Hardwareanschaffung Heimnetzwerk

[Mahui]

Wobei brauch ich eure Hilfe?
Im ersten Schritt beim Erstellen der Grundstruktur und der Hardwareauswahl. Macht das Sinn? Useability vs. Security?
Später kommen sicherlich auch einige Fragen bzgl. der Konfiguration.

Was möchte ich/ was habe ich mir Vorgestellt?
Ich ziehe um und möchte die Möglichkeit nutzen in Richtung Smarthome zugehen. Genauso meine derzeitige Infrastruktur weiter nutzen – die da wären:

• Smartphone (Android)
• Workstation (Windows 10)
• NAS (Qnap)
• SmartTV (Samsung)
• Laptop (Win 10)

Meine Vorstellung habe ich in angehängter Grafik versucht zu visualisieren.
Grundidee: Ich möchte von meinem Smartphone unterwegs Daten auf mein NAS hochladen und abrufen können. Ebenso mein Smarthome steuern. Mit meinem Laptop möchte ich Programme/Workstation via (RDP/VPN?) von außerhalb verwenden können.

Smarthome: Soll nicht Cloudbasiert sein und auf einem Server in meinem Netzwerk laufen. Hier werden mit verschiedenen Gateways/Verbindungstechniken verschiedene Endgeräte angebunden. (Thermostate/ Heizung/ Fensterkontakte/ Lampen/ Steckdosen/ etc.) Diese Endgeräte sollen bestmöglich abgeschotten werden aber dennoch (je nach dem welcher Anbieter) Sicherheitsupdates erhalten.
Gerne würde ich vom Smartphone zuhause Musik auf z.B. Sonos streamen. Genau so wie Videos und Bilder vom NAS auf dem Fernseher betrachten. Von der Workstation intern gerne die Konfiguration des Smarthome Servers.

Backup: Von der Workstation, dem NAS und dem Smarthomeserver würde ich (natürlich gerne automatisiert) regelmäßig Backups erstellen. ( Ein 2.tes NAS?)

Gast-Wlan: Kenne ich von der Fritzbox. Für Besuch ein Wlan, das kein Zugriff auf das interne Netz bzw. Smarthome hat. Und ich eine White und Blacklist führen kann.

Wie würdet Ihr so etwas bewerkstelligen? Jump bzw. Terminalserver davorsetzten? Welche Hardware (Router/Switche/etc.)? In Vlans trennen oder mehrere Router kaskadieren? Physisch trennen? Smarthomegeräte für Updates in „normales Netz“ schieben und nach Update wieder einbinden?

Für eure Hilfe bin ich euch Dankbar
KR Mahui

 

[yxman]

Mittels VLANs ( https://de.wikipedia.org/wiki/Virtual_Local_Area_Network ) + passenden Switch / Router (pfsense/opnsense)

 

[Raijin]

Ich vermute mal die Gruppen mit "Überschrift" sollen mehr oder weniger isolierte Bereiche des Gesamtnetzwerkes sein? Dann heißt das Stichwort VLANs.

Bei VLANs kann man zB an einem Switch (Smart bzw. Web Managed) einzelne Ports definieren und so einem "Virtuellen LAN" zuordnen, den Switch also doof ausgedrückt in mehrere kleinere Switches aufteilen. Untereinander haben diese dann keine Verbindung, sondern werden an zentraler Stelle mittels eines VLAN-fähigen Routers bzw. eines Routers mit mehreren unabhänigen LAN-Schnittstellen verbunden bzw. geroutet.

Das könnte beispielsweise bei einem 24-Port-Switch so aussehen:

Port 1-8 = VLAN für 08/15 Heimnetzwerk
Port 9-16 = VLAN für Smarthome
Port 17-20 = VLAN für Gastnetzwerk
Port 21-24 = VLAN für DMZ, hier kommen die von außen erreichbaren Server rein

Ein entsprechender Router wie zB der EdgeRouter-X (50€) mit in dem Falle 5 LAN-Schnittstellen kann nun zwischen diesen vier Netzwerken routen und diese mit entsprechender Konfiguration mittels Firewall reglementieren. Mit einem vollwertigen Managed Switch (sog. Layer3-Switch) kann man dies auch direkt innerhalb des Switches erledigen - zu einem höheren Preis.

Fortgeschrittene Access Points können dann auch mehrere SSIDs erstellen, die ebenfalls in die jeweiligen VLANs gehen und so zB "MeinHauptWLAN" und "MeinGastWLAN" erstellen.



Alles in allem erfordert so eine Konfiguration jedoch belastbare Basis-Kenntnisse im Bereich Netzwerke, Routing und Firewall. Ich schreibe bewusst von Basis-Kenntnissen, weil auch das nur an der Oberfläche kratzt. Das ist nicht mal annähernd Plug'n'Play. So nutzt beispielsweise ein 08/15 WLAN-Router mit Gast-Funktion intern in der Regel bereits VLANs für besagtes Gastnetzwerk - der Nutzer bekommt dies aber niemals zu Gesicht und weiß noch nicht mal, dass es sowas gibt, weil ein 08/15 WLAN-Router eben zu 99% in einem unsichtbaren Korsett vorkonfiguriert ist und sich solche Einstellungen gar nicht ändern lassen würden.

 

[Mahui]

Ich vermute mal die Gruppen mit "Überschrift" sollen mehr oder weniger isolierte Bereiche des Gesamtnetzwerkes sein? Dann heißt das Stichwort VLANs.

Ja mein fehler.. genau so war mein gedanke. Macht das deiner Meinung nach sinn es so zu spliten?

