60€ ist das "taugt-nichts" Risiko recht gering...
Ergänzung ()

Um WLAN IoT-Geräte einem VLAN zuzuordnen, brauche ich einen VLAN-angebundenen AP mit eigener SSID? Die IoT-Geräte müssen dann so konfiguriert werden, dass sie sich (nur) mit dem IoT-WLAN verbinden.

Richtig?
 
Zuletzt bearbeitet:
mdrmdr schrieb:
Der MikroTik hEX mit RouterOS kann das alles, ist aber rel. komplex zu konfigurieren.
Da wirst du aber kaum drumherum kommen. VLANs und Firewall sind fortgeschrittene Techniken, die deutlich über das hinausgehen, was man aus Fritzbox und Co kennt. Bei Consumer-Routern wie einer Fritzbox hat der Anwender tatsächlich nicht mal Zugriff auf die Firewall, sondern ausschließlich auf Wizards, die im Hintergrund die Firewall konfigurieren. Es geht bei VLAN/Firewall darum, das Konzept verstanden zu haben. Ob man das dann in einer bunten oder einer spartanischen GUI oder gar auf Kommandozeile konfiguriert, ist einerlei.


mdrmdr schrieb:
Um WLAN IoT-Geräte einem VLAN zuzuordnen, brauche ich einen VLAN-angebundenen AP mit eigener SSID? Die IoT-Geräte müssen dann so konfiguriert werden, dass sie sich (nur) mit dem IoT-WLAN verbinden.
Bei einem VLAN-fähigen AP konfiguriert man auf dessen Uplink (Trunk) die gewünschten VLAN-IDs als tagged VLANs. Im AP selbst legt man anschließend für jede VLAN-ID eine dazugehörige SSID an und jeder Client, der sich mit SSID123 verbindet, landet in VLAN123.

Ich möchte jedoch deinen Enthusiasmus ein wenig bremsen. IoT-Geräte sind nicht selten nur relativ schlecht auf Multi-Netzwerk-Umgebungen angepasst. Das heißt, dass etwaige Apps auf dem Smartphone/Tablet oftmals nur mittels Broadcasts nach den Geräten suchen. Broadcasts werden nicht geroutet und somit kann ein Smartphone im Hauptnetzwerk plötzlich die smarten Heizungsthermostate im IoT-WLAN nicht finden. Viele Hersteller vom smarten Geräten haben kein eigenes KnowHow im Bereich Netzwerke und kaufen daher nur Lösungen ein, möglichst günstig und möglichst als Plug'n'Play für Otto Normal in seinem 08/15 Netzwerk. Nutzer mit komplexen Heimnetzwerken mit mehreren (V)LANs sind äußerst selten und somit nicht Zielgruppe.


Daher rate ich bei VLANs stets dazu, so wenige wie möglich einzurichten, wenn man nicht über umfangreiches KnowHow verfügt. Segmentiert man das heimische Netzwerk in zu viele VLANs (zB IoT-, Haupt-, Gast-, Office-, Telefon-, DMZ-Netz), wird man sonst ziemlich schnell in die Situation geraten, dass man nicht mehr weiß warum diese oder jene Verbindung, Anwendung, etc. nicht mehr funktioniert. Am Ende wird Peter Planlos dann die Firewall zwischen den VLANs komplett öffnen und dann hätte er sich die VLANs von vornherein sparen können. :D

@F31v3l hat es daher schon erwähnt, das KISS-Prinzip.
 
  • Gefällt mir
Reaktionen: ulrich_v und M-X
Danke Raijin für die vielen Hinweise, die ich sicher beherzigen werde.

Eine Frage noch zum AP. Muss dieser "VLAN-fähig" sein? Reicht es nicht ihn per LAN am richtigen VLAN-Port am Switch anzuschließen?

Das größte Problem scheint aber momentan die Verfügbarkeit eines EdgeRouter X zu sein 😂 Nicht lieferbar. Und wenn doch, sauteuer...
 
Wenn du nur ein "IoT-WLAN" brauchst, kannst du auch das Gast-WLAN der Fritzbox nehmen und das Gastnetz über den Port4 zum Mikrotik/Ubiquiti schicken. Musst dich halt nur mit den Einschränkungen der Fritzbox arrangieren. Der DHCP ist z.B. nicht anpassbar.

Ansonsten kannst du die Trennung natürlich auch über die Ports am Switch machen, brauchst dann aber pro SSID mindestens ein AP.
 
Nilson schrieb:
...brauchst dann aber pro SSID mindestens ein AP.
Das ist der Plan. Ich werde aber nur 2 SSID's benötigen, da in einem der 3 geplanten VLAN's kein WLAN Gerät hängt.
 
mdrmdr schrieb:
Eine Frage noch zum AP. Muss dieser "VLAN-fähig" sein? Reicht es nicht ihn per LAN am richtigen VLAN-Port am Switch anzuschließen?
Sofern du portbasiertes / untagged VLAN konfigurierst, ja. Dann brauchst du aber für jedes VLAN, das WLAN bekommen soll, einen untagged Port in dem VLAN und vor allem jeweils einen AP. Ein VLAN-fähiger AP kann in einem Gerät für jedes VLAN den WLAN-Zugang stellen.

Wenn du also 2 APs für die Abdeckung benötigst und für das Haupt- und IoT-Netzwerk WLAN haben möchtest, bräuchtest du ohne VLAN-AP eben 2x 2 APs. Käme noch ein Gast-WLAN dazu, wären es schon 3x 2 APs. Deswegen Uplink mit 3x tagged VLAN (Haupt-, IoT- und Gast-VLAN) in 2 VLAN-APs und das war's.
 
Raijin schrieb:
Ich möchte jedoch deinen Enthusiasmus ein wenig bremsen. IoT-Geräte sind nicht selten nur relativ schlecht auf Multi-Netzwerk-Umgebungen angepasst. Das heißt, dass etwaige Apps auf dem Smartphone/Tablet oftmals nur mittels Broadcasts nach den Geräten suchen.
Das ist wirklich ein sehr wichtiger Punkt. Ich musste hier bei einigen IOT Geräten kämpfen das dies einigermaßen funktioniert.

Ich kann sowohl Edgerouter als auch OPNsense empfehlen. Je nach Budget und Forderung macht das eine mehr Sinn als das andere.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Zum Glück habe ich nur an eine Stelle im Haus den Bedarf für einen VLAN-AP. D.h. ich habe einige Haupt-APs mit meinem Standard-WLAN und genau 1 IoT-AP für das IoT-WLAN. Und obs mit allen Geräten klappt, werde ich sehen.

Update 11.04:
Habe mich jetzt for den MikroTik entschieden und einen hEX S vergleichsweise günstig bei den kleinen Anzeigen geschossen. Ausschlaggebend war letztlich das technische Detail, dass MikroTik zw. den Ports 2 GBit/s full duplex hat und der EdgeRouter nur 1 GBit/s half duplex. Mit RouterOS werde ich schon zurecht kommen. Muss ja nicht gleich morgen sein ;-)
 
Zuletzt bearbeitet:
Zurück
Oben