Ein entsprechender Router wie zB der EdgeRouter-X (50€) mit in dem Falle 5 LAN-Schnittstellen kann nun zwischen diesen vier Netzwerken routen und diese mit entsprechender Konfiguration mittels Firewall reglementieren. Mit einem vollwertigen Managed Switch (sog. Layer3-Switch) kann man dies auch direkt innerhalb des Switches erledigen - zu einem höheren Preis.

Fortgeschrittene Access Points können dann auch mehrere SSIDs erstellen, die ebenfalls in die jeweiligen VLANs gehen und so zB "MeinHauptWLAN" und "MeinGastWLAN" erstellen.

Ich habe das versucht mal umzusetzten (siehe auch Bild im Anhang):

Modem (von ISP) + EdgeRouter + Ubiquiti US-24-250W + Ubiquiti UniFi AP AC

Wobei ich wenn ich yxman richtig verstanden habe

passenden Switch / Router (pfsense/opnsense)

anstatt den EdgeRouter auch Hardware mit pfsense/opnsense verwenden könnte - richtig?

 

[Raijin]

Klar, EdgeRouter, pfSense, MikroTik, UniFi Router (USG), whatever.

In deiner Zeichnung hast du nur ein Kabel vom US24 zum EdgeRouter dargestellt. Das geht zwar auch, aber darüber müssten dann alle VLANs tagged laufen. Im Falle eines ER-X hättest du also 1x WAN und 1x LAN (mit 3 VLANs). Wirklich sinnvoll ist das allerdings nicht, da sich dann alle VLANs eben diesen einen phyischen Uplink mit 1 Gbit/s teilen müssen.

Sinnvoller ist in diesem Falle dann 1 Kabel je VLAN. Der ER-X hätte also 1x WAN und 3x LAN. Von VLANs wüsste er an dieser Stelle gar nichts, weil das für den ER-X einfach 3 separate LANs sind. Die VLANs tauchen dann erst im US-24 sowie in den APs auf, weil der US sich eben "teilen" muss und die APs über ein und dasselbe Kabel gleich mehrere VLANs bekommen (Stichwort: Tagged VLAN). Um bei meiner obigen beispielhaften Port-Aufteilung im Switch zu bleiben, würde dann je ein Kabel des ER-X in Port 1, 9, 17, 21 gehen, für jedes (V)LAN im Router ein physischer Uplink.

Wenn die physischen Ports am Router nicht ausreichen und/oder die örtlichen Gegebenheiten nur 1 Kabel zwischen Router und Switch zulassen, dann kann das durchaus zum Flaschenhals werden. Wenn zB viel Traffic zwischen VLANs läuft, der überhaupt nichts miteinander zu tun hat (zB VLAN A<->B und parallel VLAN C<->D), wird der einzelne getaggte Uplink vollständig geteilt, während bei separaten Uplinks die eine Verbindung nix mit der anderen zu tun hätte.

Zum Vergleich: Ein Layer3-Switch würde das intern direkt routen können (mit Inter-VLAN-Routing) ohne dass überhaupt ein Uplink bemüht werden würde, weil die Uplinks zwischen den VLANs quasi switch-intern sind. Nur Internet-Traffic würde jemals über den ER-X oder sonstigen Router gehen.

Fortgeschrittene Router mit 3, 5 oder noch mehr Ports haben die ja nicht zum Spaß. Sonst könnte man ja siebenunddrölfzig VLANs über einen einzelnen Port laufen lassen - die Performance ist dann aber auch nur 1/siebenunddölfzigstel von einem Router mit siebenunddrölfzig Ports

 

[Mahui]

Klar, EdgeRouter, pfSense, MikroTik, UniFi Router (USG), whatever.

In deiner Zeichnung hast du nur ein Kabel vom US24 zum EdgeRouter dargestellt. Das geht zwar auch, aber darüber müssten dann alle VLANs tagged laufen. Im Falle eines ER-X hättest du also 1x WAN und 1x LAN (mit 3 VLANs). Wirklich sinnvoll ist das allerdings nicht, da sich dann alle VLANs eben diesen einen phyischen Uplink mit 1 Gbit/s teilen müssen. [....]

Fortgeschrittene Router mit 3, 5 oder noch mehr Ports haben die ja nicht zum Spaß. Sonst könnte man ja siebenunddrölfzig VLANs über einen einzelnen Port laufen lassen - die Performance ist dann aber auch nur 1/siebenunddölfzigstel von einem Router mit siebenunddrölfzig Ports

Macht Sinn - ja

Wenn ich noch etwas preislich passendes finde werde ich auf OpnSense umsteigen.

Ansonsten wird es:

Router (Amazon)
Managed Switch (Amazon)
AP (Amazon)

Danke für eure Hilfe.

 

[Raijin]

Hm.. Bist du dir da sicher? Oben war noch von einen UniFi-Switch die Rede, jetzt verlinkst du einen EdgeSwitch. Das ist jetzt kein Beinbruch, man kann Router, Switches und APs bunt mischen, wenn man möchte, aber der US hätte eben den netten Nebeneffekt ein UniFi-Gerät zu sein wie der UAP AC Pro eben auch. Das heißt man würde Switch und AP in derselben GUI konfigurieren. Klingt vielleicht erstmal komisch, aber in der GUI - dem UniFiController - definiert man dann einmal die VLANs und klickt sie im jeweiligen Reiter beim Switch und dem/den APs einfach an. Bei einem EdgeSwitch oder einem beliebigen anderen Nicht-UniFi-Switch müsste man die VLANs im Switch selbst nochmal konfigurieren und darf zB bei den VLAN IDs natürlich keinen Zahlendreher haben, sonst geht nix mehr..

 

[Mahui]

Oben war noch von einen UniFi-Switch die Rede, jetzt verlinkst du einen EdgeSwitch

tatsächlich... hatte den Unifi-Switch im Warenkorb und den ES kopiert... wird editiert